Die neue ISO 37301 – Compliance Management – löst sie die ISO 9001 ab?

Es ist vollbracht: Nach langer internationaler Zusammenarbeit wurde im April 2021 ISO37301:2021 Compliance Managementsysteme – Anforderungen mit Anleitung zur Anwendung verabschiedet und veröffentlicht.

Eine Aufnahme in das Deutsche Normungswerk DIN ist geplant, ein entsprechender Entwurf bereits veröffentlicht. 

Im Gegensatz zur zurückgezogenen Vorgänger-Norm (DIN ISO 19600 Compliance Managementsysteme – Leitlinien) ist die jetzige Norm akkreditierungsfähig. Die praktischen Auswirkungen auf Unternehmen sind bei der Erfüllung der Normenanforderungen „Übereinstimmung“ (Compliance) nicht ad hoc eindeutig. Vielmehr schweigt die Norm bewusst darüber, worüber denn nun organisationsbezogen konkret Übereinstimmung erzielt werden soll.
In der Praxis definieren Organisationen für sich als Referenzwert für die Prüfung und Bewertung häufig ihre Übereinstimmung mit den rechtlichen und sonstigen Anforderungen, wie z.B. Genehmigungen, Verträge oder interne Vorgaben. Damit wird aus Compliance Management jedoch (nur) Legal Compliance Management. Das ist zwar nicht falsch, aber fasst nicht die Gesamtheit des Begriffs Compliance.

Mit der Anwendung der ISO 37301 erweitern Unternehmen also ihre Risikobetrachtung und Bewertung auf die Ebene aller organisationsbezogenen, rechtlichen und sonstigen Anforderungen gemäß ihrer jeweiligen Schutzbedarfsanalyse. Diese können sowohl aus dem Bereich der Qualitätssicherung, als auch aus den Bereichen der Nachhaltigkeit sowie des Klima- und Umweltschutzes, des Arbeits- und Gesundheitsschutzes, des Datenschutzes und der Informationssicherheit oder dem Bereich Finanzierung/Steuern stammen.
Im Bereich der Qualitätssicherung hat sich die ISO 9001 branchenübergreifend etabliert. Hier liegt der Fokus auf der Erfüllung von Qualitätsanforderungen für Produkte und Dienstleistungen. Diese sollen zur Zufriedenheit des Kunden hergestellt, in Verkehr gebracht oder erbracht werden.
Wann die Kundenzufriedenheit tatsächlich eintritt oder jedenfalls eintreten soll, ist abhängig von den vertraglichen Vereinbarungen und ggf. auch der Erfüllung gesetzlicher und/oder behördlicher Anforderungen. Ein Teil Legal Compliance Management steckt also auch in der ISO 9001.
Auch in der aktuellen Fassung der Verordnung über die Vergabe öffentlicher Aufträge(Vergabeverordnung – VgV) ist geregelt, dass als Beleg der Einhaltung von Normen der Qualitätssicherung und des Umweltmanagements durch den am Vergabeverfahren beteiligten Bieter von diesem der Nachweis über eine aktuell gültige Zertifizierung nach ISO 9001 und/oder ISO 14001 vorliegen muss. Es steckt also auch in Legal Compliance immer ein Stück Qualitätsmanagement.
Da die ISO 37301 ebenfalls nach der High Level Structure aufgebaut ist, ist deren Integration auch in ein bereits bestehendes ISO zertifiziertes Managementsystemmöglich und zulässig.

Fazit

(1) Mit der ISO 37301 erweitern sich die Möglichkeiten des qualifizierten Nachweises eines geprüften und zertifizierten Umgangs mit Risiken und Chancen auf alle regulatorischen und sonstigen Anforderungen der Organisation. Dies kann risikominimierend wirken.
(2) Aufgrund der High Level Structure bestehen gute Voraussetzungen für die Integration eines Compliance Managements in ein bereits bestehendes, ISO zertifiziertes oder daran orientiertes Managementsystem.
(3) Mit der ISO 37301 erfolgt in Bezug zur ISO 9001 eine schärfere Abgrenzung der Wechselbeziehungen zwischen Compliance/Legal Compliance und Qualitätsaspekten. Eine Erweiterung der Risikoermittlungs- und Beurteilungsperspektive über die Qualitätssicherungsprozesse hinaus auf alle Compliance/Legal Compliance Risiken könnte für Unternehmen die bisher nur aus Sicht der Qualitätssicherung nach ISO ISO 9001 agiert haben, erhebliches Potential der ständigen Verbesserung ihres Managementsystems generieren.
(4) Die ISO 9001 wird damit nicht überflüssig und es besteht keine Notwendigkeit sich von ihr zu verabschieden. Eine Erweiterung und Integrierung der ISO 37301 in ein bestehendes QM-System stellt jedoch ein modernes Upgrade des bewährten Regelwerks dar.