Die neue ISO 37301 – Compliance Management – wird nun alles anders?23 | 06 | 21

Oder willkommen ISO 37301 – ade ISO 9001?

Nun ist es geschafft: nach langjähriger Arbeit ist auf internationaler Ebene im April 2021 ISO 37301:2021 Compliance Managementsysteme – Anforderungen mit Anleitung zur Anwendung verabschiedet und veröffentlicht worden. Alle interessierten Kreise haben nun die Möglichkeit, sich ihrer zu bedienen. Eine Aufnahme in das Deutsche Normungswerk DIN ist geplant, ein entsprechender Entwurf bereits veröffentlicht.

Anders als ihre mit der Veröffentlichung der ISO 37301 zurückgezogene Vorgängerin (DIN ISO 19600 Compliance Managementsysteme – Leitlinien), ist die jetzige Norm akkreditierungsfähig. So kann sich jede Organisation bei der Deutschen Akkreditierungsstelle (DAkkS) um eine Akkreditierung bemühen. Erst dann kann und darf von der jeweils akkreditierten Organisation ein Zertifizierungsverfahren für Dritte durchgeführt und bei positivem Verlauf auch ein Zertifikat ausgehändigt werden.

Die praktischen Auswirkungen auf bestehende Organisationssysteme – um einmal den deutschen Begriff zu benutzen – sind bei der Erfüllung der Normenanforderungen „Übereinstimmung“ (Compliance) nicht ad hoc eindeutig. Vielmehr schweigt die Norm bewusst darüber, worüber denn nun organisationsbezogen konkret Übereinstimmung erzielt werden soll.

Spätestens seit dem Urteil des Landgerichts München in der Rechtssache SIEMENS ./.Neubürger (5 HK O 1387/10 vom 10.12.2013) und der Veröffentlichung der DIN ISO 19600 ist ein fachlicher Diskurs zu diesem Thema im Gange, der bisher nicht abgeschlossen ist.

In der Praxis definieren Organisationen für sich als Referenzwert für die Prüfung und Bewertung ihrer Übereinstimmungsorganisation häufig ihre Übereinstimmung mit den rechtlichen und sonstigen Anforderungen, wie z.B. Genehmigungen, Verträge oder interne Vorgaben (auch bindende Verpflichtungen oder regulatorische und sonstige Anforderungen genannt). Damit wird aus Compliance Management jedoch (nur) Legal Compliance Management. Dies ist eine zwar zutreffende, aber verkürzte Interpretation des Begriffs Compliance.

Berufsbild Compliance Officer
Durch Digitalisierung, den Einsatz von neuen Technologien und unterschiedlichen Regelungen im nationalen und internationalen Umfeld wird das Thema Compliance für Unternehmen immer wichtiger. Aber auch Verbraucher und Investoren legen einen immer größeren Wert auf die Einhaltung von ethischen Standards. Mit Blick auf das steigende Bewusstsein gewinnt das Berufsbild des Compliance Officer zunehmend an Bedeutung. Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Compliance Officer:

  • Was ist ein Compliance Officer?
  • Welche Aufgaben betreuen Compliance Officer?
  • Wie werde ich Compliance Officer?
  • Welche Weiter­bildungs­möglich­keiten gibt es?
  • Wie viel verdient ein Compliance Officer?
  • Welche Karrieremöglichkeiten gibt es?

Zum Berufsbild Compliance Officer »

Jedes Legal Compliance Management System ist ein Compliance Managementsystem, aber nicht jedes Compliance Managementsystem ist zugleich (nur) ein Legal Compliance Managementsystem.

Auf jeden Fall erweitert die Organisation mit der Anwendung der ISO 37301 ihre Risikobetrachtung und Bewertung auf die Ebene ALLER organisationsbezogenen, rechtlichen und sonstigen Anforderungen gemäß ihrer jeweiligen Schutzbedarfsanalyse. Diese können sowohl aus dem Bereich der Qualitätssicherung, als auch aus den Bereichen der Nachhaltigkeit sowie des Klima- und Umweltschutzes, des Arbeits- und Gesundheitsschutzes, des Datenschutzes und der Informationssicherheit oder dem Bereich Finanzierung/Steuern stammen.

Im Bereich der Qualitätssicherung hat sich mit der ISO 9001 seit vielen Jahren branchenübergreifend eine Norm etabliert, in deren Fokus die Erfüllung von Qualitätsanforderungen für Produkte und Dienstleistungen stehen (siehe u.a. Kapitel 0.1, 0.3, 1). Diese sollen zur Zufriedenheit des Kunden hergestellt, in Verkehr gebracht oder erbracht werden.

Wann die Kundenzufriedenheit tatsächlich eintritt oder jedenfalls eintreten soll, ist abhängig von den vertraglichen Vereinbarungen und ggf. auch der Erfüllung gesetzlicher und/oder behördlicher Anforderungen (siehe u.a. Kapitel 4.2, 6.1, 8.2, 8.3). Somit wird deutlich, dass bereits in der ISO 9001 schon ein Stück Legal Compliance Management steckt (siehe u.a. Kapitel 0.4, 4.2, 6.1, 8.2, 8.3).

