Nun ist es soweit: Im April 2021 wurde der von der Fachwelt länger er­war­te­te in­ter­na­tio­na­le Prüfstandard ISO 37301:2021 in eng­li­scher Sprache veröffentlicht. Die neue Norm für Com­pli­ance Ma­nage­ment­sys­te­me ist aus der sys­te­ma­ti­schen Überprüfung von ISO 19600 ent­stan­den. Die In­ter­na­tio­nal Or­ga­niza­ti­on for Stan­dar­diza­ti­on (ISO) hatte eine Ar­beits­grup­pe be­auf­tragt, die Optionen für eine Überarbeitung zu prüfen. Im Sep­tem­ber 2018 schließlich wurde ver­ein­bart, ISO 19600 als An­for­de­rungs­norm als neue ISO 37301 zu überarbeiten. DQS-Au­di­tor Frank Machalz, Mitglied in den DIN-Normenausschüssen Or­ga­ni­sa­ti­ons­pro­zes­se sowie Go­ver­nan­ce und Com­pli­ance Ma­nage­ment, gibt einen Überblick über das neue Re­gel­werk aus der ISO-Nor­men­fa­mi­lie.

Loading...

Compliance Management ab 2021: Einsichten... 

Compliance Management mit ISO 37301:2021 – der offizielle Titel des neuen Prüfstandards lautet: „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung“. Bis es jedoch zu dessen praktischer Anwendbarkeit kommt, wird es noch dauern. Für alle interessierten Parteien ist die Norm aber eine solide Grundlage, sich auf künftige Zertifizierungen vorzubereiten.

 

… und Aussichten

Die Verabschiedung der endgültigen, akkreditierungsfähigen und zertifizierbaren ISO-Norm erfolgte im April 2021. Der bisherige Leitfaden zu Compliance Management Systemen (CMS) ISO 19600 aus dem Jahre 2014 wird damit durch den neuen Standard ersetzt.

Im Zuge dieser Veröffentlichung erfolgte

  • im Juni 2020 der DIS zu ISO 37000:2020 mit dem Titel „Anleitung für Governance von Organisationen“, sowie
  • im Juli 2020 der Entwurf der DIN ISO 37002:2020 „Hinweismanagementsysteme – Leitfaden“.

Diese beiden Normen sind, anders als ISO 37301, derzeit nicht als Zertifizierungsstandard konzipiert.

Weiterhin verfügbar bleibt übrigens der vom Institut der Wirtschaftsprüfer (IDW) entwickelte Compliance Managementsystem-Prüfungsstandard IDW PS 980 sowie weitere sektorale, regionale und branchenspezifische Prüfstandards einschließlich der ISO-Normenfamilie u.a. in den Risikosegmenten Arbeits- und Gesundheitsschutz (ISO 45001), Umweltmanagement (ISO 14001) und Qualitätsmanagement (ISO 9001), die ja in ihrem jeweiligen Kontext in den Normenpunkten „Bindende Verpflichtungen“ und „Bewertung deren Einhaltung“ bereits Compliance-Anforderungen enthalten.

Un­ser Tipp

Le­sen Sie den Beitrag von Frank Machalz zu ISO 14001: Bindende Ver­pflich­tun­gen – Was fordert die Norm?

Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?

Wie in der Vergangenheit im Vorfeld und nach der Veröffentlichung anderer Managementnormen aus der ISO-Welt – z.B. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) oder ISO 45001 (Sicherheit und Gesundheit bei der Arbeit) – bereits zu beobachten war, sind auch hier Fragen u.a. der Relevanz und der Akzeptanz des künftigen Standards zu klären.

Die Relevanz des neuen Standards ergibt sich zunächst aus der Tatsache, dass die International Organization for Standardization (ISO) die Erarbeitung und Verabschiedung einer solchen Norm für erforderlich hielt. Er ist und bleibt jedoch ein freiwilliger Standard, sodass seine Relevanz eng mit dessen künftiger Akzeptanz, und dessen Akzeptanz wiederum mit der Relevanz verknüpft ist.

Durch die normative Einführung und Aufrechterhaltung einer Kultur der Integrität und Compliance als unabhängiger aber zugleich auch integraler Bestandteil eines einheitlichen Managementsystems soll die Sicherstellung einer langfristig nachhaltigen, sozialverantwortlichen und erfolgreichen Organisation erfolgen.

Besonders beachtlich ist, dass die Norm bereits in ihrer Einleitung explizit auf die Möglichkeit (Chance) jeder Organisation eingeht, durch ein effektives und organisationsweites Compliance Management System (CMS) die Einhaltung ihrer bindenden Verpflichtungen zu „beweisen“ (sic!).

