5 Anzeichen dafür, dass Ihr Compliance-Managementsystem zertifiziert werden muss

Anti-Korruption, Compliance und ISO-Normen

20. Mai

Die meisten Unternehmen verfügen über etwas, das sie als Compliance-Programm bezeichnen. Weitaus weniger verfügen jedoch über ein Compliance-Managementsystem, das einer genauen Prüfung standhalten würde. Hier sind fünf Anzeichen dafür, dass sich diese Lücke allmählich bemerkbar macht – und warum die Norm ISO 37301 darauf ausgelegt ist, sie zu schließen.

Die Anforderungen an die Compliance haben sich gewandelt. Vor zehn Jahren reichte es noch aus, über einen Verhaltenskodex, eine Hotline und ein jährliches Schulungsmodul zu verfügen. Heute erwarten Aufsichtsbehörden, Investoren, Kunden und Gerichte ein strukturierteres Konzept: ein System, das nachweisbar, überprüfbar und verbesserungsfähig ist. Die Norm ISO 37301 legt fest, wie ein solches System aussehen muss.

Der Standard ist bewusst breit gefasst. Er gilt für Sanktionen, Korruptionsbekämpfung, Datenschutz, Wettbewerbsrecht, Menschenrechte, Einhaltung von Umweltvorschriften und alle anderen Bereiche, in denen Ihr Unternehmen Verpflichtungen hat. Die Frage ist nicht, ob ISO 37301 relevant ist – das ist sie mit ziemlicher Sicherheit. Die Frage ist, ob Sie jetzt darauf reagieren müssen.

Wenn Ihnen einer der folgenden Punkte bekannt vorkommt, lautet die Antwort wahrscheinlich „Ja“.

1. Ihre Compliance-Arbeit findet in Richtlinien statt, nicht in einem System

Sie haben Richtlinien. Vielleicht haben Sie sogar eine ganze Menge davon. Doch wenn jemand fragt, wie sich diese Richtlinien in alltägliche Kontrollen, Überwachungsmaßnahmen und Nachweise umsetzen lassen, fällt die Antwort schwerer. Richtlinien beschreiben die Absicht. Ein Managementsystem beschreibt hingegen, wie diese Absicht in die Praxis umgesetzt wird – wer für welche Verpflichtung zuständig ist, wie diese überwacht wird, welche Nachweise gesammelt werden, wie mit Ausnahmen umgegangen wird und wie sich das Ganze im Laufe der Zeit verbessert.

Die Norm ISO 37301 zwingt zu diesem Wandel. Sie fragt nicht danach, was man zu tun verspricht, sondern wie man nachweist, dass man es auch tut. Unternehmen, die den Schritt von einer bloßen Sammlung von Richtlinien hin zu einem gestützten System vollziehen, stoßen fast immer auf Lücken, von denen sie nichts wussten – Verpflichtungen ohne Verantwortlichen, Kontrollen ohne Überwachung, Schulungen, deren Verlauf niemand nachverfolgt.

2. Du kannst die Frage „Woher weißt du, dass es funktioniert?“ nicht beantworten.

Vorstände, Aufsichtsbehörden und Wirtschaftsprüfer stellen zunehmend eine ähnliche Frage: Woher wissen Sie, dass Ihr Compliance-Programm wirksam ist? Anekdoten und einwandfreie Prüfungsberichte reichen nicht aus. Erwartet werden Kennzahlen, Überwachung und ein Feedback-Kreislauf, der im Laufe der Zeit den Nachweis der Wirksamkeit erbringt.

Die Norm ISO 37301 verankert diese Anforderung. Die Abschnitte zu Leistungsbewertung, interner Auditierung, Managementbewertung und kontinuierlicher Verbesserung verpflichten Organisationen dazu, Ergebnisse zu überwachen, Probleme aufzudecken und entsprechende Maßnahmen zu ergreifen. Das Ergebnis ist ein Programm, das die Frage nach der Wirksamkeit mit Daten – und nicht mit bloßen Behauptungen – beantworten kann.

