ISO 37001 – Anti-Korruptions-Richtlinie
Der internationale Standard zur Prävention und Bekämpfung von Korruption.
Anti Korruption nach ISO 37001
Die Sensibilität in Bezug auf Korruption und Bestechung in Politik, Verwaltung und Wirtschaft nimmt stetig zu. Mit einer Zertifizierung nach DIN ISO 37001 möchten Unternehmen daher demonstrieren, dass sie Bestechung und Korruption proaktiv entgegenwirken. Doch was genau ist die ISO 37001?
Im Oktober 2016 veröffentlichte die International Organization for Standardization (ISO) die internationale Richtlinie DIN ISO 37001:2016 für Anti-Korruptions-Management-Systeme (anti-bribery management systems). Die Norm definiert Anforderungen und gibt Leitlinien für den Aufbau, die Verwirklichung, die Aufrechterhaltung sowie Überprüfung und Verbesserung eines Managementsystems zur Korruptionsbekämpfung.
Der Standard greift vorhandene und bewährte Prinzipien zur Korruptionsprävention auf, etwa die Anleitung zum UK Bribery Act, um diese auch international bekannt und zugänglich zu machen. Als grenz- und branchenübergreifendes Regelwerk sorgt die ISO 37001 für ein einheitliches Verständnis von Anti-Korruptions-Management-Systemen (AKMS) in unterschiedlichen Organisationstypen. Sie gibt allgemeinverbindliche Maßstäbe für die Entwicklung solcher AKMS, deren Implementierung, Betrieb und Verbesserung vor.
Die Norm spezifiziert eine Reihe konkreter Maßnahmen und Kontrollen, betrifft dabei aber nur Bestechung und keine anderen Formen der Korruption, wie Betrug oder Geldwäsche. Unternehmen werden angehalten, die Norm zu implementieren, um Korruption zu vermeiden beziehungsweise Bestechlichkeit frühzeitig entgegenzuwirken.
Die deutsche Version DIN ISO 37001:2018-05 ist kostenpflichtig bei der Beuth Verlag GmbH als PDF-Download oder als gedruckte Ausgabe erhältlich.
An wen richtet sich die ISO 37001?
Die Norm ist so flexibel, dass sie in jedem Land und unabhängig von der Organisationsform oder -größe genutzt werden kann. Sie lässt sich so sowohl in kleinen, inhabergeführten Unternehmen, Stiftungen, Verbände oder Behörden anwenden als auch in multinationalen Konzernen und anderen Organisationen in öffentlicher oder privater Hand.
Erfordert die Norm ein eigenständiges Managementsystem?
Grundsätzlich stellt die ISO 37001 ein eigenständiges Managementsystem dar. Die erforderlichen Maßnahmen sind darin jedoch so angelegt, dass sie ebenso in bestehende Management-Prozessen mit den dort festgelegten Kontrollmechanismen integriert werden können. Die DIN ISO 37001 verfolgt einen Top-Down-Ansatz – ähnlich wie die weit verbreitete ISO 9001 zum Qualitätsmanagement.
Wer hat die Norm erarbeitet?
Die Initiative zur Entwicklung eines ISO-Standards zur Anti Korruption ging vom British Standards Institute (BSI) aus. Ende des Jahres 2012 griff die International Organization for Standardization (ISO) diese Initiative auf. Die Mehrheit der ISO-Mitglieder befürwortete den Vorschlag, einen solchen neuen Standard zu entwickeln, so dass unter dem Namen ISO/PC 278 ein Normenentwurfskomitee statuiert wurde. Fachexperten aus 28 Ländern, darunter auch Deutschland, waren an der Erarbeitung der Richtlinie beteiligt. Weitere 19 Länder mit Beobachterstatus wirkten ebenfalls mit. Externe Expertise steuert sieben sogenannte Liaison-Organisationen wie die OECD und Transparency International bei.
