Erfolgreich mit Compliance

2.1.3.2Die Kohärenz von ISO 37301 und ISO 37001

Beide Standards basieren auf der gleichen, für ISO MSS verpflichtenden, High-Level-Struktur (HLS-Struktur). Die einheitlichen Hauptkapitel (4 bis 10) bestimmen die sieben Elemente eines Management-Systems nach ISO und beinhalten einheitliche Texte, Begriffen und Definitionen. Die Anforderungen, die sich aus den zu standardisierenden Fachgebieten ergeben (z.B. Compliance, Anti-Korruption) werden durch Ergänzungen der HLS-Vorgabe abgebildet. Die Anwendung dieser HLS-Struktur leichtert die Integration der ISO 37301 mit der ISO 37001.

Die ISO 37301 ist auf alle Compliance-Verpflichtungen anwendbar. Die ISO 37001 bezieht sich dagegen auf eine spezielle Compliance Anforderung. Die wesentlichen Unterschiede zwischen den beiden Standards sind daher im operativen Betrieb des Management-Systems zu finden, wie es nachfolgend in Tabelle 9 dargestellt ist. In Kapitel 8 (Betrieb) beinhaltet die ISO 37001 neun operative Anforderungen, deren Implementierung für ein wirksames Management-System erforderlich sind, um Korruption bzw. Bestechung zu verhindern, zu erkennen und im Anlassfall darauf zu reagieren.

Tabelle 9

Vergleich ISO 37301 vs. ISO 37001 auf Basis der HLS-Struktur von ISO MSS

Die in ISO 37301 und ISO 37001 enthaltenen Anforderungen sind auf jede Art von Organisation anwendbar. In beiden Standards ist eine Organisation als eine Person oder Gruppe von Personen definiert, die ihre eigenen Funktionen mit Verantwortlichkeiten, Befugnissen und Beziehungen hat, um ihre Ziele zu erreichen. Umfasst sind Einzelunternehmer ebenso wie Unternehmen, Konzerne, (öffentliche) Behörden und andere Institutionen sowie Wohltätigkeitsorganisationen. Umfasst sind verschiedene Organisationstypen jeglicher Art von Produktions- und Dienstleistungsbetrieben, aber auch Einrichtungen des Bildungswesens (Schulen, Universitäten), Anwaltskanzleien, (öffentliche) Krankenhäuser oder Einrichtungen der Bundes-, Landes- oder Kommunalverwaltungen. Ein ABMS nach ISO 37001 kann auch auf Teile oder Kombinationen einer dieser Strukturen angewandt werden.

Basis für den angemessenen Umfang des ABMS ist die Bestimmung des Kontexts der Organisation, welcher die Ermittlung und Berücksichtigung der Bedürfnisse und Erwartungen von interessierten Parteien (Stakeholder) und die Bewertung des Korruptionsrisikos umfasst.

Grundsätzlich ist es einer Organisation freigestellt, die Methode für die Bewertung des Korruptionsrisikos festzulegen. Diese Methode sollte die Festlegung von Kriterien umfassen, um Korruptionsrisiken zu gewichten und zu priorisieren. Es sollte weiters der Risikoappetit festgelegt werden, d.h. wann und inwieweit ein Korruptionsrisiko akzeptiert oder toleriert wird. Die Akzeptanz oder das Tolerieren von einem Korruptionsrisiko bezieht sich ausschließlich auf das Ausmaß der aufzuwendenden oder einzusetzenden Ressourcen zur Verhinderung bzw. Aufdeckung von Korruption in Situationen, in denen das Risiko von Korruption als niedrig bewertet wurden. Sollte es in diesen Situationen zu einem Korruptionsfall kommen, so ist auf diesen in adäquater Weise mit Untersuchungen, Konsequenzen etc. zu reagieren. Risikoakzeptanz bezieht sich niemals auf das Tolerieren eines Fehlverhaltens.

