02535 Die ISO 37301:2021 – Interpretation der Anforderungen
|
Qualitätsmanagement nach ISO 9001 ist in nahezu allen Teilen der Organisationen etabliert und trägt dazu bei, auch die Anforderungen an die Compliance zu gewährleisten. Dabei muss es sich in die Strukturen eines übergreifenden etablierten Compliance-Management-Systems (CMS) nahtlos einfügen.
Der Beitrag zeigt Ihnen alles, was Sie über den Aufbau und die Pflege des zertifizierbaren Compliance-Management-Systemstandard ISO 37301 wissen müssen. Ohne die Kenntnis des Standards wird es schwierig, Qualitätsmanagement und die übergreifenden Compliance-Anforderungen aufeinander abzustimmen.
Im Beitrag werden die Anforderungen der ISO 37301 interpretiert und erläutert. Ziel ist es, das Verständnis für die Normenforderungen zu erhöhen. Anhand zahlreicher Praxisbeispiele erhalten Sie zudem sinnvolle Anregungen für ihre unmittelbare Umsetzung.
Im ersten Teil erhalten Sie eine Einführung in Zielsetzung, Struktur und die wichtigsten Merkmale der ISO 37301. Im umfangreicheren zweiten Teil, der als Arbeitshilfe im Word-Format ausgestaltet ist, werden die Anforderungen der Norm in Tabellenform stichwortartig aufgelistet und praxisorientiert interpretiert. Mit Hinweisen zur Umsetzung soll dem Leser veranschaulicht werden, in welcher Form Anforderungen erfüllt werden können. Diese Beispiele sind auch dazu geeignet, den Nachweis der Umsetzung zu dokumentieren. Arbeitshilfen: von: |
1.1 Ziel der Norm
Zertifizierbarer Standard
Die ISO 37301 erläutert die Grundsätze eines Compliance-Managementsystems (CMS) in einem Anforderungskatalog, der sowohl zum Aufbau eines CMS als auch zu dessen Zertifizierung herangezogen werden kann.
Die ISO 37301 erläutert die Grundsätze eines Compliance-Managementsystems (CMS) in einem Anforderungskatalog, der sowohl zum Aufbau eines CMS als auch zu dessen Zertifizierung herangezogen werden kann.
Unterstützung der Führung
Indem die ISO 37301 sagt, dass die Einführung eines CMS eine strategische Entscheidung der Organisation sein sollte, richtet sie sich zuallererst an die Leitung einer Organisation, also in der Regel an die Geschäftsführung. Sie unterstützt die oberste Leitung bei der Führung der Organisation, um die spezifischen Ziele der Organisation zu erreichen.
Indem die ISO 37301 sagt, dass die Einführung eines CMS eine strategische Entscheidung der Organisation sein sollte, richtet sie sich zuallererst an die Leitung einer Organisation, also in der Regel an die Geschäftsführung. Sie unterstützt die oberste Leitung bei der Führung der Organisation, um die spezifischen Ziele der Organisation zu erreichen.
Compliance steuern und erfüllen
Sie setzt damit voraus, dass das CMS ein integraler Bestandteil des Führungssystems ist. Mithilfe dieses Führungssystems hat die oberste Leitung eine Möglichkeit, die Compliance-Anforderungen zu steuern und zu erfüllen.
Sie setzt damit voraus, dass das CMS ein integraler Bestandteil des Führungssystems ist. Mithilfe dieses Führungssystems hat die oberste Leitung eine Möglichkeit, die Compliance-Anforderungen zu steuern und zu erfüllen.
1.2 Grundsätze des Compliance-Managementsystems
Schaffung einer Compliance-Kultur
Die Kernaufgabe eines CMS ist die Schaffung und Erhaltung einer nachhaltigen Compliance-Kultur. Ferner bezweckt ein CMS, hinreichend sicherzustellen, dass Compliance-Risiken für wesentliche Regelverstöße rechtzeitig erkannt und dass diese verhindert werden.
