TÜV Rheinland: Compliance-Management mit neuer ISO-Norm 37301

Mehr denn je sind Unternehmen aller Branchen gefordert, die eigene Integrität und Glaubwürdigkeit zu dokumentieren. Nach Einschätzung der Fachleute von TÜV Rheinland entwickelt sich das Thema Compliance – rechtskonformes in Verbindung mit einem verantwortungsbewussten unternehmerischen Handeln – zu einem geschäftskritischen Faktor. Ein professionelles Compliance-Management-System (CMS) verhindert Imageschäden und sorgt für eine nachhaltigere Beziehung zu Kunden und Lieferanten. Ein CMS ermöglicht es Organisationen, ihren Verpflichtungen zur Einhaltung relevanter Gesetze, Industrievorschriften und Organisationsnormen, nachzukommen und gegenüber der Gesellschaft glaubhaft darzulegen. Welche Anforderungen ein Compliance-Management-System erfüllen muss, beschreibt die neue Norm ISO 37301 eindeutig und verbindlich. Die im April 2021 in Kraft getretene Norm eröffnet Unternehmen somit die Möglichkeit, ein wirksames CMS mit klaren und überprüfbaren Anforderungen einzuführen – und damit das eigene Haftungsrisiko deutlich zu reduzieren.

ISO 37301 mit klaren Vorgaben

Bereits 2014 wurde die ISO-Norm 19600 veröffentlicht. Sie beschreibt, wie Organisationen ein Compliance-Management-System einführen und aufrechterhalten können. Dieser Standard ist allerdings ausdrücklich Leitlinie und Hilfestellung, aber keine Zertifizierungsnorm – und somit lässt sich damit auch nicht die Wirksamkeit eines CMS nachweisen. Genau das leistet die ISO 37301. Sie ersetzt die ISO 19600. Die neue Norm definiert die Anforderungen an den Aufbau, die Umsetzung und die Prozesse für Konzept, Umsetzung und Wirksamkeitskontrolle eines Compliance-Management-Systems. Dies geschieht als Zertifizierungsgrundlage mit klaren zu erfüllenden Forderungen.

Ein ISO-37301-konformes CMS ermöglicht es, die Einhaltung gesetzlicher Vorgaben und Regeln systematisch und strukturiert anzugehen. Dabei ist die Norm eine wichtige Orientierung für Unternehmen, die ein Managementsystem einführen oder ihr bestehendes System standardisieren und somit für eine Regelkonformität nutzen wollen. „Dank unserer Erfahrungen können wir schnell erkennen, wie und wo Unternehmen ihr Compliance-Management-System sowie Compliance-relevante Prozesse noch verbessern können. Damit unterstützen wir Organisationen dabei, ein rechtssicheres Compliance-Management-System aufzubauen, einschließlich eines fortlaufenden Verbesserungsprozesses. Dabei kann ein solches System in bestehende Strukturen und Abläufe integriert werden,“ sagt Sepinaz Kuska, Fachbereichsleiterin Managementsysteme bei TÜV Rheinland.

Beratung für rechtssicheres Compliance-Management

Zur zunehmenden Sensibilität im Zusammenhang mit dem Thema Compliance haben unter anderem Vorfälle wie die Finanz- und Bankenkrise, der Dieselskandal sowie eine Reihe von Korruptionsvorwürfen bei Unternehmen beigetragen. Dazu kommen die Einführung neuer Strafbestände und die Ausdehnung der Haftung bei Wirtschaftskriminalität durch den Gesetzgeber. Das neue Sorgfaltspflichtengesetz verlangt von deutschen Unternehmen ihrer Verantwortung in der Lieferkette durch die Einhaltung der Menschenrechte besser nachzukommen.

Die Folge: Unternehmen und Organisationen befassen sich mit der Frage, wie sich hohe Compliance-Risiken optimal erfassen und möglichst ausschließen lassen. Hierbei ist Beratung gefragt. „Ich gehe davon aus, dass ein umfassendes und rechtssicheres CMS nach ISO 37301 in absehbarer Zeit von Geschäftspartnern eingefordert werden wird“, sagt Sepinaz Kuska. Unternehmen sollten ihrer Einschätzung nach nicht warten, bis die ersten Kunden nach der neuen Norm fragen, sondern schon jetzt die notwendigen Planungsschritte vollziehen. „Zum Beispiel mit einer Bestandsaufnahme. Danach herrscht meist Klarheit darüber, wo es Lücken gibt und was im Einzelnen getan werden muss.“

ISO 37301 hilft bei Lieferkettensorgfaltspflichtengesetz

Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten ist nun vom Bundestag verabschiedet werden. Darin wird die Einhaltung von Sorgfaltspflichten gegenüber unmittelbaren Lieferanten weltweit gefordert. Diese Sorgfaltspflichten enthalten, neben Einrichtung eines Risikomanagements und Durchführung regelmäßiger Risikoanalysen, auch präventive Maßnahmen zur Vermeidung von Verstößen gegen menschenrechtliche und umweltrechtliche Vorschriften durch Lieferanten. Auch werden Kontrollmaßnahmen bei den Lieferanten eingefordert, und im eigenen Unternehmen muss ein Menschenrechtsbeauftragter installiert werden. Durch die Einführung des Gesetzes entsteht für Unternehmen ein nicht unerheblicher Aufwand. Die Installation eines CMS nach der ISO 37301 kann dabei helfen, hier ein hilfreiches Mittel zur Umsetzung sämtliche Compliance-Anforderungen umzusetzen.

Das Whitepaper „Neue Norm für ein effizientes Compliance-Management-System“ zum Download und Informationen zu den angebotenen „Managementsystem-Webinaren“ im Herbst 2021 gibt es unter www.tuv.com/msb bei TÜV Rheinland.