ISO 37301 ist eine internationale Norm, die Anforderungen an Compliance-Management-Systeme (CMS) festlegt. Ein CMS ist ein systematischer Ansatz zur Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben.

ISO 37301 ist für alle Arten von Organisationen geeignet, unabhängig von Größe, Branche oder Standort. Sie kann von Organisationen jeder Größe implementiert werden, um ihre Compliance-Risiken zu senken und ihre Compliance-Kultur zu verbessern.

ISO 37301 basiert auf den folgenden Prinzipien:

  • Top-Management-Engagement
  • Risikobasierter Ansatz
  • Proportionalität
  • Kontinuierliche Verbesserung

Die Norm umfasst die folgenden Anforderungen:

  • Einrichtung einer Compliance-Organisation
  • Identifizierung und Bewertung von Compliance-Risiken
  • Entwicklung und Umsetzung von Compliance-Maßnahmen
  • Überwachung und Überprüfung der Wirksamkeit des CMS
  • Kontinuierliche Verbesserung des CMS

ISO 37301 kann von Organisationen als Grundlage für die Entwicklung und Implementierung eines effektiven CMS verwendet werden. Die Norm kann auch von Organisationen genutzt werden, um ihr vorhandenes CMS zu überprüfen und zu verbessern.

Die Vorteile der Implementierung von ISO 37301 umfassen:

  • Reduzierung von Compliance-Risiken
  • Verbesserung der Compliance-Kultur
  • Steigerung des Vertrauens von Kunden, Investoren und Mitarbeitern
  • Verbesserung der Unternehmenseffizienz
  • Vermeidung von Bußgeldern und anderen Sanktionen

ISO 37301 ist eine wichtige Norm für Organisationen, die ihre Compliance-Risiken senken und ihre Compliance-Kultur verbessern möchten. Die Norm kann von Organisationen jeder Größe implementiert werden, um ihre Compliance-Ziele zu erreichen.

Hier sind einige Beispiele für Organisationen, die von der Implementierung von ISO 37301 profitieren können:

  • Unternehmen, die in regulierten Branchen tätig sind, z. B. Finanzdienstleistungen, Gesundheitswesen und Lebensmittelindustrie
  • Unternehmen, die mit sensiblen Daten umgehen, z. B. personenbezogenen Daten und Finanzdaten
  • Unternehmen, die grenzüberschreitend tätig sind
  • Unternehmen, die sich für eine gute Corporate Governance einsetzen

Wenn Sie mehr über ISO 37301 erfahren möchten, können Sie sich an eine Zertifizierungsgesellschaft wenden oder die Website der Internationalen Organisation für Normung (ISO) besuchen.

By: Bard

ISO 37301 für den Mittelstand

ISO 37301 für den Mittelstand: Warum kein Unternehmen zu klein für Compliance ist

Compliance ist keine Frage der Unternehmensgröße.

„Für Compliance sind wir zu klein.“ Kaum ein Satz beschreibt das Verhältnis vieler mittelständischer Unternehmen zum Thema Compliance besser. Auf den ersten Blick scheint die Einschätzung nachvollziehbar. Mittelständler arbeiten häufig mit kurzen Entscheidungswegen, direkter Kommunikation und persönlichem Vertrauen. Viele Risiken werden durch Erfahrung, Nähe und Verantwortungsbewusstsein gesteuert.

Doch genau darin liegt eine Herausforderung: Solange ein Unternehmen überschaubar bleibt und Schlüsselpersonen verfügbar sind, funktionieren gewachsene Strukturen oft hervorragend. Kritisch wird es, wenn Anforderungen steigen, Mitarbeitende wechseln, Kunden Nachweise verlangen oder neue regulatorische Pflichten entstehen.

Die entscheidende Frage lautet deshalb nicht:

Ist unser Unternehmen groß genug für Compliance?

Die bessere Frage lautet:

Ist unser Unternehmen so organisiert, dass wir unsere wichtigsten Verpflichtungen zuverlässig kennen und erfüllen?

Genau an diesem Punkt setzt die internationale Norm ISO 37301 für Compliance Management Systeme (CMS) an.

Was ist ISO 37301?

Die ISO 37301:2021 Compliance Management Systems – Requirements with Guidance for Use ist ein internationaler Standard für Aufbau, Umsetzung, Bewertung und kontinuierliche Verbesserung eines Compliance Management Systems. Die Norm wurde bewusst so entwickelt, dass sie auf unterschiedliche Organisationen angewendet werden kann – unabhängig von Größe, Branche oder Organisationsform.

Das bedeutet: Ein mittelständisches Unternehmen muss keine Konzernstrukturen aufbauen, um ISO 37301 umzusetzen. Entscheidend ist ein angemessenes System, das zu den tatsächlichen Risiken, Verpflichtungen und Ressourcen des Unternehmens passt.

Oder besser gesagt: ISO 37301 verlangt nicht mehr Compliance. Sie verlangt besser organisierte Compliance.

Warum Compliance im Mittelstand immer wichtiger wird

Viele Unternehmen verbinden Compliance noch immer vor allem mit Großkonzernen, Finanzunternehmen oder internationalen Organisationen. Die Realität sieht anders aus.

Auch kleine und mittlere Unternehmen bewegen sich heute in einem Umfeld wachsender Anforderungen. Datenschutz, Arbeitsschutz, Informationssicherheit, Nachhaltigkeit, Lieferkettenanforderungen, Korruptionsprävention oder der verantwortungsvolle Einsatz künstlicher Intelligenz betreffen längst nicht mehr ausschließlich große Unternehmen.

Gleichzeitig steigen die Erwartungen von Geschäftspartnern. Immer häufiger fragen Kunden nicht nur: „Was können Sie liefern?“, sondern auch: „Wie stellen Sie sicher, dass Anforderungen eingehalten werden?“ Ein strukturiertes Compliance Management System wird damit zunehmend Teil professioneller Unternehmensführung.

Bedeutet ISO 37301 mehr Bürokratie?

