ISO 37001 anti-omkopingsrichtlijn

De standaard tegen corruptie en omkoping

Wat is ISO 37001?

ISO 37001 is de eerste standaard voor anti-omkoping managementsystemen (anti-bribery management systems). De norm specificeert eisen en geeft richtlijnen aan organisaties voor het opzetten, implementeren, onderhouden en verbeteren van een managementsysteem om omkoping te bestrijden. De norm is in oktober 2016 gepubliceerd door de Internationale Organisatie voor Standaardisatie (ISO). Die ontwikkelt en publiceert internationale standaarden. De Nederlandse organisatie, Nederlands Normalisatie-instituut (NEN) beheert en ontwikkelt de Nederlandse uitgaven van de ISO-standaarden.

De norm is gebaseerd op landen die op het gebied van corruptie toonaangevende wetgeving hebben, zoals de Verenigde Koninkrijk met de Britse Bribery Act en de Verenigde Staten met de FCPA-wetgeving. De ISO 37001 zorgt voor een eenduidige, uniforme interpretatie van anti-omkoping managementsystemen (AOMS) binnen verschillende soorten organisaties. De norm beschrijft algemeen verbindende voorschriften voor de ontwikkeling van AOMS en de implementatie, toepassing en verbetering daarvan.

De norm specificeert een reeks concrete maatregelen en controles die ondernemingen moeten implementeren om omkoping te voorkomen of in ieder geval vroegtijdig op te sporen en aan te pakken.

Wie heeft de ISO 37001 ontwikkeld?

Het initiatief voor de ontwikkeling van een ISO anti-omkopingsnorm ging uit van het British Standards Institute (BSI). Eind 2012 pakte de International Organization for Standardization (ISO) dit initiatief op. De meerderheid van de ISO-leden ondersteunde het voorstel om een dergelijke nieuwe norm te ontwikkelen, waarvoor onder de naam ISO/PC 278 een projectcommissie werd opgericht. Experts uit 28 landen, waaronder Nederland, waren betrokken bij het opstellen van de norm. Experts uit nog eens 19 landen werkten mee als waarnemers. Externe expertise levert een bijdrage aan zeven zogenaamde liaisonorganisaties zoals de OECD en Transparency International.

Anti-corruptieadvocaat Jean-Pierre Mean speelde een leidende rol bij de ontwikkeling en implementatie van ISO 37001. In een interview met LexisNexis legt de expert uit hoe ondernemingen de norm succesvol kunnen toepassen en hoe ze hun voordeel kunnen doen met certificering.

ISO 37001 toetsen met LexisNexis

Voor wie is ISO 37001 bedoeld?

De norm is zo flexibel dat hij in elk land en elke organisatie kan worden toegepast, ongeacht het soort organisatie en de omvang. Zowel kleine bedrijven, stichtingen, verenigingen en overheidsorganen als grote ondernemingen, multinationals en andere organisaties in de publieke of private sector kunnen de norm implementeren.

Vereist de norm een eigen managementsysteem?

In principe vormt ISO 37001 een autonoom managementsysteem. De vereiste maatregelen waarop het systeem is gebaseerd zijn echter zo ontwikkeld dat ze ook in bestaande managementprocessen en controlemechanismen kunnen worden geïntegreerd. ISO 37001 volgt een top-down benadering, vergelijkbaar met de algemeen geaccepteerde norm ISO 9001 inzake kwaliteitsmanagement.

Wat zijn de belangrijkste vereisten van de norm?

De belangrijkste functie van een Compliance Management Systeem (CMS) is waarborgen dat risico's van overtreding vroegtijdig worden gesignaleerd en overtredingen worden voorkomen.

Ondanks een goed functionerend CMS kunnen er toch overtredingen plaatsvinden. Zelfs het beste systeem kan dit niet voor 100% voorkomen. In geval van een overtreding biedt het CMS richtlijnen voor passende reacties en tegenmaatregelen.

ISO 37001 definieert zeven essentiële elementen en specificeert daarbij de volgende concrete maatregelen:

1. Implementeren

De implementatie van een volwaardig compliancebeleid is economisch zinvol en uiteindelijk omzetverhogend. Een onderneming die verbindende verplichtingen aangaat en aantoonbaar maatregelen hanteert om overtreding van de complianceregels te voorkomen, vergroot ook het vertrouwen van klanten, leveranciers en andere partijen.

