Zertifizierung von Managementsystemen zur Korruptionsbekämpfung nach ISO 37001
Ihre Expertin für Fragen
Korruptionsbekämpfung zeigt Ihre hohe Selbstverpflichtung
Wir leben heute in einer komplexen und vernetzten Welt, in der hohe Maßstäbe an Compliance-konformes Handeln gesetzt werden. Der Schutz der Integrität und der Reputation stellt daher für Unternehmen eine große Herausforderung dar. Ein Managementsystem zur Korruptionsbekämpfung oder auch Antikorruptions-Managementsystem (AKMS) genannt hilft dabei, die eigenen hohen Standards und eingeführten Instrumente zur Korruptionsvermeidung zu zeigen. Die Korruptionsbekämpfung beginnt als Ihre Selbstverpflichtung. Sie stellt sicher, dass Risiken identifiziert, bewertet und minimiert werden. Es ist nicht möglich, das Risiko von Korruption vollständig zu beseitigen, und kein Managementsystem zur Korruptionsbekämpfung ist in der Lage, Korruption vollständig zu verhindern und zu erkennen. Jedoch können Sie durch die Implementierung eines angemessenen und verhältnismäßigen Managementsystems zur Korruptionsbekämpfung zeigen, dass Sie das Korruptionsrisiko in Ihrem Unternehmen stark reduzieren. Dadurch werden das Vertrauen von Kunden und Geschäftspartnern gestärkt und gesetzliche Vorgaben erfüllt.
Ihren verantwortungsvollen Umgang zur Vermeidung, zur Aufdeckung und zur Bekämpfung von Korruption können Unternehmen z. B. durch eine unabhängige Zertifizierung Ihres Antikorruptions-Managementsystem (AKMS) belegen. Das AKMS wird dabei nach dem international anerkannten Standard ISO 37001 geprüft und im Stichprobenverfahren auf Einhaltung der Kriterien zur Normkonformität zertifiziert.
Ihre Vorteile einer AKMS-Zertifizierung im Überblick
Die ISO 37001 bildet als international anerkannter Standard für Korruptionsbekämpfung ein umfassendes Rahmenwerk zur Identifizierung, Bewertung und Steuerung von Risiken und Chancen. Die Umsetzung des Standards hilft Ihnen dabei, Ihre Complianceprozesse und -verfahren kontinuierlich zu verbessern sowie Schwachstellen zu identifizieren und zu beheben.
Durch eine Zertifizierung nach ISO 37001 können Sie das in Sie gesetzte Vertrauen bei Kunden, Partnern und Stakeholdern steigern, indem Sie belegbar zeigen, dass Sie angemessene Maßnahmen zur Einhaltung von Gesetzen und Anforderungen an integres Verhalten ergriffen haben.
Die Zertifizierung nach ISO 37001 kann ein Wettbewerbsvorteil für ein Unternehmen sein und bei der Akquise von neuen Kunden und Geschäftspartnern sowie in Ausschreibungen helfen.
Die AKMS-Zertifizierung auf einen Blick
Normative Anforderungen an ein AKMS
Die Anforderungen für eine Zertifizierung des Antikorruptions-Managementsystems (AKMS) sind in der Norm ISO 37001:2018 festgelegt. Die Norm besteht aus den folgenden Abschnitten:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Führung
- Planung
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
Diese Abschnitte entsprechen der „High-Level-Struktur“ und sind innerhalb der aktuell gültigen Managementsysteme einheitlich, um entsprechend verschiedene Managementsysteme integriert im Unternehmen leben zu können. Für eine Zertifizierung nach ISO 37001 muss ein Unternehmen nachweisen, dass es alle Anforderungen der Norm erfüllt hat. Dies erfolgt durch eine unabhängige Prüfung der Dokumentation sowie eine Vor-Ort-Prüfung der Implementierung, Angemessenheit und Wirksamkeit des AKMS.
Herausforderungen für Unternehmen, die eine ISO 37001-Zertifizierung anstreben
Die Zertifizierung nach ISO 37001 ist eine anspruchsvolle Aufgabe für jedes Unternehmen, da es sich um ein umfassendes Managementsystem zur Korruptionsbekämpfung (AKMS) handelt, welches sicherstellt, dass mit angemessenen Maßnahmen, Korruption im Unternehmen vermieden als auch identifiziert und bekämpft wird. Einige der besonderen Herausforderungen, die Unternehmen bei der Zertifizierung nach ISO 37001 angehen müssen, sind:
- Umfassende Dokumentation: Das Unternehmen muss eine umfassende Dokumentation aller relevanten Korruptionsrisiken erstellen und pflegen.