Die Kernaufgabe eines CMS ist die Schaffung und Erhaltung einer nachhaltigen Compliance-Kultur. Ferner bezweckt ein CMS, hinreichend sicherzustellen, dass Compliance-Risiken für wesentliche Regelverstöße rechtzeitig erkannt und dass diese verhindert werden.
Prinzipien
Folgende Prinzipien bilden dabei die Säulen eines CMS:
Folgende Prinzipien bilden dabei die Säulen eines CMS:
| • | Integrität |
| • | gute Führung |
| • | Verhältnismäßigkeit |
| • | Transparenz |
| • | Rechtschaffenheit |
| • | Nachhaltigkeit |
Organisationsprozess für gesetzliche und regulatorische Vorgaben
Zur Sicherstellung der originären Geschäftsziele müssen alle Organisationen unabhängig von der Branche, der Größe, ob im Inland oder auch im Ausland ansässig, den jeweiligen gesetzlichen und regulatorischen Vorgaben nachkommen. Dies regelt sich nicht von selbst, sondern bedarf gewisser organisatorischer Vorgaben und Maßnahmen, die in den einzelnen Organisationsprozessen umzusetzen sind. Die ISO 37301 beschreibt in ihren einzelnen Kapiteln, welche Vorgaben erforderlich sind, um ein transparentes und effektives CMS zu erfüllen. Dabei soll die Angemessenheit für die jeweilige Organisation berücksichtigt werden.
Zur Sicherstellung der originären Geschäftsziele müssen alle Organisationen unabhängig von der Branche, der Größe, ob im Inland oder auch im Ausland ansässig, den jeweiligen gesetzlichen und regulatorischen Vorgaben nachkommen. Dies regelt sich nicht von selbst, sondern bedarf gewisser organisatorischer Vorgaben und Maßnahmen, die in den einzelnen Organisationsprozessen umzusetzen sind. Die ISO 37301 beschreibt in ihren einzelnen Kapiteln, welche Vorgaben erforderlich sind, um ein transparentes und effektives CMS zu erfüllen. Dabei soll die Angemessenheit für die jeweilige Organisation berücksichtigt werden.
Grundsätze
Im Folgenden sind die Grundsätze zusammengefasst, die sich aus den Vorgaben der ISO 37301 ergeben:
Im Folgenden sind die Grundsätze zusammengefasst, die sich aus den Vorgaben der ISO 37301 ergeben:
| Compliance-Kultur | |||||
| 1. | Die Compliance-Kultur stellt die wesentliche Grundlage für jede Organisation dar. Dies bedeutet, dass die Führung, durch aktives Vorleben erst die Voraussetzungen für das Annehmen, die Beachtung und das Umsetzen der Compliance-Vorgaben durch die Mitarbeiter oder sonstigen Organisationsangehörigen schafft. | ||||
| Führung | |||||
| 2. | Die Führungskräfte haben eine Vorbildfunktion und müssen sich zur Einhaltung gesetzlicher, regulatorischer und ggf. auch eigener ethischer Vorgaben verpflichten und dies durch entsprechendes Verhalten vorleben. Genauso strikt müssen sie dies auch von ihren Mitarbeitern oder sonstigen Organisationsangehörigen einfordern. | ||||
| Einbeziehung der Mitarbeiter | |||||
| 3. | Auf allen Ebenen werden Mitarbeiter im täglichen Arbeitsleben mit gesetzlichen Anforderungen direkt oder indirekt konfrontiert. Oftmals ist es dem Einzelnen nicht immer bewusst, dass seine Tätigkeit gesetzlichen Vorgaben genügen muss. Diesbezüglich ist eine Sensibilisierung der Mitarbeiter erforderlich. Sie sind es, die zum überwiegenden Teil die gesetzlichen Vorgaben im Unternehmen oder in Organisationen berücksichtigen und umsetzen bzw. einhalten müssen. | ||||
| Administration durch den Compliance-Beauftragten | |||||
