In einem zunehmend komplexen und regulierten Geschäftsumfeld wird die Einhaltung von Vorschriften immer wichtiger. Doch wann ist ein Compliance-Managementsystem notwendig, und wann sollte der Fokus auf Anti-Korruption liegen? Um diese zentrale Frage zu beantworten, habe ich mit DQS Auditor Hans-Jürgen Fengler gesprochen. Als Experte für die Normen ISO 37301 (Compliance-Managementsysteme) und ISO 37001 (Anti-Korruptions-Managementsysteme) gibt er uns wertvolle Einblicke in die Unterschiede und Anwendungsbereiche dieser beiden Normen.
Herr Fengler, vielen Dank, dass Sie sich die Zeit für dieses Interview nehmen! Lassen Sie uns direkt einsteigen: Was sind die zentralen Unterschiede zwischen ISO 37301 und ISO 37001, und wie finden Unternehmen heraus, welche Norm für sie die richtige ist?
Hans-Jürgen Fengler: Beide Normen befassen sich mit der Implementierung von Managementsystemen, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten. Die ISO 37001 fokussiert sich dabei speziell auf die Korruptionsbekämpfung. Sie bietet einen Rahmen zur Identifizierung, Bewertung und Behebung von Korruptionsrisiken während die ISO 37301 einen umfassenderen Ansatz verfolgt und alle Compliance-Verpflichtungen einer Organisation abdeckt. Dazu gehören Gesetze, Vorschriften, aber auch freiwillige Verpflichtungen wie der Global Compact oder der B.A.U.M-Kodex.
Und wie funktioniert die Einführung eines solchen Managementsystems wie in der ISO 37301 beschrieben?
Hans-Jürgen Fengler: Nach ISO 37301 muss eine Organisation einen Prozess festlegen, worin die größten Compliance Risiken identifiziert werden. Anschließend wird eine Risikobeurteilung durchgeführt, um darauf basierend abzuleiten, wo Maßnahmen, Policies etc. notwendig sind. Das Gleiche muss bei der ISO 37001 nur für das Thema Korruption gemacht werden. Das System wird regelmäßig überprüft und kontinuierlich verbessert, um seine Wirksamkeit sicherzustellen. Am Ende kann eine Zertifizierung durch eine akkreditierte Stelle angestrebt werden. Dann kommt ein Auditor wie ich vorbei, um das Managementsystem zu analysieren und auf Optimierungspotenziale zu prüfen.
Der Kern liegt darin, ein maßgeschneidertes Compliance-Managementsystem zu entwickeln, das den spezifischen Anforderungen und Risiken der Organisation entspricht und kontinuierlich verbessert wird.
Das heißt, wenn das Compliance Management zeigt, dass Korruption ein großes Thema ist, dann muss ich mich der ISO 370001 zuwenden?
Hans-Jürgen Fengler: Ja, das kann man so machen. Bei ISO 37001 dreht es sich nur um Korruption. Das heißt, wenn Korruption das relevanteste Compliance Risiko ist, dann kann man sich auf die ISO 37001 konzentrieren.
Wenn das Thema Korruption allerdings nicht das relevanteste Thema ist, dann macht es mehr Sinn, das Compliance Managementsystem einzuführen. Es ist auch möglich, die Inhalte von der ISO 37001 zu verwenden, um das Compliance Management System in Bezug auf Korruptionsbekämpfung zu optimieren und so das Managementsystem insgesamt zu verbessern und zu konkretisieren.
Bei der Entscheidung zwischen ISO 37301 und ISO 37001 stellt sich immer die Frage: Was will ich gegenüber meinen interessierten Parteien zeigen, was sind deren Anforderungen? Und was macht für mich als Organisation Sinn?
Darüber hinaus gibt es Länder wo ein Anti-Korruptions-Managementsystem nach ISO 37001 auch vom Gesetzgeber für gewisse Sektoren gefordert wird, beispielsweise bei der Bauindustrie in Italien oder bei Aktiengesellschaften an der französischen Börse. Dann stellt sich die Frage nicht, dann ist ein Zertifikat nach ISO 37001 Pflicht.
Die Zahl 37301 kommt nach 37001. Was hat es mit dieser Benennung auf sich?