- Umsetzung von Maßnahmen zur Korruptionsbekämpfung: Das Unternehmen muss ein umfassendes Managementsystem implementieren und Sicherheitsmaßnahmen im Betrieb sowie durch kontrollierte Organisationen und durch Geschäftspartner mit der Verpflichtung zur Korruptionsbekämpfung umsetzen.
- Ressourcen: Das Unternehmen muss ausreichende Ressourcen bereitstellen, um das AKMS effektiv zu betreiben und aufrechtzuerhalten, einschließlich finanzieller Ressourcen, Mitarbeitertraining und technischer Infrastruktur. Die Führung und Verpflichtung liegt beim Obersten Organ sowie der Obersten Leitung, die Politik zur Korruptionsbekämpfung, Rollen, Verantwortlichkeiten und Befugnisse in der Organisation zu definieren.
- Compliance: Das Unternehmen muss sicherstellen, dass die Aufgabe zur Korruptionsbekämpfung einer oder mehreren Personen zugewiesen ist und diese in angemessener Weise über Kompetenz, Status, Verantwortung und Unabhängigkeit zur Erfüllung der Korruptionsbekämpfung verfügen.
- Interne Audits und Überprüfungen: Das Unternehmen muss regelmäßige interne Audits und Überprüfungen durchführen, um sicherzustellen, dass das AKMS angemessen ist und dass alle risikomitigierenden Maßnahmen (wie z. B. Kontrollhandlungen) richtig umgesetzt werden. Maßnahmen zum Umgang mit Risiken und Chancen sind ein wichtiger Bestandteil für die internen Möglichkeiten zur Verbesserung.
- Managementbewertungen: Sowohl durch die Unternehmensleitung als auch ggf. den Aufsichtsrat oder die Gesellschafterversammlung sind in regelmäßigen Abständen Bewertungen des AKMS vorzunehmen und zu dokumentieren.
Diese Herausforderungen erfordern eine umfassende Analyse der Geschäftsprozesse und eine kontinuierliche Verbesserung des Managementsystem zur Korruptionsbekämpfung, um sicherzustellen, dass das Unternehmen immer auf dem neuesten Stand ist und seine Systeme und Prozesse kontinuierlich verbessert werden.
Wichtige Dokumente für ein AKMS
Für eine AKMS-Zertifizierung nach ISO 37001 sind verschiedene Dokumente erforderlich. Hier sind einige der zwingend erforderlichen Dokumente aufgeführt:
- Politik zur Korruptionsbekämpfung: Dieses Dokument beschreibt die Ziele und Grundsätze für die Korruptionsbekämpfung in Ihrem Unternehmen insbesondere durch die Verantwortung der Unternehmensleitung.
- Risikobewertungs- und Steuerungsplan: Hierbei handelt es sich darum, dass Sie Ihre Korruptionsrisiken aufzeigen, beurteilen und Ihre Risikobewertungs- und Risikosteuerungsprozesse beschreiben. Es sollte beinhalten, wie Sie Bedrohungen identifizieren, Risiken bewerten, Steuerungsmaßnahmen planen und umsetzen, sowie die Effektivität dieser Maßnahmen messen.
- Maßnahmen zum Umgang mit Risiken und Chancen: Eine Dokumentation der Schutzmaßnahmen, die getroffen wurden, um die Risiken zu behandeln, die in der Risikobewertung identifiziert wurden.
- Schulungsdokumentation: Eine Dokumentation der Schulungsmaßnahmen, die Mitarbeiterinnen und Mitarbeiter in Bezug auf Korruptionsbekämpfung durchlaufen haben. Relevant ist, dass dem relevanten Personal sowie Geschäftspartnern und dritten interessierten Parteien der Umgang mit den Korruptionsrisiken bewusst ist.
- Interne Audits: Sie müssen in geplanten Abständen (mindestens einmal jährlich) interne Audits durchführen, um Informationen darüber zu erhalten, ob das Managementsystem zur Korruptionsbekämpfung ordnungsgemäß in die Prozesse und Abläufe des Unternehmens implementiert ist. Dokumentationen von Auditprogrammen, Auditberichten, Auditschritten, Korrekturmaßnahmen, Rückverfolgbarkeit und Auditnachweise sollten gesammelt werden.