Für die Bewertung des Korruptionsrisikos empfiehlt es sich, die Auswirkung und die Wahrscheinlichkeit des Eintretens eines Korruptionsfalles als Kriterien festzulegen. Bei der Festlegung der Parameter für diese beiden Kriterien sind die Ziele der Organisation zu berücksichtigen. Die Bewertung und anschließende Priorisierung erfolgen durch die Kombination der beiden Kriterien. Bei der Risiko-Identifizierung werden Risiken (des Eintritts und des Ausmaßes von Korruption) erkannt und beschrieben, die eine Organisation daran hindern könnten, ihre Ziele zu erreichen. Diese Risiken können in Kategorien eingeteilt werden, wie z.B. Länderrisiko, sektorales Risiko, Risiko im Zusammenhang mit Geschäftspartnern oder Risiko des öffentlichen Sektors (z.B. Frequenz und Art der Kontakte mit Beamten).

Die Risikobewertung ist zu dokumentieren und sollte regelmäßig auf Aktualität überprüft werden. Wenn sich die Struktur oder die Aktivitäten einer Organisation erheblich ändern, ist eine Neuerwerbung des Korruptionsrisikos durchzuführen.

Auf Basis der Ergebnisse der Bewertung des Korruptionsrisikos sind angemessene und verhältnismäßige Maßnahmen zu entwickeln und zu implementieren. Dazu gehören u.a. eine Anti-Korruptionspolitik, die Ernennung einer Compliance-Funktion, Schulungen sowie das aktive Engagement und die sichtbare Unterstützung der obersten Leitung und des Aufsichtsgremiums zu Anti-Korruptionsmaßnahmen in Verbindung mit der Ausübung der Geschäftstätigkeiten.

Die operative Planung konzentriert sich auf die Implementierung, Überprüfung und Steuerung der zur Bewältigung der bewerteten Risiken festgelegten Maßnahmen. Da sich die ISO 37301 auf alle Compliance-Verpflichtungen beziehen kann, die für eine Organisation relevant sind bzw. denen sich eine Organisation freiwillig unterwirft, ist es unmöglich, spezifische operative Maßnahmen zu diesen fast unendlichen Möglichkeiten festzulegen. Die Anforderungen der ISO 37301 an operative Richtlinien und Prozesse sind daher allgemein gehalten. Gefordert ist die Festlegung von Kriterien für Maßnahmen, die Implementierung von Parametern zur Kontrolle der Einhaltung dieser Maßnahmen und die Aufbewahrung geeigneter dokumentierter Informationen.

Tabelle 10

Vergleich ISO 37301 vs. ISO 37001 – Kapitel 8 „Betrieb“

Die ISO 37001 bezieht sich nur auf eine bestimmte Compliance-Verpflichtung. Es sind daher – wie in Tabelle 10 dargestellt – neun operative Anforderungen festgelegt, die für ein wirksames Anti-Korruptionsmanagementsystem zur Verhinderung, Aufdeckung von und Reaktion auf Korruption erforderlich sind.

+Due Diligence

Bei einem Due-Diligence-Verfahren werden Informationen für eine vertiefende Prüfung aus mehreren Quellen gesammelt, validiert und bewertet. Ressourcen für das Verfahren werden auf die Bereiche mit erhöhtem Risiko konzentriert.

Due-Diligence-Verfahren sind durchzuführen für (i) Transaktionen, Projekte oder sonstige Aktivitäten, für (ii) geplante oder laufende Beziehungen zu bestimmten Kategorien von Geschäftspartnern und für (iii) Mitarbeiter in bestimmten Positionen, die mit einem erhöhten Korruptionsrisiko verbunden sind. Bei der Sammlung und Bewertung der Informationen ist mit eingehender Sorgfalt vorzugehen, um eine transparente und fundierte Grundlage für die Bewertung des Korruptionsrisikos zu erhalten. Es sind Verfahren einzurichten, um die risikobezogenen Ergebnisse eines Due-Diligence-Verfahrens in Geschäftsentscheidungen zu berücksichtigen.

