Die DNV-Befragung zeigt, dass Unternehmen sich am meisten Sorgen über die Einhaltung von Vorschriften, den Ruf ihres Unternehmens und ethische Risiken machen. Die Erfüllung gesetzlicher Anforderungen steht an erster Stelle (78 Prozent) der Gründe für die Anwendung von Anti-Korruptionsmaßnahmen. Die Anwendung anerkannter bewährter Praktiken wie der ISO-Normen kann zweifellos die Einhaltung von Vorschriften erleichtern und die Fähigkeit verbessern, auch andere Risiken zu bewältigen. Dennoch hielten sich in der Vergangenheit bei der Implementierung und Zertifizierung eines Managementsystems zur Korruptionsbekämpfung noch viele Organisationen zurück. Aktuell scheint sich diese Entwicklung aber zu beschleunigen. Im Jahr 2018 waren nur 389 Organisationen nach ISO 37001 zertifiziert. Obwohl diese Zahl bis 2021 auf 2.896 anstieg, ist sie immer noch verschwindend gering, wenn man sie mit den über 1 Million Organisationen vergleicht, die weltweit beispielsweise nach ISO 9001, der Norm für Qualitätsmanagementsysteme, zertifiziert sind.
Vorteile eines proaktiven Ansatzes
Viele Unternehmen beginnen mit einer strukturierten Vorgehensweise und einer möglichen Zertifizierung nach ISO 37001 erst nachdem es in ihrer Organisation zu einem Vorfall gekommen ist, der oft zu hohen finanziellen Verlusten und Geldstrafen geführt hat. Dies zeigt, dass die meisten Unternehmen eher von einem proaktiven als von einem reaktiven Ansatz profitiert hätten.
Der Standard ISO 37001 ist ein proaktiver Ansatz und enthält Anforderungen und Leitlinien für alle Organisationen, die ein Managementsystem zur Korruptionsbekämpfung einführen, umsetzen, überprüfen und verbessern wollen. Die Anforderungen sollen dazu beitragen, Korruption zu verhindern, aufzudecken und darauf zu reagieren sowie Gesetze und Selbstverpflichtungen zur Korruptionsbekämpfung einzuhalten. Die Zertifizierung nach ISO 37001 gibt internen und externen Stakeholdern die Gewissheit, dass wirksame Maßnahmen zur Korruptionsbekämpfung vorhanden sind, aufrechterhalten und kontinuierlich verbessert werden.
Die ISO 37001 deckt zwar in erster Linie Korruption ab, es können aber auch andere Aspekte wie Betrug oder Geldwäsche in den Geltungsbereich des Managementsystems aufgenommen werden, sofern dies mit den einschlägigen Rechtsvorschriften und bewährten Praktiken vereinbar ist.
Die Einführung eines Managementsystems nach ISO 37001 trägt zu einem besseren Verständnis der Risiken sowohl intern als auch in der gesamten Lieferkette bei. Vor allem aber ermöglicht es einen proaktiven statt reaktiven Umgang mit dem Thema. In den meisten Fällen verhalten sich die Täter auffällig. Ein Managementsystem, das Sensibilisierungsschulungen und Whistleblowing-Mechanismen umfasst, kann die Fähigkeit jeder Organisation verbessern, Probleme zu verhindern oder aufzudecken.
Wo hakt es bei der Umsetzung der ISO 37001?
Ein Blick auf die Daten aller von DNV im Jahr 2022 durchgeführten Audits nach ISO 37001 zeigt die Bereiche, die für nach ISO 37001 zertifizierte Unternehmen die größten Herausforderungen sind. Die Einblicke können Organisationen helfen, die gerade mit der Einführung des Standards beginnen oder bereits zertifizierte Unternehmen können ihre eigenen Erfahrungen vergleichen sowie gezielt Verbesserungsmaßnahmen ergreifen.
Die Bereiche der Norm, die den Unternehmen die meisten Schwierigkeiten bereiten, sind Kapitel 7 "Unterstützung" mit 83 Prozent an Feststellungen und Kapitel 8 "Betrieb" mit 88 Prozent an Feststellungen. Bei etwa 50 Prozent bzw. 62 Prozent der Unternehmen handelt es sich dabei um Nichtkonformitäten, was bedeutet, dass Abhilfemaßnahmen ergriffen werden müssen, um die Anforderungen der ISO 37001 vollständig zu erfüllen.
Kapitel 4 "Kontext der Organisation" und Kapitel 5 "Führung" scheinen mit 76 Prozent (32 Prozent mit Nichtkonformitäten) bzw. 71 Prozent (34 Prozent mit Nichtkonformitäten) ebenfalls Schwierigkeiten zu verursachen.
Es ist anzumerken, dass diese vier Kapitel zusammen mit Kapitel 9 "Bewertung der Leistung" ein weitaus höheres Maß an verbindlichen Anforderungen enthalten als die anderen Kapitel der Norm. Die hohe Zahl der Nichtkonformitäten in diesen Kapiteln ist jedoch mit ziemlicher Sicherheit auf den Reifegrad der Norm zurückzuführen. Dieser sollte sich verbessern, wenn Organisationen ihre Managementsysteme und deren Umsetzung verbessern.
Taucht man tiefer in die Unterabschnitte der Norm ein und analysiert dort die häufigsten Feststellungen und Nichtkonformitäten, wird deutlich, dass die Durchführung von Due Diligence und die Risikobewertung in den meisten Unternehmen weiter verbessert werden müssen.
Die höhere Anzahl der Feststellungen in Kapitel 8 "Betrieb" ergibt sich aus der Tatsache, dass dieses Kapitel für alle Prozesse im Unternehmen gilt. So umfasst es beispielsweise die Durchführung von Due-Diligence-Prüfungen, die sich auf Mitarbeiter, Geschäftspartner, Aktivitäten, Projekte, Transaktionen und außergewöhnliche Transaktionen wie Fusionen und Übernahmen beziehen. Häufig wird die Sorgfaltspflicht zur Bekämpfung von Bestechung mit anderen Sorgfaltspflichten verwechselt, die in der Organisation bereits angewendet werden, obwohl es sich um unterschiedliche und getrennte Prozesse handelt.
Die hohe Anzahl von Nichtkonformitäten in Kapitel 4 "Kontext der Organisation" zeigt einen Mangel an Dokumentation im System und in Kapitel 5 "Führung" mangelndes Engagement des Managementteams oder falsche Handhabung von Interessenkonflikten. Kapitel 7 "Unterstützung" enthält Anforderungen an die Mitarbeiterressourcen in Bezug auf die Verwaltung des Auswahlverfahrens, die Einstellung von Mitarbeitern, die interne Kommunikation, die Verwaltung der Vergütungs- und Anreizpolitik und die Schulung zur Bekämpfung von Korruption. Die Feststellungen zu Kapitel 9 "Bewertung der Leistung" beziehen sich auf die unzureichende Überwachung des Managementsystems zur Bekämpfung von Korruption, die für eine Verbesserung unbedingt erforderlich ist.
Zwar gibt es zentrale Bereiche, in denen sich die zertifizierten Unternehmen verbessern können und müssen, doch der Vorteil dieser Unternehmen besteht darin, dass sie sich ihrer Risiken bewusst sind und wissen, worauf sie ihre Verbesserungsmaßnahmen konzentrieren müssen. Unternehmen, die sich mit der Umsetzung einer Anti-Korruptionspolitik begnügen, haben jedoch, wie die DNV-Befragung zeigt, nur wenig Kontrolle über ihre Risiken oder Mittel, um einen Vorfall aufzudecken und zu bewältigen, sollte er eintreten.