Die neue ISO 37301 – Compliance Management – wird nun alles anders?23 | 06 | 21

Oder willkommen ISO 37301 – ade ISO 9001?

Nun ist es geschafft: nach langjähriger Arbeit ist auf internationaler Ebene im April 2021 ISO 37301:2021 Compliance Managementsysteme – Anforderungen mit Anleitung zur Anwendung verabschiedet und veröffentlicht worden. Alle interessierten Kreise haben nun die Möglichkeit, sich ihrer zu bedienen. Eine Aufnahme in das Deutsche Normungswerk DIN ist geplant, ein entsprechender Entwurf bereits veröffentlicht.

Anders als ihre mit der Veröffentlichung der ISO 37301 zurückgezogene Vorgängerin (DIN ISO 19600 Compliance Managementsysteme – Leitlinien), ist die jetzige Norm akkreditierungsfähig. So kann sich jede Organisation bei der Deutschen Akkreditierungsstelle (DAkkS) um eine Akkreditierung bemühen. Erst dann kann und darf von der jeweils akkreditierten Organisation ein Zertifizierungsverfahren für Dritte durchgeführt und bei positivem Verlauf auch ein Zertifikat ausgehändigt werden.

Die praktischen Auswirkungen auf bestehende Organisationssysteme – um einmal den deutschen Begriff zu benutzen – sind bei der Erfüllung der Normenanforderungen „Übereinstimmung“ (Compliance) nicht ad hoc eindeutig. Vielmehr schweigt die Norm bewusst darüber, worüber denn nun organisationsbezogen konkret Übereinstimmung erzielt werden soll.

Spätestens seit dem Urteil des Landgerichts München in der Rechtssache SIEMENS ./.Neubürger (5 HK O 1387/10 vom 10.12.2013) und der Veröffentlichung der DIN ISO 19600 ist ein fachlicher Diskurs zu diesem Thema im Gange, der bisher nicht abgeschlossen ist.

In der Praxis definieren Organisationen für sich als Referenzwert für die Prüfung und Bewertung ihrer Übereinstimmungsorganisation häufig ihre Übereinstimmung mit den rechtlichen und sonstigen Anforderungen, wie z.B. Genehmigungen, Verträge oder interne Vorgaben (auch bindende Verpflichtungen oder regulatorische und sonstige Anforderungen genannt). Damit wird aus Compliance Management jedoch (nur) Legal Compliance Management. Dies ist eine zwar zutreffende, aber verkürzte Interpretation des Begriffs Compliance.

Jedes Legal Compliance Management System ist ein Compliance Managementsystem, aber nicht jedes Compliance Managementsystem ist zugleich (nur) ein Legal Compliance Managementsystem.

Auf jeden Fall erweitert die Organisation mit der Anwendung der ISO 37301 ihre Risikobetrachtung und Bewertung auf die Ebene ALLER organisationsbezogenen, rechtlichen und sonstigen Anforderungen gemäß ihrer jeweiligen Schutzbedarfsanalyse. Diese können sowohl aus dem Bereich der Qualitätssicherung, als auch aus den Bereichen der Nachhaltigkeit sowie des Klima- und Umweltschutzes, des Arbeits- und Gesundheitsschutzes, des Datenschutzes und der Informationssicherheit oder dem Bereich Finanzierung/Steuern stammen.

Im Bereich der Qualitätssicherung hat sich mit der ISO 9001 seit vielen Jahren branchenübergreifend eine Norm etabliert, in deren Fokus die Erfüllung von Qualitätsanforderungen für Produkte und Dienstleistungen stehen (siehe u.a. Kapitel 0.1, 0.3, 1). Diese sollen zur Zufriedenheit des Kunden hergestellt, in Verkehr gebracht oder erbracht werden.

Wann die Kundenzufriedenheit tatsächlich eintritt oder jedenfalls eintreten soll, ist abhängig von den vertraglichen Vereinbarungen und ggf. auch der Erfüllung gesetzlicher und/oder behördlicher Anforderungen (siehe u.a. Kapitel 4.2, 6.1, 8.2, 8.3). Somit wird deutlich, dass bereits in der ISO 9001 schon ein Stück Legal Compliance Management steckt (siehe u.a. Kapitel 0.4, 4.2, 6.1, 8.2, 8.3).

