Was Sie über die ISO 37001-Richtlinie wissen sollten?

Was ist die DIN ISO 37001?

Die DIN ISO 37001:2016 „Anti-Korruptions Management Systeme“ (Anti-bribery management systems) stellt einen von 2013 bis 2016 entwickelten, internationalen Standard für Managementsysteme zur Korruptionsbekämpfung dar. Veröffentlicht wurde sie im Oktober 2016. Die Norm definiert Anforderungen und gibt Leitlinien für den Aufbau, die Verwirklichung, die Aufrechterhaltung sowie Überprüfung und Verbesserung eines Managementsystems zur Korruptionsbekämpfung.

Die Norm greift vorhandene und bewährte Prinzipien zur Korruptionsprävention auf, etwa die Anleitung zum UK Bribery Act, um diese auch international bekannt und zugänglich zu machen. Als grenz- und branchenübergreifendes Regelwerk sorgt die ISO 37001 für ein einheitliches Verständnis von Anti-Korruptions-Management-Systemen (AKMS) in unterschiedlichen Organisationstypen. Sie gibt allgemeinverbindliche Maßstäbe für die Entwicklung solcher AKMS, deren Implementierung, Betrieb und Verbesserung vor.

Die Norm spezifiziert eine Reihe konkreter Maßnahmen und Kontrollen. Unternehmen werden angehalten, diese zu implementieren, um Korruption zu vermeiden beziehungsweise zumindest frühzeitig aufzudecken.

Die deutsche Version DIN ISO 37001:2018-05 ist kostenpflichtig bei der Beuth Verlag GmbH als PDF-Download oder als gedruckte Ausgabe erhältlich.

Wer hat die Norm erarbeitet?

Die Initiative zur Entwicklung eines ISO-Antikorruptionsstandards ging vom British Standards Institute (BSI) aus. Ende des Jahres 2012 griff die International Organization for Standardization (ISO) diese Initiative auf. Die Mehrheit der ISO-Mitglieder befürwortete den Vorschlag, einen solchen neuen Standard zu entwickeln, so dass unter dem Namen ISO/PC 278 ein Normenentwurfskomitee statuiert wurde. Fachexperten aus 28 Ländern, darunter auch Deutschland, waren an der Erarbeitung der Richtlinie beteiligt. Weitere 19 Länder mit Beobachterstatus wirkten ebenfalls mit. Externe Expertise steuert sieben sogenannte Liaison-Organisationen wie die OECD und Transparency International bei.

Anti-Korruptionsanwalt Jean Pierre Mean spielte bei der Entwicklung und Ausarbeitung der ISO 37001 eine leitende Rolle. Im Interview mit LexisNexis berichtet der Experte, wie Unternehmen die Norm erfolgreich umsetzen können und wie sie von einer Zertifizierung profitieren.

An wen richtet sich die ISO 37001?

Die Norm ist so flexibel, dass sie in jedem Land und unabhängig von der Organisationsform oder -größe genutzt werden kann. Sie lässt sich so sowohl in kleinen, inhabergeführten Unternehmen, Stiftungen, Verbände oder Behörden anwenden als auch in multinationalen Konzernen und anderen Organisationen in öffentlicher oder privater Hand.

Erfordert die Norm ein eigenständiges Managementsystem?

Grundsätzlich stellt die ISO 37001 ein eigenständiges Managementsystem dar. Die erforderlichen Maßnahmen sind darin jedoch so angelegt, dass sie ebenso in bestehende Management-Prozessen mit den dort festgelegten Kontrollmechanismen integriert werden kann. Die DIN ISO 37001 verfolgt einen Top-Down-Ansatz – ähnlich wie die weit verbreitete ISO 9001 zum Qualitätsmanagement.

Was verlangt die Norm und welche Anforderungen gibt es?

Die wichtigste Funktion eines Compliance Management Systems (CMS) liegt in der Sicherstellung, dass Risiken für wesentliche Regelverstöße frühzeitig erkannt und Verstöße verhindert werden.