Anti-Korruptionsanwalt Jean Pierre Mean spielte bei der Entwicklung und Ausarbeitung der ISO 37001 eine leitende Rolle. Im Interview mit LexisNexis berichtet der Experte, wie Unternehmen die Norm erfolgreich umsetzen können und wie sie von einer Zertifizierung profitieren.
Anforderungen der ISO 37001
Die wichtigste Funktion eines Compliance Management Systems (CMS) liegt in der Sicherstellung, dass Gesetze und Richtlinien eingehalten, Risiken für wesentliche Regelverstöße frühzeitig erkannt und Verstöße verhindert werden.
Trotz vorbildlichem CMS kann es jedoch immer wieder zu Verstößen kommen. Selbst das beste System kann dies nicht zu 100 % vermeiden. Im Falle eines Verstoßes bietet das CMS Vorgaben für angemessene Reaktionen und Gegenmaßnahmen.
Die ISO 37001 definiert sieben Kernelemente und ordnet diesen jeweils konkrete Maßnahmen zu:
1. Implementieren
Die Implementierung einer umfassenden Compliance-Politik ist wirtschaftlich sinnvoll und letztlich umsatzfördernd. Ein Unternehmen, das rechtliche Verpflichtungen einhält und Maßnahmen zur Vermeidung von Compliance-Verstößen nachweißlich umgesetzt hat, schafft auch Vertrauen bei Kunden, Lieferanten und weiteren Parteien.
2. Etablieren
Compliance funktioniert in Unternehmen nur, wenn sie vom Management gelebt wird. Für Compliance-Verantwortliche kann es durchaus zur Herausforderung werden, diesen „Tone from the Top“ zu etablieren. Doch ein ebenen- und abteilungsübergreifendes korrektes Verhalten kann nur erreicht werden, wenn alle an einem Strang ziehen. Die ISO führt dies in Kapitel 5 explizit aus.
Die Norm verlangt nach einer unabhängigen Compliance-Funktion im Unternehmen, die auch für das Anti-Korruptions-Management-System verantwortlich sein soll. Interessenkonflikte sind hierbei strikt zu vermeiden, damit der Mitarbeiter mit dieser Funktion seine Arbeit unabhängig ausüben kann.
Die Unternehmensführung ist gemäß ISO auch dafür verantwortlich, dass eine sogenannte Antikorruptionsrichtlinie verabschiedet wird. Darin muss klar formuliert werden, dass Korruption verboten ist, Verstöße von Mitarbeitern gemeldet und diese mit entsprechenden Konsequenzen geahndet werden. Die Richtlinie muss an alle internen und relevanten externen Partner kommuniziert werden.
3. Entwickeln
Im Rahmen des Antikorruptionsmanagements sind wirksame, unternehmensindividuelle Kontrollen zu entwickeln, die sämtliche Korruptionsrisiken abdecken und wirksam auf Verstöße prüfen.
Laut ISO 37001 sollen Mitarbeiter regelmäßig an Trainings teilnehmen, um die entwickelte Antikorruptionsrichtlinie zu verstehen und einzuhalten. Die ISO schreibt keine Pflicht zur Schulung aller Beschäftigten eines Unternehmens vor, sondern nur derjenigen mit erhöhtem Risikopotenzial. Die Trainings gilt es passgenau zu entwickeln.
MIT KYC-TOOL KORRUPTION BEKÄMPFEN
4. Überprüfen
Der Aufbau eines Managementsystems zur Korruptionsbekämpfung und -Prävention hat viele Facetten. Die Norm gibt hierzu einige Ausgestaltungshinweise. So müssen Transaktionen, Projekte, Personal und Geschäftspartner standardmäßig einer erweiterten Due-Diligence-Prüfung (Enhanced Due Diligence) unterzogen werden, wenn das jeweilige Korruptionsrisiko höher als gering eingestuft wird.
Die ISO fordert, dass in die finanziellen und nicht-finanziellen Kontrollen auch Geschäftspartner einzubeziehen sind. In Hochrisikofällen müssen auch die Geschäftspartner der Geschäftspartner nach ISO 37001 geprüft werden. ISO-zertifizierte Unternehmen sollten diese Kontrollen von ihren direkten Geschäftspartnern einfordern.
