Compliance Standards ISO 37001 und ISO 19600 – Fluch, Segen oder viel Lärm um nichts?

Michael KayserIdox Compliance

Salvatore SaporitoLexisNexis GmbH

25 May, 2016

© Idox plc 2

LexisNexis Webinar

Michael Kayser, Idox Compliance

“Zwei Seelen wohnen, ach! in meiner Brust”

Die Compliance Management System Standards ISO 19600 und ISO 37001

© Idox plc 3

> Hintergrund der Normen und Entstehung

> Inhalte und Besonderheiten

> Implementierung

> Zertifizierung

> Ausblick auf die weitere Entwicklung

AGENDA - ÜBERSICHT

© Idox plc 4

ÜBER UNS

Idox Standorte

Idox-Kunden

in Europa

> Führender Anbieter für Compliance-

Training und -Kommunikation in Europa

> über 50 % der DAX30-Unternehmen und

zahlreiche Fortune 500 Unternehmen

setzen Idox Compliance Lösungen ein

> mehr als 20 Jahre Erfahrung in

Training (Online und Präsenz)

> Mitarbeit im Normenausschuss zu

Compliance Management Systemen

© Idox plc 5

> ISO - International Organization for Standardization

• Standards und Normen weltweit

> Management System Standard

• HLS – High Level Structure

> Anforderungen und Empfehlungen

• Zertifizierung

ISO

© Idox plc 6

ENTSTEHUNG

30

BS

10

50

0

37001

19600AS

38

06

37 39 46 57

06/13 03/14 09/14 05/1603/15 09/1512/1404/13 10/13 07/14

© Idox plc 7

ÜBERSICHT

Organisation

Leadership

Planning

SupportOperation

Performance Evaluation

Improvement

- Context

- Scope

- Risk Assessment

- Commitment

- Compliance Function

- Decision Making

- Actions Risks/Opportunities

- System Objectives

- Resources

- Competence

- Awareness/Training

- Communication

- Documented Information

- Due Diligence

- Control

- Commitments

- Gifts, etc.

- Monitoring, Measurement

- Audit

- Review

- Nonconformity

- Corrective Action

Continual Improvement

Risikobewertung

Tone-at-the-TopPlan-Do-Check-Act

© Idox plc 8

STRUKTUR UND INHALT

> ISO 37001- Typ A

(Anforderungen)

• Scope

• Normative References

• Terms and definitions

• Context of the organisation

• Leadership

• Planning

• Support

• Operation

• Performance evaluation

• Improvement

• Annex

> ISO 19600 – Typ B

(Empfehlungen)

• Scope

• Normative References

• Terms and definitions

• Context of the organisation

• Leadership

• Planning

• Support

• Operation

• Performance evaluation

• Improvement

© Idox plc 9

SCOPE - ANWENDUNGSBEREICH

> ISO 37001

• Management System zur

Korruptionsbekämpfung

• Eigenständig oder integriert

• Erweiterbar auf andere Bereiche

(Kartellrecht, Geldwäsche, etc.)

• Allgemeine Anforderungen und breite

Anwendbarkeit, unabhängig von Typ,

Größe, Art und Organisationsform

(öffentlich, privatwirtschaftlich,

gemeinnützig)

