In einem zu­neh­mend kom­ple­xen und re­gu­lier­ten Geschäftsumfeld wird die Ein­hal­tung von Vor­schrif­ten immer wich­ti­ger. Doch wann ist ein Com­pli­ance-Ma­nage­ment­sys­tem not­wen­dig, und wann sollte der Fokus auf An­ti-Kor­rup­ti­on liegen? Um diese zentrale Frage zu be­ant­wor­ten, habe ich mit DQS Auditor Hans-Jürgen Fengler ge­spro­chen. Als Experte für die Normen ISO 37301 (Com­pli­ance-Ma­nage­ment­sys­te­me) und ISO 37001 (An­ti-Kor­rup­ti­ons-Ma­nage­ment­sys­te­me) gibt er uns wert­vol­le Ein­bli­cke in die Un­ter­schie­de und An­wen­dungs­be­rei­che dieser beiden Nor­men.

Herr Fengler, vielen Dank, dass Sie sich die Zeit für dieses Interview nehmen! Lassen Sie uns direkt einsteigen: Was sind die zentralen Unterschiede zwischen ISO 37301 und ISO 37001, und wie finden Unternehmen heraus, welche Norm für sie die richtige ist?

Hans-Jürgen Fengler: Beide Normen befassen sich mit der Implementierung von Managementsystemen, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten. Die ISO 37001 fokussiert sich dabei speziell auf die Korruptionsbekämpfung. Sie bietet einen Rahmen zur Identifizierung, Bewertung und Behebung von Korruptionsrisiken während die ISO 37301 einen umfassenderen Ansatz verfolgt und alle Compliance-Verpflichtungen einer Organisation abdeckt. Dazu gehören Gesetze, Vorschriften, aber auch freiwillige Verpflichtungen wie der Global Compact oder der B.A.U.M-Kodex.

 

Und wie funktioniert die Einführung eines solchen Managementsystems wie in der ISO 37301 beschrieben?

Hans-Jürgen Fengler: Nach ISO 37301 muss eine Organisation einen Prozess festlegen, worin die größten Compliance Risiken identifiziert werden. Anschließend wird eine Risikobeurteilung durchgeführt, um darauf basierend abzuleiten, wo Maßnahmen, Policies etc. notwendig sind. Das Gleiche muss bei der ISO 37001 nur für das Thema Korruption gemacht werden. Das System wird regelmäßig überprüft und kontinuierlich verbessert, um seine Wirksamkeit sicherzustellen. Am Ende kann eine Zertifizierung durch eine akkreditierte Stelle angestrebt werden. Dann kommt ein Auditor wie ich vorbei, um das Managementsystem zu analysieren und auf Optimierungspotenziale zu prüfen. 

Der Kern liegt darin, ein maßgeschneidertes Compliance-Managementsystem zu entwickeln, das den spezifischen Anforderungen und Risiken der Organisation entspricht und kontinuierlich verbessert wird.

 

Das heißt, wenn das Compliance Management zeigt, dass Korruption ein großes Thema ist, dann muss ich mich der ISO 370001 zuwenden?

Hans-Jürgen Fengler: Ja, das kann man so machen. Bei ISO 37001 dreht es sich nur um Korruption. Das heißt, wenn Korruption das relevanteste Compliance Risiko ist, dann kann man sich auf die ISO 37001 konzentrieren.

Wenn das Thema Korruption allerdings nicht das relevanteste Thema ist, dann macht es mehr Sinn, das Compliance Managementsystem einzuführen. Es ist auch möglich, die Inhalte von der ISO 37001 zu verwenden, um das Compliance Management System in Bezug auf Korruptionsbekämpfung zu optimieren und so das Managementsystem insgesamt zu verbessern und zu konkretisieren.

Bei der Entscheidung zwischen ISO 37301 und ISO 37001 stellt sich immer die Frage: Was will ich gegenüber meinen interessierten Parteien zeigen, was sind deren Anforderungen? Und was macht für mich als Organisation Sinn?

Darüber hinaus gibt es Länder wo ein Anti-Korruptions-Managementsystem nach ISO 37001 auch vom Gesetzgeber für gewisse Sektoren gefordert wird, beispielsweise bei der Bauindustrie in Italien oder bei Aktiengesellschaften an der französischen Börse. Dann stellt sich die Frage nicht, dann ist ein Zertifikat nach ISO 37001 Pflicht.

 

Die Zahl 37301 kommt nach 37001. Was hat es mit dieser Benennung auf sich?

Hans-Jürgen Fengler: Die ISO 37001 wurde bereits 2016 veröffentlicht, während die ISO 37301 erst 2021 in Kraft getreten ist. Die Vorgängernorm der ISO 37301, die ISO 19600, war lediglich als Leitfaden konzipiert und beinhaltete keine konkreten Anforderungen und es konnte auch kein akkreditiertes Zertifikat ausgestellt werden. Da die ISO 37001 bereits die Nummer 37001 trug, wurde für die neue, umfassendere Norm die Nummer 37301 gewählt.