2. Het goede voorbeeld geven

Compliance werkt in een onderneming alleen als het management het goede voorbeeld geeft. Voor compliance officers kan het een hele uitdaging zijn om de juiste 'tone-from-the-top' over te brengen. Maar voor functie- en afdelingsoverschrijdend correct gedrag moet iedereen op één lijn zitten. In hoofdstuk 5 van de ISO-norm wordt hier nader op ingegaan.

De norm vereist een onafhankelijke compliancefunctie binnen de onderneming, die ook verantwoordelijk is voor het anti-omkoping managementsysteem. Belangenconflicten moeten absoluut worden vermeden, zodat deze functie volledig onafhankelijk uitgeoefend kan worden.

Volgens de ISO-norm is het management ook verantwoordelijk voor het aannemen van anti-omkopingsregels. Daarin moet duidelijk gesteld worden dat omkoping verboden is, dat overtreding van de regels door medewerkers gemeld moet worden en dat overtredingen zullen worden bestraft. De gedragsregels moeten intern en aan alle relevante externe partners worden gecommuniceerd.

3. Ontwikkelen

In het kader van de anti-omkopingsprocedures moeten effectieve, op de onderneming afgestemde controles worden ontwikkeld, die de omkopingsrisico's beheersen en overtredingen opsporen.

Volgens ISO 37001 moeten medewerkers regelmatig trainingen volgen om de opgestelde anti-omkopingsregels te begrijpen en na te leven. De ISO stelt geen training voor alle medewerkers van een onderneming verplicht, alleen voor medewerkers met een verhoogd risico. De trainingen moeten op maat worden ontwikkeld.

Omkoping bestrijden met LexisNexis

4. Onderzoeken

Het opzetten van een anti-omkoping managementsysteem heeft vele facetten. De norm biedt een leidraad voor het inrichten van het systeem. Zo moeten transacties, projecten, personeel en zakenpartners standaard aan een uitgebreid onderzoek, een Enhanced Due Diligence, worden onderworpen als het omkopingsrisico als meer dan gering wordt aangemerkt.

De ISO-norm vereist dat bij de financiële en niet-financiële controles ook zakenpartners worden meegenomen. In hoogrisicogevallen moeten ook de zakenpartners van de zakenpartners getoetst worden conform ISO 37001. ISO-gecertificeerde ondernemingen moeten deze controles ook van hun directe zakenpartners verlangen.

Wanneer het risico van omkoping als gering wordt aangemerkt, hoeven van de zakenpartner geen controles te worden verlangd. Dan voldoet de toetsing van de eigen zakenpartners.

Intern kan het vier-ogen-principe voldoende zijn bij belangrijke transacties. Met betrekking tot externe partijen komt omkoping vooral voor bij aanbestedingsprocedures. Een transparante gunningsprocedure kan omkoping voorkomen bij belangrijke contracten.

In de onderzoeksfase gaat het erom de risico's binnen de eigen onderneming en bij derden te identificeren en classificeren, om ze zo goed mogelijk te beheersen – de zogenaamde risicogebaseerde aanpak.

5. Uitvoeren

Als de omkopingsrisico's intern en ook bij leveranciers en andere zakenpartners zijn geïdentificeerd, is het van belang de onder ”Onderzoeken” genoemde due diligence-onderzoeken ook consequent uit te voeren en te documenteren.

6. Continueren

De inrichting van een Compliance Management Systeem volgens ISO 37001 is geen eenmalige aangelegenheid, zelfs niet als het CMS met succes wordt gecertificeerd. De compliance officer moet samen met het management voortdurend onderzoek (Ongoing Due Diligence) waarborgen. Dit omvat rapportage, monitoring, onderzoeken en controles. Alle processen moeten als een vanzelfsprekend onderdeel van de beheerstaken in het DNA van de onderneming verankerd zijn.

7. Verbeteren

Geen enkel systeem functioneert meteen perfect na de implementatie. In het kader van een continu verbeteringsproces moet het CMS regelmatig worden bevraagd, zodat systematisch overtredingen voorkomen en non-conformiteiten verholpen kunnen worden. In hoofdstuk 10 ”Verbetering” van ISO 37001 wordt dit systematische proces expliciet vereist.

