Diese Website verwendet Cookies, Google Analytics (Opt-out) und Marketingtools von Act-On (Opt-out). Wenn Sie diese Website weiter nutzen, stimmen Sie dem zu. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK

ISO 37001

ISO 37001: der Standard gegen Korruption

Download ISO 37001 InfopaketDie ISO-Organisation hat den Kampf gegen Bestechung und Bestechlichkeit aufgenommen. Am 15. Oktober 2016 verabschiedete sie eine neue Norm, mit deren Hilfe Anti-Korruptions-Prozesse in Unternehmen implementiert werden können.

Was sind die Hintergründe der Norm? Wer war an der Entwicklung des Standards beteiligt? Wie sieht die ISO 37001 im Detail aus?

 

 

Wir haben die Antworten auf Ihre Fragen.

Was ist ISO 37001?

ISO 37001 „Anti-Korruptions Management Systeme“ ist ein neuer internationaler Standard, der von der International Organization for Standardization (ISO) entwickelt wurde.

Was ist das Ziel von ISO 37001?

Bereits vorhandene Prinzipien, wie beispielsweise die Guidance zum UK Bribery Act, sollen durch die Norm reflektiert und zugänglich gemacht werden. Als grenz- und branchenübergreifendes Regelwerk soll die ISO 37001 für ein einheitliches Verständnis und entsprechende Maßstäbe bei Entwicklung, Implementierung, Betrieb und Verbesserung von Anti-Korruptions Management Systemen in verschiedensten Organisationstypen sorgen. Die Norm spezifiziert deshalb eine Reihe von Maßnahmen und Kontrollen, die ein Unternehmen implementieren sollte, um Korruption zu vermeiden und aufzudecken. Diese orientieren sich an weltweit vorbildlichen Anti-Korruptions-Praktiken.

Wer war in die Entwicklung der Norm involviert?

Der Vorschlag, einen ISO Antikorruptionsstandard zu erarbeiten, kam vom British Standards Institute (BSI). Ende 2012 wurde die ISO-Organisation diesbezüglich aktiv und befragte alle Mitglieder, ob Interesse an einem solchen neuen Standard bestünde. Nachdem der neue Normvorschlag von den ISO-Mitgliedern mehrheitlich angenommen wurde, richtete die Organisation ein Entwurfskomitee mit dem Namen ISO/PC 278 ein. Fachexperten aus 28 Ländern, darunter auch Deutschland, mit einem Vertreter von Idox Compliance, waren mit der Erarbeitung der Norm befasst. Darüber hinaus wirkten 19 Länder mit Beobachterstatus sowie 7 Liaison-Organisationen mit.

Was im Juni 2013 in London relativ klein begann, entwickelte sich zu einer umfassenden Initiative, innerhalb der Nationen aus allen Regionen der Erde mit Vertretern aus Nord-, Mittel- und Südamerika, Europa, Nordafrika, Asien und Ozeanien zusammenarbeiteten.

Was beinhaltet die Norm?

ISO 37001 legt in logischer Abfolge dar, wie ein Anti-Korruptions Management System funktionieren kann. Da es sich um einen risikobasierten Standard handelt, kommt der Risiko-Analyse eine besondere Rolle zu. Um Compliance-Anforderungen zu bestimmen und Kontrollen zu etablieren, werden Risiken identifiziert, analysiert und bewertet. Gewichtet nach Prioritäten sollen Gegenmaßnahmen gegen die größten Risiken ergriffen werden. Einen weiteren zentralen Aspekt bildet die sogenannte Due Diligence, insbesondere die Überprüfung von Geschäftspartnern. Sie nimmt gerade im Hinblick auf Bestechung und Korruption eine besondere Stellung ein. Somit ist es konsequent, dass der Standard diese Thematik aufgreift. Ebenfalls hervorzuheben ist die Bedeutung und der Schutz von Hinweisgebern.

Wer kann ISO 37001 anwenden?

Der Standard ist flexibel und kann in jedem Land von verschiedensten Organisationstypen genutzt werden. Hierzu zählen unter anderem kleine bis große Unternehmen, aber auch Stiftungen, Verbände, Behörden und weitere Organisationen – unabhängig davon, ob sie privat oder öffentlich sind.

Wie anpassungsfähig ist die Norm?

Die Anpassungsfähigkeit von ISO 37001 ist durch ihre Anwendbarkeit auf verschiedenste Organisationstypen sehr groß. Sie sieht vor, dass Maßnahmen an Größe, Struktur, Standorte, Branche, Umfang und Komplexität der Aktivitäten sowie Risiken der jeweiligen Organisation, ob nun Großunternehmen oder Verein, anzupassen sind und verhältnismäßig sein müssen. Im Sinne dieses Prinzips der Angemessenheit brauchen Organisationen auch keine Befürchtungen hinsichtlich überbordender bürokratischer Aufwände zu haben.

