Nun ist es soweit: Im April 2021 wurde der von der Fachwelt länger erwartete internationale Prüfstandard ISO 37301:2021 in englischer Sprache veröffentlicht. Die neue Norm für Compliance Managementsysteme ist aus der systematischen Überprüfung von ISO 19600 entstanden. Die International Organization for Standardization (ISO) hatte eine Arbeitsgruppe beauftragt, die Optionen für eine Überarbeitung zu prüfen. Im September 2018 schließlich wurde vereinbart, ISO 19600 als Anforderungsnorm als neue ISO 37301 zu überarbeiten. DQS-Auditor Frank Machalz, Mitglied in den DIN-Normenausschüssen Organisationsprozesse sowie Governance und Compliance Management, gibt einen Überblick über das neue Regelwerk aus der ISO-Normenfamilie.
INHALT
- Compliance Management ab 2021: Einsichten und Aussichten
- Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?
- Verpflichtung von Organisationen zur Compliance
- Verbindung zum Verbandssanktionengesetz
- ISO 37301 – Compliance Management System einführen
- ISO 37301: Rolle im Risikomanagement
- Ist die neue Norm zertifizierbar?
- Jetzt Kenntnisse zu ISO 37301 aneignen
- Managementsysteme schärfen die Sinne
Compliance Management ab 2021: Einsichten...
Compliance Management mit ISO 37301:2021 – der offizielle Titel des neuen Prüfstandards lautet: „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung“. Bis es jedoch zu dessen praktischer Anwendbarkeit kommt, wird es noch dauern. Für alle interessierten Parteien ist die Norm aber eine solide Grundlage, sich auf künftige Zertifizierungen vorzubereiten.
… und Aussichten
Die Verabschiedung der endgültigen, akkreditierungsfähigen und zertifizierbaren ISO-Norm erfolgte im April 2021. Der bisherige Leitfaden zu Compliance Management Systemen (CMS) ISO 19600 aus dem Jahre 2014 wird damit durch den neuen Standard ersetzt.
Im Zuge dieser Veröffentlichung erfolgte
- im Juni 2020 der DIS zu ISO 37000:2020 mit dem Titel „Anleitung für Governance von Organisationen“, sowie
- im Juli 2020 der Entwurf der DIN ISO 37002:2020 „Hinweismanagementsysteme – Leitfaden“.
Diese beiden Normen sind, anders als ISO 37301, derzeit nicht als Zertifizierungsstandard konzipiert.
Weiterhin verfügbar bleibt übrigens der vom Institut der Wirtschaftsprüfer (IDW) entwickelte Compliance Managementsystem-Prüfungsstandard IDW PS 980 sowie weitere sektorale, regionale und branchenspezifische Prüfstandards einschließlich der ISO-Normenfamilie u.a. in den Risikosegmenten Arbeits- und Gesundheitsschutz (ISO 45001), Umweltmanagement (ISO 14001) und Qualitätsmanagement (ISO 9001), die ja in ihrem jeweiligen Kontext in den Normenpunkten „Bindende Verpflichtungen“ und „Bewertung deren Einhaltung“ bereits Compliance-Anforderungen enthalten.
Unser Tipp
Lesen Sie den Beitrag von Frank Machalz zu ISO 14001: Bindende Verpflichtungen – Was fordert die Norm?
Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?
Wie in der Vergangenheit im Vorfeld und nach der Veröffentlichung anderer Managementnormen aus der ISO-Welt – z.B. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) oder ISO 45001 (Sicherheit und Gesundheit bei der Arbeit) – bereits zu beobachten war, sind auch hier Fragen u.a. der Relevanz und der Akzeptanz des künftigen Standards zu klären.
Die Relevanz des neuen Standards ergibt sich zunächst aus der Tatsache, dass die International Organization for Standardization (ISO) die Erarbeitung und Verabschiedung einer solchen Norm für erforderlich hielt. Er ist und bleibt jedoch ein freiwilliger Standard, sodass seine Relevanz eng mit dessen künftiger Akzeptanz, und dessen Akzeptanz wiederum mit der Relevanz verknüpft ist.
