DQS im Dialog
DQS Website Abonnieren

Compliance Management mit ISO 37301 – neuer internationaler Prüfstandard

ISO 37301 ist aus der systematischen Überprüfung von ISO 19600 (Compliance-Management-Systeme – Leitlinien, 2014) entstanden. Die International Organization for Standardization (ISO) hatte eine Arbeitsgruppe beauftragt, die Optionen für eine Überarbeitung zu prüfen. Im September 2018 schließlich wurde vereinbart, ISO 19600 als Anforderungsnorm als neue ISO 37301 zu überarbeiten. Der finale Entwurf (DIS, Draft International Standard) liegt seit dem Frühjahr 2020 vor und soll im 1. Quartal 2021 als internationale Norm final veröffentlicht werden. DQS-Auditor Frank Machalz, Mitglied in den DIN-Normenausschüssen Organisationsprozesse sowie Governance und Compliance Management, gibt einen Überblick über das neue Regelwerk aus der ISO-Normenfamilie.
© iStock Compliance Management mit ISO 37301

Compliance Management ab 2021: Einsichten …

Compliance Management mit ISO 37301 – nun ist es soweit: Im April 2020 wurde der von der Fachwelt länger erwartete internationale Prüfstandard ISO 37301:2020 veröffentlicht. Sein vorläufiger offizieller Titel lautet: „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung (ISO/DIS 37301:2020)“. Bis es jedoch zu dessen praktischer Anwendbarkeit kommt, sind noch verschiedene Hürden zu nehmen.

Zunächst handelt es sich bei dem derzeit veröffentlichten Dokument nur um einen vorläufigen offiziellen Entwurf (DIS: Draft International Standard). Auf dieser Basis kann derzeit also noch keine verbindliche Begutachtung der Einhaltung des Legalitätsprinzips und damit ggf. verbundener Haftungsminimierung erfolgen. Für alle interessierten Parteien ist er aber eine solide Grundlage, sich auf künftige Zertifizierungen vorzubereiten.

Der Entwurf zu DIN ISO 37301:2020-04 „Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung (ISO/DIS 37301:2020)“ ist beim Beuth Verlag erhältlich.

… und Aussichten

Die Verabschiedung des endgültigen, dann auch akkreditierungsfähigen und zertifizierbaren Standards ist für 2021 geplant. Der bisherige Leitfaden zu Compliance Management Systemen (CMS) ISO 19600 aus dem Jahre 2014 wird dann durch den neuen Standard ersetzt.

Im Zuge dieser Veröffentlichung erfolgte

  • im Juni 2020 der DIS zu ISO 37000:2020 mit dem Titel „Anleitung für Governance von Organisationen“, sowie
  • im Juli 2020 der Entwurf der DIN ISO 37002:2020 „Hinweismanagementsysteme – Leitfaden“.

Diese beiden Normen sind, anders als DIN ISO 37301, derzeit nicht als Zertifizierungsstandard konzipiert.

Weiterhin verfügbar bleibt übrigens der vom Institut der Wirtschaftsprüfer (IDW) entwickelte Compliance Managementsystem-Prüfungsstandard IDW PS 980 sowie weitere sektorale, regionale und branchenspezifische Prüfstandards einschließlich der ISO-Normenfamilie u.a. in den Risikosegmenten Arbeits- und Gesundheitsschutz (ISO 45001), Umweltmanagement (ISO 14001) und Qualitätsmanagement (ISO 9001), die ja in ihrem jeweiligen Kontext in den Normenpunkten „Bindende Verpflichtungen“ und „Bewertung deren Einhaltung“ bereits Compliance-Anforderungen enthalten.

UNSER TIPP
Lesen Sie den Beitrag von Frank Machalz zu ISO 14001: Bindende Verpflichtungen – Was fordert die Norm?

Compliance Management mit ISO 37301 – Relevanz und Akzeptanz?

Wie in der Vergangenheit im Vorfeld und nach der Veröffentlichung anderer Managementnormen aus der ISO-Welt – z.B. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) oder ISO 45001 (Sicherheit und Gesundheit bei der Arbeit) – bereits zu beobachten war, sind auch hier Fragen u.a. der Relevanz und der Akzeptanz des künftigen Standards zu klären.

Die Relevanz des neuen Standards ergibt sich zunächst aus der Tatsache, dass die International Organization for Standardization (ISO) die Erarbeitung und Verabschiedung einer solchen Norm für erforderlich hielt. Er ist und bleibt jedoch ein freiwilliger Standard, sodass seine Relevanz eng mit dessen künftiger Akzeptanz, und dessen Akzeptanz wiederum mit der Relevanz verknüpft ist.