 

Verpflichtung von Organisation zur Compliance

Darüber hinaus erwähnt die neue Norm in ihrer Einleitung auf Seite 7 ausdrücklich, dass

„Gerichte in ver­schie­de­nen Ländern … die Ver­pflich­tung einer Or­ga­ni­sa­ti­on zur Com­pli­ance durch ihr Com­pli­ance-Ma­nage­ment­sys­tem im Rahmen der Fest­le­gung an­ge­mes­se­ner Strafen für Verstöße gegen an­zu­wen­den­de Gesetze be­trach­tet (haben). Aus diesem Grund können auch re­gu­la­to­ri­sche und Gerichtsbehörden von diesem Dokument als Referenz profitieren.“

Bereits hieraus, aber schlussendlich auch aus den Begriffsbestimmungen der Norm zu Compliance (Kap. 3.27) und Compliance Verpflichtung (Kap. 3.26), ergibt sich, dass der eindeutige Schwerpunkt dieser Norm auf allen Legal Compliance Aspekten einer Organisation liegt, auch wenn diese bisher schon Bestandteil der Risikoerfassung und Bewertung in anderen Segmenten eines einheitlichen und integrierten Managementsystems waren. So auch ISO 37301 auf Seite 7:

„Dieses Dokument ist ge­eig­net, um com­pli­ance-be­zo­ge­ne An­for­de­run­gen in anderen Ma­nage­ment­sys­te­men zu erhöhen und eine Or­ga­ni­sa­ti­on bei der Ver­bes­se­rung des all­ge­mei­nen Ma­nage­ments ihrer Com­pli­ance-Ver­pflich­tun­gen zu unterstützen.“

Compliance Management mit ISO 37301: Verbindung zum Verbandssanktionengesetz 

Auf nationaler Ebene in Deutschland ergibt sich die Relevanz der Norm in den erwähnten Kontexten der Beweissicherung und der möglichen Berücksichtigung bei der individuellen organisationsbezogenen Sanktionierung durch regulatorische und Gerichtsbehörden. Dies gilt auch für den aktuellen Referentenentwurf des Gesetzes zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) vom 20. April 2020.

„Der Entwurf verfolgt das Ziel, die Sank­tio­nie­rung von Verbänden, deren Zweck auf einen wirt­schaft­li­chen Geschäftsbetrieb ge­rich­tet ist, auf eine eigenständige ge­setz­li­che Grund­la­ge zu stellen, sie dem Legalitätsprinzip zu un­ter­wer­fen und durch ein ver­bes­ser­tes In­stru­men­ta­ri­um eine an­ge­mes­se­ne Ahndung von Ver­band­sta­ten zu ermöglichen. Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Un­ter­neh­men mit internen Un­ter­su­chun­gen dazu bei­tra­gen, Straf­ta­ten aufzuklären.“

Auf Grund dieser Relevanzhintergründe lohnt sich auch ein Blick in die durch die einzelnen Prozessordnungen normierten Anforderungen an Beweismittel. Diese lassen sich bekanntermaßen durch den Begriff SAPUZ, also Sachverständiger, Augenscheinnahme der Örtlichkeit, Parteivernahme, Urkunde und Zeuge zusammenfassen. Insbesondere die Anforderungen an Sachverständige (§§ 402ff Zivilprozessordnung (ZPO), §§ 72ff Strafprozessordnung (StPO), §§ 96/98 Verwaltungsgerichtsordnung (VwGO)) und an Urkunden (§§ 415ff ZPO, § 249 StPO, §§ 96/98 VwGO) verdienen in diesem Zusammenhang besondere Aufmerksamkeit.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Ein Com­pli­ance-The­ma: Die Lie­fer­ket­te

Web­i­nar­auf­zeich­nung: Lieferkettenmanagement 

Sie erfahren mehr über

  • Referenzen und den po­li­ti­schen Rahmen
  • Marktmechanismen
  •  bestehende Nach­hal­tig­keits­in­itia­ti­ven
  • Grund­la­gen zum Lie­fer­ket­ten­ma­nage­ment

Die hier normierten Anforderungen an Sachverständige bilden den Ausgangspunkt und geben wesentliche Orientierungshilfen für die Schaffung von Rahmenbedingungen hinsichtlich der Kompetenz, Fach- und Sachkunde von externen und internen Prüfern (Auditoren). Ähnliches gilt für die Anforderungen sowohl an die der Beurkundung zugrundeliegenden Prozesse, als auch dem Prozess der Beurkundung selbst. Diese sind eine verlässliche Erkenntnisquelle für den gesamten Zertifizierungsprozess und Zertifikatserteilungsprozess für ISO 37301.

