Ein Compliance-Management-System ist abhängig von Art, Größe und Organisation des Unternehmens und hat die Qualität und Komplexität der entsprechenden gesetzlichen Vorschriften zu berücksichtigen.
Es basiert und beruht auf den Eckpfeilern eines ordnungsgemäßen CMS in Form von Compliance-Zielen, -Kultur, -Risiken, -Programm, -Organisation,- Kommunikation und letztlich Überwachung sowie Prüfung. Um die jeweiligen Unternehmen bei dem Aufbau und der Implementierung eines geeigneten CMS zu unterstützen, wurde die die DIN ISO 19600:2014 im Jahre 2013 entwickelt. Danach haben Organisationen, die langfristig und nachhaltig erfolgreich sein wollen, eine Kultur der Integrität und Regelkonformität (Compliance) in Unternehmen zu pflegen und die schaffen. Die fehlende Möglichkeit, sich nach der DIN 19600 zertifizieren zu lassen, wurde in den vergangenen Jahren jedoch zunehmend als unbefriedigend erachtet. Am 13. April 2021 trat mit der DIN ISO 37301 eine Level A-Norm in Kraft, auf deren Grundlage nunmehr eine Zertifizierung des CMS unmittelbar möglich ist. Der Text der Norm ist damit als verbindlicher Text und nicht mehr als Empfehlung formuliert und konzipiert.
Die ISO 37301:2021 definiert die Anforderungen an den Aufbau, die Umsetzung und Wirksamkeitskontrolle eines CMS. Es umfasst alles Maßnahmen eines Unternehmens, die vor dem Hintergrund seiner sonstigen Bemühungen um eine rechtskonforme und redliche Führung der Geschäfte und das entsprechende Verhalten seiner Mitarbeiter erforderlich sind, um straf- und bußgeldbewehrte Verhaltensweisen zu vermeiden und besonders schwerwiegende Reputations- und Vermögensschäden zu vermeiden. Die ISO 37301 legt die Anforderungen fest und bietet Leitlinien für CMS und empfohlene Praktiken. Die Anforderungen und Leitlinien sind als anpassbar vorgesehen und ihre Implementierung kann je nach Größe und Reifegrad des CMS einer Organisation und der Komplexität ihrer Aktivitäten und Ziele variieren. Die Norm verfolgt dabei den Managementansatz des plan-do-check-act (pdca-Zyklus), wo in der Ausgangslage eine Compliance Risikoanalyse in Bezug auf die Compliance-Ziele zu erfolgen hat. In welchem Unternehmensumfeld bewegen wir uns, welche Compliance-Risiken bestehen und wie bewerten wir diese. Können wir einige Risiken bereits auf dem Risiko-Friedhof beerdigen oder haben wir uns mit der Analyse der Risikofaktoren aus der Adlerperspektive z.B. durch Interviews und stichprobenhaften Prüfungen näher zu befassen, um so dann daraus Maßnahmen zu entwickeln und in einen kontinuierlichen Verbesserungsprozess zu überführen. Das ist die „hohe Kunst“ von Compliance Management: Die Koordination von Compliance, Anpassung der Fach-Richtlinien (z.B. KrankenhausHygiene) und Integration unter Compliance Gesichtspunkten sowie die Compliance-Kontrolle in den Fachprozessen. Das Beherrschen dieser „hohen Kunst“ kann nunmehr zertifiziert werden.
Dr. Tobias Weimer
M.A. Fachanwalt für Medizinrecht
Hingbergstr. 377
45472 Mülheim an der Ruhr
info@kanzlei-weimer.de
www.smart-compliance-consulting.de