Durch die normative Einführung und Aufrechterhaltung einer Kultur der Integrität und Compliance als unabhängiger aber zugleich auch integraler Bestandteil eines einheitlichen Managementsystems soll die Sicherstellung einer langfristig nachhaltigen, sozialverantwortlichen und erfolgreichen Organisation erfolgen.
Besonders beachtlich ist, dass die Norm bereits in ihrer Einleitung explizit auf die Möglichkeit (Chance) jeder Organisation eingeht, durch ein effektives und organisationsweites Compliance Management System (CMS) die Einhaltung ihrer bindenden Verpflichtungen zu „beweisen“ (sic!).
Verpflichtung von Organisation zur Compliance
Darüber hinaus erwähnt die neue Norm in ihrer Einleitung auf Seite 7 ausdrücklich, dass
„Gerichte in verschiedenen Ländern … die Verpflichtung einer Organisation zur Compliance durch ihr Compliance-Managementsystem im Rahmen der Festlegung angemessener Strafen für Verstöße gegen anzuwendende Gesetze betrachtet (haben). Aus diesem Grund können auch regulatorische und Gerichtsbehörden von diesem Dokument als Referenz profitieren.“
Bereits hieraus, aber schlussendlich auch aus den Begriffsbestimmungen der Norm zu Compliance (Kap. 3.27) und Compliance Verpflichtung (Kap. 3.26), ergibt sich, dass der eindeutige Schwerpunkt dieser Norm auf allen Legal Compliance Aspekten einer Organisation liegt, auch wenn diese bisher schon Bestandteil der Risikoerfassung und Bewertung in anderen Segmenten eines einheitlichen und integrierten Managementsystems waren. So auch ISO 37301 auf Seite 7:
„Dieses Dokument ist geeignet, um compliance-bezogene Anforderungen in anderen Managementsystemen zu erhöhen und eine Organisation bei der Verbesserung des allgemeinen Managements ihrer Compliance-Verpflichtungen zu unterstützen.“
Compliance Management mit ISO 37301: Verbindung zum Verbandssanktionengesetz
Auf nationaler Ebene in Deutschland ergibt sich die Relevanz der Norm in den erwähnten Kontexten der Beweissicherung und der möglichen Berücksichtigung bei der individuellen organisationsbezogenen Sanktionierung durch regulatorische und Gerichtsbehörden. Dies gilt auch für den aktuellen Referentenentwurf des Gesetzes zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) vom 20. April 2020.
„Der Entwurf verfolgt das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen. Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“
Auf Grund dieser Relevanzhintergründe lohnt sich auch ein Blick in die durch die einzelnen Prozessordnungen normierten Anforderungen an Beweismittel. Diese lassen sich bekanntermaßen durch den Begriff SAPUZ, also Sachverständiger, Augenscheinnahme der Örtlichkeit, Parteivernahme, Urkunde und Zeuge zusammenfassen. Insbesondere die Anforderungen an Sachverständige (§§ 402ff Zivilprozessordnung (ZPO), §§ 72ff Strafprozessordnung (StPO), §§ 96/98 Verwaltungsgerichtsordnung (VwGO)) und an Urkunden (§§ 415ff ZPO, § 249 StPO, §§ 96/98 VwGO) verdienen in diesem Zusammenhang besondere Aufmerksamkeit.
Ein Compliance-Thema: Die Lieferkette
Webinaraufzeichnung: Lieferkettenmanagement
Sie erfahren mehr über
- Referenzen und den politischen Rahmen
- Marktmechanismen
- bestehende Nachhaltigkeitsinitiativen
- Grundlagen zum Lieferkettenmanagement
Die hier normierten Anforderungen an Sachverständige bilden den Ausgangspunkt und geben wesentliche Orientierungshilfen für die Schaffung von Rahmenbedingungen hinsichtlich der Kompetenz, Fach- und Sachkunde von externen und internen Prüfern (Auditoren). Ähnliches gilt für die Anforderungen sowohl an die der Beurkundung zugrundeliegenden Prozesse, als auch dem Prozess der Beurkundung selbst. Diese sind eine verlässliche Erkenntnisquelle für den gesamten Zertifizierungsprozess und Zertifikatserteilungsprozess für ISO 37301.