| 4. | Jedes funktionierende Compliance-System bedarf eines gewissen administrativen Aufwands, damit wesentliche überwachende Aufgaben, steuernde Aktivitäten sowie Auswertungs- und Berichterstattungstätigkeiten vollzogen werden. Dies geschieht nicht von selbst; daher ist eine Stelle erforderlich, die diese Funktionen und Aufgaben wahrnimmt, der Compliance-Beauftragte. | ||||
| Compliance-Risikoanalyse | |||||
| 5. | Ohne eine Standortbestimmung durch eine Risikoanalyse wird es jeder Organisation schwerfallen, die richtigen Entscheidungen zu treffen. Dies gilt umso mehr, wenn es um Gesetzeskonformität geht. Die Organisation muss sich einen Überblick über ihr organisatorisches Umfeld (Rechtsform der Gesellschaft bzw. Organisation, Produkte, Dienstleistungserbringung bzw. sonstige Aufgabenerfüllung, nationales oder internationales Agieren etc.) verschaffen, um die sich daraus ergebenden Compliance-Risiken richtig zu bewerten. Nur wenn man sich dieser Risiken bewusst ist, kann man ihnen entsprechende Vorkehrungen zu ihrer Vermeidung bzw. Minderung treffen. Diese Vorkehrungen müssen dann in die entsprechenden Prozesse und Arbeitsabläufe integriert werden. | ||||
| Systemorientierter Managementansatz | |||||
| 6. | Ermitteln, Verstehen, Leiten und Lenken von miteinander in Wechselbeziehung stehenden Prozessen als Systemansatz tragen zur Wirksamkeit und Effizienz ihrer Compliance-Ziele bei. Compliance sollte kein Zufallsprodukt, sondern das Ergebnis von klaren Vorgaben und deren Umsetzung sein. Nur ein systematischer Ansatz, z. B. dem Deming-Kreis folgend, der Transparenz der Vorgaben und der Nachweise garantiert, ist belastbar und kann zur Entlastung der Organisation und der Führung herangezogen werden. | ||||
| Überwachung, Analyse und Verbesserung | |||||
| 7. | Systemüberwachung, -analyse und -verbesserung mit folgenden Elementen:
| ||||
Langfristiger Erfolg
Organisationen, die langfristig erfolgreich sein möchten, müssen eine Kultur der Integrität und Compliance in Anbetracht der Bedürfnisse und Erwartungen interessierter Parteien einführen und aufrechterhalten. Integrität und Compliance sind daher nicht nur die Grundlage, sondern auch eine Möglichkeit für eine erfolgreiche und nachhaltige Organisation.
Organisationen, die langfristig erfolgreich sein möchten, müssen eine Kultur der Integrität und Compliance in Anbetracht der Bedürfnisse und Erwartungen interessierter Parteien einführen und aufrechterhalten. Integrität und Compliance sind daher nicht nur die Grundlage, sondern auch eine Möglichkeit für eine erfolgreiche und nachhaltige Organisation.
Generischer Ansatz
Alle in der ISO 37301 festgelegten Anforderungen sind allgemeiner Natur (generisch) und auf alle Organisationen einschließlich öffentlicher Einrichtungen anwendbar, unabhängig von ihrer Art und Größe, der regionalen Ansässigkeit und der Art der bereitgestellten Produkte oder Dienstleistungen.
Alle in der ISO 37301 festgelegten Anforderungen sind allgemeiner Natur (generisch) und auf alle Organisationen einschließlich öffentlicher Einrichtungen anwendbar, unabhängig von ihrer Art und Größe, der regionalen Ansässigkeit und der Art der bereitgestellten Produkte oder Dienstleistungen.
Ziele, Prinzipien, PDCA und Umfeld
Die Abbildung 1 veranschaulicht zudem die Ziele, die Prinzipien, den PDCA-Zyklus und das Organisationsumfeld der Norm im Überblick.
Die Abbildung 1 veranschaulicht zudem die Ziele, die Prinzipien, den PDCA-Zyklus und das Organisationsumfeld der Norm im Überblick.