Er kunnen ook externe factoren zijn die aanpassing van het CMS noodzakelijk maken, zoals wijzigingen in het gunningsrecht of de regels voor zakelijk bankverkeer, of een herziening van de norm ISO 37001 zelf.

LexisNexis ondersteunt u bij het toetsen van uw zakenpartners volgens ISO 37001. Lees meer over onze oplossing Nexis Diligence+™.

Toepassing voor ondernemingen: wat zijn de gevolgen?

Wat zijn de voordelen van de norm voor de onderneming?

ISO 37001 biedt ondernemingen en organisaties minimumeisen en nuttige toelichtingen voor het succesvol implementeren of benchmarken van een anti-omkoping managementsysteem. Hiervan profiteren het management, beleggers, medewerkers, klanten en andere belanghebbenden. Zij krijgen de zekerheid dat de juiste stappen zijn ondernomen om het risico van omkoping te minimaliseren.

Kan mijn onderneming ISO 37001 gecertificeerd worden?

Aangezien ISO 37001 een norm is die eisen stelt (type A) en niet slechts een aanbevelend karakter heeft, kunnen ondernemingen door een onafhankelijke instantie worden gecertificeerd. Elke onderneming kan worden gecertificeerd wanneer middels een audit wordt vastgesteld dat aan de eisen van de norm wordt voldaan.

Wie verleent certificeringen?

Ondernemingen en organisaties kunnen uitsluitend door een externe auditor volgens ISO 37001 worden gecertificeerd. Een interne audit door eigen personeel is niet toegestaan. De externe auditoren moeten erkend zijn door een certificeringsinstantie; deze laatste is ook verantwoordelijk voor de uitvoering en controle van audits.

Hoe vaak moeten certificeringen worden herhaald?

Middels een audit op locatie wordt vastgesteld of de organisatie aan de eisen van ISO 37001 voldoet. Hiervoor moet minstens één dag worden ingepland. Al naargelang de omvang van de organisatie, het aantal klanten en de complexiteit van de processen kan de audit ook meer tijd in beslag nemen. Nadat de certificeringsaudit met succes is afgerond verstrekt de auditor het certificaat, dat drie jaar geldig is. Daarna zijn jaarlijkse toezichtaudits vereist om de certificering te behouden.

Welke maatregelen omvat ISO 37001 met betrekking tot geschenken en uitnodigingen?

ISO 37001 biedt effectieve controles met betrekking tot geschenken, uitnodigingen en vergelijkbare voordelen. Afhankelijk van de waarde, frequentie en andere factoren kan zowel een selectief verbod als – bij een kleiner omkopingsrisico – een bepaalde tolerantie worden ingesteld. Maar het meest belangrijk zijn toch wel transparantie en volledige documentatie.

Met onze webgebaseerde compliancetool Nexis Diligence+^™ blijft u aan de veilige kant en voorkomt u samenwerking met personen en ondernemingen die een bedrijfsrisico vormen. Via een gebruiksvriendelijke interface kunt u uw zakenpartners opzoeken in sanctie- en PEP-lijsten, bedrijfsdatabases, biografieën, gerechtelijke uitspraken en internationale nieuwsbronnen, zodat uw bedrijf beschermd is. Nexis Diligence+^™ bevat ook UBO data. Met eenvoudig uit te voeren Know Your Customer-analyses (KYC) bent u er snel achter of door de samenwerking met een persoon of onderneming een compliancerisico ontstaat. Uw zoekbronnen en resultaten kunt u vervolgens met een druk op de knop in een richtlijnconforme Report Builder opslaan en downloaden.

Wat is het verschil tussen ISO 19600 en ISO 37001?

ISO 37001 onderscheidt zich op twee wezenlijke punten van de in 2014 ingevoerde ISO 19600. Anders dan ISO 19600, die als type B-norm slechts een aanbevelend karakter heeft, stelt ISO 37001 als type A-norm verplichte eisen, die controleerbaar en certificeerbaar zijn. Verder gaat het bij ISO 37001 om een norm met betrekking tot een belangrijk en specifiek compliancethema, terwijl het uitgangspunt van ISO 19600 algemener is. ISO 19600 doet aanbevelingen voor een themaoverschrijdend Compliance Management Systeem.