Diese Sorge ist einer der häufigsten Einwände. Und sie ist nicht unbegründet. Ein schlecht eingeführtes Compliance-System kann tatsächlich zusätzlichen Aufwand erzeugen. Wenn Richtlinien geschrieben werden, die niemand nutzt, Formulare entstehen, die keinen Mehrwert bringen, oder Prozesse geschaffen werden, die nicht zur Realität passen, verfehlt Compliance ihren Zweck.

Aber genau das entspricht nicht dem Grundgedanken der ISO 37301. Ein wirksames Compliance Management System fragt nicht:

Welche Dokumente brauchen wir für die Norm?

Es fragt:

Welche Strukturen brauchen wir, damit unser Unternehmen sicher und nachvollziehbar gesteuert wird?

Der Unterschied ist entscheidend. Dokumentation ist nicht das Ziel. Sie ist nur ein Werkzeug.

ISO 37301 macht vorhandene Verantwortung sichtbar

In vielen mittelständischen Unternehmen existiert bereits viel gelebte Compliance. Der Unterschied: Sie ist häufig nicht systematisch organisiert. Ein langjähriger Mitarbeiter kennt die Anforderungen eines wichtigen Kunden. Eine Führungskraft verfolgt neue gesetzliche Entwicklungen. Eine andere Person kümmert sich um Schulungen oder interne Regeln. Das funktioniert – solange alle Beteiligten verfügbar sind.

Doch was passiert bei Wachstum, Personalwechsel oder neuen Anforderungen? Ein Compliance Management System nach ISO 37301 hilft dabei, Wissen aus einzelnen Köpfen in stabile Unternehmensprozesse zu übertragen. Es schafft Klarheit darüber, wer welche Verantwortung trägt, welche Anforderungen relevant sind und wie deren Umsetzung überprüft wird.

Compliance-Risiken erkennen, bevor Probleme entstehen

Moderne Compliance bedeutet nicht, erst auf Verstöße zu reagieren. Der Kern eines wirksamen CMS ist ein präventiver Ansatz. Unternehmen sollen ihre Compliance-Verpflichtungen verstehen, Risiken bewerten und geeignete Maßnahmen festlegen.

Dabei geht es nicht darum, jedes theoretische Risiko gleich intensiv zu behandeln. Entscheidend ist eine risikobasierte Betrachtung. Ein produzierendes Unternehmen hat andere Compliance-Schwerpunkte als ein IT-Dienstleister. Ein international tätiger Zulieferer andere Anforderungen als ein regionaler Betrieb. ISO 37301 liefert hierfür einen strukturierten Rahmen.

Neue Herausforderung 2026: KI als Compliance-Thema

Ein aktuelles Beispiel zeigt, warum strukturierte Compliance-Prozesse wichtiger werden: künstliche Intelligenz. Mit dem europäischen AI Act entstehen neue Anforderungen rund um den Einsatz bestimmter KI-Systeme. Unternehmen müssen verstehen, welche Technologien genutzt werden, welche Verantwortlichkeiten bestehen und welche Anforderungen daraus entstehen.

KI-Compliance ist dabei kein isoliertes IT-Thema. Es geht um typische Fragen eines Managementsystems:

  • Wer entscheidet über den Einsatz?
  • Welche Risiken bestehen?
  • Welche Regeln gelten?
  • Wie werden Mitarbeitende informiert?
  • Wie wird die Einhaltung überprüft?

Genau für solche neuen Anforderungen bietet ISO 37301 eine organisatorische Grundlage.

Für wen lohnt sich ISO 37301 nicht?

Ein realistischer Blick gehört dazu. ISO 37301 ist nicht die richtige Lösung, wenn ein Unternehmen lediglich ein Zertifikat anstrebt oder fertige Standarddokumente übernehmen möchte. Ein Compliance Management System funktioniert nur, wenn Führung und Organisation dahinterstehen. Compliance lässt sich nicht vollständig auslagern und nicht durch einen Ordner voller Richtlinien ersetzen.

Der Wert entsteht durch Anwendung.

Wie gelingt der Einstieg in ISO 37301?

Der erfolgreiche Einstieg beginnt meistens nicht mit einem großen Projekt. Sinnvoller ist eine Standortbestimmung, zum Beispiel mit dem Quick-Check von SAT.

  • Welche Compliance-Anforderungen betreffen unser Unternehmen bereits heute?
  • Welche Risiken sind wesentlich?
  • Wo bestehen klare Verantwortlichkeiten – und wo hängt Wissen nur an einzelnen Personen?
  • Welche Nachweise erwarten Kunden, Behörden oder Geschäftspartner?

Aus diesen Antworten entsteht Schritt für Schritt ein angemessenes Compliance Management System.

ISO 37301 macht Compliance im Mittelstand beherrschbar

Mittelständische Unternehmen brauchen keine komplizierte Konzern-Compliance. Sie brauchen ein System, das zu ihrer Realität passt. Die ISO 37301 hilft dabei, vorhandene Verantwortung sichtbar zu machen, Risiken strukturiert zu steuern und Vertrauen gegenüber Kunden, Mitarbeitenden und Geschäftspartnern aufzubauen.

Am Ende geht es um drei einfache Fragen:

  • Wissen wir, welche Regeln für uns gelten?
  • Ist klar, wer Verantwortung übernimmt?
  • Können wir zeigen, dass unser System funktioniert?

Wenn die Antwort darauf unsicher ist, ist ein Unternehmen nicht zu klein für Compliance.

 

FAQ: ISO 37301 im Mittelstand

Nein. ISO 37301 ist für Organisationen unterschiedlicher Größe und Branche konzipiert. Entscheidend ist eine angemessene Umsetzung entsprechend der eigenen Risiken.

Nein. Unternehmen können die Prinzipien der Norm nutzen, ohne eine Zertifizierung anzustreben. Eine Zertifizierung kann jedoch gegenüber Kunden und Partnern einen zusätzlichen Nachweis bieten.

Nein. ISO 37301 ersetzt keine Bewertung einzelner Rechtsfragen. Die Norm stellt einen organisatorischen Rahmen bereit, um Compliance-Verpflichtungen systematisch zu steuern.

Das hängt von Größe, Struktur und vorhandenen Prozessen ab. Viele mittelständische Unternehmen verfügen bereits über Grundlagen, die systematisch weiterentwickelt werden können.

