Compliance Standards ISO 37001 und ISO 19600 – Fluch, Segen oder viel Lärm um nichts?
Michael KayserIdox Compliance
Salvatore SaporitoLexisNexis GmbH
25 May, 2016
© Idox plc 2
LexisNexis Webinar
Michael Kayser, Idox Compliance
“Zwei Seelen wohnen, ach! in meiner Brust”
Die Compliance Management System Standards ISO 19600 und ISO 37001
© Idox plc 3
> Hintergrund der Normen und Entstehung
> Inhalte und Besonderheiten
> Implementierung
> Zertifizierung
> Ausblick auf die weitere Entwicklung
AGENDA - ÜBERSICHT
© Idox plc 4
ÜBER UNS
Idox Standorte
Idox-Kunden
in Europa
> Führender Anbieter für Compliance-
Training und -Kommunikation in Europa
> über 50 % der DAX30-Unternehmen und
zahlreiche Fortune 500 Unternehmen
setzen Idox Compliance Lösungen ein
> mehr als 20 Jahre Erfahrung in
Training (Online und Präsenz)
> Mitarbeit im Normenausschuss zu
Compliance Management Systemen
© Idox plc 5
> ISO - International Organization for Standardization
• Standards und Normen weltweit
> Management System Standard
• HLS – High Level Structure
> Anforderungen und Empfehlungen
• Zertifizierung
ISO
© Idox plc 6
ENTSTEHUNG
30
BS
10
50
0
37001
19600AS
38
06
37 39 46 57
06/13 03/14 09/14 05/1603/15 09/1512/1404/13 10/13 07/14
© Idox plc 7
ÜBERSICHT
Organisation
Leadership
Planning
SupportOperation
Performance Evaluation
Improvement
- Context
- Scope
- Risk Assessment
- Commitment
- Compliance Function
- Decision Making
- Actions Risks/Opportunities
- System Objectives
- Resources
- Competence
- Awareness/Training
- Communication
- Documented Information
- Due Diligence
- Control
- Commitments
- Gifts, etc.
- Monitoring, Measurement
- Audit
- Review
- Nonconformity
- Corrective Action
Continual Improvement
Risikobewertung
Tone-at-the-TopPlan-Do-Check-Act
© Idox plc 8
STRUKTUR UND INHALT
> ISO 37001- Typ A
(Anforderungen)
• Scope
• Normative References
• Terms and definitions
• Context of the organisation
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement
• Annex
> ISO 19600 – Typ B
(Empfehlungen)
• Scope
• Normative References
• Terms and definitions
• Context of the organisation
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement
© Idox plc 9
SCOPE - ANWENDUNGSBEREICH
> ISO 37001
• Management System zur
Korruptionsbekämpfung
• Eigenständig oder integriert
• Erweiterbar auf andere Bereiche
(Kartellrecht, Geldwäsche, etc.)
• Allgemeine Anforderungen und breite
Anwendbarkeit, unabhängig von Typ,
Größe, Art und Organisationsform
(öffentlich, privatwirtschaftlich,
gemeinnützig)
> ISO 19600
• Adäquates, flexibles und wirksames
Compliance Management System
• Für alle Organisationsformen
• Anwendung der Empfehlungen
abhängig von der Größe, Struktur, Art
und Komplexität der Organisation
• Prinzipien der Good Governance,
Verhältnismäßigkeit, Transparenz und
Nachhaltigkeit
© Idox plc 10
TERMS AND DEFINITIONS - BEGRIFFE
> ISO 37001
• „Funktion für die Compliance mit der
Korruptionsbekämpfung“
• „Personal“ – Direktoren, Beamte,
Beschäftigte, Zeitpersonal oder
Leiharbeiter und Freiwillige der
Organisation
• „Geschäftspartner“ – inkl. zukünftig
• „Amtsträger“
• „Gebührende Sorgfalt“ – due diligence
• Keine Definition von „Korruption/
Bestechung/Bestechlichkeit“
> ISO 19600
• „Compliance Funktion“ – Personen
mit Präferenz für Einzelperson
• „Beschäftigter“ – employment
relationship in national law or practice
• „Compliance Anforderung“ - muss
• „Compliance Verpflichtung“ – freiwillig
• „bindende Verpflichtung“ –
Anforderung und Verpflichtungen
• „Compliance“ – Einhaltung aller
bindender Verpflichtungen
• „Compliance Kultur“
© Idox plc 11
CONTEXT – KONTEXT DER ORGANISATION
> ISO 37001
• Beurteilung des Korruptionsrisikos
> ISO 19600
• Ermittlung der bindenden
Verpflichtungen
• Ermittlung der Compliance Risiken
• Das CMS sollte die Werte, Ziele,
Strategie und Compliance Risiken der
Organisation widerspiegeln
© Idox plc 12
LEADERSHIP - FÜHRUNG
> ISO 37001
• Leitungsorgan und oberste Leitung
• Führung und Verpflichtung zur
Korruptionsbekämpfung
• Verwendung von Meldeverfahren
bestärkt
• Schutz des Personals vor
Repressalien/Repression
• Politik zur Korruptionsbekämpfung –
Verbot als zentrale Komponente
• Outsourcing/Auslagern einzelner oder
aller Funktionen für die
Korruptionsbekämpfung möglich
> ISO 19600• Oberstes Organ und oberste Leitung
• Grundwerte festlegen und aufrechterhalten
• „Tone-at/from-the-top“
• „Walk the talk“
• Ressourcen
• Angleichung betrieblicher Ziele an bindenden Verpflichtungen
• Compliance Politik
• Rollen – Compliance Verantwortlichkeit bei einer Person, einem Komitee, nicht notwendigerweise Vollzeit
• Äußern von Bedenken ermutigen
© Idox plc 13
PLANNING - PLANUNG
> ISO 37001
• Planung von Maßnahmen zur
Erreichung der
Korruptionsbekämpfungsziele
• Umgang mit Compliance Risiken
• Ziele und Erreichung
> ISO 19600
• Planung von Maßnahmen zur
Erreichung der Compliance Ziele
• Umgang mit Compliance Risiken
• Ziele und Erreichung
© Idox plc 14
SUPPORT - UNTERSTÜTZUNG
> ISO 37001• Ressourcenbestimmung und
Bereitstellung
• Berücksichtigung der Korruptionsrisiken bereits bei der Einstellung von Mitarbeitern
• Sanktionierung und Schutz von Personal
• Anreizelemente
• Bewusstsein und Schulung auch für Geschäftspartner
• Anforderungen an den Inhalt der Schulung
• Kommunikation intern und extern, explizit Geschäftspartner
> ISO 19600
• Bereitstellung aller notwendigen
Ressourcen, intern und extern
• Schulung zugeschnitten auf Rollen
und Verantwortlichkeiten
• Basierend auf Beurteilung von
Wissens- und Kompetenzlücken
• für Beschäftigte
• Verhalten und Compliancekultur
• Verhaltensstandard
• Kommunikation intern und extern
© Idox plc 15
OPERATION - BETRIEB
> ISO 37001• Festlegung von Prozessen
• Gebührende Sorgfalt (due diligence)
• Steuerung (controls) der Finanzen
• Nicht-finanzielle Steuerung (controls)
• Steuerung von verbundenen Organisationen und Geschäftspartner
• Verpflichtung zur Korruptionsbekämpfung bzw. Beendigung der Geschäftsbeziehung
• Geschenke, Bewirtung, Spenden
• Inadäquate Maßnahmen zur Korruptionsbekämpfung
• Bedenken/Whistleblowing
• Untersuchung von Korruptionsfällen
> ISO 19600
• Festlegen von Richtlinien, Verfahren,
Prozessen und Arbeitsanweisungen
• Genehmigungsprozesse
• Compliance Audits
• Integration der bindenden
Verpflichtungen in Verfahren
• Ausgegliederte Prozesse
Exkurs: LexisNexis – Geschäftspartnerüberprüfung
Salvatore Saporito, Business Development Manager Risk & Compliance
17LexisNexis GmbH – Willkommen bei den Informationsexperten!
Begriffsdefinition „Geschäftspartner“
Jeder, der mit einem Unternehmen in geschäftlichem Kontakt steht und nicht Mitarbeiter oder Organ des Unternehmens ist.
Unabhängig von:
Rechts- oder Leistungsbeziehung
Umfang und Bedeutung
Alle Kunden, Lieferanten, Sub-unternehmer, Vertriebsbeauftragte, Berater, Partner in Joint-Ventures, kleinste Dienstleister („Ich-AG“) und Intermediäre
Aber: Notwendigkeit und Tiefe der Prüfung abhängig von verschiedenen Faktoren
18LexisNexis GmbH – Willkommen bei den Informationsexperten!
• Zunahme an Strafverfolgungen
• Rasant wachsende Bedeutung der erweiterten Geschäftspartnerüberprüfung
• Sensibilität für das Thema dringt bis in den Mittelstand durch
• Verlagerung der Anforderungen von Kundenhin zum Geschäftspartner und weiter
• Standardisierungstendenzen sinderkennbar in der Ermittlungstiefe –Integration in eigene Systeme
Erkennbare Trends
19LexisNexis GmbH – Willkommen bei den Informationsexperten!
