Nun ist es soweit: Im April 2021 wurde der von der Fachwelt länger erwartete internationale Prüfstandard ISO 37301:2021 in englischer Sprache veröffentlicht. Die neue Norm für Compliance Managementsysteme ist aus der systematischen Überprüfung von ISO 19600 entstanden. Die International Organization for Standardization (ISO) hatte eine Arbeitsgruppe beauftragt, die Optionen für eine Überarbeitung zu prüfen. Im September 2018 schließlich wurde vereinbart, ISO 19600 als Anforderungsnorm als neue ISO 37301 zu überarbeiten. DQS-Auditor Frank Machalz, Mitglied in den DIN-Normenausschüssen Organisationsprozesse sowie Governance und Compliance Management, gibt einen Überblick über das neue Regelwerk aus der ISO-Normenfamilie.
Loading...
INHALT
- Compliance Management ab 2021: Einsichten und Aussichten
- Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?
- Verpflichtung von Organisationen zur Compliance
- Verbindung zum Verbandssanktionengesetz
- ISO 37301 – Compliance Management System einführen
- ISO 37301: Rolle im Risikomanagement
- Ist die neue Norm zertifizierbar?
- Jetzt Kenntnisse zu ISO 37301 aneignen
- Managementsysteme schärfen die Sinne
Compliance Management ab 2021: Einsichten...
Compliance Management mit ISO 37301:2021 – der offizielle Titel des neuen Prüfstandards lautet: „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung“. Bis es jedoch zu dessen praktischer Anwendbarkeit kommt, wird es noch dauern. Für alle interessierten Parteien ist die Norm aber eine solide Grundlage, sich auf künftige Zertifizierungen vorzubereiten.
… und Aussichten
Die Verabschiedung der endgültigen, akkreditierungsfähigen und zertifizierbaren ISO-Norm erfolgte im April 2021. Der bisherige Leitfaden zu Compliance Management Systemen (CMS) ISO 19600 aus dem Jahre 2014 wird damit durch den neuen Standard ersetzt.
Im Zuge dieser Veröffentlichung erfolgte
- im Juni 2020 der DIS zu ISO 37000:2020 mit dem Titel „Anleitung für Governance von Organisationen“, sowie
- im Juli 2020 der Entwurf der DIN ISO 37002:2020 „Hinweismanagementsysteme – Leitfaden“.
Diese beiden Normen sind, anders als ISO 37301, derzeit nicht als Zertifizierungsstandard konzipiert.
Weiterhin verfügbar bleibt übrigens der vom Institut der Wirtschaftsprüfer (IDW) entwickelte Compliance Managementsystem-Prüfungsstandard IDW PS 980 sowie weitere sektorale, regionale und branchenspezifische Prüfstandards einschließlich der ISO-Normenfamilie u.a. in den Risikosegmenten Arbeits- und Gesundheitsschutz (ISO 45001), Umweltmanagement (ISO 14001) und Qualitätsmanagement (ISO 9001), die ja in ihrem jeweiligen Kontext in den Normenpunkten „Bindende Verpflichtungen“ und „Bewertung deren Einhaltung“ bereits Compliance-Anforderungen enthalten.
Unser Tipp
Lesen Sie den Beitrag von Frank Machalz zu ISO 14001: Bindende Verpflichtungen – Was fordert die Norm?
Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?
Wie in der Vergangenheit im Vorfeld und nach der Veröffentlichung anderer Managementnormen aus der ISO-Welt – z.B. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) oder ISO 45001 (Sicherheit und Gesundheit bei der Arbeit) – bereits zu beobachten war, sind auch hier Fragen u.a. der Relevanz und der Akzeptanz des künftigen Standards zu klären.
Die Relevanz des neuen Standards ergibt sich zunächst aus der Tatsache, dass die International Organization for Standardization (ISO) die Erarbeitung und Verabschiedung einer solchen Norm für erforderlich hielt. Er ist und bleibt jedoch ein freiwilliger Standard, sodass seine Relevanz eng mit dessen künftiger Akzeptanz, und dessen Akzeptanz wiederum mit der Relevanz verknüpft ist.
Durch die normative Einführung und Aufrechterhaltung einer Kultur der Integrität und Compliance als unabhängiger aber zugleich auch integraler Bestandteil eines einheitlichen Managementsystems soll die Sicherstellung einer langfristig nachhaltigen, sozialverantwortlichen und erfolgreichen Organisation erfolgen.
Besonders beachtlich ist, dass die Norm bereits in ihrer Einleitung explizit auf die Möglichkeit (Chance) jeder Organisation eingeht, durch ein effektives und organisationsweites Compliance Management System (CMS) die Einhaltung ihrer bindenden Verpflichtungen zu „beweisen“ (sic!).