Die Akzeptanz der neuen Norm sowohl durch den unmittelbaren Adressatenkreis, an den sie sich richtet, als auch alle weiteren interessierten Parteien, die direkt oder indirekt an der Erfüllung ihrer Anforderungen partizipieren, wird wie auch schon bei anderen ISO-Normen zu beobachten war, unter anderem von folgenden Aspekten beeinflusst werden:

  • die Relevanz der Norm in der Praxis (siehe oben)
  • die Kompetenz, Sach- und Fachkunde der Unternehmen, die diese Norm bei sich einführen wollen
  • die Kompetenz, Sach- und Fachkunde externer Dienstleister, die diese Organisationen ggf. dabei unterstützen
  • die Kompetenz, Sach- und Fachkunde der Prüforganisationen
  • die Kompetenz, Sach- und Fachkunde der internen und vor allem der externen Auditoren

 

ISO 37301 – Compliance Management System einführen

Die Organisationen und Unternehmen, die diese Norm einführen und an deren Vorteilen partizipieren wollen, können sich mit der Norm beschäftigen, um so die erforderlichen Kompetenzen sowie die Sach- und Fachkunde zu erwerben.

Ins­be­son­de­re der Anhang enthält wert­vol­le Hinweise und Erläuterungen zu den ein­zel­nen Aspekten der Norm.

Insoweit die im jeweiligen Unternehmen vorhandene interne Kompetenz, Sach- und Fachkunde im Einzelfall nicht ausreicht, kann und sollte auf externe Expertise zurückgegriffen werden. Zu den ggf. bestehenden und ggf. zu erfüllenden Informationsbeschaffungspflichten gibt es beginnend mit dem Asphalt-Vertiefungs-Urteil des Reichsgerichtes aus dem Jahre 1916 (RGZ 89 (1917) S. 136), bis hin zu verschiedenen Urteilen des Bundesgerichtshofes (BGH) u.a. aus dem Jahr 2007 (14.05.2007 – II ZR 48/06, BB 2007/1801 und 16.07.2007 – II ZR 226/06, DStR 2007, 1641) eine umfangreiche Rechtsprechung.

Im Kontext mit der Relevanz der Norm nicht zuletzt auch als Element der Vermeidung und Minimierung von Compliance-Risiken, sowie des Umstandes, dass derzeit mit ISO 19600 aus dem Jahr 2014 lediglich ein allgemeiner Leitfaden zum Compliance Management sowie die Norm ISO 37301 vorliegt, sollte diese Auswahl und Entscheidung mit großer Sorgfalt erfolgen.

ISO 37301:2021-04 „Compliance-Managementsysteme – An­for­de­run­gen mit An­lei­tung zur Anwendung“ ist beim Beuth Verlag erhältlich.

ISO 37301: Rolle im Risikomanagement

Von Vorteil wären hierfür – wie beim rechtskonformen Nachunternehmermanagement zur Sicherheit in der Lieferkette zur Vermeidung des Vorwurfs des Organisationsverschuldens in Form eines Auswahl- oder Überwachungsverschuldens allgemein üblich und erforderlich – u.a. auch die Formulierung von konkreten Anforderungen an die zu erbringenden Nachweise von expliziter Compliance Management Expertise.

Dafür könnte auch die künftige ISO 17021-13 als geeignete Erkenntnisquelle und Referenzdokument herangezogen werden. Insoweit hat der BGH unter anderem in seiner ISION Entscheidung vom 20.09.2011 – II ZR 234/09, BB 2011, 2960 sowie das OLG Stuttgart vom 25.11.2009 – 20 U 5/09, ZIP 2009, 2386ff hier entsprechende Leitlinien aufgestellt.

 

Compliance Management mit ISO 37301 – ist die Norm zertifizierbar?

So wie für andere zertifizierungsfähige ISO-Standards auch, ist für diese Norm eine Akkreditierung der Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) erforderlich. Die Zertifizierungsstelle nimmt die Prüfung und Bewertung der Erfüllung der Normenanforderungen vor und wird bei positivem Ergebnis ein Zertifikat, also eine Urkunde im Sinne eines Beweismittels, ausstellen.

Wer ist die  DAkkS?