Die Akzeptanz der neuen Norm sowohl durch den unmittelbaren Adressatenkreis, an den sie sich richtet, als auch alle weiteren interessierten Parteien, die direkt oder indirekt an der Erfüllung ihrer Anforderungen partizipieren, wird wie auch schon bei anderen ISO-Normen zu beobachten war, unter anderem von folgenden Aspekten beeinflusst werden:
- die Relevanz der Norm in der Praxis (siehe oben)
- die Kompetenz, Sach- und Fachkunde der Unternehmen, die diese Norm bei sich einführen wollen
- die Kompetenz, Sach- und Fachkunde externer Dienstleister, die diese Organisationen ggf. dabei unterstützen
- die Kompetenz, Sach- und Fachkunde der Prüforganisationen
- die Kompetenz, Sach- und Fachkunde der internen und vor allem der externen Auditoren
ISO 37301 – Compliance Management System einführen
Die Organisationen und Unternehmen, die diese Norm einführen und an deren Vorteilen partizipieren wollen, können sich mit der Norm beschäftigen, um so die erforderlichen Kompetenzen sowie die Sach- und Fachkunde zu erwerben.
Insbesondere der Anhang enthält wertvolle Hinweise und Erläuterungen zu den einzelnen Aspekten der Norm.
Insoweit die im jeweiligen Unternehmen vorhandene interne Kompetenz, Sach- und Fachkunde im Einzelfall nicht ausreicht, kann und sollte auf externe Expertise zurückgegriffen werden. Zu den ggf. bestehenden und ggf. zu erfüllenden Informationsbeschaffungspflichten gibt es beginnend mit dem Asphalt-Vertiefungs-Urteil des Reichsgerichtes aus dem Jahre 1916 (RGZ 89 (1917) S. 136), bis hin zu verschiedenen Urteilen des Bundesgerichtshofes (BGH) u.a. aus dem Jahr 2007 (14.05.2007 – II ZR 48/06, BB 2007/1801 und 16.07.2007 – II ZR 226/06, DStR 2007, 1641) eine umfangreiche Rechtsprechung.
Im Kontext mit der Relevanz der Norm nicht zuletzt auch als Element der Vermeidung und Minimierung von Compliance-Risiken, sowie des Umstandes, dass derzeit mit ISO 19600 aus dem Jahr 2014 lediglich ein allgemeiner Leitfaden zum Compliance Management sowie die Norm ISO 37301 vorliegt, sollte diese Auswahl und Entscheidung mit großer Sorgfalt erfolgen.
ISO 37301:2021-04 „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung“ ist beim Beuth Verlag erhältlich.
ISO 37301: Rolle im Risikomanagement
Von Vorteil wären hierfür – wie beim rechtskonformen Nachunternehmermanagement zur Sicherheit in der Lieferkette zur Vermeidung des Vorwurfs des Organisationsverschuldens in Form eines Auswahl- oder Überwachungsverschuldens allgemein üblich und erforderlich – u.a. auch die Formulierung von konkreten Anforderungen an die zu erbringenden Nachweise von expliziter Compliance Management Expertise.
Dafür könnte auch die künftige ISO 17021-13 als geeignete Erkenntnisquelle und Referenzdokument herangezogen werden. Insoweit hat der BGH unter anderem in seiner ISION Entscheidung vom 20.09.2011 – II ZR 234/09, BB 2011, 2960 sowie das OLG Stuttgart vom 25.11.2009 – 20 U 5/09, ZIP 2009, 2386ff hier entsprechende Leitlinien aufgestellt.