Hans-Jürgen Fengler: Die ISO 37001 wurde bereits 2016 veröffentlicht, während die ISO 37301 erst 2021 in Kraft getreten ist. Die Vorgängernorm der ISO 37301, die ISO 19600, war lediglich als Leitfaden konzipiert und beinhaltete keine konkreten Anforderungen und es konnte auch kein akkreditiertes Zertifikat ausgestellt werden. Da die ISO 37001 bereits die Nummer 37001 trug, wurde für die neue, umfassendere Norm die Nummer 37301 gewählt.
Alles was im Bereich Compliance Managementsysteme bei der ISO publiziert wird, findet sich in der 37000 Reihe. Und deswegen wurde auch die ISO 37301 hier eingeordnet.
Wie eignen sich ISO 37001 und ISO 37301 für Organisationen unterschiedlicher Größen, Branchen, geographischen Lagen?
Hans-Jürgen Fengler: Grundsätzlich ist es so, dass alle ISO Managementsystem Standards für alle Organisationen unterschiedlicher Größe, Branchen und geografischer Lage geeignet sind. ISO 37001 und ISO 37301 sind hier keine Ausnahmen.
Im Kapitel 4 „Kontext der Organisation“ wird festgelegt, welche unternehmensspezifischen Anforderungen im Detail mit dem Managementsystem verbunden sind und was zu beachten ist. In einer großen Organisation, gibt es mehr Anforderungen als in einer kleinen Organisation. Das alles hat natürlich einen starken Einfluss auf die Compliance Anforderungen, die konkret betrachtet werden müssen.
Ein wichtiger Faktor in Bezug auf die geographische Lage ist, dass in manchen Ländern das Korruptionsrisiko höher ist als in anderen. Von Transparency International gibt es den Corruption Perception Index (CPI). Dieser ist zusammengesetzt aus 13 einzelnen Indizes, zwölf unabhängigen Institutionen sowie Experteninterviews und gibt das Korruptionsrisiko in den verschiedenen Regionen weltweit an.
Arbeite ich in einem Land oder in Zusammenarbeit mit einem Land, in dem die Korruptionsrisiken als hoch bewertet werden, dann müssen detailliertere Kontrollmechanismen installiert werden als in einem Land, in dem die Korruptionsrisiken geringer sind und ich tendenziell weniger prüfen muss. Das heißt, die geographische Lage hat Einfluss auf die konkrete Gestaltung des Managementsystems.
Muss man die Normen zwingend zertifizieren lassen oder reicht es, ein entsprechendes Managementsystem zu implementieren?
Hans-Jürgen Fengler: Die Zertifizierung ist natürlich optional. Sie kann aber Unternehmen dabei helfen, ihre Compliance-Verpflichtungen zu dokumentieren und gegenüber Stakeholdern zu belegen.
Inwiefern lassen sich die Normen ISO 37001 und ISO 37301 mit anderen Managementsystemnormen wie ISO 9001 integrieren?
Hans-Jürgen Fengler: Beide Normen basieren auf der High-Level-Structure (HLS), die auch von anderen ISO-Managementsystemnormen verwendet wird. Daher ist eine Integration grundsätzlich möglich.
Ob eine Integration sinnvoll ist, hängt jedoch von der jeweiligen Organisation und ihren spezifischen Anforderungen ab.
Ist es auch möglich, nur bestimmte Teile oder Tätigkeiten im Rahmen der Normen zu zertifizieren?
Hans-Jürgen Fengler: Grundsätzlich ist eine Teilzertifizierung möglich. Bei Compliance-Themen ist dies allerdings problematisch, da die Anforderungen in der Regel die gesamte Organisation betreffen.
Eine Zertifizierung einzelner Bereiche würde daher künstliche Abgrenzungen erfordern, die in der Praxis kaum umsetzbar sind.
Vielen Dank für die interessanten Ausführungen, Herr Fengler!
Das Interview führte Constanze Illner.
DQS Newsletter
Hans-Jürgen Fengler
Herr Fengler ist Global Product Manager ESG Services bei der DQS. In dieser Aufgabe verantwortet er verschiedene ESG Services. Nach dem Studium der Diplom Wirtschaftswissenschaften mit ökologischem Schwerpunkt arbeitete Herr Fengler zunächst in der Umweltberatung und im Nachhaltigkeitsreporting. Danach beschäftigte er sich Schwerpunktmäßig mit Kriterien und Anforderungen an nachhaltige Finanzprodukte. Seit mittlerweile 8 Jahren arbeitet Herr Fengler im Bereich Zertifizierung von Managementsystemen und ist auch als Auditor verschiedener ISO Standards für die DQS tätig.