- Prozessbeschreibungen und Aufzeichnungen: Eine Dokumentation der Prozesse, Überwachungsmaßnahmen und sonstigen Aufzeichnungen, die den Betrieb des AKMS und die Überwachung der Bekämpfung von Korruption dienen sind zu dokumentieren.
- Managementbewertungen: Die oberste Leitung, die zumeist die Geschäftsleitung ist, sollte regelmäßig die Wirksamkeit Ihres Managementsystem zur Korruptionsbekämpfung bewerten und entsprechende Entscheidungen treffen. Dokumentationen von Bewertungen, Rückmeldungen und Entscheidungen sind zu sammeln. Die relevanten Aspekte für die Managementbewertung sind eindeutig im Standard ISO 37001 definiert.
Diese Dokumente sind nur einige Beispiele für die Art der Dokumentation, die für eine ISO 37001 Zertifizierung erforderlich ist. Es kann je nach Unternehmen und Situation unterschiedlich sein, welche Dokumente genau benötigt werden.
Der Weg zu Ihrer AKMS-Zertifizierung
Der Zertifizierungszyklus
Auf eine AKMS-Zertifizierung sollte sich Ihr Unternehmen entsprechend vorbereiten, sodass diese möglichst mit geringen Kosten und Zeitaufwand durchgeführt werden kann.
Wesentliche Voraussetzungen für eine Zertifizierung des Managementsystem zur Korruptionsbekämpfung sind:
- die Konformität bezüglich des AKMS mit den Anforderungen gemäß ISO 37001
- eine angemessenes Verständnis der Korruptionsrisiken bei allen Beteiligten
- die Sicherheit der Unternehmen, das Zertifizierungsverfahren zeit- und kosteneffizient durchführen zu können.
Eine Zertifizierung nach ISO 37001 folgt einem standardisierten Prozess. Im Allgemeinen sieht dieser wie folgt aus:
Implementierungsphase
In dieser Phase müssen Sie zunächst sicherstellen, dass Sie alle Voraussetzungen für eine Zertifizierung erfüllen. Dazu gehört, dass Sie ein Managementsystem zur Korruptionsbekämpfung (AKMS) implementiert haben, welches den Anforderungen der Norm entspricht. Außerdem sollten Sie eine Risikoanalyse durchgeführt und dokumentiert haben, wie Sie mit Risiken umgehen, welche die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigen können.
Im Rahmen der Vorbereitung auf eine Zertifizierung haben sich sogenannte Vor-Audits (Probeläufe / Dry-Runs) bewährt. Bei der Durchführung eines Vor-Audits kann ein externer Dienstleister die Umsetzung der vorhandenen Vorgaben in Ihrem Unternehmen und des zu betrachtenden Managementsystems an der Zentrale und den Standorten Ihres Unternehmen in Bezug auf die angestrebte Zertifizierung nach ISO 37001 prüfen und beurteilen sowie Schwachstellen gegenüber der Normkonformität identifizieren. Es wird auf bestimmte Bereiche geschaut, jedoch keine vollumfängliche Prüfung durchgeführt, welche mit einer Erst-Zertifizierung vergleichbar wäre.
Wichtig: Die PwC Certification Services GmbH bietet selber keinerlei Beratungen oder Vor-Audits zur Implementierung Ihres Managementsystems an.
Audit Stufe 1 – Bereitschaftsbewertung
Wenn Sie bereit sind, können Sie bei uns als akkreditierte Zertifizierungsstelle einen Antrag auf Zertifizierung stellen. Im Audit der Stufe 1 prüft ein von uns anerkannter Auditor (mind. teilweise vor Ort), ob Ihr Unternehmen grundsätzlich bereit ist für das Audit der Stufe 2. Dazu wird z. B. geprüft, ob die Dokumentation Ihres AKMS den Anforderungen der ISO 37001 entspricht.
Wurden während des Audits Schwachstellen identifiziert, müssen diese analysiert und durch geeignete Korrekturmaßnahmen behoben werden. In der Regel haben Sie eine bestimmte Frist, in der Sie diese umsetzen müssen.
Es ist angemessen, zwischen 14 und maximal 90 Kalendertage zwischen Stufe 1 und Stufe 2 zu planen, um einen angemessenen Auditablauf realisieren zu können.
