Der Einstieg in die Arbeit an Ihrem Anti-Korruptions-Managementsystem nach ISO 37001 beginnt damit, dass Sie sich einen Überblick über die aktuelle Situation Ihres Unternehmens verschaffen.

Der erste Schritt ist eine Lückenanalyse, bei der die bestehenden Kontrollen zur Bekämpfung von Bestechung anhand der Anforderungen des Standards bewertet werden. Dazu gehören Beschaffungsprozesse, Due-Diligence-Aktivitäten, Kontrollen von Geschenken und Bewirtungen sowie das Risikomanagement für Dritte.

Diese erste Überprüfung identifiziert in der Regel sowohl Stärken, auf denen aufgebaut werden kann, als auch Lücken, die geschlossen werden müssen, und liefert einen klaren und praktischen Fahrplan für die Umsetzung.

Unternehmen führen ISO 37001 ein, um den Erwartungen ihrer Stakeholder gerecht zu werden, das Bestechungsrisiko bei der Expansion in risikoreichere Märkte zu kontrollieren und ihre Position in regulierten Branchen zu stärken. Durch die Zertifizierung werden Anti-Korruptionsmaßnahmen von reaktiver Compliance zu einem strukturierten Managementsystem, das in die Geschäftsabläufe eingebettet ist.

Die meisten Organisationen schließen den Zertifizierungsprozess innerhalb von sechs bis zwölf Monaten ab, je nach Größe, Komplexität und Reifegrad der bestehenden Kontrollen. Zu den Ergebnissen gehören eine strengere Sorgfaltspflicht, eine klarere Unternehmensführung, ein erhöhtes Vertrauen der Stakeholder und ein glaubwürdiger Nachweis ethischer Geschäftspraktiken in der Beschaffung und in Partnerbeziehungen.

Die effektive Umsetzung von ISO 37001 erfordert mehr als nur das Verständnis des Wortlauts der Norm. Die Teams müssen wissen, wie sie die Anforderungen in ihrem spezifischen Geschäfts- und Risikokontext anwenden können.

Ein wirksames Anti-Korruptions-Management hängt davon ab, dass die Mitarbeiter in den Bereichen Beschaffung, Vertrieb, Recht, Compliance und Betrieb nicht nur die Regeln verstehen, sondern auch wissen, warum es sie gibt und wie sie mit einem risikobasierten Ansatz anzuwenden sind. Allgemeine Schulungen vermitteln selten ein solches Maß an praktischem Wissen.

Die zweitägigen und dreitägigen ISO 37001-Schulungskurse von Speeki sind darauf ausgelegt, praktische Umsetzungskompetenzen aufzubauen. Die Kurse behandeln alle Anforderungen der Norm anhand von branchenspezifischen Beispielen, Fallstudien und praktischen Übungen.

Die Teilnehmer lernen, wie sie Risikobewertungen in Bezug auf Bestechung durchführen, Sorgfaltspflichten entwerfen und anwenden, angemessene Kontrollen implementieren und die für die Zertifizierung erforderlichen Unterlagen erstellen.

Der dreitägige Kurs umfasst zusätzliche Module zu internen Audit-Techniken und zur Vorbereitung auf die Zertifizierungsprüfung.

Die Schulung wird vor Ort oder remote durchgeführt und schafft ein gemeinsames Verständnis über alle Funktionen hinweg, unterstützt eine schnellere Umsetzung und trägt dazu bei, Anti-Korruptionspraktiken in den täglichen Betrieb zu integrieren.

Ein häufiger Fehler bei der Umsetzung von ISO 37001 besteht darin, die Norm als Checkliste und nicht als Instrument zum Risikomanagement zu betrachten.

ISO 37001 verlangt einen risikobasierten Ansatz. Maßnahmen zur Bekämpfung von Bestechung sollten in einem angemessenen Verhältnis zu den Bestechungsrisiken stehen, denen ein Unternehmen ausgesetzt ist, und nicht einheitlich und ohne Berücksichtigung des Kontexts angewendet werden. Ein Technologieunternehmen, das Software-Abonnements verkauft, ist ganz anderen Risiken ausgesetzt als ein Bauunternehmen, das mit Kunden aus dem öffentlichen Sektor in Ländern mit höherem Risiko zusammenarbeitet. Dennoch können beide Unternehmen die Norm erfüllen, indem sie Maßnahmen entwickeln, die ihrem Risiko angemessen sind.

