ISO 37001

ISO 37001
Der internationale Standard für
Antikorruptions-Management
Auch wenn Compliance als Unternehmensfunktion und
Managementdisziplin noch relativ jung ist, hat sich in den
vergangenen Jahren bereits eine beeindruckende Anzahl
von unterschiedlichen Standards und Rahmenwerken
entwickelt. Motiviert durch eine zunehmende Bedeutung
effektiver Compliance und insbesondere Korruptionsbekämpfung für die gesamte Wertschöpfung eines
Unternehmens und getrieben von komplexen nationalen
wie internationalen Regulierungsanforderungen spielt
Orientierung für die Ausgestaltung moderner Complianceund Antikorruptions-Management-Systeme eine entscheidende Rolle.
Mit der Norm ISO 37001 Antikorruptions-Management-System (AKMS) trägt die
International Organization for Standardization (ISO) dem Trend einer verstärkten
Vorgehensweise gegen Korruption und Wirtschaftskriminalität Rechnung. Aufbauend
auf der ISO 19600 und mit dem Ziel, grundsätzliche Prinzipien festzulegen und ein
ganzheitliches Compliance-Management-System (CMS) zu definieren, entfaltet die
ISO 37001 ihren Wert als Präzisierung eines ausgewählten einzelnen Compliance-Feldes.
Die Flexibilität der ISO 37001, unabhängig von Branche, Unternehmensgröße oder
geografischer Präsenz, und die internationale Vergleichbarkeit und die Möglichkeit
der externen Zertifizierung sind dabei nur einige der Vorteile dieser Norm.
ISO 37001 – der internationale Standard für ein
Antikorruptions-Management-System (AKMS)
Die „International Organization for Standardization“ (ISO) setzt
regelmäßig und auf globaler Ebene Standards für Managementsysteme. Zum ersten Mal wird mit der ISO 37001 nun ein supranationaler Maßstab für die Implementierung und den Betrieb eines
AKMS gesetzt.
Bereits vorhandene Prinzipien wie beispielsweise die Guidance
zum UK Bribery Act werden durch die Norm reflektiert und
zugänglich gemacht. Als grenz- und branchenübergreifendes
Regelwerk sorgt die ISO 37001 für ein einheitliches Verständnis
und entsprechende Maßstäbe in Bezug auf Entwicklung, Implementierung, Betrieb und Verbesserung von AKMS in verschiedensten Organisationstypen.
Analog zu den Grundpfeilern eines CMS eröffnet die Norm
Möglichkeiten zur Prävention, Aufdeckung und Reaktion von
bzw. auf potenzielle Fälle von Korruption (siehe auch EY Business
Integrity & Corporate Compliance Framework Model). Mit diesem
Anspruch wird eine Reihe von Maßnahmen und Kontrollen spezifiziert, die ein Unternehmen implementieren sollte. Diese orientieren sich an weltweit vorbildlichen Antikorruptions-Praktiken,
ganz im Sinne einer globalen „Good Practice“.
Wesentliche Zielsetzung
• Z
 usammenfassung verschiedener, bereits vorhandener
Antikorruptions-Prinzipien
• V
 erbindung bereits implementierter Einzelmaßnahmen zu einem
ganzheitlichen und abgestimmten System
• V
 erknüpfung mit der ISO 19600: Betonung
compliancerelevanter Aspekte wie Business Partner Due
Diligence, Schutz von Whistleblowern etc.
• praxiserprobte Umsetzungsempfehlungen
2
| ISO 37001 Der internationale Standard für Antikorruptions-Management
Um auch den Anforderungen nach handfesten Vorgaben und
einer weitreichenden unabhängigen Gültigkeit bzw. Anwendbarkeit einzelner Branchen, Länder und Unternehmensgrößen
gerecht zu werden, handelt es sich bei der ISO 37001 um einen
auf dem Prinzip des Risiko- bzw. Gefahrenpotenzials bzw. der
Angemessenheit basierenden Anforderungsstandard vom Typ A.
Die ISO 37001 geht damit über einen Empfehlungscharakter
hinaus (vgl. ISO 19600) und ist daher unabhängig zertifizierbar.