+Finanzielle Kontrollen

Die wahrheitsgemäße Charakterisierung von Zahlungen sowie die genaue und vollständige Aufzeichnung von Zahlungsströmen ist sicherzustellen. Eine Reihe von finanziellen Kontrollen können dazu beitragen, das Korruptionsrisiko zu verringern, wie z.B.:

+Genehmigung von Zahlungen durch eine andere Person als jene, die die Zahlung (Bestellung) initiiert hat

+Überprüfung der ordnungsgemäßen Genehmigung von zu zahlenden Dienstleistungen oder Produkten,

+Überprüfung, ob Transaktionen einen echten Geschäftszweck haben,

+Befugnisse, gestaffelt nach Höhe und Ausprägung des Korruptionsrisikos,

+angemessene Dokumentation von Transaktionen, inkl. Belege und Leistungsnachweise,

+Beschränkung der Verwendung von Bargeld auf kleine Beträge und

+Festlegung von Regeln für Eilaufträge, Sonderkonditionen oder Ausnahmen.

+Nichtfinanzielle Kontrollen

Zur Bewältigung des Korruptionsrisikos sind in bestimmten Bereichen (wie z.B. Beschaffung, Betrieb, Vertrieb, Handel, Personalwesen, rechtliche und regulatorische Aktivitäten) nichtfinanzielle Kontrollen einzurichten. Diese umfassen z.B.:

+Standardverträge, inkl. Anti-Korruptionsklauseln, Ermächtigung von Überprüfungen eines Geschäftspartners,

+Verhaltenskodizes und Schulungen von Geschäftspartnern,

+Regelungen zur Einschränkung des IT-Zugriffs (z.B. Passwörter),

+Überwachung oder Überprüfung der laufenden operativen Aktivitäten und

+Erfordernis der Verwendung von Videoüberwachung, Schlössern und anderen Hindernissen zum Schutz von Vermögenswerten.

+Implementierung von Anti-Korruptionskontrollen durch kontrollierte Organisationen und Geschäftspartner

Eine kontrollierte Organisation im Sinne der ISO 37001 liegt dann vor, wenn eine Organisation direkt oder indirekt (z.B. durch die Bestellung des Managements oder auf vertraglicher Basis) die Verwaltung dieser anderen Organisation bestimmen kann. Kontrollierte Organisationen (Tochtergesellschaft, JV) können in den Geltungsbereich der ABMS der Muttergesellschaft aufgenommen werden. Ist dies nicht der Fall, hat die kontrollierende Organisation dafür Sorge zu tragen, dass die kontrollierte Organisation angemessene und verhältnismäßige Anti-Korruptionsmaßnahmen entwickelt und umsetzt.

Bei Geschäftspartner (= nichtkontrollierte Organisationen) muss festgestellt werden, ob der Geschäftspartner angemessene Maßnahmen zur Steuerung des Korruptionsrisikos implementiert hat. Ist dies nicht der Fall oder können die Maßnahmen nicht festgestellt werden, muss die Organisation eine vertragliche Verpflichtung des Geschäftspartners zur Implementierung von Anti-Korruptionsmaßnahmen in Betracht ziehen. Ist eine solche Verpflichtung nicht praktikabel, muss dieser Umstand in der Bewertung des Korruptionsrisikos dieses Geschäftspartners berücksichtigt werden.

+Verpflichtungen zur Bekämpfung von Korruption

Eine Organisation muss Verfahren implementieren, um Geschäftspartner zu Maßnahmen zur Bekämpfung von Korruption zu verpflichten. Diese Verpflichtung kann sich z.B. auf Folgendes erstrecken:

+Erstellung und Umsetzung einer Anti-Korruptionspolitik,

+Implementierung von Richtlinien und Verfahren, um Korruption zu verhindern, aufzudecken und gegebenenfalls darauf zu reagieren,

+Einrichtung eines Hinweisgebersystems für Mitarbeiter und externe Stakeholder,

+Schulung bestimmter Mitarbeiter in Bezug auf Korruptionsprävention und

+Zulassung von Audits vor Ort (inkl. Überprüfung von Büchern und Aufzeichnungen).