Durch die normative Einführung und Aufrechterhaltung einer Kultur der Integrität und Compliance als unabhängiger aber zugleich auch integraler Bestandteil eines einheitlichen Managementsystems soll die Sicherstellung einer langfristig nachhaltigen, sozialverantwortlichen und erfolgreichen Organisation erfolgen.

Besonders beachtlich ist, dass die Norm bereits in ihrer Einleitung explizit auf die Möglichkeit (Chance) jeder Organisation eingeht, durch ein effektives und organisationsweites Compliance Management System (CMS) die Einhaltung ihrer bindenden Verpflichtungen zu „beweisen“ (sic!).

Verpflichtung von Organisationen zur Compliance

Darüber hinaus erwähnt die neue Norm in ihrer Einleitung auf Seite 7 ausdrücklich, dass

„Gerichte in verschiedenen Ländern … die Verpflichtung einer Organisation zur Compliance durch ihr Compliance-Managementsystem im Rahmen der Festlegung angemessener Strafen für Verstöße gegen anzuwendende Gesetze betrachtet (haben). Aus diesem Grund können auch regulatorische und Gerichtsbehörden von diesem Dokument als Referenz profitieren.“

Bereits hieraus, aber schlussendlich auch aus den Begriffsbestimmungen der Norm zu Compliance (Kap. 3.27) und Compliance Verpflichtung (Kap. 3.26), ergibt sich, dass der eindeutige Schwerpunkt dieser Norm auf allen Legal Compliance Aspekten einer Organisation liegt, auch wenn diese bisher schon Bestandteil der Risikoerfassung und Bewertung in anderen Segmenten eines einheitlichen und integrierten Managementsystems waren. So auch ISO 37301 auf Seite 7:

„Dieses Dokument ist geeignet, um compliance-bezogene Anforderungen in anderen Managementsystemen zu erhöhen und eine Organisation bei der Verbesserung des allgemeinen Managements ihrer Compliance-Verpflichtungen zu unterstützen.“

Compliance Management mit ISO 37301: Verbindung zum Verbandssanktionengesetz

Auf nationaler Ebene in Deutschland ergibt sich die Relevanz der Norm in den erwähnten Kontexten der Beweissicherung und der möglichen Berücksichtigung bei der individuellen organisationsbezogenen Sanktionierung durch regulatorische und Gerichtsbehörden. Dies gilt auch für den aktuellen Referentenentwurf des Gesetzes zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) vom 20. April 2020.

„Der Entwurf verfolgt das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen. Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“

Auf Grund dieser Relevanzhintergründe lohnt sich auch ein Blick in die durch die einzelnen Prozessordnungen normierten Anforderungen an Beweismittel. Diese lassen sich bekanntermaßen durch den Begriff SAPUZ, also Sachverständiger, Augenscheinnahme der Örtlichkeit, Parteivernahme, Urkunde und Zeuge zusammenfassen. Insbesondere die Anforderungen an Sachverständige (§§ 402ff Zivilprozessordnung (ZPO), §§ 72ff Strafprozessordnung (StPO), §§ 96/98 Verwaltungsgerichtsordnung (VwGO)) und an Urkunden (§§ 415ff ZPO, § 249 StPO, §§ 96/98 VwGO) verdienen in diesem Zusammenhang besondere Aufmerksamkeit.

Kostenfreie Webinaraufzeichnung

Ein Compliance-Thema: die Lieferkette

Webinaraufzeichnung: LIEFERKETTEN MANAGEMEN

Sie erfahren mehr über
✓ Referenzen und den politischen Rahmen
✓ Marktmechanismen
✓ bestehende Nachhaltigkeitsinitiativen
✓ Grundlagen zum Lieferkettenmanagement

kostenfreier Zugang zur Aufzeichnung

Die hier normierten Anforderungen an Sachverständige bilden den Ausgangspunkt und geben wesentliche Orientierungshilfen für die Schaffung von Rahmenbedingungen hinsichtlich der Kompetenz, Fach- und Sachkunde von externen und internen Prüfern (Auditoren). Ähnliches gilt für die Anforderungen sowohl an die der Beurkundung zugrundeliegenden Prozesse, als auch dem Prozess der Beurkundung selbst. Diese sind eine verlässliche Erkenntnisquelle für den gesamten Zertifizierungsprozess und Zertifikatserteilungsprozess für ISO 37301.