Als Grundlage hat die ISO sieben Kernelemente definiert:
Elemente der ISO 37001
Führung
Verbesserung
Planung
Kontext
der
Organisation
Bewertung
und
Leistung
Unterstützung
Betrieb
Da es sich um einen risikobasierten Standard handelt, kommt
der Risikoanalyse eine besondere Rolle zu. Um ComplianceAnforderungen zu bestimmen und Kontrollen zu etablieren,
werden Risiken identifiziert, analysiert und bewertet. Gewichtet
nach Prioritäten sollen Gegenmaßnahmen gegen die größten
Risiken ergriffen werden. Einen weiteren zentralen Aspekt bildet
die sogenannte Due Diligence, insbesondere die Überprüfung
von Geschäftspartnern. Sie nimmt gerade im Hinblick auf Bestechung und Korruption eine besondere Stellung ein. Somit ist
es konsequent, dass der Standard diese Thematik aufgreift.
Ebenfalls hervorzuheben sind die Bedeutung und der Schutz von
Hinweisgebern.
Ausgewählte Anforderungen und Maßnahmen der ISO 37001
Kontext der
Organisation
•Organisationsverständnis
• interne und externe Stakeholder-Interessen
• Festlegung des Anwendungsbereichs und Gültigkeit
• Managementsystem (Kontrollen und Maßnahmen)
• Risikoanalyse und -beurteilung (Fokus: Korruption)
Führung
• Führung und Verpflichtung (Leitungsorgane und oberste Leitung)
• Politik der Korruptionsbekämpfung/Compliance-Kultur
• Rollen, Verantwortlichkeiten und Befugnisse
• ggf. Delegation/Outsourcing von Antikorruptions-Maßnahmen
Planung
• Zielsetzung
• Planung der Zielerreichung
• Festlegung der Steuerungsmaßnahmen zur Zielerreichung
Unterstützung
• Ressourcen
• Kompetenz
• Bewusstsein und Schulungen
• Kommunikation
• Dokumentation
Betrieb
• Antikorruptions-Prozesse (Planung, Steuerung und Überwachung)
• risikobasierte Sorgfaltspflicht
• finanz- und prozessbasierte Antikorruptions-Schwerpunkte
• interne/externe Antikorruptions-Kontrollen
• Verpflichtung zur Korruptionsbekämpfung (Organisation und Stakeholder)
• Geschäftspartnerbezug (Geschenke, Bewirtung, Spenden und Vorteile)
• Meldeverfahren (Whistleblowing)
• Investigation
Bewertung und
Leistung
• Überwachung, Analyse und Bewertung
• interne Audits
• Management-Reviews (Bewertung durch Leitungsorgane/oberste Leitung)
Verbesserung
• Nichtkonformität und Korrekturmaßnahmen
• kontinuierliche Verbesserung
• Umgang mit Fehlverhalten (Sanktionierung)
ISO 37001 Der internationale Standard für Antikorruptions-Management |
3
ISO 37001
Besonderheit der ISO 37001
Mit der ISO 37001 ist es gelungen, an die ISO 19600 anzuknüpfen.
Dabei werden anhand konkreter Anforderungen und Maßnahmen
zentrale Aspekte für die Ausgestaltung und das Wirken eines
AKMS definiert. Die Möglichkeit der Einbettung in ein bestehendes
CMS nach ISO 19600 kann somit als logische Konsequenz betrachtet werden.
Für Unternehmen ergeben sich damit grundsätzlich zwei Optionen:
a) die Ergänzung bereits nach ISO-Norm implementierter
Managementsysteme um Maßnahmen gegen Korruption
b) die Implementierung eines AKMS unabhängig von bereits
bestehenden Managementsystemen
Unternehmen zum einen ein starkes Kommunikationsinstrument
gegenüber ihren Stakeholdern und zum anderen ein wertvolles
Feedback zu Funktion und Wirkung des AKMS.
