ISO 37301:2021 – Was ist neu?

/in /von

Die wichtigsten Unterschiede zur ISO 19600

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Im April 2021 hat die International Organization for Standardization (ISO) die ISO 37301:2021-4 veröffentlicht. Sie löst den bisher gültigen Standard ISO 19600 ab, in dem beschrieben wird, wie Unternehmen ein Compliance-Management-System (CMS) einführen, umsetzen und die Wirksamkeit nachweisen können. Das Deutsche Institut für Normung e.V. (DIN) hat im November 2021 auch die deutsche Version, die DIN ISO 37301:2021-11, herausgebracht. Doch was hat sich verändert und wie können Unternehmen die Anforderungen aus der DIN-Norm umsetzen?

Inhalt der ISO 37301:2021

Was ist neu bei der ISO 37301? Viele inhaltliche Punkte der ISO 19600 wurden auch in die neue Norm übernommen. Wenn Unternehmen und Organisationen sich also bereits ein CMS nach ISO 19600 (oder aber auch nach IdW PS 980) aufgebaut haben, dann müssen sie nicht alles wieder über den Haufen werfen, sondern können darauf aufbauen.
Der neue Standard lässt sich auf alle Organisationsarten anwenden – ganz egal wie groß oder in welcher Branche sie tätig sind. Dabei akzeptiert die ISO 37301, dass die Anforderungen an das jeweilige Unternehmen flexibel angepasst werden können. Die Verantwortlichkeit liegt immer beim Unternehmen selbst.

Unterschied zur ISO 19600

Die ISO 37301 ist jetzt ähnlich aufgebaut, wie andere ISO-Richtlinien für Managementsysteme, beispielsweise die ISO 9001 Qualitätsmanagement, sie fußt somit auf der sogenannten High Level Structure und implementiert den Plan-Do-Check-Act-Zyklus (PDCA):

PDCA Grafik

Die ISO 19600 wurde im Dezember 2014 veröffentlicht und galt seitdem als das Fundament, um Compliance-Management-Systeme aufzubauen. Im Gegensatz zur neuen ISO 37301 war sie als „ISO Typ B Managementsystemstandard“ nur eine unverbindliche Empfehlung für die Einrichtung eines CMS. Die ISO 37301 setzt verbindliche Anforderungen an ein CMS, ist also „ISO Typ A Managementsystemstandard“, und damit auch zertifizierbar.

Zertifizierung nach ISO 37301

Die Zertifizierung nach ISO 37301 kann sinnvoll sein, um gegenüber Geschäftspartnern Vertrauen aufzubauen. Daneben kann es sein, dass zukünftige Ausschreibungsverfahren eine solche Zertifizierung voraussetzen. Außerdem ist es vorteilhaft, wenn man durch die Zertifizierung mit einem strukturierten CMS nachweisen kann, dass man seiner unternehmerischen Sorgfaltspflicht nachgekommen ist. Sollte es einmal zu einem Gerichtsverfahren kommen, ist das strukturierte CMS ein Beweismittel um ggf. drohende Sanktionen abzumildern oder abzuwenden.

Compliance-Management digitalisieren

Die Digitalisierung von Compliance-Management Prozessen bietet eine Chance zur ganzheitlichen Betrachtung. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen. Schaffen Sie mit der Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Dieser Synergie-Ansatz steckt auch hinter der vereinheitlichten Struktur der ISO- Management-Normen. Diese Synergien erreichen Sie beispielsweise durch die Abbildung der verschiedenen Management-Prozesse in unserer Software-Lösung, dem SAVISCON GRC-COCKPIT. Lesen Sie für weitere Details gerne unseren Blog-Beitrag „Digitalisierung von Compliance-Management-Prozessen“.

Download ISO 37301:2021

Die ISO 37301 kann beim Beuth Verlag gekauft und als PDF-Dokument heruntergeladen werden. Hier geht es zur Originalfassung der ISO 37301:2021-4 (Englisch) und hier zur deutschen Fassung DIN ISO 37301:2021-11.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Quellen:
Zeitschrift comply 03-2020
EQS Blog
Haufe

Das könnte Dich auch interessieren
Sinnbild: Mann im Anzug zeigt auf Schrift "Audit" Wie läuft eine Zertifizierung nach ISO 27001 ab?
Bild von 8photo auf Freepik Aufsetzen eines funktionierenden Risiko-Management-Prozesses
SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt