Internationale Zertifizierung ISO 37001 – Experten-Tipps für effizientere Antibestechungs- und Antikorruptionsmaßnahmen

Die Internationale Organisation für Normung (ISO) veröffentlichte am 15. Oktober 2016 den neuen Standard ISO 37001, durch den Organisationen und Unternehmen ihre Compliance-Maßnahmen gegen Bestechung und Korruption zertifizieren können.

Die ISO 37001 wurde von den nationalen Normungsorganisationen der 37 teilnehmenden Länder bestätigt. Dazu gehören unter anderem Großbritannien und die USA, deren Gesetzgebung zur Prävention von Bestechung und Korruption bereits als weltweit führend angesehen werden, aber auch Länder wie der Irak, China, Kamerun, Brasilien und Indien. Der Standard wurde so entworfen, dass er zu den relevanten Bestechungspräventionsgesetzen all dieser Länder passt.

Damit ein Unternehmen oder eine Institution ISO 37001-zertifiziert werden kann, müssen eine Reihe an Compliance-Maßnahmen getroffen werden. Die Anforderungen dazu gehen mit ähnlichen Richtlinien einher, die von den Exekutiven in Großbritannien und den USA veröffentlicht wurden. Beispielsweise sollten Unternehmen Anti-Bestechungs-Strategien und -Programme implementieren, Bestechungsrisiken mittels Due Diligence beurteilen und einen Prozess einführen, um mit bewiesenen Bestechungsfällen richtig umzugehen.

Fokus auf verschiedene Risikoarten

Einer der wichtigsten Grundsätze der ISO 37001 ist, dass das Ausmaß der durchgeführten Due Diligence zu bestimmten Entitäten an das jeweils bewertete Korruptionsrisiko angepasst werden sollte. So können Unternehmen entscheiden, was sinnvoll und angemessen ist. Denn verschiedene Arten von Geschäftspartnern erfordern in der Regel auch verschiedene Arten der Due Diligence.

Bei einem Unternehmen mit geringem Risiko könnte also eine minimale Überprüfung bereits ausreichen, während ein Unternehmen, das in einem Land oder einer Branche mit einem hohen Bestechungsrisiko aktiv ist, auch einen hohen Grad an Überprüfungen erfordert. Dieser praktische Ansatz soll Unternehmen ermutigen, ihre Compliance-Prozesse zu verbessern. Denn durch die Anpassungen können Compliance-Kosten niedrig gehalten werden.

Systeme reichen nicht immer aus

Obwohl viele internationale Normungsorganisationen die ISO 37001 unterstützen, bedeutet eine Zertifizierung nicht, dass Unternehmen automatisch einer Strafverfolgung entgehen, falls Sie der Finanzkriminalität schuldig gesprochen werden. Zu Unaoil aus Monaco liefen beispielsweise Untersuchungen der Behörden aus den USA, Großbritannien und Australien, da das Unternehmen beschuldigt wurde, sich durch Bestechungen Milliarden-Dollar-Verträge mit Regierungen im Mittleren Osten und Afrika gesichert zu haben. Unaoil war seit 2006 jährlich als Mitglied von Trace International, einer internationalen Organisation gegen Bestechung, zertifiziert worden. Laut einem Bericht von Fairfax Media und der Huffington Post erhielt Unaoil falsche Referenzen von Kunden, um Trace International zu überzeugen, dass seine Aktivitäten einwandfrei seien. Laut des Berichtes war das Unternehmen durch die Trace-Zertifizierung dazu in der Lage, die Due-Diligence-Tests von Rolls-Royce, Kellogg Brown & Root, Weir, Sulzer, Petrofac und MAN Turbo zu bestehen.

Tipps vom ISO 37001-Experten: So lassen sich Antibestechungs- und Antikorruptionsmaßnahmen effizienter gestalten

Wir sprachen mit Jean-Pierre Mean, dem Antikorruptions-Anwalt, der eine maßgebliche Rolle bei der Entwicklung von ISO 37001 spielte; dem aktuellen internationalen Standard, anhand dessen Unternehmen ihre Antibestechungs- und Antikorruptions-Richtlinien bewerten können. Jean-Pierre Mean leitet eine Arbeitsgruppe, die die Umsetzung des Standards überwacht. Er lud LexisNexis zu einem Gespräch über den Standard in sein Haus in Genf ein, das nur einen Steinwurf vom berühmten Genfer See entfernt liegt. Wir sprachen mit ihm über die Hintergründe der Entwicklung der ISO, die bisherigen Reaktionen aus Regierungen und Unternehmen sowie die möglichen Vorteile für Unternehmen, die sich zertifizieren lassen möchten.

Macht der neue Standard einen Unterschied im Kampf gegen Bestechung und Korruption?

Mean: Der neue Standard erfindet das Rad nicht neu, sondern beruht auf Erfolgspraktiken, die im Laufe der vergangenen zehn Jahre entwickelt wurden. Vor fünfzehn Jahren gab es nur wenig Material zu Antikorruptionspraktiken. In der Zeit danach wurden dann verschiedene Instrumente entwickelt. Die ISO 37001 bringt Best Practices gewissermaßen in eine feste Form.

Welches Feedback gab es bislang von Unternehmen?

Mean: Zertifikationsanbieter müssen akkreditiert werden, um Unternehmen nach einem bestimmten Standard zertifizieren zu können. Bislang gab es zwei oder drei Unternehmen, die akkreditiert wurden. Es gibt allerdings vier weitere Kandidaten in Deutschland, zwei in Frankreich und noch weitere in Großbritannien. Man kann davon ausgehen, dass diese im Sommer 2018 zugelassen werden und danach akkreditierte Zertifikate folgen werden. Ich glaube, dass dieser Prozess jetzt richtig in die Gänge kommt.

Ich habe selbst bereits Zertifikations-Audits nach anderen Standards durchgeführt. In Großbritannien gab es einen Vorläufer zur ISO 37001 (BS 10500). Ein Audit ist keine strenge Untersuchung. Es nicht so, als stünde das Unternehmen dabei im Zeugenstand. Vielmehr ist es ein Austausch, und so sollte man es auch betrachten. Bei einer ordnungsgemäßen Ausführung findet ein Dialog zwischen Prüfer und Compliance Officer statt. Der Prüfer verfügt über unmittelbare Kenntnisse über Erfolgspraktiken, die für den Compliance-Beauftragten von Interesse sind. Außerdem ist es für den Compliance Officer hilfreich, wenn ein Außenstehender sein System begutachtet und Schwachstellen aufzeigt, sodass diese korrigiert werden können.

Was sind die wesentlichen Vorteile für Unternehmen, die eine ISO-Zertifizierung anstreben?

Mean: Der Hauptvorteil besteht zunächst einmal darin, dass die Zertifizierung einen Benchmark darstellt. Danach weiß man, ob man seine Sache richtiggemacht hat, und kann sich die Effizienz des eigenen Systems bestätigen lassen. Es zeigt auch, dass man ein System hat, das für Stakeholder, Mitarbeiter, Aktionäre und die größere Interessengemeinschaft funktioniert.

Man kann damit auch in rechtlicher Hinsicht die eigenen Maßnahmen zur Korruptionsvermeidung aufzeigen. Die Zertifizierung stellt keinen absoluten Schutz dar, denn jeder Richter wird sich selbst ein Bild von der Effizienz der eingeführten Präventionsmaßnahmen machen wollen, aber sie ist sicherlich hilfreich.

Ich denke nicht, dass Umsatzsteigerungen ausschlaggebender Grund für eine Zertifizierung sein sollten. Meiner Ansicht nach tragen eine Antikorruptionsrichtlinie oder ein Compliance Management System auf lange Sicht dazu bei, die Geschäfte zu verbessern oder nachhaltiger zu gestalten. Je nach dem, was für eine Richtlinie man zuvor verwendet hat, muss sich dies jedoch nicht unbedingt in den Umsätzen niederschlagen. Zu Beginn könnte man sogar geschäftliche Einbußen erleiden, sofern einige der laufenden Geschäfte durch Bestechung erlangt wurden. Natürlich muss man sich dann aber die Frage stellen, ob diese Geschäfte strategisch gesehen Geschäfte sind, deren Bestandteil man sein will, oder ob es schlicht einfacher war, durch Bestechung ans Ziel zu kommen. Um den Standard zu messen, würde ich mir eher die Atmosphäre im Unternehmen anschauen. Ich denke, dass die Mitarbeiter stolz auf die Kultur sein sollten, die sich im Standard niederschlägt.

Wie haben die Regierungen auf ISO 37001 reagiert?

Mean: Einige Regierungen haben sehr positiv reagiert, da sie in der ISO 37001 eine Möglichkeit sehen, mehr über die Unternehmen zu erfahren, mit denen sie Geschäfte machen. Andere waren zurückhaltender. Man kann allgemein sagen, dass Großbritannien Zertifikaten und Normen gegenüber aufgeschlossener ist, die USA hingegen eher weniger.

Was war das erste Unternehmen, das zertifiziert wurde?

Mean: Als erstes wurde das italienische Unternehmen Eni zertifiziert. Der italienische Zertifizierer war der erste, der akkreditiert wurde. Die Italiener waren anscheinend viel effizienter als die Franzosen, Deutschen und Briten. Sie waren schon Anfang 2017 dazu in der Lage, ein Unternehmen zu zertifizieren – rund sechs Monate nachdem der Standard veröffentlicht wurde.

Leider wurde gegen den CEO von Eni zwei Wochen später wegen Korruption ermittelt. Das macht natürlich keinen besonders guten Eindruck, aber die Vorfälle, deretwegen gegen ihn ermittelt wurde, hatten einige Jahre vor der Zertifizierung stattgefunden.

Welche Branchen werden am meisten von der Zertifizierung profitieren?

Mean: Unternehmen im Öl- und Gassektor werden ein Audit durchführen wollen, weil sie einem erhöhten Korruptionsrisiko unterliegen. Das gleiche gilt für Unternehmen, die mit Regierungen Geschäfte machen, die Rüstungsindustrie und Firmen wie Siemens, Alstom und andere, die elektrische Geräte und Transportausrüstung an Regierungen verkaufen. Auch Banken sollten es in Erwägung ziehen; in Frankreich hat sich beispielsweise Credit Agricole zertifizieren lassen. Ich denke, große Unternehmen, die international in Ländern aktiv sind, in denen Korruption gang und gäbe ist, werden logischerweise mehr Interesse an dem Standard zeigen als andere.

Warum wurde der Standard jetzt eingeführt?

Mean: Ich war überrascht, dass der Standard zustande kam. Aber in den letzten 15 Jahren wurden eine ganze Menge Instrumente zum Kampf gegen die Korruption entwickelt. Es gab zu viele Instrumente, und eine Menge Leute waren etwas verwirrt angesichts der verschiedenen Instrumente, die nicht so detailliert beschrieben waren, wie sie hätten sein sollen. Insofern schien es uns an der Zeit, alles zusammenzufassen und ein globales Instrument zu entwickeln.

ISO wird von rund 170 Mitgliedern repräsentiert und deckt daher wirklich die ganze Welt ab. Der vorherige britische Standard BSI 10500 war auf Großbritannien ausgerichtet. Die ISO hingegen ist eine globale Organisation, und ISO-Standards sind der globale Standard.

Wie kommt es, dass Unternehmen verschiedener Größenordnung diesen einen Standard verwenden können?

Mean: Der Standard ist risikobasiert. Wenn man ein Antibestechungs-Managementsystem einführen möchte, muss man als erstes das eigene Korruptionsrisiko definieren und einschätzen. Dies schafft die Basis für die Entscheidung darüber, wie man den Standard implementieren will. Wenn man beispielsweise ausschließlich in Skandinavien aktiv ist, benötigt man unter Umständen nicht ganz die gleichen Maßnahmen wie bei Geschäften in Osteuropa oder Asien oder Afrika, wo das Korruptionsrisiko größer ist.

Wenn man ein zentralisiertes Managementsystem hat, ist es einfacher, den Standard einzuführen, als bei einem dezentralisierten Managementsystem beziehungsweise wenn man ihn an verschiedene Geschäftsbereiche anpassen muss. Sofern alles in einer einzigen Sprache erfolgt, ist es ziemlich einfach. Große internationale Unternehmen benötigen jedoch meist 30 verschiedene Übersetzungen. Das ist dann schon eine ganz andere Herausforderung. Für die Antibestechungsrichtlinie benötigt man Übersetzungen. Mit Englisch allein ist es da nicht immer getan.

Was ist der ausschlaggebende Erfolgsfaktor einer Antibestechungs- und Antikorruptionsrichtlinie?

Mean: Das Wichtigste ist die Unternehmensleitung. Wenn die Führungsebene nicht vom Wert eines Antibestechungs-Managementsystems überzeugt ist, kann die Sache nicht funktionieren. Die Geschäftsleitung muss davon überzeugt sein und das Ganze anführen. Man kann ein effektives System nicht einfach aus dem Nichts erschaffen. Es handelt sich um einen Wandel in der Unternehmenskultur und der muss von ganz oben angeführt werden. Er muss sich nach unten ausbreiten, und alle Mitarbeiter mit einbeziehen. Wenn man diesen Kulturwandel durchführen kann, ist der erste große Schritt bereits erledigt.

Ein erfolgreiches System benötigt außerdem einen Compliance- oder Antibestechungsbeauftragten. Ohne ausreichende personelle oder finanzielle Mittel kann ein Antibestechungsorgan nicht funktionieren.

Man muss eine Antibestechungsrichtlinie verfassen und auch Schulungen dazu organisieren. Insbesondere in großen Unternehmen mit beispielsweise 20.000 Mitarbeitern reicht es nicht aus, nur ein Schriftstück zu versenden. Denn etliche Mitarbeiter lesen solche Mitteilungen gar nicht, selbst wenn sie dies mit ihrer Unterschrift bezeugen. Es ist wichtig, den Mitarbeitern die Auswirkungen der neuen Regeln oder der Richtlinie auf ihren Arbeitsalltag vor Augen zu führen.

Darüber hinaus braucht man ein Whistleblowing-Alarmsystem. Man muss Vertraulichkeit garantieren und gegebenenfalls Anonymität ermöglichen, und man muss Nachforschungen bei Verstößen gegen die Richtlinie anstellen und diese sanktionieren.

Wie kann der Standard Unternehmen dabei helfen, das Vertrauen anderer zu gewinnen?

Mean: Die Umsetzung des Standards besteht nicht nur darin, Regeln aufzustellen und Mitarbeitern zu sagen, was sie tun sollen. Wenn man sich Antibestechungsrichtlinien anschaut, so sind einige davon sehr detailliert und kompliziert. Allerdings sollte man, wenn man eine Kultur von Integrität und Vertrauen schaffen will, kurze Sätze mit einfachen Worten verwenden und keine Juristensprache. Eine leicht verständliche Richtlinie kann man der Allgemeinheit vermitteln, und sie wird als Ausdruck der Integrität des Unternehmens verstanden werden, das dadurch vertrauenswürdiger erscheint.

Welche wesentlichen Trends im Hinblick auf Vorschriften und Gesetze haben Sie im Laufe Ihrer Karriere erlebt?