3. Compliance findet nur dann Beachtung, wenn etwas schiefgeht

In vielen Unternehmen wird Compliance eher reaktiv gehandhabt. Es gibt eine große Schlagzeile, eine behördliche Durchsetzungsmaßnahme, eine Meldung eines Whistleblowers – und plötzlich hat das Compliance-Team die Aufmerksamkeit der Führungskräfte. Dann kehrt wieder Ruhe ein, und Compliance rückt wieder in den Hintergrund.

Ein gut konzipiertes CMS ist nicht auf Krisen angewiesen, um Aufmerksamkeit zu erlangen. Die Norm ISO 37301 verlangt das Engagement der Unternehmensleitung, klar definierte Rollen und Verantwortlichkeiten, die Integration in Geschäftsprozesse sowie eine regelmäßige Berichterstattung an die Kontrollgremien. Dadurch wird die Compliance von einem ereignisgesteuerten zu einem fest verankerten Prozess – was auch zunehmend den Erwartungen der Aufsichtsbehörden entspricht.

4. Sie sind in verschiedenen Rechtsräumen tätig, ohne über einen einheitlichen Rahmen zu verfügen

Wenn Ihr Unternehmen in mehr als einem Land tätig ist, sehen Sie sich mit ziemlicher Sicherheit mit sich überschneidenden und mitunter widersprüchlichen Compliance-Verpflichtungen konfrontiert. Sanktionsregelungen variieren. Datenschutzgesetze unterscheiden sich. Die Prioritäten bei der Durchsetzung von Anti-Korruptionsvorschriften sind nicht einheitlich. Ohne einen einheitlichen Rahmen wird Compliance zu einem Flickenteppich lokaler Maßnahmen, ohne dass es eine einheitliche Methode zum Vergleichen, Priorisieren oder Berichten gibt.

Die Norm ISO 37301 bietet diesen Rahmen. Sie ersetzt keine lokalen gesetzlichen Anforderungen – sie bietet Ihnen vielmehr einen strukturierten Ansatz, um diese zu ermitteln, zuzuordnen, zu kontrollieren und zusammenzufassen. Für Unternehmen, die in mehreren Rechtsräumen tätig sind, ist dies oft der größte praktische Vorteil einer Zertifizierung.

5. Sie müssen die Einhaltung der Vorschriften nicht nur intern, sondern auch nach außen hin nachweisen

Kunden verlangen Nachweise. Investoren stellen Fragen zu ESG und Unternehmensführung. Aufsichtsbehörden wollen wissen, wie Sie Risiken managen. Partner erkundigen sich, bevor sie einen Vertrag unterzeichnen. Die externen Anforderungen an den Nachweis der Compliance sind stark gestiegen, und eine interne Bestätigung hat längst nicht mehr das gleiche Gewicht wie früher.

Die ISO 37301-Zertifizierung ist ein unabhängiger Nachweis durch eine dritte Partei, dass Ihr CMS einen internationalen Standard erfüllt. Sie garantiert zwar kein vorbildliches Verhalten, liefert jedoch die strukturierte, extern verifizierte Antwort, die von den Interessengruppen zunehmend gefordert wird. Für Organisationen, die ihre Compliance-Reife immer wieder gegenüber externen Parteien nachweisen müssen, macht sich die Zertifizierung oft durch geringere Reibungsverluste bezahlt.

Was die Norm ISO 37301 nicht ist

Man sollte sich darüber im Klaren sein, was die Norm nicht leistet. Die ISO 37301 gibt keine Auskunft darüber, welche Gesetze für Ihr Unternehmen gelten – das ist Ihre Aufgabe. Sie ersetzt keine fachliche Beratung zu Sanktionen, Korruptionsbekämpfung, Datenschutz oder anderen Fachgebieten. Und sie beseitigt keine Compliance-Risiken. Was sie jedoch leistet, ist die Bereitstellung einer bewährten, international anerkannten Struktur für das Management dieser Risiken.