 

Audit

Compliance-Audits 2026: Warum Nachweise wichtiger sind als gute Absichten

Unternehmen stehen heute vor einer Vielzahl von Compliance-Anforderungen — vom Datenschutz über Arbeitsschutz und Umweltrecht bis hin zu IT-Sicherheit, Lieferkettenpflichten und Nachhaltigkeitsvorgaben. Die eigentliche Herausforderung liegt nicht darin, dass es diese Anforderungen gibt. Die Herausforderung liegt darin, sie im Unternehmen vollständig zu identifizieren, richtig zu bewerten, in konkrete Maßnahmen zu übersetzen und ihre Umsetzung auditfest nachzuweisen.

Genau hier trennt sich formale Regelkenntnis von wirksamer Compliance in der Praxis. Ein Compliance-Audit prüft nicht nur, ob Vorgaben bekannt sind. Es prüft, ob ein Unternehmen seine Pflichten systematisch steuert: mit klaren Zuständigkeiten, dokumentierten Maßnahmen, nachvollziehbaren Nachweisen und regelmäßiger Wirksamkeitskontrolle.

Warum Compliance-Audits 2026 wichtiger werden

Die regulatorische Dichte nimmt weiter zu. Unternehmen müssen heute nicht mehr nur einzelne Gesetze kennen, sondern ihre Pflichten aus Datenschutz, Lieferkette, IT-Sicherheit, Nachhaltigkeit, Produktsicherheit, Arbeitsschutz, Umweltrecht und KI-Nutzung zusammenführen.

Mehrere aktuelle Regelwerke setzen ausdrücklich auf Risikomanagement, Dokumentation, Kontrolle und Nachweisfähigkeit. Die Datenschutz-Grundverordnung verlangt etwa, dass Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Auch die NIS-2-Richtlinie verpflichtet betroffene Einrichtungen zu technischen, operativen und organisatorischen Cybersecurity-Risikomanagementmaßnahmen. Die EU-Richtlinie zur unternehmerischen Nachhaltigkeitssorgfaltspflicht verpflichtet große Unternehmen zu Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt in eigenen Tätigkeiten, Tochterunternehmen und Wertschöpfungsketten.

Für Unternehmen bedeutet das: Compliance muss beweisbar werden. Ein bloßer Hinweis wie „Das machen wir schon“ reicht im Audit nicht.

Was ein gutes Compliance-Audit leisten sollte

Ein Compliance-Audit sollte nicht nur prüfen, ob Anforderungen formal bekannt sind. Es sollte zeigen, ob ein Unternehmen seine wesentlichen Compliance-Risiken systematisch steuert — mit klaren Verantwortlichkeiten, dokumentierten Maßnahmen, wirksamen Kontrollen und nachvollziehbaren Nachweisen. Als belastbarer Orientierungsrahmen eignet sich hierfür insbesondere ISO 37001.

Ein guter Auditansatz ist nicht nur kontrollierend, sondern steuernd: Er hilft Unternehmen, risikobehaftete Prozesse zu erkennen, Verantwortlichkeiten zu klären, Präventionsmaßnahmen zu überprüfen und Nachweise so zu strukturieren, dass sie im Ernstfall schnell auffindbar sind.

Der häufigste Fehler: Pflichten sind bekannt, aber nicht prüfbar dokumentiert

In vielen Unternehmen existieren Compliance-Maßnahmen verstreut in E-Mails, Excel-Listen, SharePoint-Ordnern, Ticketsystemen oder Abteilungsablagen. Das ist im Tagesgeschäft verständlich — im Audit aber riskant.

Typische Schwachstellen sind:

Schwachstelle Warum sie im Audit problematisch ist
Keine zentrale Übersicht über geltende Pflichten Das Unternehmen kann nicht zeigen, dass es relevante Anforderungen vollständig identifiziert hat.
Unklare Zuständigkeiten Maßnahmen bleiben liegen oder werden mehrfach, aber nicht verbindlich bearbeitet.
Fehlende Fristenüberwachung Gesetzliche Melde-, Prüf- oder Aktualisierungspflichten werden übersehen.
Maßnahmen ohne Nachweis Eine Maßnahme mag umgesetzt sein, ist aber nicht belegbar.
Keine Wirksamkeitskontrolle Das Unternehmen weiß nicht, ob Richtlinien, Schulungen oder Kontrollen tatsächlich funktionieren.

Gerade deshalb ist ein gepflegtes Rechtskataster für viele Unternehmen mehr als eine Übersicht. Es ist die Grundlage für auditfähige Compliance-Steuerung.

Die 10-Schritte-Checkliste für auditfeste Compliance

  1. Geltungsbereich festlegen

Vor jedem Audit sollte klar sein, welche Standorte, Gesellschaften, Prozesse, Rechtsbereiche und Managementsysteme betrachtet werden. Ohne definierten Geltungsbereich entsteht schnell ein Audit, das entweder zu oberflächlich bleibt oder sich in Einzelfragen verliert.

Praktisch heißt das: Unternehmen sollten vorab festlegen, ob etwa Datenschutz, Arbeitsschutz, Umweltrecht, IT-Sicherheit, Lieferkettenpflichten, KI-Nutzung oder branchenspezifische Pflichten geprüft werden.

  1. Relevante Pflichten im Rechtskataster erfassen

Das Rechtskataster sollte nicht nur Gesetze sammeln. Entscheidend ist die Übersetzung in konkrete Unternehmenspflichten.

Ein nutzwertiger Aufbau ist:

Feld im Rechtskataster Beispiel
Rechtsquelle Gesetz, Verordnung, Norm, Genehmigung, Bescheid
konkrete Pflicht Prüfung, Meldung, Schulung, Dokumentation, Risikoanalyse
betroffener Bereich Einkauf, HR, Produktion, IT, Datenschutz, Facility Management
Verantwortlicher Person oder Rolle
Frist / Intervall einmalig, jährlich, anlassbezogen, monatlich
Maßnahme Was muss getan werden?
Nachweis Womit wird die Erfüllung belegt?
Status offen, in Bearbeitung, umgesetzt, überfällig
letzte Prüfung Datum der letzten Kontrolle
nächste Prüfung Datum der nächsten Kontrolle

Die BAFA-Handreichungen zum Lieferkettensorgfaltspflichtengesetz zeigen beispielhaft, wie wichtig eine strukturierte Risikoermittlung, Gewichtung und Priorisierung ist. Dieses Prinzip lässt sich auch auf andere Compliance-Bereiche übertragen: Pflichten müssen nicht nur gesammelt, sondern bewertet und priorisiert werden.