Erfordert ISO 37001 ein eigenständiges Managementsystem?

Obgleich die ISO 37001 für sich ein eigenständiges Managementsystem ist, sind die erforderlichen Maßnahmen so angelegt, dass sie auch in existierende Management-Prozesse sowie Kontrollen integriert werden können. Wie die weit verbreitete ISO 9001 (Qualitätsmanagement) folgt auch die ISO 37001 der gängigen „High Level Structure“ für Managementsystemstandards. Bezogen auf ISO 37001 fordert sie eine Reihe von Maßnahmen und Kontrollen, die sich mit Korruption befassen und helfen sollen, diese zu verhindern und aufzudecken:

  • Anti-Korruptionsrichtlinie, Verfahren & Kontrollen
  • Führung, Engagement & Verantwortung durch das Top-Management
  • Aufsicht durch die Führungsebene
  • Anti-Korruptionstraining
  • Risikobewertungen
  • Risikoprüfung (Due Diligence) bei Projekten und Geschäftspartnern
  • Reporting, Monitoring, Untersuchung & Überprüfung
  • Korrigierende Maßnahmen & kontinuierliche Verbesserung

Gibt es Standards, auf denen ISO 37001 aufbaut?

Die Entstehung des Projektes ISO 37001 geht letztlich auf den UK Bribery Act und den britischen Standard BS 10500 zurück. Die Einführung des UK Bribery Act 2010 (UKBA) in Großbritannien brachte gleichzeitig die Frage mit sich, wie die Erfüllung der Anforderungen des UKBA denn nachgewiesen werden können. Eine erste Annäherung bot die Guidance des Ministry of Justice mit den sechs Prinzipien der unternehmensinternen Korruptionsprävention. Als weitere Reaktion entwickelte das British Standards Institute (BSI) nationalen Antikorruptionsstandard BS 10500, der bereits in einigen Unternehmen umgesetzt wurde und nun als Vor- und Grundlage der ISO 37001 dient.

Welche Modelle liegen der Norm zugrunde?

Die Basis der Norm bilden drei wesentliche Modelle, die zu einem Compliance-Management-System-Modell zusammengeführt wurden. Hierzu zählt das „Risk Management System“, das ISO 37001 zu einem risikobasierten Standard macht. Dem Modell der „High Level Structure“ folgend, stimmt die neue Norm mit der Struktur anderer Management Systeme überein und kann problemlos in bestehende Management Systeme integriert oder mit diesen kombiniert werden. Als drittes Modell liegt dem Standard der PDCA-Zyklus zugrunde. PDCA steht für Plan, Do, Check, Act und zielt auf einen kontinuierlichen Verbesserungsprozess ab.

Seit wann ist die Norm in Kraft?

ISO 37001 wurde am 15. Oktober 2016 veröffentlicht.

Ist ISO 37001 zertifizierbar?

Bei der Norm handelt es sich um einen Anforderungsstandard (Typ A), die über den Empfehlungscharakter hinausgeht und somit unabhängig zertifizierbar ist.

Definiert die Norm den Begriff Korruption?

Die Norm verwendet eine weitreichende Formulierung für Korruption, die in ihrer Gesamtheit über das hinaus geht, was in einigen Nationen rechtlich gefasst ist.

Wird sich ISO 37001 als internationaler Standard durchsetzen?

Grundsätzlich ist die Bedeutung der Bekämpfung von Korruption und ihre internationale Dimension unstrittig. Da ISO-Normen jedoch freiwillige Standards sind, werden Organisationen und Unternehmen selbst entscheiden, ob sie die ISO 37001 annehmen und sich die Norm auf nationaler sowie internationaler Ebene durchsetzen wird.

Grundsätzlich bietet sie die Chance, international verstärkt gegen Korruption vorzugehen, indem das Thema Korruptionsbekämpfung und somit das Thema (Legal) Compliance näher an den betrieblichen Alltag gebracht und in bereits bestehende und oft gelebte Prozesse und Verhaltensweisen integriert wird.

Zusätzlich dürfte die Norm Organisationen und Unternehmen auch im Rahmen internationaler Ausschreibungen Vorteile bringen, da sie hiermit ein starkes Signal an Abnehmer, Kunden und Verbraucher senden. Aus dem formalen und starken Bekenntnis der Organisation zum Kampf gegen Korruption können Wettbewerbsvorteile und eine Stärkung der Reputation resultieren. Auf Anbieterseite ergibt sich die Möglichkeit, Aufnahme in internationale Lieferketten zu erreichen. Korruption, als eines der weltweit wichtigsten Compliance-Themen, erfordert bereits jetzt äußerste Vorsicht bei der Auswahl von Geschäftspartnern. Ein international verstandener und extern verifizierbarer Standard kann hier assistieren.

