Wie läuft ein ISO 37001 Audit ab, auf was muss man sich vor einem solchen Audit einstellen und welchen Mehrwert hat ein ISO 37001 Audit – mal ganz abgesehen von dem Zertifikat? Diesen Fragen möchten wir uns im Folgenden widmen und zwar in Form eines Erfahrungsberichts. Dafür sprechen wir mit Herrn Chong-Lai Kim. Er ist Vertreter des zentralen Einkaufs bei Veolia und war maßgeblich am Audit beteiligt. In einem Gespräch erzählt Herr Kim, wie er das ISO 37001 Audit erlebt hat, das die DQS bei Veolia durchgeführt hat. Außerdem sprechen wir mit DQS Auditor Hubert Spahn, der das ISO 37001 Audit bei Veolia betreut hat. Er hat drei Unternehmenstöchter von Veolia in Deutschland nach den Managementsystemen zur Korruptionsbekämpfung ISO 37001:2016 erfolgreich zertifiziert.
Anti-Korruptions-Managementsystem ISO 37001: Ein Erfahrungsbericht
Aber wir wollen nicht zu weit vorweggreifen. Daher zunächst einmal die Frage an Herrn Kim: Können Sie uns schildern, wie der Prozess abgelaufen ist?
Kim: Sicher. Der zentrale Einkauf hat das Thema ausgeschrieben. Wir haben die Angebote gesichtet und uns dann für die DQS als Anbieter entschieden, woraufhin der Vertrag zustande gekommen ist. Im Anschluss wurde die Zertifizierung geplant. Herr Spahn, unser Auditor, hat das direkt zusammen mit den Kolleg*innen aus den Fachbereichen gemacht, weil diese inhaltlich und fachlich das Audit betreuen. Wir haben eine sehr komplexe Unternehmensstruktur, daher war das ein riesiger Koordinationsaufwand.
Und was hat sich bei dem Audit bei Veolia gezeigt?
Spahn: Im Audit zeigte sich, dass der Veolia Konzern über ein professionell aufgebautes und gemanagtes Anti-Korruptions-Managementsystem nach ISO 37001 verfügt. Durch eine durchgängige Dokumentation über die verschiedenen Gesellschaften ist die Compliance mit dem Loi Sapin II und der ISO-Norm abgesichert. Durch das Audit kann Veolia erstmalig mithilfe eines unabhängigen und glaubhaften Zertifikats die Funktionalität des Anti-Korruptionsmanagementsystems gegenüber Dritten nachweisen.
Hintergrund der Zertifizierung
Die Veolia S.A.-Konzernmutter ist ein börsennotiertes Unternehmen mit Sitz in Paris. Als größeres Unternehmen mit Sitz in Frankreich, mehr als 500 Mitarbeitenden und einem Jahresumsatz von mindestens 100 Millionen Euro unterliegt die Veolia Konzernmutter den strengsten Bestimmungen des Loi Sapin II. Betroffen vom dem Gesetz sind außerdem Unternehmen derselben Größe, die zu einem Mutterkonzern mit Hauptsitz in Frankreich gehören.
Was ist der Loi Sapin II?
Der Loi Sapin II ist das französische Gesetz zur Bekämpfung von Korruption und zum Schutz von Hinweisgebern. Es steht im Einklang mit den sich entwickelnden globalen Antikorruptionsstandards und basiert weitestgehend auf den Gesetzen FCPA (US-Bundesgesetz Foreign Corrupt Practices Act §§ 78dd-1, ff.) und dem UK Bribery Act. Diese definieren Vorschriften zur Verhinderung und Aufdeckung von Bestechung und Korruption durch erhöhte Unternehmenstransparenz. Weiterhin sorgt das Gesetz für eine verstärkte interne Überwachung sowie eine Verbesserung für den Schutz von Whistleblowern.
Was bedeutet der Loi Sapin II für betroffene Unternehmen?
Betroffene Unternehmen sind dazu verpflichtet, ein umfassendes Compliance-Programm einzuführen. Dieses muss folgende Punkte beinhalten:
a) einen Verhaltenskodex zur Korruptionsbekämpfung,
b) einen Mechanismus zur Risikobewertung,
c) Verfahren zur Durchführung von Due-Diligence-Prüfungen bei Dritten,
d) Compliance-Schulungen für Führungskräfte,
e) ein internes Hotline-Meldeverfahren zum Schutz der Vertraulichkeit von Hinweisgebern,
f) ein Verfahren zur Messung der Wirksamkeit des Korruptionsbekämpfung-Programms.
Wenn keine Maßnahmen zur Prävention und Aufdeckung von Korruptionsfällen ergriffen werden, sieht das Gesetz sowohl für Unternehmen als auch für Einzelpersonen Strafen von bis zu 1 Mio. EUR für Unternehmen und bis zu 200.000 EUR für Führungskräfte vor. Nichteinhaltung kann sogar zu Haftstrafen führen. Die Durchsetzung der Korruptionsbekämpfungsmaßnahmen des Loi Sapin II wird von der neu eingerichteten nationalen Behörde „Agence Française Anti-Corruption“ (AFA) überprüft.
Die umfassende Gesetzgebung ist in Frankreich erstmalig. Sie führt dazu, dass alle Unternehmen, die in Frankreich ansässig sind oder Verbindungen zu Frankreich haben, ihre Compliance-Programme überprüfen müssen und sicherstellen müssen, dass sie mit den Loi Sapin-II-Normen zur Korruptions- und Bestechungsbekämpfung übereinstimmen.
Zunächst einmal: Glückwunsch an Veolia für das positive Ergebnis. Ich hätte noch eine Frage an Sie, Herr Spahn. Können Sie uns bitte schildern, wie ein ISO 37001 Audit abläuft?
Spahn: Ja, also zunächst möchte ich klarzustellen, dass ein Managementsystem-Audit zur Korruptionsbekämpfung nach ISO 37001 kein forensisches Audit ist, also keine möglichen kriminellen Handlungen untersucht werden. Nichtsdestotrotz zeigte sich im Audit, dass zunächst alle am Audit Beteiligten, insbesondere die Auditierten aufzuklären sind, dass man sie nicht verdächtig oder beschuldigt bzw. unter einen Generalverdacht stellt, denn die ISO 37001 kann letztendlich nur „rückwärts“ auditiert werden. Dies bedeutet, dass der Auditor aus „krimineller“ Sicht auf die Prozesse und die Norm schauen muss. Dabei gilt es herauszufinden wo möglich Schwachstellen und Risiken, Einfallstore oder Hinweise sog. „Red Flags“ für Korruption im Unternehmen sein könnten. Dies wirkt sich unmittelbar auf den auditierten Mitarbeitenden aus, da man von einer kriminellen Absicht der Person auszugehen hat, um das Risiko herauszuarbeiten. Dabei zeigte sich, dass Mitarbeitende sich oftmals kaum vorstellen konnten, an welchen Stellen es überhaupt zu einem möglichen Korruptionsversuch kommen könnte.
Rückwärts Audit: Wie war das für Sie, Herr Kim?
Kim: Es sind natürlich schon Fragen, die vielleicht im ersten Moment ungewohnt sind, die man nicht täglich gestellt bekommt und die Denkanstöße geben. Für mich persönlich war es eine neue Art von Fragen. So ein Audit rückt die Bedeutung des Themas in den Vordergrund, auch fachbereichsübergreifend. Schließlich war der Vertrieb involviert genauso wie die Finanzbuchhaltung und der Personalbereich. Alle hatten ihr Interview mit Herrn Spahn.
Mir hat das Audit nochmal einige Dinge bewusstgemacht, insbesondere, wie aufmerksam und vorsichtig man sein sollte im Umgang mit Lieferanten. Nach dem Interview habe ich dieses Thema auch in meinem Team angesprochen. Denn der Einkauf ist ja genau wie der Vertrieb auch besonders kritisch in Bezug auf Korruption.
Korruptionsprävention mit ISO 37001
Falls Sie die Einführung eines Anti-Korruptions-Managementsystems in Erwägung ziehen oder sich bereits in der Zertifizierungsphase befinden, bietet Ihnen unser Whitepaper eine kompakte Management-Zusammenfassung der wichtigsten Aspekte.
Und was war die Reaktion?
Kim: Es war schon allen bewusst aber es hat nochmal wachgerüttelt, dass man von dem Thema nicht nur in einer Schulung hört, sondern das es sogar in einem Audit von einem Auditor gefragt wird.
Spahn: Zwar werden bei Veolia qualitativ hochwertige Schulungen durchgeführt, im Audit hat sich das Bewusstsein der Mitarbeitenden für mögliche Korruption jedoch nochmal geschärft. Insbesondere die Herausarbeitung von „Red Flags“ also von Hinweisen bzw. Anhaltspunkte im Audit für ein kriminelles Verhalten von Mitarbeitenden, Kolleg*innen oder Partnern war bewusstseinsfördernd und wurde als wertschöpfend bewertet.
Wo ist denn das Korruptionsrisiko generell hoch?