  1. Risiken bewerten

Nicht jede Pflicht hat dieselbe Bedeutung. Ein wirksames Compliance-Audit sollte risikoorientiert vorgehen.

Dabei können Unternehmen prüfen:

Bewertungsfrage Nutzen
Wie wahrscheinlich ist ein Verstoß? Priorisierung knapper Ressourcen
Wie schwer wären die Folgen? Fokus auf Bußgelder, Haftung, Betriebsunterbrechung, Reputationsschäden
Welche Bereiche sind besonders betroffen? zielgenaue Maßnahmenplanung
Gibt es neue rechtliche Anforderungen? Aktualisierung des Rechtskatasters
Gab es Vorfälle, Beschwerden oder Auditfeststellungen? Lernen aus tatsächlichen Schwachstellen

Auch die BAFA-Handreichung zum Prinzip der Angemessenheit zeigt, dass Umsetzungspflichten nicht losgelöst vom Risiko betrachtet werden sollten, sondern nach Art und Umfang der Geschäftstätigkeit, Einflussvermögen, Schwere und Wahrscheinlichkeit der Verletzung sowie Verursachungsbeitrag einzuordnen sind.

  1. Verantwortlichkeiten verbindlich zuordnen

Eine Pflicht ohne Verantwortlichen ist im Audit eine offene Flanke. Deshalb sollte jede relevante Compliance-Pflicht einer Rolle oder Person zugeordnet sein.

Wichtig ist dabei die Unterscheidung zwischen:

Rolle Aufgabe
Pflichtverantwortlicher sorgt für Umsetzung im Fachbereich
Compliance / Rechtsabteilung unterstützt, bewertet, koordiniert
Geschäftsleitung trägt Gesamtverantwortung und stellt Ressourcen bereit
Interne Revision / Auditfunktion prüft unabhängig oder risikoorientiert
Dokumentationsverantwortlicher stellt Nachweise vollständig bereit

Die NIS-2-Richtlinie zum Beispiel macht deutlich, dass Cybersicherheit nicht nur IT-Sache ist: Sie enthält Governance-Anforderungen und Risikomanagementmaßnahmen für betroffene Einrichtungen. Übertragen auf Compliance-Audits heißt das: Zuständigkeiten müssen auf Leitungsebene und in den Fachbereichen klar geregelt sein.

  1. Maßnahmen ableiten

Aus jeder relevanten Pflicht sollte mindestens eine konkrete Maßnahme folgen. Das kann eine Richtlinie, Schulung, Kontrolle, Prüfung, technische Maßnahme, Lieferantenbewertung oder Dokumentation sein.

Ein auditfähiger Maßnahmenplan sollte mindestens enthalten:

Element Leitfrage
Maßnahme Was wird konkret getan?
Ziel Welche Pflicht oder welches Risiko wird adressiert?
Verantwortlicher Wer setzt die Maßnahme um?
Frist Bis wann?
Nachweis Woran erkennt man die Umsetzung?
Wirksamkeitsprüfung Wie wird überprüft, ob die Maßnahme funktioniert?

Gerade hier entsteht der größte Nutzwert eines digitalen Rechtskatasters: Es verbindet Pflichten mit Aufgaben, Fristen, Nachweisen und Kontrollen.

  1. Nachweise definieren

Ein häufiger Irrtum lautet: „Wenn die Maßnahme erledigt ist, reicht das.“ Im Audit zählt aber, ob die Umsetzung nachvollziehbar belegt werden kann.

Beispiele für geeignete Nachweise:

Compliance-Bereich Mögliche Nachweise
Datenschutz Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept, Datenschutz-Folgenabschätzung, Schulungsnachweise
IT-Sicherheit Risikoanalysen, Backup-Protokolle, Incident-Reports, Berechtigungskonzepte
Arbeitsschutz Gefährdungsbeurteilungen, Unterweisungsnachweise, Prüfprotokolle
Umwelt / Energie Genehmigungen, Messberichte, Wartungsnachweise, Abfallnachweise
Lieferkette Risikoanalyse, Lieferantenbewertungen, Maßnahmenpläne, Beschwerdeverfahren
KI-Nutzung KI-Richtlinie, Tool-Verzeichnis, Risikobewertung, Transparenzhinweise, Schulungen

Auditfähigkeit entsteht nicht durch Absichtserklärungen, sondern durch belastbare Dokumente und überprüfbare Umsetzung.

  1. Wirksamkeit prüfen

Compliance ist nicht schon deshalb wirksam, weil eine Richtlinie veröffentlicht wurde. Unternehmen sollten regelmäßig prüfen, ob Maßnahmen tatsächlich funktionieren.

Geeignete Prüffragen sind:

Prüffrage Beispiel
Wird die Regel im Alltag angewendet? Stichproben in Prozessen
Verstehen Mitarbeitende die Vorgabe? Schulungstests oder Interviews
Gibt es Verstöße oder Beinahe-Vorfälle? Incident-Auswertung
Sind Nachweise vollständig? Dokumentenprüfung
Wurden Korrekturmaßnahmen umgesetzt? Follow-up-Audit

Die ISO 37301 betont nicht nur die Einführung, sondern auch Bewertung, Aufrechterhaltung und Verbesserung des Compliance-Management-Systems. Damit gehört Wirksamkeitskontrolle zum Kern einer lebendigen Compliance-Organisation.

  1. Abweichungen dokumentieren und Maßnahmen nachverfolgen

Ein Audit ohne Follow-up bringt wenig. Festgestellte Abweichungen sollten nicht in Protokollen verschwinden, sondern in konkrete Korrekturmaßnahmen überführt werden.