Wenn das Risiko von Korruption und Bestechung als gering eingestuft wird, dann müssen vom Geschäftspartner keine Kontrollen verlangt werden. Dann reicht die Prüfung der eigenen Geschäftspartner.
Intern kann ein Vier-Augen-Prinzip bei wichtigen Transaktionen ausreichend sein. Gegenüber externen Partnern tritt Korruption häufig bei Vergabeverfahren auf. Ein transparentes Vergabeverfahren bei wichtigen Transaktionen trägt zur Anti Korruption bei.
In der Phase der Überprüfung gilt es, die Risiken im eigenen Unternehmen und bei Dritten zu identifizieren und einzuordnen, um ihnen wirksam begegnen zu können – der sogenannte risikobasierte Ansatz.
5. Ausführen
Sind Korruptionsrisiken im Kreis der intern Beschäftigten oder bei Partnern, Lieferanten und weiteren Geschäftspartnern identifiziert, gilt es die im Abschnitt „Überprüfen“ vorgesehenen Due-Diligence-Prüfungen konsequent durchzuführen und zu dokumentieren.
6. Fortführen
Die Einrichtung eines Compliance Management Systems nach ISO 37001 ist keine einmalige Angelegenheit – selbst dann nicht, wenn das CMS erfolgreich zertifiziert wurde. Der Compliance Manager muss gemeinsam mit der Unternehmensführung eine fortlaufende Prüfung (Ongoing Due Diligence) gewährleisten. Dies schließt Berichterstattung, Überwachung, Untersuchung und Überprüfung ein. Alle Prozesse müssen in die Unternehmens-DNA als selbstverständlicher Teil der Managementaufgaben übergehen.
7. Anpassen
Kein System funktioniert direkt bei der Implementierung perfekt. Im Rahmen eines kontinuierlichen Verbesserungsprozesses muss das CMS daher regelmäßig hinterfragt werden, damit systematisch Verstöße verhindert beziehungsweise Nichtkonformitäten behoben werden können. In Kapitel 10 „Verbesserung“ der ISO 37001 wird dieser systematische Prozess explizit gefordert.
So können auch externe Faktoren die Notwendigkeit der Anpassung des CMS begründen, wie Gesetzesänderungen im Vergaberecht, im geschäftlichen Bankverkehr und gegebenenfalls bei einer Überarbeitung der ISO 37001 selbst.
LexisNexis unterstützt Sie dabei, Ihre Geschäftspartner gemäß der ISO 37001 zu überprüfen. Informieren Sie sich jetzt über unsere Lösung Nexis Diligence+.
Umsetzung für Unternehmen: Was sind die Auswirkungen?
Wie wird der Standard Unternehmen zugutekommen?
Die DIN ISO 37001 stellt Unternehmen und Organisationen Mindestanforderungen und hilfreiche Erläuterungen für die erfolgreiche Implementierung und Beurteilung der Leistungsfähigkeit eines Anti-Korruptions-Management-Systems zur Verfügung. Hiervon profitieren Management, Investoren, Mitarbeiter, Kunden und andere Stakeholder. Denn sie erhalten die Gewissheit, dass die richtigen Schritte unternommen werden, um Korruptionsrisiken zu minimieren und Prävention zu betreiben.
Kann mein Unternehmen nach ISO 37001 zertifiziert werden?
Da die DIN ISO 37001 einen Anforderungsstandard (Typ A) definiert und somit über einen reinen Empfehlungscharakter hinaus geht, können Unternehmen von einer unabhängigen Stelle zertifiziert werden. Jedes Unternehmen kann zertifiziert werden, wenn im Rahmen eines Audits festgestellt wird, dass die Anforderungen der Norm erfüllt werden.
Wer führt Zertifizierungen durch?
