Die Norm ISO 37301 ist der internationale Standard für Compliance-Management-Systeme. Da es für Unternehmen immer schwieriger und zugleich immer wichtiger wird, gesetzliche Vorschriften, vertragliche Verpflichtungen und interne Richtlinien umzusetzen und somit compliant zu sein, gewinnt die ISO 37301 auch für KMU an Bedeutung.
In aller Kürze
- Die Norm ISO 37001 beschreibt, wir Organisationen systematisch gesetzliche Vorgaben, vertragliche Verpflichtungen und interne Richtlinien umsetzen.
- Dafür formuliert die ISO 37301 Anforderungen, wie Organisationen ein Compliance Management System aufbauen sollten. Eine Zertifizierung ist möglich.
- Die Unternehmenskultur, das Top-Management und der Compliance Officer spielen in der ISO 37301 eine herausragende Rolle.
- Durch die vergleichbare Struktur mit anderen ISO-Normen, eignet sich die ISO 37001 zur Steuerung aller Compliance-Anforderungen bzw. eines integrierten Managementsystems.
Was ist die ISO 37301?
Die Einhaltung gesetzlicher Vorschriften, regulatorischer Anforderungen und unternehmensinterner Richtlinien – auch als Compliance bezeichnet – ist für Unternehmen essenziell, um rechtliche Sicherheit zu gewährleisten, finanzielle Strafen zu vermeiden und den Ruf des Unternehmens zu schützen.
Ein Compliance-Management hilft Unternehmen dabei, Risiken wie Korruption, Betrug oder Datenschutzverstöße zu minimieren und sicherzustellen, dass Geschäftsprozesse im Einklang mit geltenden Gesetzen und internen Regelungen stehen. Das trägt nicht nur zur Vermeidung von Sanktionen bei, sondern stärkt auch das Vertrauen von Kunden, Geschäftspartnern und Investoren.
Die Norm ISO 37301 bietet seit dem 13. April 2021 einen strukturierten Rahmen für Unternehmen und andere Organisationen, um rechtliche Vorschriften, vertragliche Vereinbarungen, interne Richtlinien und ethische Standards einzuhalten.
Die ISO 37301 fördert die Implementierung von Verfahren zur Vermeidung von Regelverstößen. Dabei legt sie besonderen Wert auf Risikomanagement, Verantwortlichkeiten und Schulungen der Mitarbeitenden. Ziel der Norm ist es, eine Kultur der Integrität und Transparenz im Unternehmen zu etablieren.
Um dies zu erreichen, beschreibt die ISO 37301 die Errichtung und Optimierung eines Compliance-Management-Systems. Dies soll dazu beitragen, nachhaltig finanzielle, rechtliche und reputationsbezogene Risiken zu minimieren.
Tipp: Erfahren Sie mehr über Umfang, Einführung und Vorteile eines Compliance-Management-Systems.
ISO 37301 vs. ISO 19600
Unterschiede und Gemeinsamkeiten der Normen
Die ISO 37301 ersetzt die frühere Compliance-Norm ISO 19600. Während die ISO 19600 jedoch lediglich Leitlinien bot, ermöglicht die ISO 37301 Unternehmen, ihre Konformität offiziell zertifizieren zu lassen – ähnlich wie bei einer Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach DIN EN ISO/IEC 27001:2024. Eine Zertifizierung nach ISO 37301 hat den Vorteil, dass der Standard international anerkannt und vergleichbar ist.
Ein weiterer nennenswerter Unterschied zwischen den Compliance-Normen liegt in der Formulierung der Inhalte. Während die ISO 19600 lediglich Empfehlungen gab, ist die ISO 37301 weitaus verbindlicher formuliert, indem sie konkrete Anforderungen an Unternehmen stellt. Gleichzeitig bleibt sie flexibel und ermöglicht eine individuelle Umsetzung der Anforderungen je nach Unternehmensstruktur und -kultur.
Inhaltlich unterscheiden sich die Anforderungen der ISO 37301 hingegen nur geringfügig von der Vorgängernorm. Eine wesentliche Änderung betrifft die Aufgaben und Verantwortlichkeiten der Personen und Abteilungen, die für die Überwachung und Sicherstellung der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben in einem Unternehmen verantwortlich sind (Compliance-Funktion), insbesondere in den Bereichen Personalprozesse, Hinweisgebersysteme und die Untersuchung von Compliance-Vorfällen.