ISO 37001 – Implementierung
Die Basis der Norm sind drei wesentliche Modelle, die zu einem
Compliance-Management-System-Modell zusammengeführt
wurden. Hierzu zählt das „Risk Management System“, das die
ISO 37001 zu einem risikobasierten Standard macht. Dem Modell
der „High Level Structure“ folgend stimmt die neue Norm mit der
Struktur anderer Managementsysteme überein und kann problemlos in bestehende Managementsysteme integriert oder mit ihnen
kombiniert werden. Als drittes Modell liegt dem Standard der
PDCA-Zyklus zugrunde. PDCA steht für „Plan, Do, Check, Act“
und zielt auf einen kontinuierlichen Verbesserungsprozess ab.
Im Unterschied zur ISO 19600 ist die ISO 37001 zertifizierbar. Das
heißt, mit einer erfolgreichen, externen Prüfung des AKMS haben
4-Schritte-Methode: Planen – Umsetzen – Prüfen – Ausführen
Planen/Ausführen
Identiﬁzierung
externer
und interner
Problemfelder
Umsetzen/Prüfen
Identiﬁzierung
der Voraussetzungen,
vorgegeben durch
Anteilseigner
Festlegen des
Projektrahmens
und Einführung
des ComplianceManagement-Systems
Planen
Etablierung der
ComplianceGrundsätze
Identiﬁzierung
von ComplianceVerpﬂichtungen
und Evaluierung von
Compliance-Risiken
Good-GovernancePrinzipien
4
| ISO 37001 Der internationale Standard für Antikorruptions-Management
Ausführen
Planung: Prävention
von Compliance-Risiken
und Erreichen von Zielen
Engagement der
Führungskräfte,
unabhängige
Compliance-Aufgaben,
Verantwortlichkeiten
auf allen Ebenen
sowie unterstützende
Aufgaben
Non-ComplianceVerhalten aufdecken
und kontinuierliche
Verbesserung
des Systems
Umsetzen
Einbeziehung in
die betriebliche Planung
und Kontrolle von
Compliance-Risiken
Leistungsauswertung
und ComplianceReporting
Prüfen
Ausblick und Chancen
Eine Vielzahl von Ländern hat bisher Gesetze oder Handlungsempfehlungen zu Antikorruptions-Programmen verabschiedet,
die internationale Antikorruptions-Initiativen berücksichtigen bzw.
auf diesen basieren. Auch die Verfolgung von Delikten hinsichtlich
Bestechung und Korruption hat in den vergangenen Jahren stark
zugenommen. Die Untersuchung dieser Delikte zielt dabei vermehrt auf das Vergehen einzelner Personen. Vor allem in diesem
Zusammenhang benötigen Führungskräfte die Sicherheit, dass
sich ihr Unternehmen an die schnell wachsenden und veränderten
internationalen und lokalen gesetzlichen Anforderungen und Regularien hält.
Schon jetzt zeichnet sich eine Reihe von Chancen ab, die Unternehmen mit der Implementierung eines AKMS nach ISO 37001
ergreifen können.
• W
 ettbewerbsvorteile bei privaten wie auch öffentlichen
Ausschreibungen
• S
 tärkung einer Unternehmenskultur, in der Integrität,
Transparenz und Compliance gelebt werden
• S
 tärkung der Wahrnehmung bei Kunden, Geschäftspartnern
und der Öffentlichkeit
• N
 achweis gegenüber Strafverfolgungsbehörden und
Regulatoren
Die ISO 37001 wird dabei auch als Managementwerkzeug eine
zentrale Rolle spielen und Grundlage für weitere, darauf aufbauende Entwicklungen sein.
ISO 37001 Der internationale Standard für Antikorruptions-Management |
5
ISO 37001
ISO 37001 und unsere Leistungen für Sie und Ihr Unternehmen
Die Entwicklung und Implementierung eines Präventionsprogramms und einer Kultur basierend auf Ethik, Werten und Integrität in Übereinstimmung mit der ISO 37001 wird Ihnen helfen,
eine weltweit wirksame Compliance zu etablieren und aufrechtzuerhalten.