Die DAkkS ist die na­tio­na­le Ak­kre­di­tie­rungs­stel­le der Bun­des­re­pu­blik Deutsch­land. Sie handelt nach der Ver­ord­nung (EG) Nr. 765/2008 und dem Ak­kre­di­tie­rungs­stel­len­ge­setz (Akk­Stel­leG) im öffentlichen In­ter­es­se als al­lei­ni­ger Dienst­leis­ter für Akkreditierung in Deutsch­land.Die Deutsche Ak­kre­di­tie­rungs­stel­le GmbH arbeitet nicht ge­winn­ori­en­tiert. Ge­sell­schaf­ter der GmbH sind zu jeweils einem Drittel die Bun­des­re­pu­blik Deutsch­land, die Bundesländer Bayern, Hamburg und Nord­rhein-West­fa­len sowie die durch den Bun­des­ver­band der Deut­schen In­dus­trie e.V. (BDI) ver­tre­te­ne Wirt­schaft.Um ihre ho­heit­li­chen Ak­kre­di­tie­rungs­auf­ga­ben ausfüllen zu können, wurde die DAkkS vom Bund be­lie­hen. Als be­lie­he­ne Stelle un­ter­steht die DAkkS der Aufsicht des Bundes. Bei ihrer ho­heit­li­chen Akkreditierungstätigkeit wendet die DAkkS das deutsche Ver­wal­tungs­recht an.Quel­le: www.dakks.de

Mit dem seit April 2021 vorliegenden grundsätzlich zertifizierungsfähigen ISO-Standard 37301 kann nun auch die DAkkS ihrem Auftrag folgend, prüfen und bewerten, ob

  • die Norm überhaupt akkreditierungsfähig ist, also überhaupt eine Nachfrage nach solchen Prüfungs-, Bewertungs- und Beurkundungsverfahren besteht, und
  • gegebenenfalls dann Anträge von Organisationen, die eine Akkreditierung für diese Norm anstreben, annehmen, bearbeiten und entscheiden.

Die entsprechenden internen Prozesse sind bei der DAkkS derzeit noch nicht abgeschlossen, sodass es aktuell auch noch keine für die Norm durch die DAkkS akkreditierte Zertifizierunggesellschaft gibt.

 

Jetzt Kenntnisse zu ISO 37301 aneignen

Auch die Erfüllung bestimmter Anforderungen an die Kompetenz, Sach- und Fachkunde der künftigen internen und externen Auditoren ist ein wesentliches Kriterium für die Akzeptanz und Relevanz der ISO-Norm. Für sie wird es zunächst unabdingbar sein, vertiefte Kenntnisse zu DIN ISO 37301 zu erwerben und dies durch geeignete Nachweise belegen zu können.

Darüber hinaus wird die Normenreihe zu ISO 17021 (Teile 1 bis 12), die jeweils die Anforderungen an die Zertifizierungsstellen und an externe Auditoren u.a. für Qualitätsmanagement, Umweltmanagement und Arbeits- und Gesundheitsschutzmanagement beinhalten, um einen weiteren Teil, die künftige ISO 17021-13, erweitert werden. Dieser wird dann entsprechende Anforderungen an die Kompetenz, Sach- und Fachkunde für externe Auditoren, die ein Compliance Management System (CMS) nach ISO 37301 prüfen und bewerten wollen, enthalten. Der entsprechende ISO-Ausschuss hat im März 2021 seine Arbeit aufgenommen und wird voraussichtlich noch Ende 2021 die Arbeiten an der Norm ISO 17021-13 abgeschlossen haben, so dass diese dann spätestens in 2022 verabschiedet und veröffentlicht werden kann.

Da die aktuelle DIN EN ISO 19011:2018 (Leitfaden zur Auditierung von Managementsystemen) hinsichtlich der diesbezüglichen Anforderungen für interne Auditoren keine spezifischen Anforderungen enthält, wäre für diesen Personenkreis die künftige ISO 17021-13 als Erkenntnisquelle und Referenzdokument nutzbar.

 

Der ISO-Standard 37301 – Fazit

Die neue Managementsystemnorm zum Compliance Management ISO 37301 hat auf Grund ihrer Inhalte und Relevanz in der bisherigen ISO-Normenwelt eine gesonderte und segmentübergreifende Stellung, da sie über die diesbezüglichen Inhalte und Anforderungen der bisherigen Managementsegmente hinaus alle Compliance-Risiken eines Unternehmens erfasst und zugleich bestimmte Entlastungselemente mit sich bringt.

