Update ISO 37301: Bis Jahresende könnte die deutsche Fassung stehen
Ende letzten Jahres war verstärkt darüber zu lesen, dass die DIN ISO 19600 von der ISO 37301 abgelöst werden soll. Das Inkrafttreten der überarbeiteten Norm wurde für Ende 2020 bzw. Anfang 2021 erwartet (siehe Blogbeitrag vom 4.8.2020). Googelt man nun „ISO 37301“, stößt man in der Regel weiterhin nur auf Beiträge aus dem vergangenen Jahr, die die Norm ankündigen. Wie aber ist der aktuelle Stand? Ist der Entwurfsstatus beendet?
ISO 37301 ist in Kraft getreten
Die internationale Norm ISO 37301 wurde mittlerweile finalisiert: Die Internationale Organisation für Normung, kurz ISO, hat das Dokument „ISO 37301:2021“ in englischer Sprache mit einem Umfang von 40 Seiten im April 2021 auf ihrer Website veröffentlicht (ISO – ISO 37301:2021 – Compliance management systems — Requirements with guidance for use). Die ISO ist zuständig für den Erlass und die Überarbeitung von internationalen Normen in allen Bereichen, mit einigen Ausnahmen etwa im Bereich Elektrik und Telekommunikation.
Deutsche Adaption steht noch aus
Die in der ISO vertretenen Länder müssen nun die in englischer Sprache veröffentlichte ISO-Fassung in einen Standard des eigenen Landes überführen. So hat z.B. in Großbritannien die BSI Group die Fassung in einen britischen Standard adaptiert und am 23.4.2021 als „BS ISO 37301:2021“ veröffentlicht (BS ISO 37301 (bsigroup.com)).
Deutschland wird in der ISO durch das Deutsche Institut für Normung e.V. (DIN) repräsentiert. Der DIN Spiegelausschuss NA 175-00-01 AA, Governance und Compliance-Management, hat sich für die nationale Übernahme als DIN ISO 37301 ausgesprochen. Die deutsche Fassung ist derzeit in Bearbeitung; es gibt allerdings noch Abstimmungsbedarf zu der Übersetzung. Wann genau in Deutschland mit der Veröffentlichung von DIN ISO 37301 gerechnet werden kann, ist daher noch unklar. Eine Umsetzung in diesem Jahr erscheint aber realistisch.
Bis dato ist im Beuth Verlag, der zur DIN-Gruppe gehört, die deutsche Entwurfsfassung ISO 37301 2020-04 aus April 2020 erhältlich, zu der damals bereits eine deutsche Übersetzung existierte. Es handelt sich dabei jedoch nicht um die Übersetzung der jetzt finalisierten ISO-Norm.
DIN ISO 19600 wird abgelöst
Mit ihrer Veröffentlichung wird die deutsche Fassung der DIN ISO 37301 den in Deutschland seit 2016 für Unternehmen geltenden Compliance-Standard DIN ISO 19600 ablösen. Bis zur Veröffentlichung des Nachfolgers bleibt zumindest für das deutsche Normenwerk die DIN ISO 19600:2016-12 weiterhin gültig.
Was regeln die DIN ISO 19600 und die ISO 37301?
Die DIN ISO 19600 gibt Empfehlungen für den Aufbau, die Entwicklung, die Umsetzung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines adäquaten und wirksamen Compliance-Management-Systems innerhalb einer Organisation. Sie gilt für alle Unternehmen, unabhängig von Größe und Struktur.
Sie hat als Level-B-Norm jedoch „lediglich“ empfehlenden Charakter und beinhaltet keine Verpflichtungen. Damit war die DIN ISO 19600 kein Maßstab für eine Zertifizierung, der eine Prüfung anhand abgearbeiteter Pflichten zuließ. Eine Überprüfung wurde letztlich durch die Anwendung des IDW PS 980 ermöglicht, der sich allerdings als Prüfstandard an Wirtschaftsprüfer richtet.
Die ISO 37301 ist nun eine Level-A-Norm. Sie soll den Unternehmen ermöglichen, die Wirksamkeit ihres Compliance-Management-Systems aus ihrer eigenen Perspektive überprüfen zu lassen und durch eine Zertifizierung nachzuweisen. Die ISO 37301 enthält keine Empfehlungen (mehr), sondern Richtlinien im Sinne von „Soll“- und „Muss“-Bestimmungen für wirksame Compliance-Management-Systeme. Auch legt die ISO 37301 den Fokus verstärkt auf die Etablierung einer Compliance-Kultur (ausführlich siehe Blogbeitrag vom 4.8.2020).
Ausblick
Das Warten auf die neue internationale Norm ISO 37301 hat ein Ende. Sie wurde von der ISO bereits veröffentlicht. Die Norm wurde zwar bisher noch nicht in einen deutschen DIN Standard überführt. Die Adaption ist jedoch noch in diesem Jahr zu erwarten. Sodann wird es für Unternehmen in die Umsetzung des neuen Standards gehen.
Unternehmen, die sich bereits nach der DIN ISO 19600 gerichtet haben, sind hier schon gut aufgestellt. Denn die Normen beinhalten viele gemeinsame Elemente. Dennoch sollte ein Abgleich vorgenommen werden, um das eigene Compliance-Management-System kritisch zu prüfen und gegebenenfalls anzupassen. Auch die Möglichkeit der Compliance-Zertifizierung, die die DIN ISO 37301 bieten wird, wird dabei zu beachten sein.