Ein praxistaugliches Abweichungsregister enthält:

Feld Zweck
Auditfeststellung Was wurde festgestellt?
Risiko Welche Auswirkung hat die Abweichung?
Ursache Warum ist die Abweichung entstanden?
Korrekturmaßnahme Was wird geändert?
Verantwortlicher Wer kümmert sich?
Frist Bis wann?
Status offen, in Bearbeitung, erledigt
Wirksamkeitsprüfung Hat die Maßnahme das Problem gelöst?

Das ist besonders wichtig, wenn Unternehmen mehrere Managementsysteme parallel betreiben, etwa Compliance, Informationssicherheit, Umweltmanagement oder Arbeitsschutz.

  1. Auditprogramm planen

Ein einzelnes Audit ist gut. Ein geplantes Auditprogramm ist besser. Unternehmen sollten deshalb festlegen, welche Bereiche wann, wie tief und durch wen geprüft werden. Ein einfaches Jahresprogramm kann so aussehen:

Quartal Schwerpunkt
Q1 Aktualität Rechtskataster, neue gesetzliche Anforderungen
Q2 Datenschutz, IT-Sicherheit, NIS-2-Betroffenheit
Q3 Arbeitsschutz, Umwelt, Anlagen- und Betriebspflichten
Q4 Lieferkette, Schulungen, Management-Review, Maßnahmen-Follow-up

Wichtig ist: Das Auditprogramm sollte risikoorientiert sein. Bereiche mit hohen Risiken, neuen Pflichten oder früheren Abweichungen sollten häufiger geprüft werden.

  1. Ergebnisse managementtauglich berichten

Ein Compliance-Audit sollte nicht in einer langen Mängelliste enden, die niemand liest. Die Geschäftsleitung braucht eine klare Entscheidungsgrundlage.

Ein guter Auditbericht beantwortet:

Frage Inhalt
Wo bestehen wesentliche Risiken? Top-Risiken und betroffene Bereiche
Welche Pflichten sind kritisch? Fristen, Bußgeldrisiken, Haftungsrisiken
Was funktioniert gut? vorhandene Stärken und wirksame Kontrollen
Wo bestehen Lücken? Abweichungen und Ursachen
Was muss entschieden werden? Ressourcen, Prioritäten, Verantwortlichkeiten
Bis wann muss gehandelt werden? Maßnahmenplan mit Fristen

Damit wird Compliance vom Kontrollthema zum Steuerungsinstrument.

Mini-Check: Ist Ihr Unternehmen auditbereit?

Unternehmen können mit diesen zehn Fragen schnell prüfen, wie auditfest ihre Compliance derzeit ist:

Frage Ja / Nein
Gibt es ein aktuelles Rechtskataster?
Sind alle Pflichten konkreten Verantwortlichen zugeordnet?
Gibt es Fristen und Wiedervorlagen?
Sind Maßnahmen aus Pflichten abgeleitet?
Gibt es zu jeder wesentlichen Maßnahme einen Nachweis?
Werden Risiken bewertet und priorisiert?
Werden Änderungen im Recht regelmäßig eingepflegt?
Werden Maßnahmen auf Wirksamkeit geprüft?
Gibt es ein Abweichungs- und Maßnahmenmanagement?
Erhält die Geschäftsleitung regelmäßige Compliance-Berichte?

Je häufiger die Antwort „Nein“ lautet, desto größer ist das Risiko, dass Compliance zwar organisatorisch gewollt, aber nicht auditfest nachweisbar ist.

Compliance braucht Belege, nicht Bauchgefühl

Compliance-Audits sind kein Selbstzweck. Sie zeigen, ob ein Unternehmen seine Pflichten kennt, Risiken angemessen bewertet, Maßnahmen wirksam umsetzt und Nachweise geordnet vorhalten kann.

Der größte Hebel liegt in der Verbindung von Rechtskataster, Risikobewertung, Maßnahmenmanagement und Nachweisführung. Wer diese vier Elemente sauber verknüpft, ist nicht nur besser auf Audits vorbereitet, sondern steuert Compliance auch im Alltag deutlich zuverlässiger.

Klimawandel

Klimawandel fließt in Zertifizierung ein

Die Beherrschung des Klimawandels ist eines der wichtigsten Themen unserer Zeit. Deshalb müssen ihn auch Unternehmen über ihren gesamten Geschäftsprozess hinweg berücksichtigen. Das internationale Akkreditierungsforum (IAF) und die Internationale Organisation für Normung (ISO) haben vor diesem Hintergrund noch einmal klargestellt und konkret ergänzt, dass Organisationen, die sich zertifizieren lassen wollen oder es bereits sind, das Thema Klimawandel in ihr Managementsystem einarbeiten und zertifizierende Auditoren diese Aspekte prüfen müssen.

IAF und ISO führen aus: „Diese zusätzlichen Aussagen in jeder Managementsystemnorm stellen sicher, dass dieses wichtige Thema nicht übersehen wird, sondern von allen Organisationen bei der Gestaltung und Umsetzung des Managementsystems berücksichtigt wird. [..] Diese neuen Einschlüsse stellen sicher, dass der Klimawandel im Managementsystem berücksichtigt wird und dass er ein externer Faktor ist, der für unsere Gemeinschaft wichtig genug ist, um von den Organisationen zu verlangen, ihn jetzt zu berücksichtigen. Es ist zu beachten, dass der Klimawandel unterschiedliche Auswirkungen auf die einzelnen Komponenten des Managementsystems haben kann. Die Auswirkungen auf ein Qualitätsmanagementsystem können zum Beispiel ganz anders sein als auf ein Gesundheits- und Sicherheitsmanagementsystem.“

Um welche Normen geht es?

Betroffen von dieser Erweiterung der Normen sind alle Typ-A ISO-Standards, also beispielsweise ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO 37301, ISO 45001 und ISO 50001. Relevant sind die Kapitel 4.1 und 4.2. Die Änderungen sind sofort ohne Übergangsfristen gültig und müssen von den Unternehmen zur Zertifizierung berücksichtigt werden.