Dies beginnt mit einer strukturierten Bewertung des Bestechungsrisikos, bei der Faktoren wie Branche, geografische Präsenz, Geschäftsmodell, Beziehungen zu Dritten und regulatorisches Umfeld berücksichtigt werden. Due Diligence, Genehmigungsschwellen und Überwachungsmaßnahmen sollten dann auf diese Risiken abgestimmt werden. So kann beispielsweise ein Lieferant mit geringem Risiko eine grundlegende Überprüfung erfordern, während ein Vermittler mit hohem Risiko eine verstärkte Due Diligence, Überprüfungen der wirtschaftlichen Eigentumsverhältnisse und eine kontinuierliche Überwachung erfordern kann.

Der risikobasierte Ansatz gilt für das gesamte Managementsystem. Schulungen sollten sich auf risikoreichere Funktionen konzentrieren, Richtlinien sollten auf die spezifischen Schwachstellen der Organisation eingehen und Ressourcen sollten auf die Bereiche mit dem größten Risiko ausgerichtet werden.

Organisationen, die diese Disziplin einhalten, vermeiden unnötige Bürokratie, die das Geschäft verlangsamt, und Kontrollen, die zu schwach sind, um echte Risiken zu bewältigen. Eine regelmäßige Neubewertung der Risiken stellt sicher, dass sich das Managementsystem mit der Organisation weiterentwickelt und die ISO 37001-Zertifizierung in der Praxis sinnvoll bleibt.

Der Unterschied zwischen dem Bestehen und dem Nichtbestehen eines Zertifizierungsaudits nach ISO 37001 hängt oft eher von der Vorbereitung als von der Gestaltung der Kontrollen ab.

Unternehmen können Monate damit verbringen, ein Anti-Korruptions-Managementsystem zu implementieren, nur um dann bei der Zertifizierungsprüfung Lücken zu entdecken. Dies kann zu Verzögerungen, zusätzlichen Korrekturmaßnahmen und einem Vertrauensverlust bei den Stakeholdern führen.

Die Vorzertifizierungsdienste von Speeki dienen dazu, diese Probleme vor der formellen Bewertung zu identifizieren.

Eine strukturierte Lückenanalyse überprüft die Umsetzung anhand aller Anforderungen der ISO 37001 und hebt fehlende Dokumentation, unvollständige Verfahren und Schwachstellen hervor, die zu Nichtkonformitäten führen könnten.

Anschließend folgen Scheinaudits, die den Zertifizierungsprozess widerspiegeln. Dazu gehören Mitarbeitergespräche, Aktenprüfungen, Kontrolltests und die Prüfung von Nachweisen, genau wie es eine Zertifizierungsstelle bei einem Audit tun würde.

Der Prozess identifiziert sowohl Compliance-Lücken als auch Probleme hinsichtlich der Bereitschaft, wie beispielsweise Mitarbeiter, die Verfahren nicht klar erklären können, Dokumentationen, die nicht die tatsächliche Praxis widerspiegeln, schwer auffindbare Nachweise und Kontrollen, die zwar auf dem Papier existieren, aber nicht effektiv funktionieren.

Die letzten Wochen vor Ihrem ISO 37001-Zertifizierungsaudit erfordern neben der technischen Bereitschaft auch eine sorgfältige logistische Planung.

Die gesamte Dokumentation sollte zentral organisiert und leicht zugänglich sein. Die Prüfer überprüfen Richtlinien, Verfahren, Risikobewertungen, Schulungsunterlagen, Due-Diligence-Akten und Sitzungsprotokolle. Verzögerungen oder fehlende Informationen können auf eine schwache Organisation oder unzureichende Kontrollen hindeuten.