Spahn: Insbesondere bei Konzernen und großen Organisationen mit mehrstufigen Freigabeprozessen muss man sich darüber im Klaren sein, dass Korruption nur mit hoher krimineller Energie der handelnden Personen möglich ist. Denn die Korruption wird regelmäßig nur der „Eingangstatbestand“ sein. Regelmäßig werden Folgestraftaten wie u.a. Betrug (§ 263 StGB) ggf. in Form der Bandenkriminalität erfolgen. Das Ziel der Korruption ist es, den Bestochenen dazu zu bewegen, zum Vorteil des Bestechenden zu handeln, was regelmäßig zu Lasten des Unternehmens oder der Allgemeinheit geht. Einen Menschen mit hoher krimineller Energie und dem Willen, sich einen persönlichen Vorteil zu verschaffen, wird nichts aufhalten, darüber muss man sich im Klaren sein. In einer offenen Auditsituation einer ISO 37001 Zertifizierung diese kriminelle Energie zu entlarven ist hochgradig unwahrscheinlich und auch nicht Ziel eines ISO-Audits. Aber mit einem Anti-Korruptions-Managementsystem können Sie diese Taten erschweren und die Wahrscheinlichkeit einer Entdeckung erhöhen und nur das kann die Zielsetzung sein.
Gerade vor dem Hintergrund der letzten Ereignisse im EU-Parlament zeigt sich wie anfällig Menschen und Systeme für Korruption sind und welchen Imageschaden dies für die betroffenen Organisationen darstellt. Mit einer ISO 37001 Zertifizierung können Unternehmen Vertrauen und Transparenz bei Ihren Kunden und Partner schaffen. Die unabhängige Überprüfung trägt zu einer kontinuierlichen Weiterentwicklung des Managementsystems und somit zur Compliance in der Organisation bei
Das Interview führte Constanze Illner.
ISO 37001 versus ISO 37301 - Interview mit Auditor Hans-Jürgen Fengler
In einem zunehmend komplexen und regulierten Geschäftsumfeld wird die Einhaltung von Vorschriften immer wichtiger. Doch wann ist ein Compliance-Managementsystem notwendig, und wann sollte der Fokus auf Anti-Korruption liegen? Um diese zentrale Frage zu beantworten, habe ich mit DQS Auditor Hans-Jürgen Fengler gesprochen. Als Experte für die Normen ISO 37301 (Compliance-Managementsysteme) und ISO 37001 (Anti-Korruptions-Managementsysteme) gibt er uns wertvolle Einblicke in die Unterschiede und Anwendungsbereiche dieser beiden Normen.
Auditor
Hubert Spahn
Hubert Spahn ist seit 2006 zugelassen und unter anderen für ISO 37001 Anti-Korruptions- & ISO 37301 Compliance Management als Auditor für die DQS tätig.
Als Volljurist und zugelassener Rechtsanwalt mit Compliance Officer Weiterbildung ist Herr Spahn prädestiniert die Auditierung von Compliance-Managementsystem.
Unsere Kunden schätzen seine wertschätzende Art der Auditierung sehr.
Die DQS - Ihre Partnerin für die ISO 37001 Zertifizierung
Die DQS ist eine akkreditierte Zertifizierungsstelle für den ISO 37001 Standard. Mit qualifizierten Auditoren und Auditorinnen auf der ganzen Welt stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns - wir besprechen gerne Ihre Pläne!
Webinar: Einführung und Zertifizierung von Compliance Managementsystemen
Bei unserem kostenlosen Webinar "Einführung und Zertifizierung von Compliance Managementsystemen – Ihr Erfolgsfahrplan" erfahren Sie, wie Sie Ihr Unternehmen vor Risiken schützen, gesetzliche Vorschriften einhalten und eine Kultur der Integrität fördern können.
Profitieren Sie von:
- Expertenwissen: Profitieren Sie von den Erkenntnissen erfahrener Branchenexperten in den Bereichen Compliance und Risikomanagement.
- Umsetzbare Strategien: Erfahren Sie praktische Schritte zur Implementierung oder Verbesserung eines CMS, das auf die speziellen Bedürfnisse Ihres Unternehmens zugeschnitten ist.
- Best Practices: Entdecken Sie, wie führende Unternehmen erfolgreich Compliance managen und Risiken minimieren.
Constanze Illner
Constanze Illner (sie/ihr) ist Research und Kommunikationsbeauftragte im Bereich Nachhaltigkeit und Lebensmittelsicherheit. In dieser Position behält sie alle wichtigen Entwicklungen in diesem Zusammenhang im Auge und informiert unsere Kundschaft in einem monatlichen Newsletter. Außerdem moderiert sie die alljährliche Sustainability Heroes Konferenz.