> ISO 19600

• Adäquates, flexibles und wirksames

Compliance Management System

• Für alle Organisationsformen

• Anwendung der Empfehlungen

abhängig von der Größe, Struktur, Art

und Komplexität der Organisation

• Prinzipien der Good Governance,

Verhältnismäßigkeit, Transparenz und

Nachhaltigkeit

© Idox plc 10

TERMS AND DEFINITIONS - BEGRIFFE

> ISO 37001

• „Funktion für die Compliance mit der

Korruptionsbekämpfung“

• „Personal“ – Direktoren, Beamte,

Beschäftigte, Zeitpersonal oder

Leiharbeiter und Freiwillige der

Organisation

• „Geschäftspartner“ – inkl. zukünftig

• „Amtsträger“

• „Gebührende Sorgfalt“ – due diligence

• Keine Definition von „Korruption/

Bestechung/Bestechlichkeit“

> ISO 19600

• „Compliance Funktion“ – Personen

mit Präferenz für Einzelperson

• „Beschäftigter“ – employment

relationship in national law or practice

• „Compliance Anforderung“ - muss

• „Compliance Verpflichtung“ – freiwillig

• „bindende Verpflichtung“ –

Anforderung und Verpflichtungen

• „Compliance“ – Einhaltung aller

bindender Verpflichtungen

• „Compliance Kultur“

© Idox plc 11

CONTEXT – KONTEXT DER ORGANISATION

> ISO 37001

• Beurteilung des Korruptionsrisikos

> ISO 19600

• Ermittlung der bindenden

Verpflichtungen

• Ermittlung der Compliance Risiken

• Das CMS sollte die Werte, Ziele,

Strategie und Compliance Risiken der

Organisation widerspiegeln

© Idox plc 12

LEADERSHIP - FÜHRUNG

> ISO 37001

• Leitungsorgan und oberste Leitung

• Führung und Verpflichtung zur

Korruptionsbekämpfung

• Verwendung von Meldeverfahren

bestärkt

• Schutz des Personals vor

Repressalien/Repression

• Politik zur Korruptionsbekämpfung –

Verbot als zentrale Komponente

• Outsourcing/Auslagern einzelner oder

aller Funktionen für die

Korruptionsbekämpfung möglich

> ISO 19600• Oberstes Organ und oberste Leitung

• Grundwerte festlegen und aufrechterhalten

• „Tone-at/from-the-top“

• „Walk the talk“

• Ressourcen

• Angleichung betrieblicher Ziele an bindenden Verpflichtungen

• Compliance Politik

• Rollen – Compliance Verantwortlichkeit bei einer Person, einem Komitee, nicht notwendigerweise Vollzeit

• Äußern von Bedenken ermutigen

© Idox plc 13

PLANNING - PLANUNG

> ISO 37001

• Planung von Maßnahmen zur

Erreichung der

Korruptionsbekämpfungsziele

• Umgang mit Compliance Risiken

• Ziele und Erreichung

> ISO 19600

• Planung von Maßnahmen zur

Erreichung der Compliance Ziele

• Umgang mit Compliance Risiken

• Ziele und Erreichung

© Idox plc 14

SUPPORT - UNTERSTÜTZUNG

> ISO 37001• Ressourcenbestimmung und

Bereitstellung

• Berücksichtigung der Korruptionsrisiken bereits bei der Einstellung von Mitarbeitern

• Sanktionierung und Schutz von Personal

• Anreizelemente

• Bewusstsein und Schulung auch für Geschäftspartner

• Anforderungen an den Inhalt der Schulung

• Kommunikation intern und extern, explizit Geschäftspartner

> ISO 19600

• Bereitstellung aller notwendigen

Ressourcen, intern und extern

• Schulung zugeschnitten auf Rollen

und Verantwortlichkeiten

• Basierend auf Beurteilung von

Wissens- und Kompetenzlücken

• für Beschäftigte

• Verhalten und Compliancekultur

• Verhaltensstandard

• Kommunikation intern und extern

© Idox plc 15

OPERATION - BETRIEB

> ISO 37001• Festlegung von Prozessen

• Gebührende Sorgfalt (due diligence)

• Steuerung (controls) der Finanzen

• Nicht-finanzielle Steuerung (controls)

• Steuerung von verbundenen Organisationen und Geschäftspartner

• Verpflichtung zur Korruptionsbekämpfung bzw. Beendigung der Geschäftsbeziehung

• Geschenke, Bewirtung, Spenden

• Inadäquate Maßnahmen zur Korruptionsbekämpfung

• Bedenken/Whistleblowing

• Untersuchung von Korruptionsfällen

> ISO 19600

• Festlegen von Richtlinien, Verfahren,

Prozessen und Arbeitsanweisungen

• Genehmigungsprozesse

• Compliance Audits

• Integration der bindenden

Verpflichtungen in Verfahren

• Ausgegliederte Prozesse

Exkurs: LexisNexis – Geschäftspartnerüberprüfung

Salvatore Saporito, Business Development Manager Risk & Compliance

17LexisNexis GmbH – Willkommen bei den Informationsexperten!

Begriffsdefinition „Geschäftspartner“

Jeder, der mit einem Unternehmen in geschäftlichem Kontakt steht und nicht Mitarbeiter oder Organ des Unternehmens ist.

Unabhängig von:

Rechts- oder Leistungsbeziehung

Umfang und Bedeutung

Alle Kunden, Lieferanten, Sub-unternehmer, Vertriebsbeauftragte, Berater, Partner in Joint-Ventures, kleinste Dienstleister („Ich-AG“) und Intermediäre

Aber: Notwendigkeit und Tiefe der Prüfung abhängig von verschiedenen Faktoren

18LexisNexis GmbH – Willkommen bei den Informationsexperten!

• Zunahme an Strafverfolgungen

• Rasant wachsende Bedeutung der erweiterten Geschäftspartnerüberprüfung

• Sensibilität für das Thema dringt bis in den Mittelstand durch

• Verlagerung der Anforderungen von Kundenhin zum Geschäftspartner und weiter

• Standardisierungstendenzen sinderkennbar in der Ermittlungstiefe –Integration in eigene Systeme

Erkennbare Trends

19LexisNexis GmbH – Willkommen bei den Informationsexperten!

Abdeckung der Complianceanforderungen durch zentrale Quellen

ZentraleQuellen

Sanktions-listen

Rechtsdaten

BiographischeQuellen

PEP-Daten

Weltweite Presse

Firmen-informationen

20LexisNexis GmbH – Willkommen bei den Informationsexperten!