Ist eine solche Verpflichtung nicht praktikabel, muss dieser Umstand in der Bewertung des Korruptionsrisikos dieser Geschäftspartner berücksichtigt werden.

+Geschenke, Bewirtung, Spenden und ähnliche Leistungen

Eine Organisation muss Regelungen erstellen für Geschenke, Bewirtung, Spenden und ähnliche Leistungen, wenn das Anbieten, Bereitstellen oder Annehmen als Bestechung angesehen wird bzw. vernünftigerweise als solche angesehen werden könnte.

In vielen Ländern wird der Brauch von Geschenken und Gefälligkeiten verwendet, um Beziehungen und Netzwerke aufzubauen und zu stärken. Unter diesem Deckmantel können jedoch Zuwendungen – in welcher Form auch immer – absichtlich und gezielt als Bestechung eingesetzt werden. Das Dilemma für eine Organisation besteht darin, dass die Untersagung selbst geringfügiger Geschenke und Aufmerksamkeiten als unhöflich oder als kulturell unwissend angesehen werden kann. Es ist jedoch zu beobachten, dass auch in Ländern mit einer ehemals auf Geschenke und Aufmerksamkeiten orientierten Geschäftskultur ein Umdenken stattfindet.

Entsprechend der Art des Geschäftstätigkeiten und der Märkte (z.B. ob national oder international) sollten Richtlinien nachstehende Themen als Minimalerfordernisse abdecken:

+Art und Umfang der Zuwendung: Bargeld und geldwerte Zuwendungen sollten gänzlich untersagt sein. Anstelle von fixen Betragslimits können Wertetabellen eine Anpassung an lokale Gepflogenheiten ermöglichen. Bevorzugt werden sollten günstige (aber nicht billig wirkende) Werbegeschenke, versehen mit dem Logo der Organisation. Erlaubte Zuwendungen sollten selten (und nicht wiederkehrend) sein, geeignet für den Anlass, angepasst an örtliche Gesetze und Vorschriften, von den Verhaltensstandards des Empfängers zugelassen und mit einem legitimen Geschäftszweck verbunden sein. Zuwendungen an Partner, Familienmitglieder, Freunde oder andere enge Bezugspersonen sollten nicht gestattet sein.

+Autorisierung: Zuwendungen aller Art an Beamte und Vertreter der öffentlichen Hand sollten grundsätzlich untersagt sein. Ausnahmen bedürfen einer vorherigen Genehmigung einer unabhängigen Stelle (z.B. Rechtsabteilung, Compliance).

+Empfang von Zuwendungen: Grundsätzlich sollten die gleichen strikten Regelungen gelten wie für die Leistung von Zuwendungen an Dritte. Der Empfang von Zuwendung über einen bestimmten geringen Wert hinaus sollte genehmigungspflichtig sein. Der Empfang von Zuwendungen ist zu dokumentieren.

+Interessenkonflikt: Um die Beeinträchtigung eines objektiven geschäftlichen Urteilsvermögens zu verhindern, sollte das Geben und Empfangen von Zuwendungen aller Art in bestimmten Situationen gänzlich untersagt sein, wie z.B. laufende Ausschreibungs- oder Angebotsverfahren im Zuge von Kunden- bzw. Lieferantenbewertungen.

+Umgang mit Unzulänglichkeiten bei der Bekämpfung von Bestechung

Nach ISO 37001 muss eine Organisation die von Geschäftspartnern ausgehenden Korruptionsrisiken bewerten (Due-Diligence-Verfahren) und mit angemessenen Maßnahmen steuern. Zu diesen Maßnahmen zählen u.a. in der Intensität auf das Korruptionsrisiko abgestimmte laufende Überprüfungen, die Verpflichtung des Geschäftspartners zu Anti-Korruptionsmaßnahmen und Schulungen. Kann mit bestehenden Maßnahmen das Korruptionsrisiko im Zusammenhang mit einem Geschäftspartner nicht beherrscht werden und sind weiter Maßnahmen nicht möglich oder nicht praktikabel, so ist die Geschäftsbeziehung zu diesem Geschäftspartner so bald als möglich zu beendigen oder, im Falle einer neuen Geschäftsbeziehung, nicht einzugehen.