Unternehmen, die bereits über ausgereifte Compliance-Programme verfügen, stellen oft fest, dass die Norm ISO 37301 lediglich das formalisiert, was sie ohnehin schon tun. Unternehmen, die sich noch in einer früheren Phase dieses Prozesses befinden, empfinden die Norm als nützliche Vorlage, die ihnen die Entwicklung eines eigenen Konzepts erspart. So oder so: Die Norm passt sich Ihrem jeweiligen Stand an.

Wo soll ich anfangen?

Sollte eines der fünf oben genannten Anzeichen auf Sie zutreffen, bedeutet das nicht zwangsläufig, dass Sie sich sofort für eine Zertifizierung entscheiden müssen. Der nächste Schritt besteht vielmehr darin, intern ein Verständnis dafür zu entwickeln, was die Norm tatsächlich verlangt – und inwieweit Ihre bestehenden Aktivitäten diesen Anforderungen entsprechen. Bei einigen Klauseln sind die meisten Organisationen weiter, als sie denken, bei anderen hingegen weiter zurück, als sie glauben. Zu wissen, wo genau der Stand ist, macht den Unterschied zwischen einem produktiven und einem frustrierenden Weg zur ISO 37301-Zertifizierung aus.

Der effizienteste Weg, diese interne Sichtweise zu entwickeln, besteht darin, ein kleines Team in Bezug auf die Norm selbst zu schulen. Ein geschultes internes Team kann die ISO 37301 lesen, erkennen, inwieweit Ihr aktuelles Programm den Anforderungen entspricht, und feststellen, wo dies nicht der Fall ist – ohne Kosten oder Abhängigkeit von externen Parteien. Wie es von dort aus weitergeht, hängt von Ihrer Bereitschaft, Ihren Stakeholdern und Ihrem Zeitplan ab. Einige Organisationen streben direkt eine Zertifizierung an. Andere nutzen die Norm intern, um ihr Programm weiterzuentwickeln, bevor sie eine externe Bestätigung einholen. Beides ist legitim.

Sind Sie bereit für die Zertifizierung nach ISO 37301? Speeki zertifiziert Organisationen nach ISO 37301 und bietet Schulungen für interne Auditoren und leitende Auditoren über Speeki Executive Educationan.

Kontaktieren Sie uns , um über Zertifizierung oder Schulungen zu sprechen.

ISO 37301ZertifizierungKonformität

Scott Lane

5 Anzeichen dafür, dass Ihr Compliance-Managementsystem zertifiziert werden muss

1. Ihre Compliance-Arbeit findet in Richtlinien statt, nicht in einem System

2. Du kannst die Frage „Woher weißt du, dass es funktioniert?“ nicht beantworten.

3. Compliance findet nur dann Beachtung, wenn etwas schiefgeht

4. Sie sind in verschiedenen Rechtsräumen tätig, ohne über einen einheitlichen Rahmen zu verfügen

5. Sie müssen die Einhaltung der Vorschriften nicht nur intern, sondern auch nach außen hin nachweisen

Was die Norm ISO 37301 nicht ist

Wo soll ich anfangen?

Ausgewählte Lösungen

Warum Speeki Assurance?

Die KI-gestützte Engage®-Plattform und unsere KI-Entwicklung

5 Anzeichen dafür, dass Ihr Compliance-Managementsystem zertifiziert werden muss

1. Ihre Compliance-Arbeit findet in Richtlinien statt, nicht in einem System

2. Du kannst die Frage „Woher weißt du, dass es funktioniert?“ nicht beantworten.

3. Compliance findet nur dann Beachtung, wenn etwas schiefgeht

4. Sie sind in verschiedenen Rechtsräumen tätig, ohne über einen einheitlichen Rahmen zu verfügen

5. Sie müssen die Einhaltung der Vorschriften nicht nur intern, sondern auch nach außen hin nachweisen

Was die Norm ISO 37301 nicht ist

Wo soll ich anfangen?

Nachhaltige Compliance: Was ein System leisten muss, wenn es auf die Probe gestellt wird

Ausgewählte Lösungen

Warum Speeki Assurance?

Die KI-gestützte Engage®-Plattform und unsere KI-Entwicklung