ISO 37301 - Compliance Managementsystem (CMS)

Zwar unterscheidet sich die im April 2021 neu erschienene ISO 37301 inhaltlich kaum von den Anforderungen an ein CMS, wie sie bereits in der ISO 19600 gefordert wurden, jedoch hat sie die großen Vorteil, dass die neue Norm als Level-A-Norm zertifizierbar ist.

Der Größte Unterschied der beiden Normen liegt dabei in der Formulierung der Inhalte. Während die ISO 19600 lediglich einen rein empfehlenden Charakter hat, wurde der Normtext der ISO 37301 wesentlich verbidlicher formuliert und erfüllt deshalb die Anforderungen an ein zertifizierbares Managementsystem.

Die größten inhaltlichen Änderungen gab es im Bezug auf die Aufgaben und Verantwortlichkeiten der Comliance Funktion, im Personal-Prozess, bei dem Hinweisgebersystem und im Prozess zur Untersuchung von Compliance-Vorfällen.

Die Norm ist allerdings weiterhin nach der High-Level-Structure aufgebaut und lässt sich deshalb leicht in bereits bestehende Managementsystem, wie zum Beispiel in das Qualitätsmanagementsystem nach ISO 9001 oder in das Umweltmanagementsystem nach ISO 14001 integrieren.

Nutzen eines Compliance-Mangementsystems

Mit dem Begriff "Compliance" werden häufig nicht nur positive Aspekte assoziiert, da er in der Regel mit Einschränkungen und Verboten in Verbindung gebracht wird. Außerdem lässt sich mit "Compliance" kein Geld verdienen oder neue Geschäftsfelder generieren.

Doch richtig eingesetzt bietet ein CMS durchaus Chancen und Vorteile für Unternehmen. Ein solches Managementsystem kann nicht nur zur Schadensvermeidung sondern auch zur eignen Prozessoptimierung eingesetzt werden.

Die ISO 37301 definiert die Anforderungen an den Aufbau, die Umsetzung und Wirksamkeitskontrolle eines solchen Systems.

Die größten Vorteile eines CMS nach ISO 37301:

• Rechtskonformität
• Risikovermeidung
• Vermeidung von Strafen und Bußgeldern
• Vermeidung von Reputationsschäden
• Stärkung des Vertrauens von Geschäftspartnern
• Einhaltung der Sorgfaltspflicht (auch im Zusammenhang mit dem anstehenden Lieferkettengesetz)
• Wettbewerbsvorteil

Bausteine eines Compliance-Managementsystems nach der ISO 37301:

Anforderungen an ein Compliance System: 

Das Unternehmensumfeld muss analysiert werden, um die Anforderungen an das eigene Unternehmen klar abgrenzen zu können. Anhand der Einstufung des Unternehmens lassen sich die geltenden Rechtsvorschriften ableiten. Darauf aufbauend kann eine geeignete Compliance Politik und Strategie, so wie eine realistische Zielsetzung für das CMS definiert werden.

Abschließend ist die Delegation von Pflichten und Verantwortung zu betrachten.

Compliance Risikoanalyse:

Eine Ermittlung aller bestehenden Compliance Risiken ist notwendig, um die Rechtskonformität in allen Bereichen gewährleisten zu können. Für alle festgestellten Risiken müssen geeignete Maßnahmen entwickelt werden, um das Risiko so gering wie möglich zu halten und im Schadensfall klare und feste Abläufe zu haben.

Compliance Organisation:

Die Organisation aller Compliance-Prozesse im Unternehmen muss festgelegt werden. Dazu gehören unter anderem eine Compliance Organisations-Richtlinie und ein fester Ansprechpartner für alle Mitarbeiter und interessierten Parteien.

Compliance eigene Prozesse: Unternehmensintern müssen Prozesse und Regelungen definiert werden, um die Compliance im Unternehmen sicherzustellen. Dazu gehören unter anderem auch das Zuwendungs-Management und das Hinweisgeber-Verfahren. Außerdem werden in diesem Schritt die verschiedenen Geschäftspartner sträker mit berücksichtigt.  

Integration Compliance in die Fachprozesse:

Im höchsten Detaillierungsgrad muss die Compliance in die Fachprozessen implementiert werden. Dabei müssen die jeweiligen Fach-Richtlinien an die bestehenden Compliance-Richtlinien angepasst und die Prozesse in regelmäßigen Abständen überprüft werden.

Unsere Leistungen:

• Beratung und Unterstützung beim Aufbau eines Compliance-Managementsystems nach ISO 37301
• Beratung bei der Bestandsaufnahme und Analyse des Ist-Zustandes
• Erarbeitung von geeigneten, auf ihr Unternehmen zugeschnittene Maßnahmen
• Beratung und Unterstützung bei der Erstellung der erforderlichen Dokumentation
• Wirksamkeitskontrolle nach der Implementierung eines CMS
• Integration eines CMS in ein bestehendes Managementsystem
• Vorbereitung und Durchführung von internen Audits
• Unterstützung bei externen Audits, so wie der Zertifizierung nach ISO 37301