ISO 37301 Compliance Management
ISO 37301 Compliance Management
ISO 37301 ist der internationale Standard für Compliance-Management-Systeme (CMS), der am 13. April 2021 von der International Organization for Standardization in Genf veröffentlicht wurde und die ältere ISO 19600:2014 vollständig ablöst. Anders als sein Vorgänger ist ISO 37301 ein Type-A-Standard und damit zertifizierungsfähig; akkreditierte Auditoren können auf seiner Grundlage ein Zertifikat ausstellen, das die Wirksamkeit des CMS bestätigt. In Deutschland erfolgte die nationale Übernahme als DIN ISO 37301:2021-08 durch das Deutsche Institut für Normung in Berlin. Im Einkauf wirkt der Standard als Rahmen für die Verzahnung von Lieferantenkodex, Anti-Korruptionsrichtlinie, Kartellrechts-Schulungen und Whistleblower-System zu einem prüfbaren Gesamtsystem.
Detaillierte Erklärung
ISO 37301 folgt der High-Level-Structure (HLS) der ISO und enthält 10 Hauptkapitel, von denen die Kapitel 4 bis 10 die normativen Anforderungen tragen. Kapitel 4 verlangt das Verständnis des Kontexts der Organisation und die Identifikation von Compliance-Verpflichtungen, Kapitel 5 die Verantwortung der obersten Leitung und die Compliance-Kultur, Kapitel 6 die Risikobewertung mit Ableitung konkreter Compliance-Ziele, Kapitel 7 Ressourcen und Kompetenzen, Kapitel 8 die operative Umsetzung der Kontrollen, Kapitel 9 die Leistungsbewertung über Audits und Kennzahlen, Kapitel 10 die kontinuierliche Verbesserung. Die elf Kernprinzipien aus Annex A umfassen Integrität, gute Governance, Verhältnismäßigkeit, Transparenz, Rechenschaftspflicht, Nachhaltigkeit, dokumentierte Information, kontinuierliche Verbesserung, faires Verhalten, Empowerment und Risikoorientierung. Im Vergleich zur ISO 19600 ist die Anforderung an die Compliance-Funktion verschärft: Sie muss organisatorisch unabhängig sein und direkten Zugang zur obersten Leitung haben (Klausel 5.3.2). Bis Mai 2026 wurden weltweit über 4.500 ISO-37301-Zertifikate ausgestellt, die meisten in Deutschland, Italien, Spanien und Brasilien. Akkreditierte Zertifizierer im DACH-Raum sind unter anderem TÜV Süd in München, DEKRA in Stuttgart, DQS in Frankfurt und Bureau Veritas Deutschland in Hamburg; die Zertifizierungskosten beginnen bei 12.500 Euro für ein KMU mit 50 bis 250 Mitarbeitern und steigen bei mehreren Standorten. ISO 37301 lässt sich mit ISO 37001 (Anti-Bribery) und ISO 31000 (Risikomanagement) zu einem integrierten Managementsystem kombinieren.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein hessischer Pharma-Zulieferer mit 720 Mitarbeitern und 198 Millionen Euro Jahresumsatz entscheidet im Februar 2025, ein nach ISO 37301 zertifiziertes CMS aufzubauen, um bei Ausschreibungen großer Generika-Hersteller wie Stada, Hexal oder Teva nicht mehr nur als Lieferant zweiter Wahl zu gelten. Das Projekt dauert 14 Monate, die Beratungskosten der externen Kanzlei betragen 285.000 Euro, die interne Compliance-Stelle wird von 0,8 auf 2,5 Vollzeitstellen aufgestockt. Im Einkauf werden konkret betroffen: der Lieferantenkodex wird auf 28 Prüffragen erweitert, die Sanktionslistenprüfung wird auf alle 1.840 aktiven Lieferanten ausgedehnt und automatisiert (täglicher Abgleich mit EU-Sanktionsliste, OFAC und HM Treasury), die Genehmigungsmatrix nach DoA wird auf vier Stufen verfeinert, und das Whistleblower-Tool wird in 6 Sprachen ausgerollt. Die DEKRA Stage-1-Audit findet im November 2025 statt, das Stage-2-Audit im März 2026 mit 14 Personentagen vor Ort. Das Zertifikat wird im April 2026 für drei Jahre ausgestellt, mit jährlichen Überwachungsaudits. Der direkte Effekt: Drei zuvor verlorene Ausschreibungen mit zusammen 14,2 Millionen Euro Volumen werden im neuen Vergabejahr gewonnen, weil das ISO-37301-Zertifikat als Eintrittsschwelle gefordert war.
Typische Fehler & Verhandlungskontext
Drei Fehler verhindern in der Praxis ein erfolgreiches Audit. Erstens wird das CMS als reine Dokumentensammlung aufgebaut, ohne dass die Compliance-Kultur erkennbar gelebt wird; ISO-37301-Auditoren prüfen über Mitarbeiterinterviews den [[tone-at-the-top]] und stellen das Zertifikat zurück, wenn die Belegschaft die Compliance-Botschaften der Geschäftsführung nicht reproduzieren kann. Zweitens wird die Risikobewertung nach Kapitel 6 zu generisch erstellt; eine Tabelle mit 8 generischen Risiken wie Korruption oder Kartellverstoß genügt nicht, der Auditor erwartet eine prozessspezifische Bewertung mit konkreten Risikoszenarien je Einkaufskategorie. Drittens fehlt die nachweisbare Wirksamkeitsmessung der Kontrollen nach Klausel 9.1; bloße Existenz von Schulungen reicht nicht, gefordert ist die Messung des Wissensstands vor und nach der Schulung mit dokumentierten Quoten. In der Anbieterauswahl für CMS-Software wie EQS Compliance Cockpit, OneTrust GRC, ConvergePoint oder LogicGate ist zentral, dass die Plattform die ISO-37301-Klauselstruktur nativ unterstützt und nicht nur generische Workflows bietet; sonst entsteht ein Mapping-Aufwand, der das Audit verzögert.
Verwandte Begriffe
[[internal-audit-einkauf]], [[compliance-officer-einkauf]], [[anti-korruptionsrichtlinie]], [[code-of-conduct-lieferanten]], [[compliance-quote-einkauf]], [[whistleblower-system]], [[antitrust-compliance]], [[tone-at-the-top]]