Risikomanagement: Korruption mit System bekämpfen

Bestechung und Korruption machen nirgendwo halt; ein systematischer Ansatz, wie ihn ein Managementsystem zur Korruptionsbekämpfung nach ISO 37001 bietet, hilft Unternehmen, Risiken zu managen. Denn kommt es zu einem Vorfall, kann der materielle und immaterielle Schaden für Unternehmen erheblich sein. Doch die Bekanntheit des internationalen Standards ist weltweit noch gering. Das zeigt eine Umfrage der internationalen Zertifizierungsgesellschaft DNV.

Korruption hat viele Gesichter: Es kann sich dabei um Bestechung, Veruntreuung, Geldwäsche, Vorteilsgewährung, Schmiergeldzahlung oder Vetternwirtschaft handeln. Korruption kann sich über lange Zeiträume erstrecken und von kleinen persönlichen Geschenken bis hin zu sehr großen Summen reichen. Kein Unternehmen - egal wie groß oder angesehen - ist davor gefeit, wie die Zahl der Delikte zeigt. Das Bundeskriminalamt beziffert die Gesamtzahl der Straftaten in seinem Bundeslagebild 2022 auf 3.600 Straftaten und den entstandenen Schaden auf 27 Millionen Euro, wobei von einem großen Dunkelfeld auszugehen ist. Neben den monetären Schäden sind jedoch auch die kaum quantifizierbaren immateriellen Schäden sowie die Integrität der Wirtschaft von besonderer Bedeutung.

Einen strukturierten Ansatz zum Risikomanagement und zur Umsetzung von Antikorruptionsmaßnahmen bietet die internationale Norm ISO 37001. Der Standard legt Anforderungen fest und gibt Leitlinien für den Aufbau, die Umsetzung, Aufrechterhaltung, Überprüfung und Verbesserung eines Managementsystems zur Korruptionsbekämpfung. Die Norm wurde 2016 veröffentlicht und ist damit noch relativ jung. Bisher wird sie nur von wenigen Unternehmen angewendet. Weltweit gibt es laut ISO-Umfrage 2022 erst 5.969 Zertifikate, die nach diesem Standard ausgestellt wurden. Zum Vergleich: Für die Qualitätsmanagementnorm ISO 9001 wurden über eine Million Zertifikate ausgestellt, für die Umweltmanagementnorm ISO 14001 über 400.000 Zertifikate.

Eine von DNV durchgeführte Umfrage untersuchte die Einstellung und die Vorgehensweise von Unternehmen bei der Korruptionsbekämpfung. Rund 1.200 Unternehmen nahmen teil - eine Mischung aus kleinen und großen Unternehmen aus dem öffentlichen und privaten Sektor weltweit. Die Umfrage ergab, dass der Bekanntheitsgrad der ISO-Norm 37001 und anderer internationaler Normen zur Korruptionsbekämpfung sehr gering ist. Nur drei Prozent der Befragten gaben an, mit dem Standard ISO 37001 oder ähnlichen Standards zur Korruptionsbekämpfung sehr vertraut zu sein.

Risiken werden in allen Unternehmensbereichen wahrgenommen. Zwei Bereiche stechen jedoch besonders hervor: „Beschaffung“ (82,1%) und „Vertrieb“ (61,2%) sind laut Umfrage am stärksten gefährdet, darauf folgen „Geschenke und Sponsoring“ (51%) und „Outsourcing“ (50,1%).

Ein generelles Risiko besteht darin, dass oft die Verantwortung für die Korruptionsbekämpfung nur auf der höchsten Unternehmensebene angesiedelt ist. In der Umfrage war dies bei 26,7% der Befragten der Fall. Dies kann zu Interessenskonflikten führen, da hier die gleiche Person für den Betrieb des Unternehmens, seine Gewinne und Verluste und für die Korruptionsbekämpfung verantwortlich ist. Die ISO 37001 fordert daher, dass die oberste Leitung die Verantwortung und die Befugnis für die Beaufsichtigung und Umsetzung des Korruptionsbekämpfungssystems auf eine Anti-Korruptions-Compliance-Funktion überträgt. 15,9% der Befragten gaben an, dass es in ihrem Unternehmen eine solche spezielle Funktion zur Bekämpfung von Bestechung und Korruption gibt. Bei 12,9% ist die Abteilung Legal & Compliance dafür zuständig.