Abdeckung der Complianceanforderungen durch zentrale Quellen
ZentraleQuellen
Sanktions-listen
Rechtsdaten
BiographischeQuellen
PEP-Daten
Weltweite Presse
Firmen-informationen
20LexisNexis GmbH – Willkommen bei den Informationsexperten!
Risikoansatz und Quellen für Due Diligence
Informationsquellen – nur welche?
21LexisNexis GmbH – Willkommen bei den Informationsexperten!
Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung
Identifikation meiner Geschäftspartner und Einteilung in Cluster
Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen
Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)
Prüfungsprozess und Recherchequellen festlegen
Informationsauswertung und Schaffung einer Entscheidungsgrundlage
Unterstützung durch IT zur Standardisierung
Einbettung in den betrieblichen Kontext
22LexisNexis GmbH – Willkommen bei den Informationsexperten!
Lexis Diligence® - Geschäftspartnerüberprüfung
Zugriff auf alle Quellen über nur eine Suchmaske
Benutzerfreundliche Oberfläche und vielfältige Such-Optionen
Automatisches Erkennen von Nachrichten mit negativer Tonalität
Information per E-Mail, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden
Dokumentationsnachweis über Report Builder
23LexisNexis GmbH – Willkommen bei den Informationsexperten!
Verfügbare Quellen
Über 23.000 internationale Pressequellen darunter ca. 300 deutschsprachige Publikationen einschließlich Branchenpublikationen
PEP-, Sanktions- und Watch- und Black-Listen inkl. World Compliance, INFO4C, EU Consolidated List, OFAC u. a.
Mehr als 200 Anbieter internationaler und deutscher Firmeninformationen
Signifikante Länderprofile
Internationale Rechtsinformationen
Benja
min
Thorn
/ pix
elio.d
e
© Idox plc 25
PERFORMANCE EVALUATION -
LEISTUNGSBEWERTUNG
> ISO 37001
• Monitoring, ABMS
• Bewertung durch die Compliance
Funktion (Korruptionsbekämpfung)
• Internes Audit
• Bewertung durch die oberste Leitung
• Bewertung durch das Leitungsorgan
> ISO 19600
• Monitoring des CMS
• Quellen von Feedback
• Methoden der Informationsgewinnung
• Auswertungen und Einordnung
• Entwicklung von Indikatoren
• Compliance Berichterstattung
• Inhalt von Complianceberichten
• Aufzeichnungen
• Audits
• Managementbewertung
© Idox plc 26
IMPROVEMENT - VERBESSERUNG
> ISO 37001
• Nichtkonformität und
Korrekturmaßnahmen
• Fortlaufende Verbesserung
> ISO 19600
• Nichtkonformität und
Korrekturmaßnahmen
• Eskalation
• Fortlaufende Verbesserung
© Idox plc 27
> Internationale Standards
• Auf Basis nationaler Standards
• international erarbeitet
• weltweit einsetzbar
• grenzübergreifend
• branchenübergreifend
• organisationsübergreifend
ZUSAMMENFASSUNG
© Idox plc 28
ISO 19600
> Compliance Management
> Empfehlungen - Typ B
> Risikobasierter Ansatz
> Angemessenheit/Verhältnismäßigkeit
> Flexibilität in der Ausgestaltung der Compliance Funktion
> Grundlagencharakter
> „Einstieg“
© Idox plc 29
ISO 37001
> Anti-Korruption
> Anforderungen - Typ A
> Risikobasierter Ansatz
> Angemessenheit/Verhältnismäßigkeit
> Delegation der (AK-) Compliance Funktion
> Bestechungs- und Beschleunigungszahlungen
> Geschäftspartner
> Due Diligence
> Schutz von Whistleblowern
© Idox plc 30
IMPLEMENTIERUNG
> ISO 19600
• Erste Implementierungen
• Erste Zertifizierungen
> ISO 37001
• Noch nicht veröffentlicht
• Starkes Interesse
© Idox plc 31
AUSBLICK
> Bekannter Managementsystem-Ansatz
> Nachvollziehbar und verständlich
> Internationaler Konsens
> Zertifizierung
> Kompromiss
> Anspruch/Erwartungshaltung
> Unterstützung seitens „Anforderer“ erforderlich
> Zertifizierung
© Idox plc 35
WEITERE INFORMATIONEN
Michael KayserTel. 0151 – 46 14 35 79
www.compliance.idoxgroup.com
www.entwuerfe.din.de
Vielen Dank für Ihre Aufmerksamkeit
Michael Kayser
Idox Compliance
[email protected].: +49 (0)30 84 19 14 54
Salvatore Saporito
LexisNexis GmbH
[email protected].: +49 (0)162 2596-205