Die Akzeptanz der neuen Norm sowohl durch den unmittelbaren Adressatenkreis, an den sie sich richtet, als auch alle weiteren interessierten Parteien, die direkt oder indirekt an der Erfüllung ihrer Anforderungen partizipieren, wird wie auch schon bei anderen ISO-Normen zu beobachten war, unter anderem von folgenden Aspekten beeinflusst werden:

  • die Relevanz der Norm in der Praxis (siehe oben)
  • die Kompetenz, Sach- und Fachkunde der Unternehmen, die diese Norm bei sich einführen wollen
  • die Kompetenz, Sach- und Fachkunde externer Dienstleister, die diese Organisationen ggf. dabei unterstützen
  • die Kompetenz, Sach- und Fachkunde der Prüforganisationen
  • die Kompetenz, Sach- und Fachkunde der internen und vor allem der externen Auditoren

ISO 37301 – Compliance Management System einführen

Die Organisationen und Unternehmen, die diese Norm einführen und an deren Vorteilen partizipieren wollen, können sich bereits jetzt mit dem vorliegenden DIS von DIN ISO 37301 beschäftigen, um so frühzeitig die erforderlichen Kompetenzen sowie die Sach- und Fachkunde zu erwerben.

Insbesondere der Anhang enthält wertvolle Hinweise und Erläuterungen zu den einzelnen Aspekten der Norm.

Nach dem jetzigen Stand der Normungsarbeit sind gravierende und grundsätzliche Änderungen zum aktuell vorliegenden Dokument in Bezug auf dessen endgültiger Fassung nicht sehr wahrscheinlich.

Insoweit die im jeweiligen Unternehmen vorhandene interne Kompetenz, Sach- und Fachkunde im Einzelfall nicht ausreicht, kann und sollte auf externe Expertise zurückgegriffen werden. Zu den ggf. bestehenden und ggf. zu erfüllenden Informationsbeschaffungspflichten gibt es beginnend mit dem Asphalt-Vertiefungs-Urteil des Reichsgerichtes aus dem Jahre 1916 (RGZ 89 (1917) S. 136), bis hin zu verschiedenen Urteilen des Bundesgerichtshofes (BGH) u.a. aus dem Jahr 2007 (14.05.2007 – II ZR 48/06, BB 2007/1801 und 16.07.2007 – II ZR 226/06, DStR 2007, 1641) eine umfangreiche Rechtsprechung.

Im Kontext mit der Relevanz der Norm nicht zuletzt auch als Element der Vermeidung und Minimierung von Compliance-Risiken, sowie des Umstandes, dass derzeit mit ISO 19600 aus dem Jahr 2014 lediglich ein allgemeiner Leitfaden zum Compliance Management sowie aktuell nur ein DIS der künftigen ISO 37301 vorliegt, sollte diese Auswahl und Entscheidung mit großer Sorgfalt erfolgen.

ISO 37301: Rolle im Risikomanagement

Von Vorteil wären hierfür – wie beim rechtskonformen Nachunternehmermanagement zur Sicherheit in der Lieferkette zur Vermeidung des Vorwurfs des Organisationsverschuldens in Form eines Auswahl- oder Überwachungsverschuldens allgemein üblich und erforderlich – u.a. auch die Formulierung von konkreten Anforderungen an die zu erbringenden Nachweise von expliziter Compliance Management Expertise.

Dafür könnte auch die künftige ISO 17021-13 als geeignete Erkenntnisquelle und Referenzdokument herangezogen werden. Insoweit hat der BGH u.a. in seiner ISION Entscheidung vom 20.09.2011 – II ZR 234/09, BB 2011, 2960 sowie das OLG Stuttgart vom 25.11.2009 – 20 U 5/09, ZIP 2009, 2386ff hier entsprechende Leitlinien aufgestellt.

Compliance Management mit ISO 37301 – ist die Norm zertifizierbar?

So wie für andere zertifizierungsfähige ISO-Standards auch, wird für diese Norm eine Akkreditierung der Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) erforderlich sein. Die Zertifizierungsstelle nimmt die Prüfung und Bewertung der Erfüllung der Normenanforderungen vor und wird bei positivem Ergebnis ein Zertifikat, also eine Urkunde im Sinne eines Beweismittels, ausstellen.

Wer ist die DAkkS?

Die DAkkS ist die nationale Akkreditierungsstelle der Bundesrepublik Deutschland. Sie handelt nach der Verordnung (EG) Nr. 765/2008 und dem Akkreditierungsstellengesetz (AkkStelleG) im öffentlichen Interesse als alleiniger Dienstleister für Akkreditierung in Deutschland.

Die Deutsche Akkreditierungsstelle GmbH arbeitet nicht gewinnorientiert. Gesellschafter der GmbH sind zu jeweils einem Drittel die Bundesrepublik Deutschland, die Bundesländer Bayern, Hamburg und Nordrhein-Westfalen sowie die durch den Bundesverband der Deutschen Industrie e.V. (BDI) vertretene Wirtschaft.

