Zertifizierbare ISO 37301 kommt 2021
Bei der Einführung und Umsetzung eines Compliance Management Systems geht es darum, ein Unternehmen rechtskonform aufzustellen. Ein Aspekt nimmt dabei aber einen immer größeren Raum ein: Wie dokumentiert das Unternehmen seine Compliance-konformen Strukturen nach außen? Wie profitiert es nicht nur rechtlich, sondern auch Image-mäßig von einem funktionierenden Compliance Management System? Als zertifizierbarer und vor allem Praxis-naher Standard wird der neue ISO 37301 alle gewünschten Aufgaben übernehmen. Mit der Einführung ist Anfang 2021 zu rechnen. SAT bietet praxisnah die Organisations-Analyse und den Aufbau eines individuellen CMS für Unternehmen.
Standards gibt es schon – wozu ISO 37301?
Bereits heute gibt es Standards, nach denen ein Compliance Management System eingeführt und in seiner Umsetzung bewertet werden kann. Die international anerkannte ISO 19600 ist der bekannteste Standard, da er für alle Unternehmensbranchen und -größen gleichermaßen nutzbar ist. Ziel der ISO 19600 ist es, Unternehmen einen strukturierten Rahmen für die Konzeption, Implementierung und dauerhafte Anwendung eines CMS in der Organisation zu geben.
Nachteil des ISO 19600: Obwohl praxisnah und international anwendbar, ist er nicht zertifizierbar. Der Imagevorteil durch ein funktionierendes CMS geht dadurch ein Stück weit verloren.
Abhilfe soll deshalb der IDW PS 980-Standard schaffen. Das Institut der Wirtschaftsprüfer (IDW) hat mit dem PS 980 einen Standard entwickelt, der nicht nur das Vorgehen bei der Einführung eines CMS beschreibt, sondern auch dessen Wirksamkeit bewertet. Der Standard ist zertifizierbar, schafft also gleichermaßen Sicherheit für die unternehmensinternen Compliance-Verantwortlichen als auch Vertrauen bei Geschäftspartnern.
Nachteil des IDW PS 980: Der Standard wurde für Wirtschaftsprüfer entwickelt, nur sie können zertifizieren. Er ist sehr kaufmännisch ausgerichtet.
Um das Problem der fehlenden Zertifizierbarkeit der ISO 19600 zu beheben, hat der TÜV Rheinland außerdem den Standard TR CMS 101:2011 entwickelt. Er ist zertifizierbar. „Der Standard TR CMS 101:2011 für Compliance Management Systeme ermöglicht es, einer Organisation nach erfolgreicher Durchführung des Systemaudits in einem Zertifikat zu bescheinigen, dass sie nachweislich
- ein wirksames Compliance Management System aufrecht erhält,
- die Mindestanforderungen an ein Compliance Management System erfüllt und
- in der Lage ist, präventive wie korrigierende Maßnahmen umzusetzen.“, heißt es dazu vom TÜV Rheinland
Nachteil des TR CMS 101:2011: Dieser Standard wird nur vom TÜV Rheinland zertifiziert.
Was bringt die ISO 37301?
Der ISO 37301 wird ein internationaler Typ-A-Standard werden und die direkte Zertifizierung ermöglichen. Die wichtigsten Vorteile des ISO 37301 werden neben der Zertifizierbarkeit sein ganzheitlicher Ansatz über alle Branchen, Unternehmensgrößen und –bereiche, seine Praxisnähe und seine Anwendbarkeit für alle Prüforganisationen sein. Der neue Standard wird nicht nur vorgeben, wie ein Compliance Management System einzuführen ist. Er gibt auch die Anforderungen vor, wann ein CMS ein Zertifikat erhält. Das geht über die bisherigen „Leitlinien“ der ISO 19600 deutlich hinaus. Außerdem wird ein Anhang der ISO 37301 praxisnahe Anleitungen enthalten, wie der Standard angewendet werden soll.
Praxisnahe Hilfe für Unternehmen
Das Thema Compliance ist vollständig in den Unternehmen angekommen und benötigt nun eine praxisrelevante Umsetzbarkeit, die zugleich nach außen dokumentiert werden kann. Außerdem wird es spürbare Auswirkungen im Zusammenhang mit dem kommenden Unternehmensstrafrecht verweisen haben: Das künftige Gesetz sieht strafmildernde Elemente für den Fall vor, dass ein Unternehmen ein CMS eingeführt hat. Das lässt sich am besten nachweisen, wenn es von neutraler Stelle wie dem TÜV Rheinland zertifiziert wurde.
Diese Ansprüche wird die ISO 37301 künftig erfüllen. Konkret beinhaltet die ISO 37301 unter anderem diese Anforderungen an die CMS-Einführung:
- Festlegung der unternehmensindividuellen Compliance-Ziele in Abhängigkeit von Unternehmensgröße und -struktur
- Analyse und Bewertung der individuellen Compliance-Risiken eines Unternehmens nach Eintrittswahrscheinlichkeit und Auswirkungen eines Regelverstosses
- Festlegung der Compliance-Verantwortlichkeiten im Unternehmen
- Priorisierung der Maßnahmen in Abhängigkeit von Eintrittswahrscheinlichkeit und Auswirkungen eines Risikos
- Kontinuierliche Überwachung und Verbesserung des CMS
- Einführung kontinuierlicher Compliance-Kultur und -Kommunikation sowie Schulungen für Mitarbeiter und externe Geschäftspartner
„Wir erwarten, dass die ISO 37301 dieselbe Bedeutung für Unternehmen bekommen wird wie die 2018 in Kraft getretene EU-Datenschutzgrundverordnung“, betonen die SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils. „Wichtig ist die Praxisrelevanz des neuen Standards, die nicht nur auf dem Papier existiert. Ein wirkungsvolles Compliance Management System muss auf allen Ebenen einer Organisation umgesetzt und gelebt werden. Dafür stehen wir mit unseren Beratern bereit.“