Grundsätzlich ist ein Compliance-Managementsystem die Gesamtheit aller Maßnahmen und Prozesse einer Organisation, die die Regelkonformität mit den einschlägigen Normen sicherstellen. Darunter können neben rechtlichen Normen auch interne Vorgaben enthalten sein. Insgesamt sollen Risiken für wesentliche Regelverstöße rechtzeitig erkannt und so verhindert werden. Dennoch auftretende Verstöße sollen kommuniziert werden, um angemessene Reaktionen ergreifen zu können.
Im Dezember 2014 wurde die erste Norm ISO 19600 als Leitlinie zu Compliance-Managementsystemen veröffentlicht. Die inzwischen zurückgezogene Norm sollte grenzübergreifend tätigen Unternehmen einen international konsistenten Ansatz bieten, um die Einhaltung von Rechtsnormen und Vorschriften sicherzustellen. Sie bildete die umfassende Best Practice, aber stellte damit nur Empfehlungen und keine Anforderungen auf. Dies ist charakteristisch für Managementsystemnormen des Typs B, welche aber nicht zertifizierungsfähig sind. Eine Zertifizierung kann nur für Typ A Normen durchgeführt werden, welche neben Anwendungsleitlinien auch Anforderungen enthält.
Nachfolger aus dem April 2021 ist die ISO 37301 mit einem entscheidenden Unterschied: Die Managementsystemnorm des Typs A kann von jedem akkreditierten Auditor zertifiziert werden. Der Standard für Compliance-Managementsysteme enthält die Anforderungen an ein solches Managementsystem und eine Leitlinie zur Anwendung. Dabei soll er auf die Anforderungen von Organisationen aller Art unabhängig ihrer Größe, Branche oder globalen Präsenz flexibel anwendbar sein. Auf Grund des Rückgriffs auf die Strukturen der zurückgezogenen ISO 19600 sollen sich für Organisationen, die diese bereits anwandten, kaum Änderungen ergeben.
Wie auch in anderen ISO-Richtlinien für Managementsysteme kommt der etablierte PDCA-Zyklus (Plan – Do – Check – Act) zur Anwendung. Durch den kontinuierlichen Verbesserungsprozess und die Einhaltung sozialer und ethischer Werte, ermöglicht ein nach ISO 37301 organisationsweit implementiertes Compliance-Managementsystem die angestrebte Regelkonformität sicherzustellen.
Weitere ISO-Richtlinien für Managementsysteme mit Bezug zu Compliance sind die ISO 37001 für Anti-Korruptions-Managementsysteme und die ISO 37002 für Whistleblowing-Managementsysteme. Aber auch andere Managementsysteme zielen auf die Einhaltung von Gesetzen und Regelungen ab, und weisen allein dadurch einen Zusammenhang zum generellen Compliance Managementsystem auf. Alternativ zur ISO 37301 bietet auch die vom Institut der Wirtschaftsprüfer in Deutschland e. V. entwickelte Norm IDW PS 980.
Eine Zertifizierung nach ISO 37301 sind beispielsweise der TÜV Nord Cert, der TÜV Rheinland oder die DQS GmbH durchführen. Aktuelle Informationen zu allen akkreditierten Zertifizierungsstellen bietet die Deutsche Akkreditierungsstelle (DAkkS).
Die Compliance Zertifizierung kann jede Organisation anstreben, aber eine generelle Pflicht dazu diese durchzuführen gibt es nicht. Für Unternehmen, die aus eigenem Interesse oder durch die Anforderung von Dienstleistenden ihre Bemühungen im Bereich der Compliance-Maßnahmen nachweisen möchten, kann die Zertifizierung eben diesen Nachweis in geeigneter Weise erbringen. Auch signalisiert diese nach außen hin, dass das Thema Compliance und damit die Einhaltung einschlägiger Vorgaben ernst genommen wird.