Verpflichtung von Organisation zur Compliance
Darüber hinaus erwähnt die neue Norm in ihrer Einleitung auf Seite 7 ausdrücklich, dass
„Gerichte in verschiedenen Ländern … die Verpflichtung einer Organisation zur Compliance durch ihr Compliance-Managementsystem im Rahmen der Festlegung angemessener Strafen für Verstöße gegen anzuwendende Gesetze betrachtet (haben). Aus diesem Grund können auch regulatorische und Gerichtsbehörden von diesem Dokument als Referenz profitieren.“
Bereits hieraus, aber schlussendlich auch aus den Begriffsbestimmungen der Norm zu Compliance (Kap. 3.27) und Compliance Verpflichtung (Kap. 3.26), ergibt sich, dass der eindeutige Schwerpunkt dieser Norm auf allen Legal Compliance Aspekten einer Organisation liegt, auch wenn diese bisher schon Bestandteil der Risikoerfassung und Bewertung in anderen Segmenten eines einheitlichen und integrierten Managementsystems waren. So auch ISO 37301 auf Seite 7:
„Dieses Dokument ist geeignet, um compliance-bezogene Anforderungen in anderen Managementsystemen zu erhöhen und eine Organisation bei der Verbesserung des allgemeinen Managements ihrer Compliance-Verpflichtungen zu unterstützen.“
Compliance Management mit ISO 37301: Verbindung zum Verbandssanktionengesetz
Auf nationaler Ebene in Deutschland ergibt sich die Relevanz der Norm in den erwähnten Kontexten der Beweissicherung und der möglichen Berücksichtigung bei der individuellen organisationsbezogenen Sanktionierung durch regulatorische und Gerichtsbehörden. Dies gilt auch für den aktuellen Referentenentwurf des Gesetzes zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) vom 20. April 2020.
„Der Entwurf verfolgt das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen. Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“
Auf Grund dieser Relevanzhintergründe lohnt sich auch ein Blick in die durch die einzelnen Prozessordnungen normierten Anforderungen an Beweismittel. Diese lassen sich bekanntermaßen durch den Begriff SAPUZ, also Sachverständiger, Augenscheinnahme der Örtlichkeit, Parteivernahme, Urkunde und Zeuge zusammenfassen. Insbesondere die Anforderungen an Sachverständige (§§ 402ff Zivilprozessordnung (ZPO), §§ 72ff Strafprozessordnung (StPO), §§ 96/98 Verwaltungsgerichtsordnung (VwGO)) und an Urkunden (§§ 415ff ZPO, § 249 StPO, §§ 96/98 VwGO) verdienen in diesem Zusammenhang besondere Aufmerksamkeit.
DQS Newsletter
Bleiben Sie informiert und abonnieren Sie unseren Newsletter!
Autor
Frank Machalz
Langjähriger Auditor der DQS für den Bereich Risiko- und Compliance Management und dessen Subsysteme, wie beispielsweise Antikorruption, Business Continuität, Arbeits- und Gesundheitsschutz, Umweltschutz oder Produktsicherheit. Seine interdisziplinäre Kompetenz wird besonders von Kunden mit einem integrierten, ganzheitlichen (Risiko) Managementsystem geschätzt. Darüber hinaus bringt Herr Machalz seine Expertise in den verschiedenen Gremien u.a. bei der Normungsarbeit beim DIN, der IHK Berlin und als Beiratsvorsitzender der Control Union Certifications Germany GmbH ein und partizipiert zugleich an dem Wissen und der Erfahrung der anderen Gremienmitglieder.
Als Geschäftsführer der envigration GmbH – Risk & Compliance Management in Berlin ist Frank Machalz mit seinem aus weiteren Juristen sowie Steuerberatern, Betriebswirten, Ingenieuren, Naturwissenschaftlern, Geisteswissenschaftlern und Psychologen bestehenden interdisziplinären Team seit vielen Jahren branchenübergreifend für internationale und nationale Organisationen beratend und betreuend tätig. Er und sein Team geben ihre jeweilige Fachexpertise regelmäßig auch in internen und externen Schulungsveranstaltungen weiter.
Frank Machalz ist Mitglied im DIN Normenausschuss Organisationsprozesse (NA Org) NA 175 –00 –01 AA Governance und Compliance Management. Seit mehreren Jahren wirkt hier aktiv bei der Erarbeitung der Norm ISO 37301 sowie von ISO 37000 und der DIN ISO 37002 mit. Darüber hinaus bringt er seine Expertise und Erfahrungen auch im Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) NA 147-00-03-21 ein und wird hier aktiv bei der Erarbeitung der künftigen ISO 17021-13 mitwirken.
Loading...
<p>DQS-Auditor und Experte für Risiko- und Compliance sowie Integriertes Management</p>