Kapitel 4.1

Neu: „The organization shall determine whether climate change is a relevant issue”
Ein Unternehmen muss untersuchen und festlegen, ob der Klimawandel ein relevantes Thema ist. Daraus ist zu schlussfolgern, welche Folgen der Klimawandel für das Unternehmen einschließlich seinem Umfeld und welchen Einfluss er auf die Tätigkeit der Organisation hat.

Kapitel 4.2

Neu: „NOTE: Relevant interested parties can have requirements related to climate change“
Unternehmen müssen berücksichtigen, dass ab sofort relevante interessierte Parteien ab sofort Anforderungen an die Klimaziele formulieren können. Entsprechend muss der Klimawandel in den Managementsystemen berücksichtigt werden.

Wichtig: Bestehende Zertifikate bleiben gültig, wenn die Ergänzungen unmittelbar umgesetzt werden. Ansonsten droht Unternehmen bei einem Audit die Bescheinigung der „Nichtkonformität“.

Auswirkungen für zertifizierte Unternehmen

Bei unseren Audits werden wir wie alle anderen Auditoren auch ab sofort untersuchen, ob die relevanten Aspekte des Klimawandels in das Managementsystem integriert wurden. Sind Unternehmen nach mehreren Normen zertifiziert, müssen sie die ISO-Anforderungen in allen berücksichtigen. Eine Übersicht der betroffenen Normen finden Sie hier.

Klimawandel

Ist Ihr Rechtskataster fit für die neuen Anforderungen aus dem Klimawandel?

Die Internationale Organisation für Normung (ISO) hat ihre zertifizierbaren Managementsystem-Standards erweitert, nach denen sich Unternehmen zertifizieren lassen können. Bekanntgegeben hat sie das jüngst in einem Kommuniqué mit dem International Accreditation Forum (IAF). Demnach müssen Organisationen, die sich zertifizieren lassen wollen, bei ihrer Kontextanalyse auch die Bedeutung von Risiken des Klimawandels berücksichtigen.

Hinterfragt werden muss nun, ob der Klimawandel ein relevantes Thema für die Organisation ist und ob interessierte Parteien an sie Anforderungen in Bezug auf den Klimawandel stellen. Wenn die Organisation zu dem Ergebnis kommt, dass der Klimawandel für ihre Tätigkeit relevant ist, muss er bei der Gestaltung und Umsetzung des Managementsystems berücksichtigt werden. Wir bei SAT empfiehlt, auch bestehende Rechtskataster darauf zu untersuchen, ob sie die Aspekte des Klimawandels und die damit verbundenen gesetzlichen Anforderungen umfassend berücksichtigen.

Welche Normen von der Anpassung betroffen sind, lesen Sie ausführlich bei IAF und ISO. Die Erweiterung gilt demnach für alle ISO-Standards für Managementsysteme:  ISO 14001, ISO 15378, ISO 19443, ISO 21001, ISO 22000, ISO 22301, ISO 28000, ISO 29001, ISO 37001, ISO 45001, ISO 50001, ISO 9001, ISO/IEC 20000 und ISO/IEC 27001. Übrigens auch für die ISO 37301, obwohl sie noch nicht explizit genannt ist. Nachhaltigkeit wird so ein wesentlicher Bestandteil aller Managementsystemnormen.

Als interessierte Partei gilt im Management nach unserer Interpretation auch der Gesetzgeber. Dieser hat die Anforderung, dass die Organisation die Anforderungen aus dem regulatorischen Umfeld befolgt. Dementsprechend müssen Rechtskataster angepasst werden.

Anforderung interessierter Parteien können sein:

  • Vorschriften, die Anforderungen an die Energieeffizienz von Produktgruppen festlegen
  • Vorschriften, die Beschränkungen für bestimmte Produkte festlegen oder Steuern auf bestimmte gelieferte Produkte erheben usw.
  • Vorschriften in Bezug auf die Berichterstattung über Treibhausgas-Emissionen, die Zahlung von Kohlenstoffsteuern oder die Teilnahme an Emissionshandelssystemen.

Klimawandel im Managementsystem

IAF und ISO betonen in ihrem Kommuniqué: „Diese neuen Einschlüsse stellen sicher, dass der Klimawandel im Managementsystem berücksichtigt wird und dass er ein externer Faktor ist, der für unsere Gemeinschaft wichtig genug ist, um von den Organisationen zu verlangen, ihn jetzt zu berücksichtigen.“

SAT unterstützt Unternehmen bei der Einrichtung ihres Compliance Management Systems und bezieht bereits jetzt die Relevanz des Klimawandels individuell in die Kontext- und Risikoanalyse sowie in die Gestaltung des Rechtskatasters ein. Sprechen wir miteinander.

ISO 37301

ISO 37301 – Top oder Flop?

Die ISO 37301 ist eine internationale Norm für Compliance-Managementsysteme (CMS). Sie wurde im April 2021 veröffentlicht und ersetzt die ISO 19600. Wir sind überzeugt, dass die Norm in den kommenden Jahren immer wichtiger werden wird: Unternehmen sind zunehmend auf ein effektives CMS angewiesen, um Risiken zu minimieren und Reputationsschäden zu vermeiden.

In den gut zweieinhalb Jahren seit ihrer Einführung gab es einige wichtige Entwicklungen. Klar wird dadurch: Die ISO 37301 schreibt eine Erfolgsgeschichte.

  • Anzahl der Zertifizierungen: Die Anzahl der Zertifizierungen nach ISO 37301 ist seit der Veröffentlichung der Norm stetig gestiegen. Im Jahr 2023 wurden weltweit bereits über 20.000 Organisationen zertifiziert.
  • Neue Richtlinien: Im Jahr 2022 veröffentlichte die ISO eine Reihe von Richtlinien zur Unterstützung der Umsetzung der ISO 37301. Dazu gehören die ISO 37302 (Leitlinien für ein effektives Hinweisgebersystem), die ISO 37303 (Leitlinien für die Implementierung eines CMS) und die ISO 37304 (Leitlinien für die Bewertung eines CMS).
  • Lieferkettengesetz: Das deutsche Lieferkettengesetz, das im Januar 2023 in Kraft getreten ist, verpflichtet Unternehmen mit mehr als 3.000 Mitarbeitern, ein CMS einzurichten oder zu verbessern. Die neue Norm ist ein geeignetes Framework für die Umsetzung des Lieferkettengesetzes.