Um ihre hoheitlichen Akkreditierungsaufgaben ausfüllen zu können, wurde die DAkkS vom Bund beliehen. Als beliehene Stelle untersteht die DAkkS der Aufsicht des Bundes. Bei ihrer hoheitlichen Akkreditierungstätigkeit wendet die DAkkS das deutsche Verwaltungsrecht an.

Quelle: www.dakks.de

Da es derzeit noch keinen verbindlichen ISO-Standard 37301 gibt, kann die DAkkS noch nicht abschließend prüfen und bewerten ob

  1. die Norm überhaupt akkreditierungsfähig ist, also überhaupt eine Nachfrage nach solchen Prüfungs-, Bewertungs- und Beurkundungsverfahren besteht, und
  2. noch keine Anträge auf Akkreditierung annehmen, bzw. solche Anträge bearbeiten und entscheiden.

Mithin gibt es aktuell auch noch keine für diese Norm durch die DAkkS akkreditierte Zertifizierungsstelle.

Jetzt Kenntnisse zu ISO 37301 aneignen

Auch die Erfüllung bestimmter Anforderungen an die Kompetenz, Sach- und Fachkunde der künftigen internen und externen Auditoren ist ein wesentliches Kriterium für die Akzeptanz und Relevanz der ISO-Norm. Für sie wird es zunächst unabdingbar sein, vertiefte Kenntnisse zu DIN ISO 37301 zu erwerben und dies durch geeignete Nachweise belegen zu können.

Darüber hinaus wird die Normenreihe zu ISO 17021 (Teile 1 bis 12), die jeweils die Anforderungen an die Zertifizierungsstellen und an externe Auditoren u.a. für Qualitätsmanagement, Umweltmanagement und Arbeits- und Gesundheitsschutzmanagement beinhalten, um einen weiteren Teil, die künftige ISO 17021-13, erweitert werden. Dieser wird dann entsprechende Anforderungen an die Kompetenz, Sach- und Fachkunde für externe Auditoren, die ein Compliance Management System (CMS) nach ISO 37301 prüfen und bewerten wollen, enthalten. Der entsprechende ISO-Ausschuss wird 2021 seine Arbeiten aufnehmen.

Zertifizierer, die eine Akkreditierung für ISO 37301 in Erwägung ziehen, sind gut beraten, sich mit diesen Anforderungen frühzeitig vertraut zu machen und entsprechende Ressourcen aufzubauen.

Da die aktuelle DIN EN ISO 19011:2018 (Leitfaden zur Auditierung von Managementsystemen) hinsichtlich der diesbezüglichen Anforderungen für interne Auditoren keine spezifischen Anforderungen enthält, wäre für diesen Personenkreis die künftige ISO 17021-13 als Erkenntnisquelle und Referenzdokument nutzbar.

Der ISO-Standard 37301 – Fazit

Die neue Managementsystemnorm zum Compliance Management hat auf Grund ihrer Inhalte und Relevanz in der bisherigen ISO-Normenwelt eine gesonderte und segmentübergreifende Stellung, da sie über die diesbezüglichen Inhalte und Anforderungen der bisherigen Managementsegmente hinaus alle Compliance-Risiken eines Unternehmens erfasst und zugleich bestimmte Entlastungselemente mit sich bringt.

Somit sind für alle an den künftigen Prozessen der Einführung, Fortführung, Prüfung, Bewertung und Zertifizierung beteiligten und sonstigen interessierten Parteien hohe Erwartungen und Anforderung an die Sorgfalt bei deren jeweiligen Vorbereitung und Realisierung zu erfüllen.

Managementsysteme schärfen die Sinne

Seit langem erweisen sich Managementsysteme als grundlegende Führungsinstrumente: sie bilden den Rahmen, Prozesse bewusst zu gestalten, zu steuern und zu überwachen. Sie schaffen Transparenz und geben Handlungssicherheit. Gerade im Wandel sind wirksame Managementsysteme geeignet, den Blick aufs Ganze zu schärfen und Veränderungsprozesse zu unterstützen. Sie stabilisieren Arbeitsabläufe und verbessern systematisch die Qualität der eigenen Leistung. Zum wesentlichen Erfolgsfaktor werden Managementsysteme jedoch erst durch eine Zertifizierung durch die DQS. Dabei beginnt unser Anspruch dort, wo Checklisten enden. Nehmen Sie uns beim Wort!

Kontakt zur DQS

Fragen zum Thema?

Kontaktieren Sie uns – wir informieren Sie gerne über eine Zertifizierung Ihres Compliance Management Systems.

Anfrage senden