Compliance Management mit ISO 37301 – ist die Norm zertifizierbar?
So wie für andere zertifizierungsfähige ISO-Standards auch, ist für diese Norm eine Akkreditierung der Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) erforderlich. Die Zertifizierungsstelle nimmt die Prüfung und Bewertung der Erfüllung der Normenanforderungen vor und wird bei positivem Ergebnis ein Zertifikat, also eine Urkunde im Sinne eines Beweismittels, ausstellen.
Wer ist die DAkkS?
Die DAkkS ist die nationale Akkreditierungsstelle der Bundesrepublik Deutschland. Sie handelt nach der Verordnung (EG) Nr. 765/2008 und dem Akkreditierungsstellengesetz (AkkStelleG) im öffentlichen Interesse als alleiniger Dienstleister für Akkreditierung in Deutschland.Die Deutsche Akkreditierungsstelle GmbH arbeitet nicht gewinnorientiert. Gesellschafter der GmbH sind zu jeweils einem Drittel die Bundesrepublik Deutschland, die Bundesländer Bayern, Hamburg und Nordrhein-Westfalen sowie die durch den Bundesverband der Deutschen Industrie e.V. (BDI) vertretene Wirtschaft.Um ihre hoheitlichen Akkreditierungsaufgaben ausfüllen zu können, wurde die DAkkS vom Bund beliehen. Als beliehene Stelle untersteht die DAkkS der Aufsicht des Bundes. Bei ihrer hoheitlichen Akkreditierungstätigkeit wendet die DAkkS das deutsche Verwaltungsrecht an.Quelle: www.dakks.de
Mit dem seit April 2021 vorliegenden grundsätzlich zertifizierungsfähigen ISO-Standard 37301 kann nun auch die DAkkS ihrem Auftrag folgend, prüfen und bewerten, ob
- die Norm überhaupt akkreditierungsfähig ist, also überhaupt eine Nachfrage nach solchen Prüfungs-, Bewertungs- und Beurkundungsverfahren besteht, und
- gegebenenfalls dann Anträge von Organisationen, die eine Akkreditierung für diese Norm anstreben, annehmen, bearbeiten und entscheiden.
Die entsprechenden internen Prozesse sind bei der DAkkS derzeit noch nicht abgeschlossen, sodass es aktuell auch noch keine für die Norm durch die DAkkS akkreditierte Zertifizierunggesellschaft gibt.
Jetzt Kenntnisse zu ISO 37301 aneignen
Auch die Erfüllung bestimmter Anforderungen an die Kompetenz, Sach- und Fachkunde der künftigen internen und externen Auditoren ist ein wesentliches Kriterium für die Akzeptanz und Relevanz der ISO-Norm. Für sie wird es zunächst unabdingbar sein, vertiefte Kenntnisse zu DIN ISO 37301 zu erwerben und dies durch geeignete Nachweise belegen zu können.
Darüber hinaus wird die Normenreihe zu ISO 17021 (Teile 1 bis 12), die jeweils die Anforderungen an die Zertifizierungsstellen und an externe Auditoren u.a. für Qualitätsmanagement, Umweltmanagement und Arbeits- und Gesundheitsschutzmanagement beinhalten, um einen weiteren Teil, die künftige ISO 17021-13, erweitert werden. Dieser wird dann entsprechende Anforderungen an die Kompetenz, Sach- und Fachkunde für externe Auditoren, die ein Compliance Management System (CMS) nach ISO 37301 prüfen und bewerten wollen, enthalten. Der entsprechende ISO-Ausschuss hat im März 2021 seine Arbeit aufgenommen und wird voraussichtlich noch Ende 2021 die Arbeiten an der Norm ISO 17021-13 abgeschlossen haben, so dass diese dann spätestens in 2022 verabschiedet und veröffentlicht werden kann.