Compliance Management Systeme auf Basis der ISO 37301

Der internationale Standard legt die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und Verbesserung eines wirksamen Compliance-Managementsystems in einer Organisation fest. Das CMS soll Unternehmen dabei unterstützen, alle relevanten Rechtsnormen und Vorschriften einzuhalten sowie soziale und ethische Werte zu wahren.

Das sollten Sie wissen

  • Zweck: Die ISO 37301 soll Organisationen dabei helfen, Compliance-Risiken zu minimieren und ihre Reputation zu schützen.
  • Anforderungen: Die Norm stellt verbindliche Anforderungen an ein CMS.
  • Zertifizierung: Organisationen können sich nach ISO 37301 zertifizieren lassen.
  • Inhalt: Die Norm umfasst
    • Compliance-Politik
    • Compliance-Programm
    • Compliance-Organisation
    • Compliance-Kommunikation
    • Compliance-Überwachung und –Audits

Vorteile der Norm

Die Einführung eines CMS nach ISO 37301 bietet Organisationen etliche Vorteile:

  • Reduzierung von Compliance-Risiken: Ein effektives CMS kann dazu beitragen, dass Organisationen die relevanten Rechtsnormen und Vorschriften einhalten.
  • Verbesserte der Reputation: Organisationen, die ein wirksames CMS implementiert haben, werden von Kunden und Partnern als vertrauenswürdiger wahrgenommen.
  • Verbesserte Effizienz: Ein CMS kann dazu beitragen, dass Organisationen Compliance-Prozesse effizienter gestalten.
  • Verbesserte Compliance-Kultur: Mit einem Compliance Management System ist es möglich, in einer Organisation eine positive Compliance-Kultur zu entwickeln.

Wir bewerten die ISO 37301 vor allem im Hinblick auf seine internationale Anwendbarkeit und Zertifizierbarkeit als einen der wichtigsten A-Level-Standards der letzten Jahre. Er ist für Unternehmen weltweit unabhängig von Branche oder Größe anwendbar. Deshalb empfehlen wir, ein Compliance Management System auf Grundlage des neuen Standards aufzubauen.

Sprechen Sie uns gerne dazu an, wir bringen die notwendige Erfahrung mit, um Sie auf diesem Weg zu begleiten.

Sprechen wir miteinander!
ISO 37301:2021

Interpretation der Anforderungen aus der ISO 37301:2021 veröffentlicht

SAT-Geschäftsführer Stefan Pawils hat mit dem TÜV Rheinland eine topaktuelle Broschüre zur Interpretation der Anforderungen aus der ISO 37301:2021 veröffentlicht.  Der Titel „Die ISO 37301:2021“ ist nun im Webshop verfügbar. https://www.tuev-media.de/die-iso-37301:2021?sPartner=sat-team

ISO 37301

Die ISO 37301:2021 – Interpretation der Anforderungen

SAT-Geschäftsführer Stefan Pawils veröffentlicht mit dem TÜV Rheinland eine topaktuelle Broschüre zur Interpretation der Anforderungen aus der ISO 37301:2021. Sie ist in Kürze im TÜV Media Verlag erhältlich. Wir halten Sie auf dem Laufenden.

Beitrag teilen
ISO 37301

Die ISO 37301 ist da

Die ISO 37301 ist da: Die International Organization for Standardization (ISO) stellt seit kurzem das 40-seitige Dokument auf ihrer Website zur Verfügung. Damit ersetzt die neue ISO 37301 den ISO Standard 19600.

Mit der ISO 37301 setzt sich SAT bereits seit längerem auseinander und bereitet seine Kunden auf den neuen Standard vor. Sie erfüllt nun alle Anforderungen an einen modernen CMS-Prüfstandard: Die ISO 37301 betrachtet Compliance in sämtlichen Unternehmensbereichen, ist von jedem akkreditierten Prüfer und über sämtliche Branchen und Unternehmensgrößen hinweg zertifizierbar und international anerkannt. Dabei gibt der Standard klare Richtlinien vor. Er hilft damit beim Aufbau eines wirksamen Compliance-Management-Systems. Und die ISO 37301 gibt den Unternehmen und Organisationen die Chance, Ihre Compliance-Konformität durch eine international anerkannte externe Zertifizierung nachzuweisen.

Sprechen Sie jetzt mit uns, wie wir in Ihrem Unternehmen die ISO 37301 als Compliance Management Standard einführen können.

Beitrag teilen
Webinar

Webinar ISO 37301 – Aufbau eines Compliance Management Systems

Wachsende Regelungsdichte, neue Haftungsfragen für Führungskräfte, aber auch mit Reputationskrisen verbundene Skandale haben Organisationen immer stärker für Compliance-Themen sensibilisiert. Die Anforderungen an Wirtschaftsunternehmen steigen, sich auf allen Ebenen gesetzeskonform zu verhalten. Stakeholder erwarten, dass Unternehmen entlang der gesamten Wertschöpfungskette sicherstellen, regelkonform zu handeln.

Mit einem Compliance Management System (CMS) reduzieren Sie Haftungsrisiken und überprüfen Ihre Geschäftsaktivitäten mit Blick auf geltendes Recht. Die Veröffentlichung der ISO 37301 bietet Ihnen dazu künftig erstmals einen einheitlichen und vor allem zertifizierbaren Standard, den über 160 Länder mittragen.

Im kostenlosen Live-Webinar mit SAT lernen Sie am 26. November 2020 von 10 bis 11 Uhr , wie Sie mit mit Hilfe der ISO 37301 ein Compliance Management System einführen und aufrechterhalten.