+Bedenken äußern

Bedenken zu äußern bedeutet, versuchte, vermutete und tatsächliche Korruption oder Verstöße gegen das ABMS zu melden. Die Bedenken müssen in gutem Glauben geäußert werden. Berichtskanäle können verschiedene Formen haben (wie z.B. Hotlines, web-basierte Systeme, dedizierte E-Mail- und Postanschrift oder ein externer Ombudsmann). Diese Berichtsmöglichkeiten müssen nicht ausschließlich für vermutete oder tatsächliche Korruptionsfälle reserviert sein. In allen Fällen müssen die Kanäle zur Meldung von Bedenken gewährleisten, dass der Bericht vertraulich behandelt wird und anonyme Meldungen möglich sind. Der Zweck der Vertraulichkeit besteht darin, den Berichterstatter vor möglichen Vergeltungsmaßnahmen zu schützen. Im Falle einer anonymen Meldung kann ein Termin für einen weiteren Kontakt vereinbart werden, um Rückmeldung über die Bearbeitung der Meldung zu geben und um auftretende Fragen abklären zu können.

Die Mitarbeiter müssen über die Meldemöglichkeiten informiert und geschult sein und zur Verwendung des Berichtssystems ermutigt werden. Sie sind auf den Schutz vor Vergeltungsmaßnahmen bei gutgläubigen Meldungen ausdrücklich hinzuweisen.

+Untersuchung und Umgang mit Bestechung

Die Organisation muss Verfahren vorsehen, um gemeldete, aufgedeckte oder vermutete Fälle von Korruption oder von Verstößen gegen das ABMS zu bewerten und gegebenenfalls zu untersuchen. Untersuchungen sollten von kompetenten und unabhängigen Personen auf vertraulicher Basis durchgeführt werden. Diese Personen sollten auch für die Planung und Durchführung der Untersuchung verantwortlich sein. Für die Berichterstattung über die Ergebnisse einer Untersuchung sind Kommunikationsrichtlinien festzulegen. Die Durchführung einer Untersuchung wie deren Ergebnisse sind strukturiert, nachvollziehbar und in einem ausreichenden Maß zu dokumentieren.

Die Möglichkeit, Bedenken zu äußern und ein strukturiertes Vorgehen bei der Untersuchung von möglichem Fehlverhalten sind Anforderungen an jedes Compliance-Management-System. Diese beiden Anforderungen sind daher sowohl in der ISO 37001 als auch in der ISO 37301 in Kapitel 8 zu betrieblichen Maßnahmen enthalten.

2.2 Das Prinzip der fortlaufenden Verbesserung –
PDCA-Zyklus
2.2.1 Prinzip der fortlaufenden Verbesserung von ISO Management-
System-Standards (MSS)

In der Einleitung zur ISO 37301 werden die einzelnen Elemente des CMS nach ISO 37301 in einem Diagramm[74] dargestellt, das dem Prinzip „Plan-Do-Check-Act“ (PDCA; Planen-Ausführen-Überprüfen-Verbessern) folgt, das auch unter der Bezeichnung „Deming-Zyklus der Ständigen Verbesserung“ geläufig ist.[75] William Edwards Deming (1900-1993) ist bekannt als Pionier des Qualitätsmanagements durch die Einführung der von ihm entwickelten Methode zur statistischen Prozesskontrolle. Seine Methode wurde zunächst höchst erfolgreich in Japan bei verschiedenen Herstellungsprozessen angewandt und wird seit den 1980er-Jahren auch in Europa eingesetzt.[76] Deming war der Auffassung, dass alle Tätigkeiten als Prozesse dargestellt werden können und dass zur Erreichung oder Steigerung von Qualität eine ständige Verbesserung erforderlich ist. Zur Qualitätsverbesserung ist es des Weiteren erforderlich, auftretende Probleme nicht nur zu lösen, sondern erforderliche Veränderungen einzuleiten, um wiederholtem Auftreten solcher Probleme entgegenzuwirken. Letztlich ist ein aktives Handeln der Unternehmensführung erforderlich und nicht nur eine Verantwortungsübernahme für in der Vergangenheit stattgefundene Handlungen.[77] Das PDCA-Prinzip stellt eine Zusammenfassung von Demings „14 Punkte des Managements“ dar, durch die die oberste Leitung mit Hilfe aktiven Handelns Sichtbarkeit nach innen und nach außen erlangt und Führungsstärke zeigt.[78]