Unternehmen, die bereits die Richtlinien der ISO 19600 umgesetzt haben, müssen daher nur geringfügige Anpassungen vornehmen, um auf die ISO 37301 umzustellen. Eine Ausnahme bildet das Whistleblowing.
Neuer Schutz von Hinweisgebern
Eine bedeutende Neuerung gegenüber der Vorgängernorm ist die Bezugnahme auf den Schutz von hinweisgebenden Personen. Die ISO 37301 legt großen Wert auf Hinweisgebersysteme als essenziellen Bestandteil eines wirksamen Compliance-Management-Systems. Die Norm beschreibt Best Practices zur Einrichtung und Umsetzung solcher Systeme, um eine vertrauensvolle und transparente Unternehmenskultur zu fördern. Zu den zentralen Anforderungen gehören:
- Vertraulichkeit und Schutz von Hinweisgebern: Die Identität von Hinweisgebern muss geschützt werden, beispielsweise durch die Einrichtung von anonymen Meldekanälen.
- Zugang für alle relevanten Parteien: Das Hinweisgebersystem sollte für Mitarbeitende, Geschäftspartner und andere relevante Stakeholder leicht zugänglich sein.
- Gründliche und zeitnahe Untersuchung: Jeder gemeldete Vorfall muss unabhängig, fair und effizient untersucht werden.
- Vermeidung von Repressalien: Die Norm fordert Maßnahmen, um sicherzustellen, dass Hinweisgeber keine negativen Konsequenzen für ihre Meldung befürchten müssen.
- Lückenlose Dokumentation und Nachverfolgung: Alle Meldungen und Maßnahmen sollten nachvollziehbar dokumentiert werden.
Diese umfangreichen Anforderungen der ISO 37301 ans Whistleblowing sollen Unternehmen insbesondere dabei helfen, Compliance-Verstöße frühzeitig zu erkennen und gezielt Gegenmaßnahmen einzuleiten, um weitere Schäden zu minimieren.
Tipp: Erfahren Sie alles Wichtige zum Whistleblowing in Unternehmen, zum deutschen Hinweisgeberschutzgesetz (HinSchG) und wie eine Whistleblowing-Ombudsperson dabei helfen kann, die Vorschriften einzuhalten.
Bedeutung der Compliance-Kultur in der ISO 37301
Die Norm ISO 37301 betont, wie wichtig es ist, die Compliance Kultur „Tone from the top“ zu führen, also von der obersten Leitung bis hin zu jedem einzelnen Mitarbeiter.
Um ein funktionierendes Compliance Management System zu implementieren und aufrechtzuerhalten, ist also eine gelebte Compliance-Kultur von enormer Bedeutung. Die ISO 37301 versteht unter einer solchen Kultur Werte, Überzeugungen und Verhalten, die innerhalb des gesamten Unternehmens bestehen und im Zusammenspiel mit den Unternehmensstrukturen einen Verhaltensstandard schaffen, der die Compliance innerhalb des Unternehmens fördert.
Somit ist die Compliance-Kultur grundlegend für das Verhalten, die Werte und die Einstellungen der Mitarbeitenden in Bezug auf Einhaltung von Gesetzen, Verträgen, Richtlinien und freiwilligen Kodizes.
Dabei spielt die Vorbildfunktion des Top-Managements eine tragende Rolle, denn nur wenn die Führungsebene deutliche Signale für die Einhaltung von Compliance setzt, wird diese Haltung im gesamten Unternehmen widergespiegelt und auch ernst genommen.
Rolle des TOP-Managements in der ISO 37301
Die Einstellung des Top-Managements zur Compliance-Kultur gilt als entscheidend für die Wirksamkeit des Compliance-Management-Systems im Unternehmen. Gemäß der ISO 37301 ist das Management verpflichtet, Führungsverantwortung und Engagement für die Compliance in allen Bereichen zu zeigen.
Zu den Aufgaben des Top-Managements, die sich aus der Norm ergeben, gehört unter anderem die Entwicklung und Festlegung einer Strategie zur Definition von Zielen und Werten im Kontext der Compliance. Diese Ziele und Werte müssen klar an die Mitarbeiter kommuniziert werden. Ebenso ist es wichtig, dass die Führungsebene ihre Unterstützung für das CMS deutlich signalisiert, um Vertraulichkeit und Akzeptanz innerhalb der Belegschaft zu fördern.
