ISO 37301:2021 – Was ist neu?
Die wichtigsten Unterschiede zur ISO 19600
Von Ingo Simon, Geschäftsführer der SAVISCON GmbH
Im April 2021 hat die International Organization for Standardization (ISO) die ISO 37301:2021-4 veröffentlicht. Sie löst den bisher gültigen Standard ISO 19600 ab, in dem beschrieben wird, wie Unternehmen ein Compliance-Management-System (CMS) einführen, umsetzen und die Wirksamkeit nachweisen können. Das Deutsche Institut für Normung e.V. (DIN) hat im November 2021 auch die deutsche Version, die DIN ISO 37301:2021-11, herausgebracht. Doch was hat sich verändert und wie können Unternehmen die Anforderungen aus der DIN-Norm umsetzen?
Inhalt der ISO 37301:2021
Was ist neu bei der ISO 37301? Viele inhaltliche Punkte der ISO 19600 wurden auch in die neue Norm übernommen. Wenn Unternehmen und Organisationen sich also bereits ein CMS nach ISO 19600 (oder aber auch nach IdW PS 980) aufgebaut haben, dann müssen sie nicht alles wieder über den Haufen werfen, sondern können darauf aufbauen.
Der neue Standard lässt sich auf alle Organisationsarten anwenden – ganz egal wie groß oder in welcher Branche sie tätig sind. Dabei akzeptiert die ISO 37301, dass die Anforderungen an das jeweilige Unternehmen flexibel angepasst werden können. Die Verantwortlichkeit liegt immer beim Unternehmen selbst.
Unterschied zur ISO 19600
Die ISO 37301 ist jetzt ähnlich aufgebaut, wie andere ISO-Richtlinien für Managementsysteme, beispielsweise die ISO 9001 Qualitätsmanagement, sie fußt somit auf der sogenannten High Level Structure und implementiert den Plan-Do-Check-Act-Zyklus (PDCA):
Die ISO 19600 wurde im Dezember 2014 veröffentlicht und galt seitdem als das Fundament, um Compliance-Management-Systeme aufzubauen. Im Gegensatz zur neuen ISO 37301 war sie als „ISO Typ B Managementsystemstandard“ nur eine unverbindliche Empfehlung für die Einrichtung eines CMS. Die ISO 37301 setzt verbindliche Anforderungen an ein CMS, ist also „ISO Typ A Managementsystemstandard“, und damit auch zertifizierbar.
Zertifizierung nach ISO 37301
Die Zertifizierung nach ISO 37301 kann sinnvoll sein, um gegenüber Geschäftspartnern Vertrauen aufzubauen. Daneben kann es sein, dass zukünftige Ausschreibungsverfahren eine solche Zertifizierung voraussetzen. Außerdem ist es vorteilhaft, wenn man durch die Zertifizierung mit einem strukturierten CMS nachweisen kann, dass man seiner unternehmerischen Sorgfaltspflicht nachgekommen ist. Sollte es einmal zu einem Gerichtsverfahren kommen, ist das strukturierte CMS ein Beweismittel um ggf. drohende Sanktionen abzumildern oder abzuwenden.
Compliance-Management digitalisieren
Die Digitalisierung von Compliance-Management Prozessen bietet eine Chance zur ganzheitlichen Betrachtung. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen. Schaffen Sie mit der Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Dieser Synergie-Ansatz steckt auch hinter der vereinheitlichten Struktur der ISO- Management-Normen. Diese Synergien erreichen Sie beispielsweise durch die Abbildung der verschiedenen Management-Prozesse in unserer Software-Lösung, dem SAVISCON GRC-COCKPIT. Lesen Sie für weitere Details gerne unseren Blog-Beitrag „Digitalisierung von Compliance-Management-Prozessen“.
Download ISO 37301:2021
Die ISO 37301 kann beim Beuth Verlag gekauft und als PDF-Dokument heruntergeladen werden. Hier geht es zur Originalfassung der ISO 37301:2021-4 (Englisch) und hier zur deutschen Fassung DIN ISO 37301:2021-11.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446