Unser Leistungsangebot im Bereich Business Integrity & Corporate
Compliance hilft Ihrem Unternehmen, Compliance- und Integritätssysteme (u. a. im Einklang mit ISO 37001) zu etablieren, deren
Wirksamkeit zu verbessern und deren Nachhaltigkeit zu erhöhen.
Wir unterstützen Sie bei der Aufnahme des Ist-Zustandes und bei
der Durchführung Ihrer Compliance-Projekte. Bei strategischen
Compliance-Programmen beraten wir Sie umfassend.
Die Stärke unseres Vorgehens basiert auf unserem einheitlichen
und weltweit anerkannten „EY Business Integrity & Corporate
Compliance Framework Model“.
Integrity & Compliance
Unternehmenswerte
Strategie
Tone at the Top
Kultur
Effektive und abgestimmte Compliance-Konzepte und -Aktivitäten
Managementverantwortung und Überwachung
„Integrity & Compliance“-Organisation
Prevent
Mitarbeiter
Prozesse
Daten
Systeme
Detect
Respond
Compliance Risk Assessment und Monitoring
Code of Conduct
Hinweisgebersystem
Case Management
Regeln, Richtlinien,
Prozesse und Kontrollen
Third Parties/
M&A Diligence
ComplianceUntersuchungen
Training und Beratung
Monitoring, Reviews
und Prüfungen
Consequence
Management
Incentivierung
Datenanalysen
Remediation und
Systemverbesserungen
Interne und externe Kommunikation/Programm-Reporting
Compliance-Anforderungsmanagement und effektive Implementierung
Programm-Evaluation und Nachhaltigkeitsmanagement
Strategie- und Support-Funktionen
Operative Funktionen
Engagierte und verantwortungsvolle Mitarbeiter
6
| ISO 37001 Der internationale Standard für Antikorruptions-Management
Corporate
Governance
Integriertes Risikound Compliancemanagement
Nachhaltige
Integration
Wie kann EY helfen?
Unsere Leistungen im Zusammenhang mit der ISO 37001:
Aufnahme und Beurteilung Ihrer Korruptions- und
Compliance-Risiken: Wir unterstützen Sie bei der Beurteilung
und Priorisierung der wesentlichen Integritäts- und ComplianceRisiken in Ihrem Unternehmen, risikospezifisch, geografisch,
prozessual etc. Der Fokus liegt hierbei im Sinne der ISO 37001
auf Korruption einschließlich angrenzender Themen.
Ressourcen sowie Prozesse und Kontrollen auf der Ebene einzelner Unternehmenseinheiten. Im Rahmen dieser Beurteilung
vergleichen wir Ihre Compliance-Infrastruktur mit den Leading
Practices, um Verbesserungspotenziale zu identifizieren. Dazu
setzt EY das „Business Integrity- & Corporate Compliance“-Reifegradmodell ein, mit dem wir auf die individuellen Anforderungen
Ihres Unternehmens eingehen. Darüber hinaus prüfen wir Ihr
System auf der Basis nationaler und international anerkannter
Rahmenkonzepte und Standards (beispielsweise nach ISO 37001).
Integritäts- und Compliance-Nachhaltigkeit und-Monitoring:
Wir unterstützen Ihr Management mit dem Fokus auf Antikorruptions-Maßnahmen bei der Entwicklung und Umsetzung von
Plänen zur Bewertung und regelmäßigen Überwachung der Unternehmenskontrollen für die Steuerung von Compliance-Risiken und
die Überwachung der Effektivität Ihres Compliance-Systems – und
auch bei der Sicherstellung von Integrität und Compliance im
Tagesgeschäft.
Integritäts- und Compliance-Programmverbesserung und
-beratung: Wir unterstützen Sie bei der Erarbeitung und Umsetzung Ihrer Compliance-Strategie, bei operativen ComplianceHerausforderungen sowie hinsichtlich der Kernelemente und
wichtigsten Maßnahmen zur Verringerung spezifischer ComplianceRisiken bzw. der Verbesserung Ihrer Integrity-ComplianceInfrastruktur.