Da die aktuelle DIN EN ISO 19011:2018 (Leitfaden zur Auditierung von Managementsystemen) hinsichtlich der diesbezüglichen Anforderungen für interne Auditoren keine spezifischen Anforderungen enthält, wäre für diesen Personenkreis die künftige ISO 17021-13 als Erkenntnisquelle und Referenzdokument nutzbar.
Der ISO-Standard 37301 – Fazit
Die neue Managementsystemnorm zum Compliance Management ISO 37301 hat auf Grund ihrer Inhalte und Relevanz in der bisherigen ISO-Normenwelt eine gesonderte und segmentübergreifende Stellung, da sie über die diesbezüglichen Inhalte und Anforderungen der bisherigen Managementsegmente hinaus alle Compliance-Risiken eines Unternehmens erfasst und zugleich bestimmte Entlastungselemente mit sich bringt.
Somit sind für alle an den künftigen Prozessen der Einführung, Fortführung, Prüfung, Bewertung und Zertifizierung beteiligten und sonstigen interessierten Parteien hohe Erwartungen und Anforderung an die Sorgfalt bei deren jeweiligen Vorbereitung und Realisierung zu erfüllen.
Managementsysteme schärfen die Sinne
Seit langem erweisen sich Managementsysteme als grundlegende Führungsinstrumente: sie bilden den Rahmen, Prozesse bewusst zu gestalten, zu steuern und zu überwachen. Sie schaffen Transparenz und geben Handlungssicherheit. Gerade im Wandel sind wirksame Managementsysteme geeignet, den Blick aufs Ganze zu schärfen und Veränderungsprozesse zu unterstützen. Sie stabilisieren Arbeitsabläufe und verbessern systematisch die Qualität der eigenen Leistung. Zum wesentlichen Erfolgsfaktor werden Managementsysteme jedoch erst durch eine Zertifizierung durch die DQS. Dabei beginnt unser Anspruch dort, wo Checklisten enden. Nehmen Sie uns beim Wort!
Gern beantworten wir Ihre Fragen
Kontaktieren Sie uns – wir informieren Sie gerne über eine Zertifizierung Ihres Compliance Management Systems.
DQS Newsletter
Frank Machalz
Langjähriger Auditor der DQS für den Bereich Risiko- und Compliance Management und dessen Subsysteme, wie beispielsweise Antikorruption, Business Continuität, Arbeits- und Gesundheitsschutz, Umweltschutz oder Produktsicherheit. Seine interdisziplinäre Kompetenz wird besonders von Kunden mit einem integrierten, ganzheitlichen (Risiko) Managementsystem geschätzt. Darüber hinaus bringt Herr Machalz seine Expertise in den verschiedenen Gremien u.a. bei der Normungsarbeit beim DIN, der IHK Berlin und als Beiratsvorsitzender der Control Union Certifications Germany GmbH ein und partizipiert zugleich an dem Wissen und der Erfahrung der anderen Gremienmitglieder.
Als Geschäftsführer der envigration GmbH – Risk & Compliance Management in Berlin ist Frank Machalz mit seinem aus weiteren Juristen sowie Steuerberatern, Betriebswirten, Ingenieuren, Naturwissenschaftlern, Geisteswissenschaftlern und Psychologen bestehenden interdisziplinären Team seit vielen Jahren branchenübergreifend für internationale und nationale Organisationen beratend und betreuend tätig. Er und sein Team geben ihre jeweilige Fachexpertise regelmäßig auch in internen und externen Schulungsveranstaltungen weiter.
Frank Machalz ist Mitglied im DIN Normenausschuss Organisationsprozesse (NA Org) NA 175 –00 –01 AA Governance und Compliance Management. Seit mehreren Jahren wirkt hier aktiv bei der Erarbeitung der Norm ISO 37301 sowie von ISO 37000 und der DIN ISO 37002 mit. Darüber hinaus bringt er seine Expertise und Erfahrungen auch im Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) NA 147-00-03-21 ein und wird hier aktiv bei der Erarbeitung der künftigen ISO 17021-13 mitwirken.