Andersherum ist bereits in der aktuellen Fassung der Verordnung über die Vergabe öffentlicher Aufträge (Vergabeverordnung – VgV) im § 49 geregelt, dass als Beleg der Einhaltung von Normen der Qualitätssicherung und des Umweltmanagements durch den am Vergabeverfahren beteiligten Bieter von diesem der Nachweis über eine aktuell gültige Zertifizierung nach ISO 9001 und/oder ISO 14001 vorliegen muss. Mithin steckt auch in Legal Compliance immer ein Stück Qualitätsmanagement.

Da die ISO 37301 ebenfalls nach der High Level Structure gemäß dem Annex SL bzw. dem Annex L in der Fassung von 2019 aufgebaut ist, ist deren Integration in ein ggf. bereits bestehendes ISO zertifiziertes Managementsystem erleichtert und zulässig. (Siehe z.B. Kapitel 0.4 ISO 9001).

Sowohl bei der Einführung/Erweiterung, als auch bei der weiteren Fortentwicklung ihres Compliance Managementsystems, nutzen Organisationen häufig auch externe Expertise. Wie auch sonst sollte zur Vermeidung der Risiken der Folgen eines Organisationsverschuldens in der Praxis die Chance genutzt werden, bei der Auswahl und Überwachung externer Dienstleister in diesem Bereich hinreichende dokumentierte Informationen zu erarbeiten, die diese Anforderungen eindeutig und klar regeln, wie das etwa mit Verfahrensanweisungen einschließlich Prozessbeschreibungen häufig geschieht. Auf Grund des Umstandes, dass jedes Compliance Management immer auch Legal Compliance ist, besteht insoweit auch eine gewisse Nähe zur Rechtsdienstleistung nach dem Rechtsdienstleistungsgesetz, sodass dessen Inhalte dabei als Erkenntnisquelle eine erste Orientierungshilfe geben können und sollten.

Darüber hinaus ist auch beachtlich, dass durch den DIN/ISO Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) derzeit auf internationaler Ebene am Entwurf der ISO 17021-13 – Anforderungen an Auditoren, die die Erfüllung der Anforderungen an ein CMS nach ISO 37301 prüfen und bewerten, gearbeitet wird. Nach deren Veröffentlichung (voraussichtlich Ende 2021), wäre diese dann eine weitere zu nutzende Erkenntnisquelle.

Diese Aspekte bergen zugleich Verbesserungspotenziale in Bezug auf bereits bestehende Prozesse und dokumentierte Informationen in Bezug auf die ISO 9001.

Fazit

Damit lässt sich die zu Beginn des Beitrages gestellte Frage wie folgt beantworten:

(1) Die sowohl verfassungsrechtlich, als auch in weiteren regulatorischen und sonstigen Anforderungen verankerte Legalitätspflicht generiert für jede natürliche als auch juristische Person dauerhafte Maßnahmen zur Erkennung und Erfüllung dieser Pflichten. Das Bestehen dieser Pflichtenlage ist von ISO und sonstigen Zertifizierungen, Begutachtungen etc. unabhängig.

(2) Mit der ISO 37301 erweitern sich die Möglichkeiten des qualifizierten Nachweises eines geprüften und zertifizierten Umgangs mit Risiken und Chancen auf alle regulatorischen und sonstigen Anforderungen der Organisation. Dies kann risikominimierend wirken.

(3) Aufgrund der High Level Structure bestehen gute Voraussetzungen für die Integration eines Compliance Managements in ein bereits bestehendes, ISO zertifiziertes oder jedenfalls daran orientiertes Managementsystem.

(4) Es bestehen gesteigerte Anforderungen an die Auswahl und Überwachung extern ausgelagerter Dienstleistungen im Bereich des Compliance Managements.