Audit Stufe 2 – Erst-Zertifizierungsaudit
Wenn Sie die Korrekturmaßnahmen nachweislich erfolgreich umgesetzt haben, erfolgt das Audit der Stufe 2. Es findet vor Ort statt, und es können ggf. einzelne Prozesse oder Standorte in eine virtuelle Auditierung umgewandelt werden – entsprechend einer Risikoanalyse und Einzelfallentscheidung. Neben der Dokumentation prüft der Auditor anhand von Interviews mit Mitarbeitenden die Prozesse und Verfahren des implementierten AKMS gemäß den Vorgaben der ISO 37001.
Bewertung und Zertifizierungsentscheidung
Die Bewertung und Entscheidung der normkonformen Umsetzung der Anforderungen und ggf. Korrekturmaßnahmen des Audits erfolgt durch die Zertifizierungsstelle. Erst wenn alle Anforderungen der Norm erfüllt sind (Schließung von wesentlichen Nichtkonformitäten sowie die positive Bewertung des Maßnahmenplan und der Sofortmaßnahmen sowie Korrekturmaßnahmen zu untergeordneten Nichtkonformitäten), erhalten Sie das Zertifikat, das eine Laufzeit von drei Jahren hat.
Überwachungsaudits
Um die Wirksamkeit des AKMS zu überprüfen und sicherzustellen, dass dieses weiterhin den Anforderungen der Norm entspricht, werden regelmäßig Überwachungsaudits durchgeführt. Diese finden in der Regel jährlich statt. Das 1. Überwachungsaudit nach der Erst-Zertifizierung muss innerhalb von 12 Monaten von der Zertifizierungsentscheidung durchgeführt worden sein. Der optimale Zeitpunkt für die Planung des Überwachungsaudits ist der Tag und Monat des Zertifikatsauslaufdatum minus drei (3) Monate. Um diesen Stichtag herum kann ein Zeitfenster von minus (-) drei (3) Monaten und plus (+) drei Monaten flexibel gewählt werden, um die Größe Ihres Unternehmen, den Geltungsbereich, die Komplexität Ihres Managementsystem mit Ihren Produkten, Dienstleistungen und Prozessen sowie Ihrem dargelegten Niveau der Wirksamkeit Ihres Managementsystem – unter Berücksichtigung der Faktoren wie Jahreszeiten und Möglichkeiten der Zertifizierungen durch zum Beispiel temporäre Baustellen oder Tätigkeiten – gewährleisten zu können.
Re-Zertifizierung
Im dritten Jahr der Zertifizierung steht ein Re-Zertifizierungsaudit an, welches inhaltlich die Themen einer Erst-Zertifizierung beinhaltet, jedoch mit reduzierten Zeitaufwand, da Ihr Managementsystem bereits geprüft und aufrecht erhalten wurde. Wichtige Faktoren für die Re-Zertifizierung sind die kontinuierliche Verbesserung sowie die Wirksamkeit der Korrekturmaßnahmen aus vorangegangenen Audits. Das Re-Zertifizierungsaudit muss vor dem Zertifikatsaudit vollumfänglich durchgeführt worden sein, ansonsten wird ein Erst-Zertifizierungsaudit mit Stufe 1 und Stufe 2 relevant.
Unsere Kompetenz, Ihr Vorteil
PwC Certification Services als akkreditierte Zertifizierungsstelle
Zertifizierungen von Managementsystemen zur Korruptionsbekämpfung dürfen nur durch Zertifizierungsstellen erfolgen, die durch die nationale Akkreditierungsstelle nach DIN EN ISO/IEC 17021-1 akkreditiert wurden. PwC Certification Services ist eine solche durch die DAkkS (Deutsche Akkreditierungsstelle) akkreditierte Zertifizierungsstelle und daher Ihr kompetenter Zertifizierungspartner für einen normkonformen Nachweis Ihres AKMS durch einen unabhängigen und neutralen Dritten. Weitere Informationen zu unseren Akkreditierungen und Befugnissen finden Sie hier.
Dokumente zum Download
- Antragsformular ISO 37001 (PDF, xx MB)
Gültige Zertifikate
Unsere Zertifikate schaffen Vertrauen! Sie bestätigen unseren Kunden die Konformität mit den jeweils zugrunde liegenden Normen und Standards und schaffen damit einen Mehrwert zur Vermarktung ihrer Dienstleistungen im globalen Wettbewerb. Mit der Zertifizierung verbunden ist das Recht, auf die von uns vergebenen Zertifikate nach festgelegten Regeln hinzuweisen. Das hilft unseren Kunden und schützt die Marke PwC.
Mehr zu unseren gültigen Zertifikaten