Erstellen Sie einen Master-Index, aus dem hervorgeht, wo jede Anforderung der ISO 37001 behandelt wird und wo sich die entsprechenden Nachweise befinden. Dies hilft den Auditoren, sich effizient im System zurechtzufinden.

Interviews sollten im Voraus geplant werden. Wählen Sie Teilnehmer aus, die ihre Rolle im Anti-Korruptions-Managementsystem verstehen und erklären können, wie die Verfahren in der Praxis funktionieren, anstatt nur die Richtlinien zu wiederholen. Dazu sollten neben Vertretern des Managements und der Compliance-Teams auch Vertreter von Funktionen mit höherem Risiko wie Beschaffung, Vertrieb und Finanzen gehören.

Die Logistik der Prüfung sollte sorgfältig geplant werden. Organisieren Sie geeignete Besprechungsräume, stellen Sie den Zugang zu relevanten Systemen und Aufzeichnungen sicher, bereiten Sie gegebenenfalls Besichtigungen vor Ort vor und bestätigen Sie die Verfügbarkeit wichtiger Mitarbeiter während des gesamten Prüfungszeitraums.

Informieren Sie alle Teilnehmer darüber, was sie erwartet. Die Prüfer werden sich mit Entscheidungsprozessen, Risikoszenarien und der täglichen Funktionsweise von Kontrollen befassen. Offenheit ist wichtiger als Perfektion, da die Prüfer mit einigen Verbesserungsmöglichkeiten rechnen.

Ein gut vorbereitetes Audit zeugt von operativer Reife und verläuft in der Regel effizient.

Die Zertifizierung nach ISO 37001 erfolgt in einem strukturierten zweistufigen Auditprozess, der in der Regel vier bis acht Wochen dauert, von der ersten Bewertung bis zur Ausstellung des Zertifikats.

Stufe 1 ist die Überprüfung der Dokumentation und dauert in der Regel ein bis zwei Tage, je nach Größe und Komplexität der Organisation. Die Auditoren überprüfen die Dokumentation des Anti-Korruptions-Managementsystems, einschließlich Richtlinien, Verfahren, Risikobewertungen und organisatorischer Vorkehrungen, um sicherzustellen, dass das Systemdesign den Anforderungen der ISO 37001 entspricht und die Organisation für die vollständige Bewertung bereit ist.

Ein Bericht der Stufe 1 identifiziert alle Lücken, die vor dem Weiterkommen geschlossen werden müssen. Die meisten Organisationen benötigen zwei bis vier Wochen, um diese Ergebnisse zu schließen und ihre Bereitschaft für Stufe 2 nachzuweisen.

Stufe 2 ist das Hauptzertifizierungsaudit und umfasst eine umfassende Bewertung der praktischen Funktionsweise des Systems. Dazu gehören Mitarbeiterbefragungen, die Überprüfung von Aufzeichnungen, die Prüfung von Kontrollen und die Überprüfung von Nachweisen.

Nach Stufe 2 führt Speeki eine technische Überprüfung durch und holt die Genehmigung des Zertifizierungsausschusses ein, was in der Regel weitere zwei bis drei Wochen dauert, bevor das Zertifikat ausgestellt wird.

Nach der Zertifizierung werden die Organisationen jährlichen Überwachungsaudits und alle drei Jahre einem vollständigen Rezertifizierungsaudit unterzogen .

Von der ersten Implementierung bis zur Zertifizierung benötigen die meisten Unternehmen zwischen sechs und zwölf Monaten. In einigen Fällen, in denen bereits wirksame Kontrollen vorhanden sind und Ressourcen bereitgestellt werden, kann der Prozess schneller abgeschlossen werden. Die Kenntnis des Gesamtzeitplans unterstützt eine effektive Planung, realistische Erwartungen und minimale Unterbrechungen des Geschäftsbetriebs.

Während die Beratung zur Umsetzung der ISO 37001 von unabhängigen Unternehmen durchgeführt werden muss, um die Integrität der Zertifizierung zu gewährleisten, unterstützt Speeki Anti-Korruptionsprogramme durch Schulungen und Technologie.