Wie wird ISO 37001 einer Organisation nützen?

Die Norm stellt Organisationen Mindestanforderungen und hilfreiche Erläuterungen für die Implementierung oder das Benchmarking eines Anti-Korruptions Management Systems zur Verfügung. Sie gibt dem Management, Investoren, Mitarbeitern, Kunden sowie weiteren Stakeholdern die Gewissheit, dass Schritte unternommen werden, um Korruptionsrisiken zu minimieren. Wenn sich Organisationen an der Norm orientieren, gilt dies als Nachweis, dass sinnvolle Schritte unternommen wurden, um Bestechung und Bestechlichkeit zu verhindern.

Welche Konsequenzen hat es, wenn die Bestimmungen des Standards in einem Land illegal sind?

Wo geltendes Recht eines Landes einer bestimmten Anforderung des Standards entgegensteht, ist die Organisation nicht verpflichtet, diese zu befolgen. Der Normentext verdeutlicht betroffene Anforderungen explizit im Text.  Eine Organisation kann demzufolge dennoch den Standard anwenden.

Welche Bedeutung wird ISO 37001 für behördliche oder zivilrechtliche Verfahren haben?

Im Falle einer Untersuchung wird die Norm Unternehmen und Organisationen beim Nachweis helfen, dass angemessene Schritte zur Vermeidung von Korruption durchgeführt wurden. Dies wirkt sich bereits heute in einigen Jurisdiktionen strafmildernd aus.

Was bringt ISO 37001 für den Mittelstand?

Grundsätzlich ist der Standard so gestaltet, dass er auf alle Organisationen angewandt werden kann, die sich vor korrupten Praktiken schützen wollen. Auch hinsichtlich der Organisationsgröße legte die Expertengruppe Wert auf Flexibilität. Im Ergebnis sind die Anforderungen mit Augenmaß und unter Berücksichtigung der Angemessenheit formuliert. So wird es auch kleinen und mittelständischen Unternehmen und Organisationen möglich sein, ISO 37001 zu nutzen. Zumal die Norm auch einen Leitfaden mitliefert, der Orientierung bieten soll, wie ein Anti-Korruptions Management System eingeführt werden kann.

Was ist der Unterschied zwischen ISO 37001 und ISO 19600?

ISO 37001 unterscheidet sich in zwei wesentlichen Punkten von ISO 19600. Zum einen besitzt ISO 19600 als Typ B Standard Empfehlungscharakter, während ISO 37001 als Typ A Standard verpflichtende und damit überprüf- und zertifizierbare Anforderungen aufstellt. Zum anderen handelt es sich bei ISO 37001 um einen Standard zu einem wichtigen Compliance-Einzelthema, während ISO 19600 einen ganzheitlichen Ansatz wählt, in dem sie Empfehlungen zu einem themenübergreifenden Compliance-Management-System vorhält.

Beiden gemeinsam sind jedoch die ISO Prinzipien für Managementsysteme, wie zum Beispiel der risikobasierte Ansatz sowie die Plan-Do-Check-Act-Philosophie. Dies ermöglicht und erleichtert eine Erweiterung in beide Richtungen, also von einem themenbezogenen Ansatz inklusive Zertifizierung hin zu einem breiteren Ansatz, oder von einem breiteren Ansatz hin zu einer Vertiefung des Themas Schutz vor Korruption.

(Stand: 14. November 2016)

Das könnte Sie auch interessieren

Download FAQ & Infografik

Die FAQ zu ISO 37001 haben wir für Sie übersichtlich in einem PDF zusammengefasst. Die wichtigsten Infos zur ISO-Norm erhalten Sie außerdem mit unserer Infografik in hoher Auflösung, z. B. zur Einbindung in Ihre Präsentationen.

FAQ und Infografik herunterladen

Artikel "ISO 37001: Ein neuer Standard will mit Korruption aufräumen"

Die ISO-Organisation hat ihre Experten zusammengerufen, um einen neuen Compliance-Standard zu entwickeln, der sich allein dem Thema Antikorruption widmen soll. Michael Kayser geht in seinem Artikel im Compliance Berater Ausgabe 12/2015 ausführlich auf die Norm ein.

Lesen Sie hier den ausführlichen Artikel

ISO 19600

Sie interessieren sich für ISO-Normen? Dann lesen Sie auch die FAQ zu ISO 19600 und laden Sie sich das kostenlose Informationspaket herunter.

Mehr Informationen zur ISO 19600