Der neue Compliance-Standard ISO 37301 und seine Bedeutung für Unternehmen

Nach langem Warten wurde am 13. April eine neue internationale ISO-Norm für Compliance-Management-Systeme (CMS) veröffentlicht, die eine Reihe von grundlegenden Änderungen für die Verwaltung und das Management von Handelsunternehmen auch in der Tschechischen Republik mit sich bringt. Die neue ISO 37301:2021 (Compliance management systems - Requirements with guidance for use) ersetzt dabei u.a. die bestehende ISO 19600:2014 und deutet weitere neue Normen in den Bereichen Governance und Whistleblowing an.

Die wachsende Bedeutung der Corporate Compliance im unternehmerischen Bereich zeigt sich nicht nur an einer Reihe von wichtigen Änderungen in der europäischen und nationalen Gesetzgebung (DSGVO, Registrierung von wirtschaftlich Berechtigten oder Whistleblowing), sondern auch an der schrittweisen Einführung international anerkannter Standards, die Anforderungen sowohl an die Compliance-Funktion als auch an das CMS als organisatorischen Rahmen für deren Umsetzung stellen.

In diesem Zusammenhang stellt die Veröffentlichung der neuen Compliance-Norm ISO 37301 eine der bedeutendsten Veränderungen der letzten Jahre dar. Sie bietet allen Organisationen, auch Handelsunternehmen, die eine interne Compliance-Politik verfolgen, den besten Rahmen für die Überprüfung der Wirksamkeit des vorhandenen Compliance-Systems. Es handelt sich um eine ISO-Norm, die nicht nur nach einer HLS (High Level Structure) aufgebaut ist und daher mit anderen bereits bestehenden ISO-Normen integriert werden kann, sondern auch um eine Typ-A-Norm, auf deren Grundlage ein etabliertes CMS zertifiziert werden kann.

GRUNDLEGENDE INFORMATIONEN

Wie schon die Vorgängernorm ISO 19600:2014 ist auch die neue internationale Norm ISO 37301:2021 ausschließlich auf ein bereits etabliertes und funktionierendes Compliance-Management-System ausgerichtet. Auf dieser Basis etabliert und spezifiziert die neue ISO-Norm die Anforderungen und Richtlinien für die Einführung, Umsetzung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven CMS der jeweiligen Organisation, zu der natürlich auch, aber nicht nur, Handelsunternehmen gehören. Im Kontext von Unternehmen in der Tschechischen Republik ist die Rolle und Verantwortung der Mitglieder des statutarischen Organs als „leitenden Organs“ des gesamten CMS entscheidend, zusammen mit ihrer Verantwortung für das damit verbundene interne Kontrollsystem und das Risikomanagement.

Hinsichtlich der Schwerpunktbereiche und Einzelanforderungen sind am wichtigsten die Anforderungen an den angemessenen Gesamtkontext der Organisation, einschließlich der Identifizierung von Compliance-Verpflichtungen und Compliance-Risiken, die Festlegung von Compliance-Richtlinien, die interne Organisation und das Management des CMS sowie die Planung, die Werkzeuge und die unterstützenden Prozesse innerhalb des CMS. Gemäß den Zielen des CMS muss die Organisation eine detaillierte Risikoanalyse (Compliance Risk Assessment) vornehmen, bei der die Risiken nach ihrer Priorität und Eintrittswahrscheinlichkeit eingestuft werden. Ein wichtiges Kriterium ist dabei die Auswirkung der Risiken auf die Organisation im Falle ihres Eintretens (Eintrittswahrscheinlichkeit und Auswirkung).

ZERTIFIZIERUNG UND WEITERE ZUSAMMENHÄNGE

Im Hinblick auf die Vornahme von externen Audits zum Zweck einer CMS-Zertifizierung nach ISO 37301 legt die Norm fest, dass dabei die Anforderungen der ISO 19011 (Leitfaden für die Auditierung von Managementsystemen) zu beachten sind. In dieser Hinsicht ist es wichtig, dass der neue Compliance-Standard mit anderen internationalen ISO-Normen integriert und verknüpft werden kann, einschließlich der Qualitätsmanagement-Norm ISO 9001 oder der ISO 27000-Familie von Informationssicherheitsstandards.

In diesem Zusammenhang ist auch in Zukunft mit einer sehr engen Verzahnung eines zertifizierten CMS nach ISO 37301 mit den Anforderungen an die Anwendung von Corporate Social Responsibility (CSR) sowie Corporate Governance zu rechnen. Darüber hinaus sollen noch in diesem Jahr die eng verwandten Normen für das Whistleblowing-Management-System (ISO/FDIS 37002) und für Governance (ISO/DIS 37000) veröffentlicht werden, die zusammen mit der ISO 37301 eine wirklich breite Plattform für die Überprüfung und Zertifizierung von Compliance in ihrem umfassenden Verständnis schaffen werden.