(5) Mit der ISO 37301 wird in Bezug zur ISO 9001 nicht alles anders, aber die bereits vorher bestehenden Wechselbeziehungen zwischen Compliance/Legal Compliance und Qualitätsaspekten haben nun schärfe Konturen bekommen. Eine Erweiterung der Risikoermittlungs- und Beurteilungsperspektive über die Qualitätssicherungsprozesse hinaus auf alle Compliance/Legal Compliance Risiken könnte für Organisationen, die bisher nur auf Risiken- und Chancen-Ermittlung und Bewertung aus Sicht der Qualitätssicherung nach ISO 90001 gesetzt haben, erhebliches Potential der ständigen Verbesserung ihres Managementsystems haben.

(6) Die ISO 9001 ist damit nicht obsolet und es besteht kein Grund sich von ihr zu verabschieden, aber eine Erweiterung und Integrierung der ISO 37301 in ein bestehendes QM-System wäre ein modernes Upgrade dieses bewährten Regelwerks.

Über den Autor:

Frank Machalz ist Geschäftsführer der envigration GmbH und berät, lehrt und forscht dort mit seinem interdisziplinären Team zum Thema Integration von Managementsystemansätzen unter einheitlichem, ganzheitlichem und effizienten Risikomanagement. Zudem ist er als externer Auditor u.a. für Compliancemanagement, Risikomanagement, sowie AGMS, EnMS, UMS und QMS tätig und Mitglied in diversen DIN/ISO-Normungsausschüssen. Er war auch aktiv in der Normungsarbeit zur ISO 37301 Compliance Management.

Ein Kommentar bei “Die neue ISO 37301 – Compliance Management – wird nun alles anders?”

  1. Hallo Frank, vielen Dank für die Ausführungen zur neuen ISO 37301. Zwei Anmerkungen:
    (1) Eine Zertifizierung von Managementsystemen ist grundsätzlich auch ohne eine Akkreditierung möglich. Nur wenn der Gesetzgeber eine akkreditierte Zertifizierung vorschreibt. Somit muss nach meinen Kenntnisstand keine Akkreditierung eines Zertifizierers vorliegen, um ein Managementsystem nach ISO 37301 bzw. ISO 9001 zu zertifizieren.

    (2) Ein Managementsystem nach ISO 9001 beschäftigt sich mit der Erfüllung von Anforderungen (Konformität) an eine Produkt oder einer Dienstleistung:
    Anwendungsbereich der ISO 9001
    „Diese Internationale Norm legt Anforderungen an ein Qualitätsmanagementsystem fest, wenn eine Organisation

    a) ihre Fähigkeit darlegen muss, beständig Produkte und Dienstleistungen bereitstellen zu können, die die Anforderungen der Kunden und die zutreffenden gesetzlichen und behördlichen Anforderungen erfüllen, und

    b) danach strebt, die Kundenzufriedenheit durch wirksame Anwendung des Systems zu erhöhen, einschließlich der Prozesse zur Verbesserung des Systems und der Zusicherung der Einhaltung von Anforderungen der Kunden und von zutreffenden gesetzlichen und behördlichen Anforderungen.“

    Somit fordert die ISO 9001 bereits heute ein bisschen Legal Compliance – aus meiner Sicht sogar ein entscheiden Compliance Ansatz. Leider wird bei der Kontext und Risiko Analyse das Thema Legal Compliance selten durch nach ISO 9001 zertifizierte Organisationen in Bezug auf die Konformität ihrer Produkte mit Rechtlichen Vorgaben betrachtet. Das fängt jedoch schon bei einer CE Konformitätsbestätigung an.

    Die ISO 37301 ist ein weiterer, aber wesentlicher Baustein im Rahmen der ganzheitlichen Betrachtung eines Good Governance Ansatzes. Inwieweit ein Managementsystem nach ISO 37301 in Zukunft zertifiziert werden kann, betrachte ich als äußerst kritisch. Welcher Auditor traut sich, bzw. hat das Fachwissen, um für ein entsprechendes Managementsystem die Konformität auszusprechen.

    Der vorherige Ansatz, das eine Zertifizierung nach ISO 19600 nicht vorgesehen war, war klug und mit sehr viel Sachverstand gewählt worden. Gerade auch aus dem CSR Ansatz. Aber die ISO lebt davon, dass Standards verkauft werden. Ein Standard ist nur dann für Organisationen von großem Interesse, wenn eine Zertifizierung damit möglich ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.