Der neue Compliance Standard ISO 37301:2021 – eine Einordnung
Der neue ISO-Managementstandard ISO 37301:2021 wurde lange erwartet und er ist mittlerweile (hier) veröffentlicht. Die abschließende deutsche Übersetzung wird derzeit erarbeitet und demnächst verfügbar sein.
Was bedeutet dieser neue Standard nun für Unternehmen und Compliance-Verantwortliche?
- Es handelt sich bei der Norm um einen internationalen Standard. Dies bedeutet, seine Vorgaben für Compliance Managementsysteme sind weltweit gültig und stellen ein Best-Practice dar. Das sollte die Norm Compliance Managementsysteme in unterschiedlichen Ländern vergleichbar machen und auf ein einheitliches Level heben.
Darin liegt ein wesentlicher Vorteil gegenüber den zahlreichen rein nationalen oder von Interessengruppen getriebenen Standards, die in der Vergangenheit zwar sinnvolle Hilfestellung waren, aber dieses Problem nie auflösen konnten. Ein Beispiel in Deutschland ist der Prüfungsstandard des Instituts der Wirtschaftsprüfer, PS 980. Zwar arbeitet auch das IDW an einer Überarbeitung. Diese wird aber erwartbar nicht die gleiche internationale Wirkung entfalten wie die ISO-Norm.
- Der ISO 37301:2021 ist ein sogenannter Level-A-Standard, er macht also konkrete Vorgaben und ist anhand dieser Vorgaben zertifizierbar. Anders als der IDW PS 980 ist er nicht lediglich ein Prüfungs-, sondern ein Einrichtungsstandard, mit dem man in Unternehmen ein CMS aufzubauen kann.
Der Standard liegt in der Tradition der bekannten und bewährten Managementstandards der ISO (International Organization for Standardization). Er ist daher wie folgt strukturiert:
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1. Understanding the organization and its context
4.2. Understanding the needs and expectations of interested parties
4.3. Determining the scope of the compliance management system
4.4. Compliance management system
4.5. Compliance obligations
4.6. Compliance risk assessment
5 Leadership
5.1. Leadership and commitment
5.2. Compliance policy
5.3. Roles, responsibilities and authorities
6 Planning
6.1. Actions to address risks and opportunities
6.2. Compliance objectives and planning to achieve them
6.3. Planning of changes
7 Support
7.1. Resources
7.2. Competence
7.3. Awareness
7.4. Communication
7.5. Documented information
8 Operation
8.1. Operational planning and control
8.2. Establishing controls and procedures
8.3. Raising concerns
8.4. Investigation processes
9 Performance Evaluation
9.1. Monitoring, measurement, analysis and evaluation
9.2. Internal audit
9.3. Management review
10 Improvement
10.1 Continual improvement
10.2. Nonconformity and corrective action
Diesen einzelnen Aspekten könnten in Zukunft sogar Reifegrade zugeordnet werden. Damit wäre ein einfaches Benchmarking verschiedener Compliance Managementsysteme, sogar länder- und unternehmensübergreifend, möglich. Die Beurteilung eines CMS könnte dann aussehen, wie in der Abbildung:
Da viele Unternehmen bereits mit den Strukturen der ISO-Managementstandards vertraut sind, wird eine hohe Akzeptanz erwartet.
- Um ein wenig Wasser in den Wein zu gießen: Die Flughöhe des Standards ist gerade wegen der intendierten internationalen Geltung sehr hoch. Bei der Erarbeitung musste ein kleinster gemeinsamer Nenner gefunden werden. Gerade Mittelständler werden sich schwertun, den Standard „einfach umzusetzen“. Schon mit Blick auf die zahlreichen verschiedenen Jurisdiktionen lässt sich nicht mit Sicherheit sagen, ob ein Compliance Managementsystems, das den Standard erfüllt, jedenfalls den Ausschluss einen Organisationsverschuldens ermöglicht. Und das, obwohl es sich dabei um das Ziel eines jeden Compliance Managementsystems handelt.
Dieses Problem könnte zukünftig allerdings dadurch gelöst werden, dass nationale Spezifikationen erstellt werden. Dies würde in Deutschland über das DIN geschehen, indem etwa eine sogenannte DIN SPEC erarbeitet würde. Jedenfalls für den Bereich des Mittelstands – vielleicht aber sogar branchenspezifisch – könnte auf diese Weise ein extrem hohes Maß an Sicherheit und Verlässlichkeit für Compliance Managementsysteme von Unternehmen erreicht werden. Bestehende vielversprechende Ansätze für eine standardisierte Risikobewertung von Mittelständlern könnten dafür nahtlos in ein etwaiges Compliance-Managementsystem integriert werden. An dieser Stelle sei empfohlen, insbesondere den Expertenrat Mittelstandscompliance zu beobachten.
- Schließlich darf man sich nicht der Illusion hingeben, eine Normierung und Ausarbeitung von Vorgaben für Compliance Managementsysteme verliere an Bedeutung, weil das Verbandsanktionengesetz voraussichtlich nicht mehr in der laufenden Legislaturperiode verabschiedet wird. Auch ist unklar, in welcher Weise eine zukünftige Regierungskoalition eigene Akzente im Bereich der Verbandsanktionen setzen möchte.
Die Weichen sind nämlich längst gestellt. Nur um ein Beispiel zu nennen: Die wesentlichen Director and Officer (D&O)-Versicherer sind gerade dabei, ihre Versicherungsbedingungen zu überarbeiten und Produkte anzupassen. Künftig sollen dann D&O-Versicherungen nur noch greifen, wenn das Unternehmen sichergestellt hat, dass ein adäquates Compliance Managementsystem existiert.
Auch dürften zahlreiche Branchen damit konfrontiert sein, dass Kunden notwendige Anforderungen an die Compliance Managementsysteme ihrer Lieferanten und Partner stellen. Dies geschieht bereits jetzt in allen großen Lieferketten dieser Welt, nicht nur in den Bereichen Pharma- oder Automobilindustrie. Sobald sich die internationalen Kundenanforderungen auf einen einheitlichen Compliance Standard „einschwingen“ (und hier bietet sich allein der internationale geltende ISO 37301:2021 an), wird eine Lawine losgetreten sein, die sich schon jetzt nicht mehr aufhalten lassen dürfte.
Fragen dazu beantworten wir gerne, melden Sie sich einfach.