Trotz vorbildlichem CMS kann es jedoch immer wieder zu Verstößen kommen. Selbst das beste System kann dies nicht zu 100 % vermeiden. Im Falle eines Verstoßes bietet das CMS Vorgaben für angemessene Reaktionen und Gegenmaßnahmen.

Die ISO 37001 definiert sieben Kernelemente und ordnet diesen jeweils konkrete Maßnahmen zu:

1. Implementieren

Die Implementierung einer umfassenden Compliance-Politik ist wirtschaftlich sinnvoll und letztlich umsatzfördernd. Ein Unternehmen, das rechtliche Verpflichtungen einhält und Maßnahmen zur Vermeidung von Compliance-Verstößen nachweißlich umgesetzt hat, schafft auch Vertrauen bei Kunden, Lieferanten und weiteren Parteien.

2. Etablieren

Compliance funktioniert in Unternehmen nur, wenn sie vom Management gelebt wird. Für Compliance-Verantwortliche kann es durchaus zur Herausforderung werden, diesen „Tone from the Top“ zu etablieren. Doch ein ebenen- und abteilungsübergreifendes korrektes Verhalten kann nur erreicht werden, wenn alle an einem Strang ziehen. Die ISO führt dies in Kapitel 5 explizit aus.

Die Norm verlangt nach einer unabhängigen Compliance-Funktion im Unternehmen, die auch für das Antikorruptionsmanagementsystem verantwortlich sein soll. Interessenkonflikte sind hierbei strikt zu vermeiden, damit der Mitarbeiter mit dieser Funktion seine Arbeit unabhängig ausüben kann.

Die Unternehmensführung ist gemäß ISO auch dafür verantwortlich, dass eine sogenannte Antikorruptionsrichtlinie verabschiedet wird. Darin muss klar formuliert werden, dass Korruption verboten ist, Verstöße von Mitarbeitern gemeldet und diese mit entsprechenden Konsequenzen geahndet werden müssen. Die Richtlinie muss an alle internen und relevanten externen Partner kommuniziert werden.

3. Entwickeln

Im Rahmen des Antikorruptionsmanagements sind wirksame, unternehmensindividuelle Kontrollen zu entwickeln, die sämtliche Korruptionsrisiken abdecken und wirksam auf Verstöße prüfen.

Laut ISO 37001 sollen Mitarbeiter regelmäßig an Trainings teilnehmen, um die entwickelten Antikorruptionsrichtlinie zu verstehen und einzuhalten. Die ISO schreibt keine Pflicht zur Schulung aller Mitarbeiter eines Unternehmens vor, sondern nur derjenigen mit erhöhtem Risikopotenzial. Die Trainings gilt es passgenau zu entwickeln.

4. Überprüfen

Der Aufbau eines Antikorruptionsmanagementsystems hat viele Facetten. Die Norm gibt hierzu einige Ausgestaltungshinweise. So müssen Transaktionen, Projekte, Personal und Geschäftspartner standardmäßig einer erweiterten Due-Diligence-Prüfung (Enhanced Due Diligence) unterzogen werden, wenn das jeweilige Korruptionsrisiko höher, als gering eingestuft wird.

Die ISO fordert, dass in die finanziellen und nichtfinanziellen Kontrollen auch Geschäftspartner einzubeziehen sind. In Hochrisikofällen müssen auch die Geschäftspartner der Geschäftspartner nach ISO 37001 geprüft werden. ISO-zertifizierte Unternehmen sollten diese Kontrollen von ihren direkten Geschäftspartnern einfordern.

Wenn das Risiko der Korruption als gering eingestuft wird, dann müssen vom Geschäftspartner keine Kontrollen verlangt werden. Dann reicht die Prüfung der eigenen Geschäftspartner.