Risikoansatz und Quellen für Due Diligence

Informationsquellen – nur welche?

21LexisNexis GmbH – Willkommen bei den Informationsexperten!

Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung

Identifikation meiner Geschäftspartner und Einteilung in Cluster

Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen

Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)

Prüfungsprozess und Recherchequellen festlegen

Informationsauswertung und Schaffung einer Entscheidungsgrundlage

Unterstützung durch IT zur Standardisierung

Einbettung in den betrieblichen Kontext

22LexisNexis GmbH – Willkommen bei den Informationsexperten!

Lexis Diligence® - Geschäftspartnerüberprüfung

Zugriff auf alle Quellen über nur eine Suchmaske

Benutzerfreundliche Oberfläche und vielfältige Such-Optionen

Automatisches Erkennen von Nachrichten mit negativer Tonalität

Information per E-Mail, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden

Dokumentationsnachweis über Report Builder

23LexisNexis GmbH – Willkommen bei den Informationsexperten!

Verfügbare Quellen

Über 23.000 internationale Pressequellen darunter ca. 300 deutschsprachige Publikationen einschließlich Branchenpublikationen

PEP-, Sanktions- und Watch- und Black-Listen inkl. World Compliance, INFO4C, EU Consolidated List, OFAC u. a.

Mehr als 200 Anbieter internationaler und deutscher Firmeninformationen

Signifikante Länderprofile

Internationale Rechtsinformationen

Benja

min

Thorn

/ pix

elio.d

e

Zurück zu Michael Kayser

Salvatore Saporito, Business Development Manager Risk & Compliance

© Idox plc 25

PERFORMANCE EVALUATION -

LEISTUNGSBEWERTUNG

> ISO 37001

• Monitoring, ABMS

• Bewertung durch die Compliance

Funktion (Korruptionsbekämpfung)

• Internes Audit

• Bewertung durch die oberste Leitung

• Bewertung durch das Leitungsorgan

> ISO 19600

• Monitoring des CMS

• Quellen von Feedback

• Methoden der Informationsgewinnung

• Auswertungen und Einordnung

• Entwicklung von Indikatoren

• Compliance Berichterstattung

• Inhalt von Complianceberichten

• Aufzeichnungen

• Audits

• Managementbewertung

© Idox plc 26

IMPROVEMENT - VERBESSERUNG

> ISO 37001

• Nichtkonformität und

Korrekturmaßnahmen

• Fortlaufende Verbesserung

> ISO 19600

• Nichtkonformität und

Korrekturmaßnahmen

• Eskalation

• Fortlaufende Verbesserung

© Idox plc 27

> Internationale Standards

• Auf Basis nationaler Standards

• international erarbeitet

• weltweit einsetzbar

• grenzübergreifend

• branchenübergreifend

• organisationsübergreifend

ZUSAMMENFASSUNG

© Idox plc 28

ISO 19600

> Compliance Management

> Empfehlungen - Typ B

> Risikobasierter Ansatz

> Angemessenheit/Verhältnismäßigkeit

> Flexibilität in der Ausgestaltung der Compliance Funktion

> Grundlagencharakter

> „Einstieg“

© Idox plc 29

ISO 37001

> Anti-Korruption

> Anforderungen - Typ A

> Risikobasierter Ansatz

> Angemessenheit/Verhältnismäßigkeit

> Delegation der (AK-) Compliance Funktion

> Bestechungs- und Beschleunigungszahlungen

> Geschäftspartner

> Due Diligence

> Schutz von Whistleblowern

© Idox plc 30

IMPLEMENTIERUNG

> ISO 19600

• Erste Implementierungen

• Erste Zertifizierungen

> ISO 37001

• Noch nicht veröffentlicht

• Starkes Interesse

© Idox plc 31

AUSBLICK

> Bekannter Managementsystem-Ansatz

> Nachvollziehbar und verständlich

> Internationaler Konsens

> Zertifizierung

> Kompromiss

> Anspruch/Erwartungshaltung

> Unterstützung seitens „Anforderer“ erforderlich

> Zertifizierung

© Idox plc 32

ZERTIFIZIERUNG

Anwender

Zertifizierer

Anforderer

© Idox plc 33

EIN VORBILD?

Quelle: ISO SURVEY 2014

© Idox plc 34

WEITERE INFORMATIONEN

© Idox plc 35

WEITERE INFORMATIONEN

Michael KayserTel. 0151 – 46 14 35 79

michael.kayser@idoxgroup.com

www.compliance.idoxgroup.com

www.entwuerfe.din.de

Vielen Dank für Ihre Aufmerksamkeit

Michael Kayser

Idox Compliance

Michael.Kayser@idoxgroup.comTel.: +49 (0)30 84 19 14 54

Salvatore Saporito

LexisNexis GmbH

salvatore.saporito@lexisnexis.deTel.: +49 (0)162 2596-205