Der Standard ISO 37301, Compliance-Management-Systeme – Anforderungen ist in seiner Endfassung veröffentlicht worden. Er enthält alles, was ein Unternehmen wissen muss, um ein effektives Compliance-Management-System zu entwickeln, zu implementieren, zu warten und zu verbessern, so die die ISO.
Der neue Standard ersetzt ISO 19600: 2014, Compliance-Management-Systeme – Richtlinien aus dem Jahre 2014. Auch diese Norm beschreibt, wie Organisationen ein Compliance Management System (CMS) einführen und aufrechterhalten können. Die ISO 19600 war allerdings als Leitlinie und Hilfestellung konzipiert – eine Zertifizierungsnorm war sie ausdrücklich nicht.
Diese Lücke schließt die ISO 37301, Sie ist eine Zertifizierungsnorm, die klare und überprüfbare Anforderungen an Compliance Management Systeme stellt. Der Standard kann in andere Managementsysteme wie ISO 9001 oder ISO 37001 für Bestechungsbekämpfung integriert werden. Er bietet Unternehmen die Chance, durch eine Zertifizierung die Umsetzung eines wirksamen CMS zu belegen. Besondere Bedeutung wird dies gewinnen, wenn das geplante Verbandssanktionengesetz in Kraft tritt. Dann müssen Unternehmen bei Gesetzesverstößen darlegen können, dass sie alle zumutbaren Maßnahmen zur Vorbeugung getroffen haben, weil sonst härtere Sanktionen drohen.
Howard Shaw, Vorsitzender des technischen Komitees der ISO, das den Standard entwickelt hat, wies aber darauf hin, dass es bei der Einhaltung nicht nur um die Vermeidung von Geldbußen gehe. „Unternehmen möchten mit Unternehmen zusammenarbeiten, denen sie vertrauen können“, sagte er. „Vertrauen baut auf einer Unternehmenskultur auf, das Richtige zu tun, wo jeder Mitarbeiter einen Beitrag leistet, weil er die Bedeutung versteht und daran glaubt. Im Zentrum stehen dabei gute Führung und klare Werte, die von oben kommen müssen. “
ISO 37301 empfiehlt die Einbeziehung der Geschäftsleitung und befürwortet die Einhaltung als Grundsatz guter Regierungsführung. Es wird außerdem empfohlen, das Compliance-Management unternehmensweit zu integrieren, um es in die Prozesse des Finanz-, Risiko-, Qualitäts-, Umwelt-, Gesundheits- und Sicherheitsmanagements sowie in die betrieblichen Anforderungen und Verfahren einzubetten.