Unternehmen oder Organisationen können nur von einem externen Auditor gemäß ISO 37001 zertifiziert werden. Eine interne Auditierung durch das eigene Personal ist nicht zulässig. Die externen Auditoren müssen von einer Zertifizierungsstelle anerkannt sein; diese ist auch für die Durchführung und Abnahme des Audits verantwortlich. Welche Zertifizierungsstelle dabei konkret gewählt wird, kann das zu zertifizierende Unternehmen frei entscheiden. Die Zertifizierungsstellen können sich selbst von der Deutschen Akkreditierungsstelle GmbH (DAkkS) mit Sitz in Berlin akkreditieren lassen. Die DAkkS ist am 1. Januar 2010 für die Akkreditierung von Zertifizierungsstellen und Prüflaboren in Deutschland als nationale Akkreditierungsstelle im Zuge der europäischen Verordnung (EG) Nr. 765/2008 (Art. 4 Abs. 1) benannt worden.
Wie oft muss man Zertifizierungen wiederholen?
Im Rahmen eines Audits vor Ort wird ermittelt, ob die Organisation die Anforderungen der ISO 37001 erfüllt. Hierfür muss mindestens ein Tag eingeplant werden, je nach Größe der Organisation, der Anzahl der Kunden und der Komplexität der Prozesse gegebenenfalls auch ein längerer Auditzeitraum. Nach erfolgreichem Abschluss des Zertifizierungsaudits übergibt der Auditor das Zertifikat mit einer Laufzeit von drei Jahren. Zur Aufrechterhaltung der Zertifizierung sind danach jährliche Überwachsungsaudits erforderlich.
Welche Maßnahmen umfasst die ISO 37001 in Bezug auf Geschenke und Einladungen?
In Bezug auf Geschenke, Einladungen oder sonstigen Belohnungen sieht die ISO 37001 wirksame Kontrollen vor. In Abhängigkeit von Wert, Häufigkeit und anderen Faktoren können sowohl ein restriktives Verbot verordnet oder – bei einem geringen Korruptionsrisiko – gewisse Toleranzen zugelassen werden. Primär stehen jedoch Transparenz und eine lückenlose Dokumentation im Vordergrund.
Durch unser webbasiertes Compliance Tool Nexis Diligence+™ bleiben Sie auf der sicheren Seite und vermeiden die Zusammenarbeit mit Personen und Unternehmen, die für Sie ein Geschäftsrisiko darstellen. Über eine nutzerfreundliche Oberfläche können Sie nach Ihren Geschäftspartnern in Sanktions- und PEP-Listen, Firmendatenbanken, Biografien, Urteilen sowie internationalen Nachrichtenquellen suchen und sich so zuverlässig absichern. Mit einfach durchzuführenden Know-Your-Customer-Analysen finden Sie schnell heraus, ob aus der Zusammenarbeit mit einer Person oder einem Unternehmen Compliance-Risiken entstehen. Ihre Recherchequellen und Ergebnisse können Sie anschließend im revisionssicheren Report Builder auf Knopfdruck speichern und herunterladen.
Wie unterscheidet sich ISO 19600 von ISO 37001?
Die ISO 370001 unterscheidet sich in zwei wesentlichen Aspekten von der 2014 eingeführten ISO 19600: Anders als die ISO 19600, die als Typ B Standard nur Empfehlungscharakter hat, stellt die ISO 37001 als Typ A Standard verpflichtende Anforderungen auf, die damit überprüf- und zertifizierbar sind. Des Weiteren handelt es sich bei der DIN ISO 37001 um einen Standard zu einem wichtigen Compliance-Einzelthema, während der Ansatz der ISO 19600 ganzheitlicher ist. Diese gibt Empfehlungen für ein themenübergreifendes Compliance-Management-System.
Weitere Informationen über die Unterschiede und Gemeinsamkeiten der ISO 19600 und ISO 37001 finden Sie in den Präsentationsfolien oder der Videoaufzeichnung zu unserem Webinar „Compliance Standards ISO 37001 und ISO 19600 – Fluch, Segen oder viel Lärm um nichts?“