Intern kann ein Vier-Augen-Prinzip bei wichtigen Transaktionen ausreichend sein. Gegenüber externen Partnern tritt Korruption häufig bei Vergabeverfahren auf. Ein transparentes Vergabeverfahren bei wichtigen Transaktionen kann Korruption vorbeugen.

In der Phase der Überprüfung gilt es, die Risiken im eigenen Unternehmen und bei Dritten zu identifizieren und einzuordnen, um ihnen wirksam begegnen zu können – der sogenannte risikobasierte Ansatz.

5. Ausführen

Sind Korruptionsrisiken intern und auch bei Partnern, Lieferanten und weiteren Geschäftspartnern identifiziert, gilt es die im Abschnitt „Überprüfen“ vorgesehenen Due-Diligence-Prüfungen auch konsequent durchzuführen und zu dokumentieren.

6. Fortführen

Die Einrichtung eines Compliance Management Systems nach ISO 37001 ist keine einmalige Angelegenheit; selbst dann nicht, wenn das CMS erfolgreich zertifiziert wurde. Der Compliance Manager muss gemeinsam mit der Unternehmensführung eine fortlaufende Prüfung (Ongoing Due Diligence) gewährleisten. Dies schließt Berichterstattung, Überwachung, Untersuchung und Überprüfung ein. Alle Prozesse müssen in die Unternehmens-DNA als selbstverständlicher Teil der Managementaufgaben übergehen.

7. Anpassen

Kein System funktioniert direkt bei der Implementierung perfekt. Im Rahmen eines kontinuierlichen Verbesserungsprozesses muss das CMS daher regelmäßig hinterfragt werden, damit systematisch Verstöße verhindert beziehungsweise Nichtkonformitäten behoben werden können. In Kapitel 10 „Verbesserung“ der ISO 37001 wird dieser systematische Prozess explizit gefordert.

So können auch externe Faktoren die Notwendigkeit der Anpassung des CMS begründen, wie Gesetzesänderungen im Vergaberecht, im geschäftlichen Bankverkehr und gegebenenfalls bei einer Überarbeitung der ISO 37001 selbst.

LexisNexis unterstützt Sie dabei, Ihre Geschäftspartner gemäß der ISO 37001 zu überprüfen. Informieren Sie sich jetzt über unsere Lösung Nexis Diligence™.

Umsetzung für Unternehmen: Was sind die Auswirkungen?

Wie wird der Standard Unternehmen zugutekommen?

Die DIN ISO 37001 stellt Unternehmen und Organisationen Mindestanforderungen und hilfreiche Erläuterungen für die erfolgreiche Implementierung und Beurteilung der Leistungsfähigkeit eines Antikorruptions-Management-Systems zur Verfügung. Hiervon profitieren Management, Investoren, Mitarbeiter, Kunden und andere Stakeholder. Denn sie erhalten die Gewissheit, dass die richtigen Schritte unternommen werden, um Korruptionsrisiken zu minimieren.

Kann mein Unternehmen nach ISO 37001 zertifiziert werden?

Da die DIN ISO 37001 einen Anforderungsstandard (Typ A) definiert und somit über einen reinen Empfehlungscharakter hinaus geht, können Unternehmen von einer unabhängigen Stelle zertifiziert werden. Jedes Unternehmen kann zertifiziert werden, wenn im Rahmen eines Audits festgestellt wird, dass die Anforderungen der Norm erfüllt werden.

Wer führt Zertifizierungen durch?

Unternehmen oder Organisationen können nur von einem externen Auditor gemäß ISO 37001 zertifiziert werden. Eine interne Auditierung durch das eigene Personal ist nicht zulässig. Die externen Auditoren müssen von einer Zertifizierungsstelle anerkannt sein; diese ist auch für die Durchführung und Abnahme des Audits verantwortlich. Welche Zertifizierungsstelle dabei konkret gewählt wird, kann das zu zertifizierende Unternehmen frei entscheiden. Die Zertifizierungsstellen können sich selbst von der Deutschen Akkreditierungsstelle GmbH (DAkkS) mit Sitz in Berlin akkreditieren lassen. Die DAkkS ist am 1. Januar 2010 für die Akkreditierung von Zertifizierungsstellen und Prüflaboren in Deutschland als nationale Akkreditierungsstelle im Zuge der europäischen Verordnung (EG) Nr. 765/2008 (Art. 4 Abs. 1) benannt worden.