Der in Abbildung 2 dargestellte PDCA-Zyklus umfasst vier Phasen, denen die Kernelemente der ISO 37301 zugeordnet sind.

Abbildung 2

ISO 37301 im Deming-Zyklus der ständigen Verbesserung[79]

Der PDCA-Zyklus ist als Aufforderung zu verstehen, methodisch an eine Problemerkennung und an die Entwicklung und Implementierung von Lösungen heranzugehen. Deming betont ausdrücklich, dass eine entsprechend methodische Herangehensweise für alle Arten von Organisationen (Produktion wie Dienstleistung), unabhängig von der Größe und Rechtsform, anwendbar ist und diese generell zur Verbesserung der Qualität von Produkten wie von Dienstleistungen erforderlich ist.[80]

Schritt 1 – PLAN: Identifizierung und Analyse des Problems

+Bestimmen des Problems durch genaue Analyse des Ursache-Wirkungszusammenhanges

+Definieren des Zielzustandes, der nach der Problemlösung zu erreichen ist

+Entwickeln eines Planes zur Beseitigung der Ursachen des Problems und Erreichen eines neuen, vorab definierten Ziels

+Festlegen von Maßnahmen, die zur Erreichung des Zielzustandes erforderlich sind (Wer-Was-Wo-Wann)

+Fixieren von Messkriterien für die festgelegten Maßnahmen

Schritt 2 – DO: Entwicklung und Erprobung möglicher Lösungen

+Umsetzen des Plans durch Implementieren der Maßnahmen

+Anlegen einer Dokumentation

+Sammeln von Daten für die nachfolgende Analyse („CHECK“ und „ACT“ Schritte)

Schritt 3 – CHECK: Messen der Wirksamkeit der Maßnahmen, Analysieren von Verbesserungspotenzial

+Überprüfen der tatsächlichen Ergebnisse (gemessen im „DO“ Schritt)

+Vergleichen mit dem geplanten Zielzustand

+Analysieren der Abweichungen und deren Gründe

+Dokumentieren von Abweichungen (als Vorbereitung für 4.Schritt „ACT“)

+Zusammenfassen von Erfahrungen und Gelerntem

Schritt 4 – ACT: Umsetzung der verbesserten Lösung

+Entwickeln von Korrekturmaßnahmen zur Behebung der Abweichung vom gewünschten Ergebnis

+Analysieren der Ergebnisse der geänderten Vorgangsweise

+Wiederholen des ganzen Zyklus, beginnend mit Schritt A, wenn Korrekturmaßnahmen nicht erfolgreich sind.

Die einzelnen Komponenten sind sicherlich nicht neu und finden regelmäßig Anwendung in vielen Bereichen des Managements von Organisationen. Die Besonderheit des PDCA-Zyklus liegt im konzentrierten Ablauf und der inhärenten laufenden Verbesserung. Die Verwendung eines PDCA-Zyklus erfordert einen höheren Zeitaufwand als eine Sofortlösung von Problemen. In echten Notlagen – wie z.B. bei notwendigen Korrekturen nach einem Compliance-Verstoß – ist eine Anwendung dieser Methode zur unmittelbaren Problemlösung weniger geeignet. Methodisches Vorgehen bei der Umsetzung der ISO 37301 erhöht hingegen sicherlich die Nachhaltigkeit des CMS.