Alles was im Bereich Compliance Managementsysteme bei der ISO publiziert wird, findet sich in der 37000 Reihe. Und deswegen wurde auch die ISO 37301 hier eingeordnet.

 

Wie eignen sich ISO 37001 und ISO 37301 für Organisationen unterschiedlicher Größen, Branchen, geographischen Lagen?

Hans-Jürgen Fengler: Grundsätzlich ist es so, dass alle ISO Managementsystem Standards für alle Organisationen unterschiedlicher Größe, Branchen und geografischer Lage geeignet sind. ISO 37001 und ISO 37301 sind hier keine Ausnahmen.

Im Kapitel 4 „Kontext der Organisation“ wird festgelegt, welche unternehmensspezifischen Anforderungen im Detail mit dem Managementsystem verbunden sind und was zu beachten ist. In einer großen Organisation, gibt es mehr Anforderungen als in einer kleinen Organisation. Das alles hat natürlich einen starken Einfluss auf die Compliance Anforderungen, die konkret betrachtet werden müssen.

Ein wichtiger Faktor in Bezug auf die geographische Lage ist, dass in manchen Ländern das Korruptionsrisiko höher ist als in anderen. Von Transparency International gibt es den Corruption Perception Index (CPI). Dieser ist zusammengesetzt aus 13 einzelnen Indizes, zwölf unabhängigen Institutionen sowie Experteninterviews und gibt das Korruptionsrisiko in den verschiedenen Regionen weltweit an.

Arbeite ich in einem Land oder in Zusammenarbeit mit einem Land, in dem die Korruptionsrisiken als hoch bewertet werden, dann müssen detailliertere Kontrollmechanismen installiert werden als in einem Land, in dem die Korruptionsrisiken geringer sind und ich tendenziell weniger prüfen muss. Das heißt, die geographische Lage hat Einfluss auf die konkrete Gestaltung des Managementsystems.

 

Muss man die Normen zwingend zertifizieren lassen oder reicht es, ein entsprechendes Managementsystem zu implementieren?

Hans-Jürgen Fengler: Die Zertifizierung ist natürlich optional. Sie kann aber Unternehmen dabei helfen, ihre Compliance-Verpflichtungen zu dokumentieren und gegenüber Stakeholdern zu belegen.

 

Inwiefern lassen sich die Normen ISO 37001 und ISO 37301 mit anderen Managementsystemnormen wie ISO 9001 integrieren?

Hans-Jürgen Fengler: Beide Normen basieren auf der High-Level-Structure (HLS), die auch von anderen ISO-Managementsystemnormen verwendet wird. Daher ist eine Integration grundsätzlich möglich.

Ob eine Integration sinnvoll ist, hängt jedoch von der jeweiligen Organisation und ihren spezifischen Anforderungen ab.

 

Ist es auch möglich, nur bestimmte Teile oder Tätigkeiten im Rahmen der Normen zu zertifizieren?

Hans-Jürgen Fengler: Grundsätzlich ist eine Teilzertifizierung möglich. Bei Compliance-Themen ist dies allerdings problematisch, da die Anforderungen in der Regel die gesamte Organisation betreffen.

Eine Zertifizierung einzelner Bereiche würde daher künstliche Abgrenzungen erfordern, die in der Praxis kaum umsetzbar sind.

Vielen Dank für die interessanten Ausführungen, Herr Fengler!


Das Interview führte Constanze Illner.

 

Autor
Hans-Jür­gen Fengler

Herr Fengler ist Global Product Manager ESG Services bei der DQS. In dieser Aufgabe ver­ant­wor­tet er ver­schie­de­ne ESG Ser­vices. Nach dem Studium der Diplom Wirt­schafts­wis­sen­schaf­ten mit ökologischem Schwer­punkt ar­bei­te­te Herr Fengler zunächst in der Um­welt­be­ra­tung und im Nach­hal­tig­keits­re­port­ing. Danach beschäftigte er sich Schwerpunktmäßig mit Kri­te­ri­en und An­for­de­run­gen an nach­hal­ti­ge Fi­nanz­pro­duk­te. Seit mitt­ler­wei­le 8 Jahren arbeitet Herr Fengler im Bereich Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und ist auch als Auditor ver­schie­de­ner ISO Stan­dards für die DQS tätig.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
a green paintbrush with some green paint, on a pale green background with some blank space on the le
Loading...

Green­wa­shing – Risiken erkennen und ver­mei­den

Blog
Top view of Deep water port with cargo ship and containers. It is an import and export cargo port wh
Loading...

LkSG-Com­pli­ance – Was bei der Be­wer­tung Ihrer Spe­di­ti­ons­dienst­leis­ter zu beachten ist

Blog
compliance-header-blog-säulen gerichtsgebäude
Loading...

Com­pli­ance Ma­nage­ment im Mit­tel­stand – Pflicht oder Kür?