Wie oft muss man Zertifizierungen wiederholen?

Im Rahmen eines Audits vor Ort wird ermittelt, ob die Organisation die Anforderungen der ISO 37001 erfüllt. Hierfür muss mindestens ein Tag eingeplant werden, je nach Größe der Organisation, der Anzahl der Kunden und der Komplexität der Prozesse gegebenenfalls auch ein längerer Auditzeitraum. Nach erfolgreichem Abschluss des Zertifizierungsaudits übergibt der Auditor das Zertifikat mit einer Laufzeit von drei Jahren. Zur Aufrechterhaltung der Zertifizierung sind danach jährliche Überwachsungsaudits erforderlich.

Welche Maßnahmen umfasst die ISO 37001 in Bezug auf Geschenke und Einladungen?

In Bezug auf Geschenke, Einladungen und Ähnliches sieht die ISO 37001 wirksame Kontrollen vor. In Abhängigkeit von Wert, Häufigkeit und anderen Faktoren können sowohl ein restriktives Verbot verordnet oder – bei einem geringen Korruptionsrisiko – gewisse Toleranzen zugelassen werden. Primär stehen jedoch Transparenz und eine lückenlose Dokumentation im Vordergrund.

Durch unser webbasiertes Compliance Tool Nexis Diligence™ bleiben Sie auf der sicheren Seite und vermeiden die Zusammenarbeit mit Personen und Unternehmen, die für Sie ein Geschäftsrisiko darstellen. Über eine nutzerfreundliche Oberfläche können Sie nach Ihren Geschäftspartnern in Sanktions- und PEP-Listen, Firmendatenbanken, Biografien, Urteilen sowie internationalen Nachrichtenquellen suchen und sich so zuverlässig absichern. Mit einfach durchzuführenden Know-Your-Customer Analysen finden Sie schnell heraus, ob aus der Zusammenarbeit mit einer Person oder einem Unternehmen Compliance-Risiken entstehen. Ihre Recherchequellen und Ergebnisse können Sie anschließend im revisionssicheren Report Builder auf Knopfdruck speichern und herunterladen.

Wie unterscheidet sich ISO 19600 von ISO 37001?

Die ISO 370001 unterscheidet sich in zwei wesentlichen Aspekten von der 2014 eingeführten ISO 19600: Anders als die ISO 19600, die als Typ B Standard nur Empfehlungscharakter hat, stellt die ISO 37001 als Typ A Standard verpflichtende Anforderungen auf, die damit überprüf- und zertifizierbar sind. Des Weiteren handelt es sich bei der DIN ISO 37001 um einen Standard zu einem wichtigen Compliance-Einzelthema, während der Ansatz der ISO 19600 ganzheitlicher ist. Diese gibt Empfehlungen für ein themenübergreifendes Compliance-Management-System.

Weitere Informationen über die Unterschiede und Gemeinsamkeiten der ISO 19600 und ISO 37001 finden Sie in den Präsentationsfolien oder der Videoaufzeichnung zu unserem Webinar „Compliance Standards ISO 37001 und ISO 19600 – Fluch, Segen oder viel Lärm um nichts?“

Kontaktieren Sie uns
Wir melden uns schnellstmöglich bei Ihnen zurück!
  • Haben Sie Fragen zum Thema?
  • Benötigen Sie Informationen über ein passendes Produkt zum beschriebenen Themengebiet?
  • Möchten Sie einen Termin für eine unverbindliche Produkt-Online-Demo vereinbaren?

Wir freuen uns auf Ihre Kontaktaufnahme!