Mean: Der wesentliche Trend besteht darin, dass es heutzutage viel mehr Fälle gibt. Ich erinnere mich, dass 2002 Antibestechungsgesetze in den USA und in anderen Ländern eingeführt worden waren – nur in Großbritannien dauerte es bis zum Bribery Act von 2010 etwas länger – es gab aber keine Fälle. Die großen Fälle haben sich alle in den letzten zehn Jahren ereignet. Die Vereinigten Staaten waren das aktivste Land, aber jetzt glaube ich, dass der Rest der Welt die USA überholt hat, was die Anzahl an Ermittlungen zu internationalen Bestechungsfällen angeht. Großbritannien, Deutschland und die Schweiz setzen ihre Gesetze zu Bestechungsfällen im Ausland ebenfalls aktiv um, und auch andere Ländern machen Fortschritte.

Frankreich hat mit Sapin II einige zusätzliche Gesetze eingeführt. Es wurde eine Antikorruptionsbehörde gegründet und insofern wird es auch entsprechende Fälle geben. Der ehemalige französische Ministerpräsident Nicolas Sarkozy steht jetzt wegen Korruptionsverdacht im Zusammenhang mit Libyen im Zentrum der Ermittlungen.

Erwarten Investoren und Verbraucher heutzutage von Unternehmen, dass diese sich ethischer verhalten?

Mean: Ja, die Erwartungen sind gestiegen. Es ist für Unternehmen schwer, zu beweisen, dass sie besser sind als andere, weil es auch schwierig ist, zu beweisen, welche Unternehmen nicht so gut sind wie andere. Die Idee der Zertifizierung besteht daher darin, dass man die guten Unternehmen aufzeigt, und nicht die schlechten.

Zu guter Letzt: Was ist Ihre Botschaft für Unternehmen?

Mean: Für mich gibt es zwei Ansätze: einen wertbasierten Ansatz und einen regelbasierten Ansatz. Und ich bezweifle, dass man mit dem regelbasierten Ansatz dieselben Resultate erzielen kann wie mit dem wertbasierten Ansatz. Das ist die Kernbotschaft, die ich vermitteln will.

Dieses Interview führte Salvatore Saporito.

Es gibt eine klare Lektion, die Unternehmen daraus lernen können: Die reine Einführung von Maßnahmen gegen Bestechung und Korruption reicht nicht aus. Führungskräfte müssen sich aufrichtig zu den Compliance-Prinzipien bekennen, denn es gibt gute Gründe dafür, eine Compliance-Kultur zu pflegen. Es geht nicht nur darum, dass der Schuldspruch zu Finanzkriminalität üblicherweise hohe Strafen mit sich bringt. Er hat auch einen enormen Reputationsschaden durch die Medienberichterstattung zur Folge, der wiederum einen negativen Einfluss auf die Aktienkurse haben kann. Und: Compliance kann Unternehmen auch helfen, zu wachsen. Ein MLex-Bericht aus März 2016 zeigte, wie Siemens eine Compliance-Kultur aufbaute, die jetzt als Faktor für geschäftliches Wachstum angesehen wird.

Wenn ein Unternehmen Maßnahmen umsetzt, die von der ISO 37001 gefordert werden, und diese durch eine Compliance-Kultur „von oben" bekräftigt, sinkt das Korruptionsrisiko. Sollte dennoch ein Korruptionsfall bekannt werden, kann ein funktionierendes Compliance-Programm zu einer reduzierten Strafe führen. Durch die Einführung der ISO 37001 haben Unternehmen somit nun noch weniger Ausreden, weshalb sie Finanzkriminalität nicht ernst nehmen sollten.

Laden Sie jetzt unser eBook zu ISO 37001 herunter und erhalten Sie Ratschläge zum Aufbau von Due-Diligence- und Monitoring-Systemen, mit denen Sie die Bestechungs- und Korruptionsrisiken für Ihr Unternehmen minimieren können.