Die zweitägigen und dreitägigen ISO 37001-Schulungen von Speeki vermitteln interne Kompetenzen zum Verständnis, zur Interpretation und zur Anwendung der Norm innerhalb eines Unternehmens. Die Schulungen befähigen interne Teams, die Umsetzung zu leiten, ohne langfristig auf externe Berater angewiesen zu sein. Die Kurse können vor Ort oder remote durchgeführt werden und stellen sicher, dass Compliance-, Beschaffungs-, Rechts- und Betriebsteams ein gemeinsames Verständnis der Anforderungen zur Bekämpfung von Bestechung haben.

Über die Schulungen hinaus unterstützt die Engage-Technologieplattform von Speeki die effiziente Verwaltung von Maßnahmen zur Bekämpfung von Bestechung. Die Plattform hilft bei der Strukturierung von Due-Diligence-Prozessen, unterstützt Risikobewertungen, zentralisiert die Dokumentation, verfolgt den Abschluss von Schulungen und verwaltet die für die Zertifizierung erforderlichen Prüfpfade.

Engage unterstützt auch die fortlaufende Compliance, indem es Überprüfungen plant, risikoreichere Aktivitäten hervorhebt und dem Management über Dashboards eine klare Übersicht bietet.

Gemeinsam bilden Schulungen und Technologie eine praktische Grundlage für die Unterstützung eines Anti-Korruptions-Managementsystems nach ISO 37001, während Unternehmen mit den von ihnen ausgewählten Implementierungspartnern zusammenarbeiten, um praktische Anleitung und Vorbereitung auf die Zertifizierung zu erhalten.

Die Kosten für die Zertifizierung nach ISO 37001 werden anhand einer Standardbewertungsmethode berechnet, die von akkreditierten Zertifizierungsstellen angewendet wird. Dadurch wird ein einheitlicher Ansatz zur Bestimmung der Auditdauer und des Gesamtaufwands für die Zertifizierung gewährleistet.

Der Hauptkostentreiber ist der tägliche Auditorensatz. Dieser variiert je nach Zertifizierungsstelle, Erfahrung des Auditors und geografischem Standort. Die Anzahl der Audittage wird anhand einheitlicher ISO-Kriterien festgelegt und nicht individuell ausgehandelt.

Die Dauer der Prüfung hängt von der Größe der Organisation, der Komplexität der Betriebsabläufe, dem Bestechungsrisiko und dem Umfang des Anti-Bestechungs-Managementsystems ab. Eine kleinere Organisation mit nur einem Standort, begrenztem Risiko durch Dritte und unkomplizierten Betriebsabläufen benötigt für Stufe 1 und Stufe 2 möglicherweise drei bis vier Prüfungstage. Größere Organisationen, die in mehreren Rechtsgebieten oder risikoreichen Branchen tätig sind, benötigen oft zusätzliche Prüfungszeit, manchmal an mehreren Standorten und in verschiedenen Funktionen.

Über die Zertifizierungsaudits hinaus sollten Unternehmen Kosten für die Umsetzung einplanen. Dazu können Mitarbeiterschulungen, die Entwicklung oder Überarbeitung von Richtlinien und Verfahren, Risikobewertungen, Due-Diligence-Prozesse und Systeme für das Berichtswesen, Kontrollen und Nachweise gehören.

Zu den laufenden Kosten zählen jährliche Überwachungsaudits und alle drei Jahre ein vollständiges Rezertifizierungsaudit. Die Investitionen im ersten Jahr variieren je nach Komplexität der Organisation und Ausgereiftheit der bestehenden Maßnahmen zur Bekämpfung von Bestechung, wobei die laufenden jährlichen Kosten nach Einrichtung des Systems in der Regel geringer ausfallen.

Durch die frühzeitige Anforderung detaillierter Angebote können Zertifizierungsstellen Ihr Unternehmen genau bewerten und realistische Kostenvoranschläge erstellen, was eine effektive Budgetierung und eine reibungslosere Zertifizierungsplanung ermöglicht.