ISO 37301
| |||
| Bereich | Managementsysteme | ||
| Titel | Compliance-Managementsysteme - Anforderungen mit Leitlinien zur Anwendung | ||
| Erstveröffentlichung | April 2021 | ||
| Letzte Ausgabe | April 2021 | ||
| Klassifikation | 03.100.01, 03.100.02, 03.100.70 | ||
| Nationale Normen | DIN ISO 37301:2021-11, OENORM ISO 37301:2022-07-01, SN ISO 37301:2021-11 | ||
| Ersatz für | ISO 19600 | ||
Die ISO 37301 ist eine Internationale Norm, die Anforderungen an Compliance Management Systeme festlegt und Richtlinien für die Einrichtung, Entwicklung, Implementierung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven Compliance Management Systems innerhalb einer Organisation bereitstellt. Derartige Systeme helfen, die Risiken regelwidrigen Verhaltens zu erkennen, zu verstehen und richtig darauf zu reagieren. Die Norm kann sowohl in Unternehmen als auch in anderen Organisationen angewendet werden.
Geschichte[Bearbeiten | Quelltext bearbeiten]
Die Norm wurde am 13. April 2021 als international gültige ISO-Norm veröffentlicht. Die ISO 37301 baut inhaltlich auf der zurückgezogenen ISO 19600 auf. Erarbeitet wurde die Norm durch das Normenkomitee ISO/TC 309 „Governance of organizations“.[1]
Ziele der Norm[Bearbeiten | Quelltext bearbeiten]
Das Hauptziel der ISO 37301 besteht darin, Organisationen bei der Entwicklung und Verbreitung einer positiven Compliance-Kultur zu unterstützen. Regelwidriges Verhalten von Führungskräften und Mitarbeitern soll vermieden werden. Die ISO 37301 dient letztlich dazu, Organisationen bei der Einhaltung gesetzlicher Sorgfaltspflichten zu unterstützen.
Gleichzeitig zielt die Norm darauf ab, Organisationen bei der Umsetzung von compliance-bezogener Anforderungen anderer Managementsysteme (z. B. ISO 9001, ISO 14001, ISO 50001) zu unterstützen.
Inhaltsverzeichnis[Bearbeiten | Quelltext bearbeiten]
Die Struktur der Norm orientiert sich an der in den ISO-Direktiven festgelegten Grundstruktur für zertifizierbare Managementsystemnormen (Harmonized Structure, ehemals High Level Structure) und besteht daher aus folgenden 10 Kapiteln:
| 1 | Anwendungsbereich |
| 2 | Normative Verweise |
| 3 | Begriffe |
| 4 | Kontext der Organisation |
| 4.1 | Verstehen der Organisation und ihres Kontextes |
| 4.2 | Verstehen der Erfordernisse und Erwartungen interessierter Parteien |
| 4.3 | Festlegen des Anwendungsbereichs des Compliance-Managementsystems |
| 4.4 | Compliance-Managementsystem |
| 4.5 | Compliance-Verpflichtungen |
| 4.6 | Compliance-Risikobeurteilung |
| 5 | Führung |
| 5.1 | Führung und Verpflichtung |
| 5.1.1 | Oberstes Organ und oberste Leitung |
| 5.1.2 | Compliance-Kultur |
| 5.1.3 | Compliance-Führung |
| 5.2 | Compliance-Politik |
| 5.3 | Rollen, Verantwortlichkeiten und Befugnisse |
| 5.3.1 | Oberstes Organ und oberste Leitung |
| 5.3.2 | Compliance-Funktion |
| 5.3.3 | Leitung |
| 5.3.4 | Personal |
| 6 | Planung für das Qualitätsmanagementsystem |
| 6.1 | Maßnahmen zum Umgang mit Risiken und Möglichkeiten |
| 6.2 | Compliance-Ziele und Planung zu deren Erreichung |
| 6.3 | Planung von Änderungen |
| 7 | Unterstützung (Support) |
| 7.1 | Ressourcen |
| 7.2 | Kompetenz |
| 7.2.1 | Allgemeines |
| 7.2.2 | Beschäftigungsprozess |
| 7.2.3 | Schulung |
| 7.3 | Bewusstsein |
| 7.4 | Kommunikation |
| 7.5 | Dokumentierte Information |
| 7.5.1 | Allgemeines |
| 7.5.2 | Erstellung und Aktualisierung |
| 7.5.3 | Lenkung dokumentierter Information |
| 8 | Betrieb (Operation) |
| 8.1 | Betriebliche Planung und Steuerung |
| 8.2 | Festlegung von Steuerungen und Verfahren |
| 8.3 | Äußern von Bedenken |
| 8.4 | Untersuchungsprozesse |
| 9 | Bewertung der Leistung |
| 9.1 | Überwachung, Messung, Analyse und Bewertung |
| 9.1.1 | Allgemeines |
| 9.1.2 | Feedback-Quellen zur Compliance-Leistung |
| 9.1.3 | Entwicklung von Indikatoren |
| 9.1.4 | Compliance-Berichte |
| 9.1.5 | Aufzeichnungen |
| 9.2 | Internes Audit |
| 9.2.1 | Allgemeines |
| 9.2.2 | Programm des internen Audits |
| 9.3 | Managementbewertung |
| 9.3.1 | Allgemeines |
| 9.3.2 | Eingaben für die Managementbewertung |
| 9.3.3 | Managementbewertungsergebnisse |
| 10 | Verbesserung |
| 10.1 | Nichtkonformität und Korrekturmaßnahmen |
| 10.2 | Fortlaufende Verbesserung |
PDCA-Zyklus[Bearbeiten | Quelltext bearbeiten]
Zu den Grundprinzipien der ISO 37301 gehört der Ansatz der kontinuierliche Verbesserung im Sinne des PDCA-Zyklus.
Einhaltung von Rechtsnormen[Bearbeiten | Quelltext bearbeiten]
Die ISO 37301 beschreibt detailliert, wie ein Compliance-Management-System aufgebaut sein muss, um internationale und nationale Rechtsnormen und Vorschriften zu erfüllen. Analog zu anderen Managementnormen fordert die ISO 37301 die Führung eines Rechtskatasters. Rechtliche Vorschriften müssen auf Relevanz geprüft und rechtliche Änderungen bewertet werden. Aufgrund der Vielzahl an gesetzlichen Vorschriften und der damit verbundenen Unübersichtlichkeit bieten kommerzielle Anbieter die Erstellung kundenspezifischer Rechtskataster als Dienstleistung an.[2]
Zertifizierung[Bearbeiten | Quelltext bearbeiten]
In der ISO 37301 wird beschrieben, wie in einer Organisation ein Compliance-Management-System (CMS) eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Die Norm ist unmittelbar zertifizierbar. Mit einer Zertifizierung nach ISO 37301 durch eine externe, akkreditierte Stelle kann gegenüber Kunden und anderen interessierten Parteien belegt werden, dass ein angemessenes CMS vorhanden ist und gelebt wird.
Geschichte[Bearbeiten | Quelltext bearbeiten]
| Jahr | Beschreibung |
|---|---|
| 2021 | ISO 37301 (1. Ausgabe) |
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ 14:00-17:00: ISO 37301:2021. Abgerufen am 27. Oktober 2022 (englisch).
- ↑ Rechtskataster-Online. SR Managementberatung GmbH / ITC Internet-Trade-Center AG, abgerufen am 27. Oktober 2022.