Bewertung Ihres Integritäts- und Compliance-Systems:
Wir erstellen für Sie mit dem Fokus auf Antikorruptions-Maßnahmen eine unabhängige Bewertung der Compliance-Infrastruktur
und des Compliance-Systems Ihres Unternehmens, einschließlich
der Compliance-Funktion, der Aufbau- und Ablauforganisation,
Unser Angebot umfasst hierbei u. a. auch Leistungen wie
Compliance Due Diligence, Antikorruption-Integrity-Diligence
und Compliance-Transaktionsunterstützung, vorausschauende
Compliance-Datenanalyse, Fraud-Response-Management,
Compliance-Audits und forensische Untersuchungen.
Warum EY?
Mit EY profitieren Sie von einer einzigartigen Kombination aus
Wissen, Erfahrung, Methoden und den richtigen Köpfen. Hier
treffen Ingenieure, Wirtschaftsprüfer, IT-Forensiker, Kriminalisten, klassische Betriebswirte oder Rechtsanwälte aufeinander.
Wir sind davon überzeugt, dass Compliance-ManagementSysteme, die Wert und Werte vor Fehlverhalten schützen,
weder undurchdringbar kompliziert noch bürokratisch organisiert sein müssen.
Seit Jahren sind wir darauf spezialisiert, in allen relevanten
Risikobereichen Verdachtsmomente vollumfänglich aufzuklären
und praxistaugliche Präventionssysteme zu schaffen.
Wir sind da, wo Sie sind – an 21 Standorten in Deutschland
und in 170 Ländern weltweit.
ISO 37001 Der internationale Standard für Antikorruptions-Management |
7
Ansprechpartner
Dr. Stefan Heißner
Managing Partner EMEIA Central Zone/GSA
Business Integrity & Corporate Compliance
Telefon +49 221 2779 11397
[email protected]
Andreas Pyrcek
Lead Partner Integrity & Compliance Services
Business Integrity & Corporate Compliance
Telefon +49 211 9352 26881
[email protected]
Felix Benecke
Partner, Markets Leader
Business Integrity & Corporate Compliance
Telefon +49 30 25471 15293
[email protected]
EY | Assurance | Tax | Transactions | Advisory
Die globale EY-Organisation im Überblick
Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung,
Transaktionsberatung und Managementberatung.
Mit unserer Erfahrung, unserem Wissen und
unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte.
Dafür sind wir bestens gerüstet: mit hervorragend
ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen
Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen –
für unsere Mitarbeiter, unsere Mandanten und
die Gesellschaft, in der wir leben. Dafür steht
unser weltweiter Anspruch „Building a better
working world“.
Die globale EY-Organisation besteht aus den
Mitgliedsunternehmen von Ernst & Young G
lobal
Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig
und haftet nicht für das Handeln und Unterlassen
der jeweils anderen Mitgliedsunternehmen.
Ernst & Young Global Limited ist eine Gesellschaft
mit beschränkter Haftung nach englischem
Recht und erbringt keine Leistungen für Man
danten. Weitere Informationen finden Sie unter
www.ey.com.
In Deutschland ist EY an 21 Standorten präsent.
„EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen
von Ernst & Young Global Limited.
© 2017 Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft
All Rights Reserved.
GSA Agency
SKN 1611-116
ED None
EY ist bestrebt, die Umwelt so wenig wie möglich zu belasten.
Diese Publikation wurde CO2-neutral und auf FSC®-zertifiziertem
Papier gedruckt, das zu 60 % aus Recycling-Fasern besteht.
Diese Publikation ist lediglich als allgemeine, unverbindliche
Information gedacht und kann daher nicht als Ersatz für eine
detaillierte Recherche oder eine fachkundige Beratung oder
Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt
wurde, besteht kein Anspruch auf sachliche Richtigkeit, Voll
ständigkeit und/oder Aktualität; insbesondere kann diese Publi
kation nicht den besonderen U
mständen des Einzelfalls Rechnung
tragen. Eine Verwendung liegt damit in der eigenen Verantwortung
des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft und/oder a
nderer Mitgliedsunternehmen der globalen EY-Organisation wird ausgeschlossen.
Bei jedem spezifischen Anliegen sollte ein g
eeigneter Berater zurate gezogen werden.
www.de.ey.com

Download Report