Als Hauptmotive für Antikorruptionsmaßnahmen nannten die Befragten die Einhaltung gesetzlicher Vorschriften (78%), die Verbreitung eines ethischen Ansatzes (71,5%) und die Verbesserung der Reputation des Unternehmens (70,7%). Faktoren, die speziell mit der kommerziellen und finanziellen Leistung zusammenhängen, wie die Erschließung neuer Geschäftsmöglichkeiten (42,4%), die Differenzierung von Wettbewerbern (40,9%) und die Erhöhung des Marktanteils (36,3%), spielen dagegen eine geringere Rolle.

Da sich die meisten Unternehmen vor allem um Compliance, Reputation und Ethik sorgen, überrascht es nicht, dass die meisten Maßnahmen darauf abzielen, das Engagement gegen Korruption zu demonstrieren. An erster Stelle stehen die Bereitstellung einer Politik zur Korruptionsbekämpfung (58,6%), die Schulung der Mitarbeiter (53,5%) und die Festlegung von Verantwortlichkeiten und Zuständigkeiten (52,6%).

Diese Maßnahmen sind wichtig, werden aber häufig bevorzugt, weil sie weniger finanziellen und zeitlichen Aufwand erfordern. Teurere, aber sehr wirksame Maßnahmen wie die Bewertung des Korruptionsrisikos (33,5%) und die Due-Diligence-Prüfung von Handelsvertretern (37,4%) sind sehr effektiv bei der Eindämmung von Bestechung und Korruption, schneiden aber in der Umfrage schlechter ab. Zudem hatten zum Zeitpunkt der Umfrage im Herbst 2022 nur wenige der befragten Unternehmen ein internes Whistleblowing-System eingerichtet, das für die Aufdeckung von Vorfällen entscheidend sein kann.

In Deutschland verpflichtet das seit 2. Juli 2023 geltende Hinweisgeberschutzgesetz (HinSchG) Unternehmen mit mehr als 250 Beschäftigen zur Einrichtung einer internen Meldestelle. Für Unternehmen ab 50 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023. Zur effektiven Einführung, Umsetzung und Aufrechterhaltung eines Hinweismanagementsystems hat die ISO im Juli 2021 den Standard ISO 37002 veröffentlicht. Der Standard bietet eine Orientierung für Unternehmen und kann gut in ein übergeordnetes Managementsystem wie zum Beispiel nach ISO 37001 integriert werden.

In Anbetracht des im Juli 2023 in Kraft getretenen Hinweisgeberschutzgesetzes, ist zu erwarten, dass das Thema in Deutschland an Relevanz gewinnt. Zur Erfüllung der gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes können sich Unternehmen an dem Managementsystemstandard ISO 37002 orientieren. Die Leitlinien können eigenständig angewendet werden, sind aber nicht zertifizierbar. Sie können aber leicht in die Anforderungen des zertifizierbaren Standards ISO 37001 integriert werden. Gerade für Unternehmen, die einem hohem Risiko für Korruption ausgesetzt sind oder die in Ländern und Branchen tätig sind, in denen Korruption weit verbreitet ist, kann zusätzlich die Einführung der ISO 37001 sinnvoll sein. Eine anschließende unabhängige Zertifizierung des Systems bei einer renommierten Zertifizierungsgesellschaft wie DNV schafft Vertrauen bei Stakeholdern. Die Zertifizierung kann zwar nicht garantieren, dass Korruption nicht vorkommt, aber sie belegt, dass das Unternehmen über ein Managementsystem verfügt, damit solchen Situationen strukturiert und mit System begegnet werden kann.

Die ISO 37001 legt Anforderungen fest und gibt Leitlinien für den Aufbau, die Umsetzung, Aufrechterhaltung, Überprüfung und Verbesserung eines Managementsystems zur Korruptionsbekämpfung. Der Standard soll Organisationen dabei unterstützen, ihre Risiken in Zusammenhang mit Korruption zu reduzieren und die für die Aktivitäten der Organisation geltenden Gesetze und freiwilligen Selbstverpflichtungen zur Korruptionsbekämpfung einzuhalten. Andere Aspekte wie Betrug oder Geldwäsche können im Einklang mit den einschlägigen Rechtsvorschriften und bewährten Praktiken in den Geltungsbereich des Managementsystems aufgenommen werden. Ein konformes Managementsystem muss Maßnahmen implementieren, die dazu beitragen, Korruption zu verhindern, aufzudecken und zu bekämpfen. Diese sollten Folgendes umfassen:

Die Zertifizierung nach ISO 37001 weist nach, dass:

Andrea Beck, Expertin Managementsystemzertifizierung & Kommunikation bei DNV Business Assurance