Andersherum ist bereits in der aktuellen Fassung der Verordnung über die Vergabe öffentlicher Aufträge (Vergabeverordnung – VgV) im § 49 geregelt, dass als Beleg der Einhaltung von Normen der Qualitätssicherung und des Umweltmanagements durch den am Vergabeverfahren beteiligten Bieter von diesem der Nachweis über eine aktuell gültige Zertifizierung nach ISO 9001 und/oder ISO 14001 vorliegen muss. Mithin steckt auch in Legal Compliance immer ein Stück Qualitätsmanagement.

Da die ISO 37301 ebenfalls nach der High Level Structure gemäß dem Annex SL bzw. dem Annex L in der Fassung von 2019 aufgebaut ist, ist deren Integration in ein ggf. bereits bestehendes ISO zertifiziertes Managementsystem erleichtert und zulässig. (Siehe z.B. Kapitel 0.4 ISO 9001).

Sowohl bei der Einführung/Erweiterung, als auch bei der weiteren Fortentwicklung ihres Compliance Managementsystems, nutzen Organisationen häufig auch externe Expertise. Wie auch sonst sollte zur Vermeidung der Risiken der Folgen eines Organisationsverschuldens in der Praxis die Chance genutzt werden, bei der Auswahl und Überwachung externer Dienstleister in diesem Bereich hinreichende dokumentierte Informationen zu erarbeiten, die diese Anforderungen eindeutig und klar regeln, wie das etwa mit Verfahrensanweisungen einschließlich Prozessbeschreibungen häufig geschieht. Auf Grund des Umstandes, dass jedes Compliance Management immer auch Legal Compliance ist, besteht insoweit auch eine gewisse Nähe zur Rechtsdienstleistung nach dem Rechtsdienstleistungsgesetz, sodass dessen Inhalte dabei als Erkenntnisquelle eine erste Orientierungshilfe geben können und sollten.

Darüber hinaus ist auch beachtlich, dass durch den DIN/ISO Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) derzeit auf internationaler Ebene am Entwurf der ISO 17021-13 – Anforderungen an Auditoren, die die Erfüllung der Anforderungen an ein CMS nach ISO 37301 prüfen und bewerten, gearbeitet wird. Nach deren Veröffentlichung (voraussichtlich Ende 2021), wäre diese dann eine weitere zu nutzende Erkenntnisquelle.

Diese Aspekte bergen zugleich Verbesserungspotenziale in Bezug auf bereits bestehende Prozesse und dokumentierte Informationen in Bezug auf die ISO 9001.

Fazit

Damit lässt sich die zu Beginn des Beitrages gestellte Frage wie folgt beantworten:

(1) Die sowohl verfassungsrechtlich, als auch in weiteren regulatorischen und sonstigen Anforderungen verankerte Legalitätspflicht generiert für jede natürliche als auch juristische Person dauerhafte Maßnahmen zur Erkennung und Erfüllung dieser Pflichten. Das Bestehen dieser Pflichtenlage ist von ISO und sonstigen Zertifizierungen, Begutachtungen etc. unabhängig.

(2) Mit der ISO 37301 erweitern sich die Möglichkeiten des qualifizierten Nachweises eines geprüften und zertifizierten Umgangs mit Risiken und Chancen auf alle regulatorischen und sonstigen Anforderungen der Organisation. Dies kann risikominimierend wirken.

(3) Aufgrund der High Level Structure bestehen gute Voraussetzungen für die Integration eines Compliance Managements in ein bereits bestehendes, ISO zertifiziertes oder jedenfalls daran orientiertes Managementsystem.

(4) Es bestehen gesteigerte Anforderungen an die Auswahl und Überwachung extern ausgelagerter Dienstleistungen im Bereich des Compliance Managements.

(5) Mit der ISO 37301 wird in Bezug zur ISO 9001 nicht alles anders, aber die bereits vorher bestehenden Wechselbeziehungen zwischen Compliance/Legal Compliance und Qualitätsaspekten haben nun schärfe Konturen bekommen. Eine Erweiterung der Risikoermittlungs- und Beurteilungsperspektive über die Qualitätssicherungsprozesse hinaus auf alle Compliance/Legal Compliance Risiken könnte für Organisationen, die bisher nur auf Risiken- und Chancen-Ermittlung und Bewertung aus Sicht der Qualitätssicherung nach ISO 90001 gesetzt haben, erhebliches Potential der ständigen Verbesserung ihres Managementsystems haben.

(6) Die ISO 9001 ist damit nicht obsolet und es besteht kein Grund sich von ihr zu verabschieden, aber eine Erweiterung und Integrierung der ISO 37301 in ein bestehendes QM-System wäre ein modernes Upgrade dieses bewährten Regelwerks.

Über den Autor: Frank Machalz

Frank Machalz ist Geschäftsführer der envigration GmbH und berät, lehrt und forscht dort mit seinem interdisziplinären Team zum Thema Integration von Managementsystemansätzen unter einheitlichem, ganzheitlichem und effizienten Risikomanagement. Zudem ist er als externer Auditor u.a. für Compliancemanagement, Risikomanagement, sowie AGMS, EnMS, UMS und QMS tätig und Mitglied in diversen DIN/ISO-Normungsausschüssen. Er war auch aktiv in der Normungsarbeit zur ISO 37301 Compliance Management.

Comments are closed.