Somit sind für alle an den künftigen Prozessen der Einführung, Fortführung, Prüfung, Bewertung und Zertifizierung beteiligten und sonstigen interessierten Parteien hohe Erwartungen und Anforderung an die Sorgfalt bei deren jeweiligen Vorbereitung und Realisierung zu erfüllen.

 

Managementsysteme schärfen die Sinne

Seit langem erweisen sich Managementsysteme als grundlegende Führungsinstrumente: sie bilden den Rahmen, Prozesse bewusst zu gestalten, zu steuern und zu überwachen. Sie schaffen Transparenz und geben Handlungssicherheit. Gerade im Wandel sind wirksame Managementsysteme geeignet, den Blick aufs Ganze zu schärfen und Veränderungsprozesse zu unterstützen. Sie stabilisieren Arbeitsabläufe und verbessern systematisch die Qualität der eigenen Leistung. Zum wesentlichen Erfolgsfaktor werden Managementsysteme jedoch erst durch eine Zertifizierung durch die DQS. Dabei beginnt unser Anspruch dort, wo Checklisten enden. Nehmen Sie uns beim Wort!

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gern be­ant­wor­ten wir Ihre Fragen

Kon­tak­tie­ren Sie uns – wir in­for­mie­ren Sie gerne über eine Zer­ti­fi­zie­rung Ihres Com­pli­ance Ma­nage­ment Sys­tems.

Autor
Frank Machalz

Langjähriger Auditor der DQS für den Bereich Risiko- und Com­pli­ance Ma­nage­ment und dessen Sub­sys­te­me, wie bei­spiels­wei­se An­ti­kor­rup­ti­on, Business Continuität, Arbeits- und Ge­sund­heits­schutz, Um­welt­schutz oder Pro­dukt­si­cher­heit. Seine interdisziplinäre Kom­pe­tenz wird be­son­ders von Kunden mit einem in­te­grier­ten, ganz­heit­li­chen (Risiko) Ma­nage­ment­sys­tem geschätzt. Darüber hinaus bringt Herr Machalz seine Ex­per­ti­se in den ver­schie­de­nen Gremien u.a. bei der Nor­mungs­ar­beit beim DIN, der IHK Berlin und als Bei­rats­vor­sit­zen­der der Control Union Cer­ti­fi­ca­ti­ons Germany GmbH ein und par­ti­zi­piert zugleich an dem Wissen und der Er­fah­rung der anderen Gre­mi­en­mit­glie­der.

Als Geschäftsführer der en­vi­gra­ti­on GmbH – Risk & Com­pli­ance Ma­nage­ment in Berlin ist Frank Machalz mit seinem aus weiteren Juristen sowie Steu­er­be­ra­tern, Be­triebs­wir­ten, In­ge­nieu­ren, Na­tur­wis­sen­schaft­lern, Geis­tes­wis­sen­schaft­lern und Psy­cho­lo­gen be­stehen­den interdisziplinären Team seit vielen Jahren branchenübergreifend für in­ter­na­tio­na­le und na­tio­na­le Or­ga­ni­sa­tio­nen beratend und be­treu­end tätig. Er und sein Team geben ihre je­wei­li­ge Fach­ex­per­ti­se regelmäßig auch in internen und externen Schu­lungs­ver­an­stal­tun­gen wei­ter.

Frank Machalz ist Mitglied im DIN Nor­men­aus­schuss Or­ga­ni­sa­ti­ons­pro­zes­se (NA Org) NA 175 –00 –01 AA Go­ver­nan­ce und Com­pli­ance Ma­nage­ment. Seit mehreren Jahren wirkt hier aktiv bei der Er­ar­bei­tung der Norm ISO 37301 sowie von ISO 37000 und der DIN ISO 37002 mit. Darüber hinaus bringt er seine Ex­per­ti­se und Er­fah­run­gen auch im Nor­men­aus­schuss Qualitätsmanagement, Sta­tis­tik und Zer­ti­fi­zie­rungs­grund­la­gen (NQSZ) NA 147-00-03-21 ein und wird hier aktiv bei der Er­ar­bei­tung der künftigen ISO 17021-13 mit­wir­ken.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
a green paintbrush with some green paint, on a pale green background with some blank space on the le
Loading...

Green­wa­shing – Risiken erkennen und ver­mei­den

Blog
compliance-header-blog-säulen gerichtsgebäude
Loading...

Com­pli­ance Ma­nage­ment im Mit­tel­stand – Pflicht oder Kür?

Blog
dqs-informiert-header-blog-dqs-viele bunte buecher in regalen in bibliothek
Loading...

Was bedeutet Com­pli­ance?