Aufgaben und Ziele der ISO 37001

Bei der ISO 37001 handelt es sich um eine generische und prüfbare Norm, die detaillierte Anforderungen enthält, wie ein effektives Korruptionspräventionsprogramm in einer Organisation, insbesondere in Unternehmen, implementiert werden kann. Die Norm wurde im Herbst 2016 veröffentlicht. Es handelt sich dabei um kein Gesetz, an das sich Unternehmen halten müssen. Sie können es aber tun. In dem Falle kann die Richtigkeit der Umsetzung der Norm von einem unabhängigen Prüfer untersucht und zertifiziert werden.

Nach oben

Wie und wer hat die Norm erarbeitet?

Die Norm ist von der International Organization for Standardization (ISO) veröffentlicht worden. Das Normungsverfahren ist 2013 von Großbritannien eingeleitet worden. Bis zur Veröffentlichung der Norm im Oktober 2016 arbeiteten rund 50 Mitgliedsstaaten und fast 10 weitere internationale Organisationen, darunter die OECD, an der Entstehung der Anti-Korruptionsnorm.

Nach oben

Vorteile aus der Implementierung der Norm

Unternehmen, die ihre Anti-Korruptionsbemühungen systematisch mit einem Programm adressieren und sich dabei an der ISO 37001 orientieren, beweisen, die höchsten Standards im Bereich der Korruptionsprävention auf der Ebene eines Unternehmens eingehalten zu haben. Sie liefern dafür dem Vorstand, den Arbeitnehmern, Investoren und Partnern den Beweis, sich ernsthaft gegen Korruption einzusetzen. Im Einzelnen können folgende Vorteile entstehen:

Enthaftung: Insbesondere nach den exterritorial anwendbaren Anti-Korruptionsgesetzen, wie etwa dem UK Bribery Act oder dem U.S.-amerikanischen FCPA, kann im Falle einer Korruptionsstraftat die Haftung reduziert oder ausgeschlossen werden, wenn entsprechende Anti-Korruptionsprogramme in Unternehmen nachgewiesen werden können.

CSR-Berichterstattung: Die in Deutschland noch umzusetzende sog. CSR-Richtlinie der Europäischen Union sieht vor, dass Unternehmen künftig regelmäßig auch über ihre Bemühungen hinsichtlich der Korruptionsprävention berichten. Die Richtlinie sieht dabei vor, dass sich Unternehmen dabei an anerkannten Standards (und hierzu zählt ISO 37001) orientieren können.

Geschäftspartner: Laut einer Umfrage des ComplianceInsider (Link: insights.redflaggroup.com/articles/iso-37001-survey-results) ist damit zu rechnen, dass auf der globalen Ebene Geschäftspartner, die ISO 37001 implementiert haben als vertrauenswürdiger angesehen werden. Dies kann zur Reduktion oder Absehen von den Geschäftspartner-Überprüfungen führen.

Nach oben

An wen richtet sich der Standard?

Der Standard kann durch alle Organisationsformen implementiert werden. Es ist nicht nur für privatwirtschaftlich organisierte Unternehmen vorgesehen, sondern kann auch von Verbänden, Gewerkschaften, Behörden und sonstigen Institutionen umgesetzt werden.

Der Standard trägt auch dem Mittelstand Rechnung, indem viele Bestimmungen vor dem Hintergrund der Grundsätze der Flexibilität und Verhältnismäßigkeit umzusetzen sind.

Nach oben

Welchen Anwendungsbereich hat die Norm?

Die Norm hat ausschließlich die Bestechung zum Gegenstand und ist auf andere Formen der Wirtschaftskriminalität nicht anwendbar. Da Bestechung in verschiedenen Ländern unterschiedlich per Gesetz definiert ist, verzichtet die Norm auf eine allgemeine Definition und enthält lediglich eine Umschreibung des Begriffs.

Nach der Norm kann die Bestechung entweder durch die Organisation oder ihre Mitglieder oder ihre Geschäftspartner erfolgen, die im Namen der Organisation oder zu ihrem Nutzen handeln. Oder es kann sich um die Bestechung der Organisation, ihrer Mitglieder oder Geschäftspartner im Zusammenhang zu den Tätigkeiten der Organisation handeln. Die Konstellationen gehen somit sehr weit, um einen bestmöglichen Schutz gegen Bestechungen zu gewährleisten.

Nach oben

Wie funktioniert ein Anti-Korruptionsprogramm im Allgemeinen?

Der Vorteil der Norm ISO 37001 besteht darin, dass sie ähnlich wie die DIN ISO 19600 der allgemeinen Struktur der ISO für Managementnormen folgt (die sog. High Level Structure). Daraus ergibt sich die Ähnlichkeit der wesentlichen Systemelemente und nur an bestimmten Stellen wird dem Korruptionsrisiko durch besondere Maßnahmen Rechnung getragen.

Zunächst sollen die Hintergründe der Organisation (Kontext) ermittelt werden, hierzu gehört auch die Analyse der Korruptionsrisiken, die aber auch im Rahmen der allgemeinen Compliance-Risikoanalyse durchgeführt werden kann. Besondere Rolle spielt die Organisationsleitung, die das System aktiv fördern sollte, sowie die Zuteilung der Rollen. Es soll eine Strategie erarbeitet werden, die anschließend über die Planung und Durchführung von Maßnahmen, insbesondere Kommunikation, umgesetzt wird. Das System soll schließlich stets geprüft und verbessert werden.

Besondere Maßnahmen sieht die Norm naturgemäß in Bezug auf die Korruptionsprävention vor, so sind das z.B.:

Maßnahmen in Bezug auf Geschenke, Einladungen, etc.: Hier sieht die Norm Kontrollen vor, die im absoluten Verbot resultieren können oder eine Toleranz zulassen bezogen auf solche Faktoren wie Wert, Häufigkeit, etc. An vorderster Stelle stehen jedoch entsprechende Transparenz und Dokumentation.

Geschäftspartner: Auch in Bezug auf Geschäftspartner sieht die Norm Spezialverfahren vor; so können etwa Vertragsklausel aufgenommen werden, die Auditing-Rechte vorbehalten oder das Recht gewähren, den Vertrag im Falle einer Korruption außerordentlich zu kündigen.

Nach oben

Verhältnis der Norm zu anderen Normen, insbes. ISO 37001 und PS 980

Zunächst ist die Anwendung des Prüfungsstandards PS 980 neben der ISO 37001 überflüssig. Bei der ISO 37001 handelt es sich um eine prüfbare Norm, die keine Empfehlungen, sondern Anforderungen enthält. Ihre Umsetzung kann von einem unabhängigen und zugelassenen Prüfer untersucht und zertifiziert werden.

Das Verhältnis zur DIN ISO 19600 ist dagegen komplementär. Während DIN ISO 19600 eine allgemeine Norm zur Steuerung aller Compliance-Risiken enthält, beinhaltet ISO 37001 darüber hinaus besondere Bestimmungen, die sich nur mit dem Korruptionsrisiko befassen.

Beide Normen, ISO 37001 und ISO 19600 gehen von dem Integrationsansatz aus, es empfiehlt sich daher, die Normen gemeinsam einzuführen, um somit gegen sämtliche Compliance-Risiken bestens ausgestattet zu sein, was durch ein anschließendes Zertifikat bescheinigt werden kann.

Nach oben