Eine weitere zentrale Aufgabe ist die Bereitstellung ausreichender Ressourcen, die sowohl von finanzieller Natur sein können als auch in Form von Neueinstellungen, Kauf technischer Ausstattung oder spezialisierter Software erfolgen können. Darüber hinaus ist sicherzustellen, dass die Wirksamkeit des Compliance-Management-Systems regelmäßig überwacht und bewertet wird, um dessen Funktionalität zu gewährleisten und mögliche Probleme frühzeitig zu beheben.
Die Einhaltung von Compliance ist gerade für das Top-Management von besonderer Bedeutung. Denn Verstöße gegen Compliance-Vorgaben können nicht nur zu erheblichen Reputationsschäden führen, sondern auch rechtliche Haftungsrisiken für das Management selbst mit sich bringen. In einigen Fällen können diese sogar existenzbedrohend sein.
Rolle des Compliance-Officers (CO) in der ISO 37301
Während das Top-Management grundsätzlich für das Compliance-Management-System verantwortlich ist, spielt auch der sogenannte Compliance Officer eine zentrale Rolle. Dieser fungiert als verlängerter Arm des Managements und agiert als Koordinator für die Implementierung, Aufrechterhaltung und Überwachung des Compliance-Management-Systems im Unternehmen. Dabei ist besonders wichtig, dass der Compliance Officer seine Aufgaben objektiv und frei von Interessenskonflikten ausüben kann.
Zu seinen Aufgaben gehört die Zusammenarbeit mit anderen Abteilungen innerhalb des Unternehmens, die Beratung, die Berichterstattung an das Top-Management sowie die Identifizierung potenzieller Risiken, die durch Nichteinhaltung von Gesetzen und Vorschriften entstehen können. Des Weiteren ist der Compliance Officer für die Schulung der Mitarbeiter verantwortlich, um sicherzustellen, dass diese die geltenden Gesetze kennen und ein Bewusstsein für Compliance entwickeln.
Für Konzerne kann die Einführung eines Group Compliance Officers eine wichtige Rolle spielen, da sie aufgrund ihrer Größe, internationalen Tätigkeit und komplexen Unternehmensstrukturen mit besonderen Herausforderungen im Bereich der Compliance konfrontiert sind. Ein Group Compliance Officer übernimmt dabei eine übergeordnete Rolle und stellt sicher, dass konzernweite Compliance-Standards einheitlich umgesetzt werden. Er koordiniert die Compliance-Strategie für alle Tochtergesellschaften und Geschäftsbereiche, um ein konsistentes und wirksames Compliance-Management-System zu gewährleisten. Dabei geht es nicht nur um die Einhaltung nationaler und internationaler Gesetze, sondern auch um die Berücksichtigung konzernspezifischer Richtlinien und Werte.
In vielen Konzernen gibt es zudem eine dezentrale Compliance-Struktur, in der neben dem Group Compliance Officer auch regionale oder bereichsspezifische Compliance Officer eingesetzt werden können. Diese arbeiten eng mit der Konzernleitung zusammen.
Tipp: Für die meisten Unternehmen empfiehlt sich die Bestellung eines externen Compliance Officers, um Interessenskonflikten vorzubeugen.
Warum ist die ISO 37301 für Unternehmen wichtig?
Die ISO 37301 bietet Unternehmen zahlreiche Vorteile, indem sie Anforderungen für ein effektives Compliance-Management-System definiert. Zudem basiert die Norm auf der gleichen Struktur wie anderen Managementnormen (z.B.: die ISO 9001, ISO 14001 etc.), so dass sich das Compliance-Management-System in bereits bestehende Managementsysteme integrieren lässt (integriertes Managementsystem). Dies steigert die Effizienz und vermeidet Doppelarbeit, da ggf. gemeinsame Prozesse und Strukturen genutzt werden können, wenn sie redundante Abläufe beinhalten. Auch Risiken aus verschiedenen Bereichen können so ganzheitlich betrachtet und gesteuert werden.
Ein weiterer Vorteil für das integrierte Managementsystem ist die Kostenersparnis: Durch kombinierte Audits können externe Kosten Prüfungskosten reduziert und der Verwaltungsaufwand durch die Nutzung gemeinsamer Ressourcen verringert werden.
Darüber hinaus ermöglicht ein Compliance-Management-System die frühzeitige Identifizierung und Steuerung von Compliance-Risiken. Dies reduziert die Haftungsrisiken für das Unternehmen und sorgt für Sicherheit und Kontinuität im unternehmerischen Handeln -insbesondere auch im Hinblick auf europäische Anforderungen für Lieferketten.