Unsere Themen:

  • Die Vorgängernorm ISO 19600
  • Inhalte der ISO 37301 und wesentliche Unterschiede zur ISO 19600
  • Grundlegende Säulen eines Compliance Management Systems
  • So integrieren Sie ein Compliance Management System
  • Kombination mit bestehenden Managementsystemen nach ISO 37301

Beitrag teilen

VerSanG

VerSanG geht auf die Zielgerade, ISO 37301 folgt

In ein funktionierendes Compliance Management System investieren? Unternehmen und Führungskräfte, die das bislang für zu aufwändig, unnötig oder zu teuer hielten, bekommen mit dem Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (VerSanG) künftig eine Extra-Portion Motivation, sich mit der Regelkonformität in ihrer Organisation zu beschäftigen: Können Straftaten, die  durch juristische Personen und Personenvereinigungen begangen werden, nach geltendem Recht bislang nur mit einer Geldbuße als Ordnungswidrigkeit bestraft werden, gibt das neue VerSanG den Verfolgungsbehörden und Gerichten ein scharfes und flexibles Sanktionsinstrumentarium an die Hand und schafft erstmals verbandsspezifische Zumessungskriterien sowie ein Verbandssanktionenregister. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären“, heißt es seitens Bundesjustizministerium (Quelle). Das VerSanG ist Teil des neuen Gesetzes zur Stärkung der Integrität in der Wirtschaft, das noch in dieser Legislaturperiode verabschiedet werden soll.

VerSanG ermöglicht angemessene Reaktion auf Gesetzesverstöße

Die meisten Unternehmen in Deutschland verhalten sich nach Ansicht der Gesetzgeber durchaus rechtstreu. Deshalb richtet sich die Neuregelung vor allem gegen die Minderheit, die sich auf Kosten anderer einen  illegitimen Vorteil verschafft, den Ruf der Wirtschaft und das Vertrauen in den Rechtsstaat schädigt.

Das Ministerium beschreibt die bisherige Gesetzeslage so: „Eine angemessene Reaktion auf Unternehmenskriminalität ist damit nicht möglich. Die Höchstgrenze des Ahndungsteils der Verbandsgeldbuße von zehn Millionen Euro gilt unabhängig von der Verbandsgröße; sie lässt insbesondere gegenüber finanzkräftigen multinationalen Konzernen keine empfindliche Sanktion zu und benachteiligt damit kleinere und mittelständische Unternehmen. Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance. Das geltende Recht legt die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt hat. Verbandstaten deutscher Unternehmen im Ausland können vielfach nicht verfolgt werden.“

Strafen hängen von funktionierendem Compliance Management ab

Das soll sich absehbar ändern: Der Entwurf verfolge das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen.  Wie hoch die Strafe für regelwidriges Verhalten einer Organisation, ihrer Führungskräfte und Mitarbeiter künftig ausfällt, wird nach VerSanG davon abhängen, ob sie ein wirkungsvolles Compliance Management System eingerichtet hat und der Pflicht nachkommt, strafbares Verhalten zu unterbinden sowie bei Regelverstößen dafür sorgt, dass betriebliche Abläufe umgestaltet werden, damit „vergleichbare Normverletzungen zukünftig jedenfalls deutlich erschwert werden“.

Was sind angemessene Maßnahmen gegen Normverletzungen?

Doch was sind angemessene Maßnahmen und wie wird ein angemessenes und wirksames CMS ausgestaltet? Dieser Frage gehen Jan-Hendrik Gnändiger, Timo Herold in ihrem Beitrag vom 3.8.2020 in Springer Professional nach. Darin heißt es: „Um Compliance-Risiken und -Verstöße aktiv zu managen, folgen Compliance-Management-Systeme einem Regelkreis-Prinzip. Das heißt, festgelegte Regeln, Maßnahmen und Kontrollen des CMS werden immer wieder in der Unternehmensrealität geprüft und stetig verbessert. Ausgangspunkt ist eine detaillierte Risikoanalyse, welche die sensitiven Rechtsgebiete für Compliance-Verstöße und somit Verbandstaten und den damit verbundenen Compliance-Risiken identifiziert.

Im zweiten Schritt sind präventive Maßnahmen zu ergreifen, um diese Risiken aktiv zu steuern. Hierzu zählt, Richtlinien zu verfassen oder diese zu aktualisieren sowie entsprechende Kontrollen und Prozesse zu etablieren. Um die Akzeptanz der Mitarbeiter hinsichtlich der Maßnahmen und damit auch die Regeltreue der Mitarbeiter selbst zu fördern, empfehlen sich begleitende Kommunikationsmaßnahmen, um eine Compliance-Kultur zu schaffen. Diese Kultur kann zudem durch die Einführung entsprechender Anreizsysteme bei der Vergütung gefördert werden.“

Neben der Prävention solle ein CMS auch Elemente zur Aufdeckung haben, um Verstöße gegen die Regelungen zu identifizieren. Dies sei notwendig, um im Ernstfall angemessen reagieren zu können. Dies sei auch nach dem VerSanG-E wichtig, da bei einem Verstoß die im Nachhinein getroffenen Maßnahmen nur dann berücksichtigt würden, wenn dies vom Unternehmen selbst erkannt und angezeigt wurde.

„Zudem lassen sich durch die Überwachung des Systems auch Schwachstellen und Optimierungspotenziale am System erkennen und damit Verbesserungen am System anstoßen (react). Deshalb sollte ein wirksames CMS neben der anlassbezogenen Überwachung (Investigation) auch die regelmäßige prozessintegrierte und prozessunabhängige Überwachung beinhalten“, schreiben Gnändiger und Herold weiter.

Nachweis durch international zertifizierbare Norm ISO 37301

Zusätzlich zu „Vorsorge“, „Aufdeckung“ und „Reaktion“ halten wir es für wichtig, dass Unternehmen ihre konsequente Ausrichtung auf Compliance auch nach außen gegenüber Share- und Stakeholdern dokumentieren können. Dafür ist eine weitere wichtige Neuregelung in der Entwicklung: Mit der ISO 37301 entsteht derzeit eine zertifizierbare Compliance-Norm, die international anwendbar sein wird. SAT ist daher nicht nur bei der Einführung und Umsetzung eines funktionierenden Compliance Management Systems Ihr Partner, sondern führt Ihre Organisation bis zur erfolgreichen Zertifizierung.

Beitrag teilen
© Copyright - SAT Compliance Service Provider | Webdesign: Bodenröder Text & Web
Cookie-Einstellungen