1 Kurzbeschreibung
Titel
Die Norm trägt den Titel: ISO 37002:2021 – Hinweismanagementsysteme – Leitlinien bzw. im englischen Original: Whistleblowing management systems – Guidelines [1]. Im allgemeinen Sprachgebrauch ist im Deutschen auch die Bezeichnung ISO 37002 üblich, so auch in diesem Beitrag.
Die Norm trägt den Titel: ISO 37002:2021 – Hinweismanagementsysteme – Leitlinien bzw. im englischen Original: Whistleblowing management systems – Guidelines [1]. Im allgemeinen Sprachgebrauch ist im Deutschen auch die Bezeichnung ISO 37002 üblich, so auch in diesem Beitrag.
Angaben zur aktuellen Ausgabe
Die aktuelle Ausgabe der Norm liegt in englischer Fassung, eine deutsche Fassung als Entwurf vor. Die ISO 37002 enthält Leitlinien für die Festlegung, Umsetzung, Pflege und Verbesserung eines Hinweismanagementsystems.
Die aktuelle Ausgabe der Norm liegt in englischer Fassung, eine deutsche Fassung als Entwurf vor. Die ISO 37002 enthält Leitlinien für die Festlegung, Umsetzung, Pflege und Verbesserung eines Hinweismanagementsystems.
Ergänzung zur ISO 37301:2021
Die Norm ist eine wertvolle Ergänzung zur ISO 37301:2021 (vgl. Kap. 12650), die eine Zertifizierung von Compliance-Managementsystemen ermöglicht. Im Normabschnitt 8.3 der ISO 37301 wird explizit ein Prozess zum Äußern von Bedenken bei Verstößen gegen Compliance-Verpflichtungen gefordert.
Die Norm ist eine wertvolle Ergänzung zur ISO 37301:2021 (vgl. Kap. 12650), die eine Zertifizierung von Compliance-Managementsystemen ermöglicht. Im Normabschnitt 8.3 der ISO 37301 wird explizit ein Prozess zum Äußern von Bedenken bei Verstößen gegen Compliance-Verpflichtungen gefordert.
Ziele der Norm
Die ISO 37002 verfolgt folgende Ziele:
Die ISO 37002 verfolgt folgende Ziele:
| • | Förderung und Erleichterung der Meldung von Fehlverhalten, |
| • | Unterstützung und Schutz von Hinweisgebern und anderen beteiligten Personen, |
| • | Sicherstellung, dass Berichten über Fehlverhalten ordnungsgemäß und zeitnah nachgegangen wird, |
| • | Verbesserung der Unternehmenskultur, |
| • | Reduktion von Fehlverhaltensrisiken. |
Vertrauen schaffen
Darüber hinaus weist die ISO 37002 darauf hin, dass ein wirksames Hinweismanagementsystem Vertrauen in das Unternehmen schafft, indem es:
Darüber hinaus weist die ISO 37002 darauf hin, dass ein wirksames Hinweismanagementsystem Vertrauen in das Unternehmen schafft, indem es:
| • | die Führung und Entschlossenheit zeigt, Fehlverhalten zu verhindern bzw. darauf einzugehen, |
| • | Mitarbeiter motiviert, Fehlverhalten frühzeitig zu melden, |
| • | vermeidet und verhindert, dass Hinweisgeber und andere Beteiligte aufgrund ihres Handelns Nachteile erleiden, |
| • | eine Kultur der Offenheit, Transparenz, Integrität und Rechenschaftspflicht fördert [1]. |
Gesetzliche Vorgaben erfüllen
War der Umgang mit Hinweisgebern in der EU lange Zeit uneinheitlich geregelt, so trat im Jahr 2019 die EU-Richtlinie zum Schutz von Whistleblowern in Kraft, mit der Aufforderung an die einzelnen EU-Mitgliedstaaten, diese Richtlinie innerhalb von zwei Jahren in nationales Recht umzusetzen. Obwohl diese Umsetzung bis heute auf sich warten lässt, ist davon auszugehen, dass Unternehmen in absehbarer Zeit nationale rechtliche Vorgaben zum Schutz von Hinweisgebern zu beachten haben. Die ISO 37002 kann dabei helfen, weil sie Unternehmen dabei unterstützt, diese Vorgaben zu erfüllen.
War der Umgang mit Hinweisgebern in der EU lange Zeit uneinheitlich geregelt, so trat im Jahr 2019 die EU-Richtlinie zum Schutz von Whistleblowern in Kraft, mit der Aufforderung an die einzelnen EU-Mitgliedstaaten, diese Richtlinie innerhalb von zwei Jahren in nationales Recht umzusetzen. Obwohl diese Umsetzung bis heute auf sich warten lässt, ist davon auszugehen, dass Unternehmen in absehbarer Zeit nationale rechtliche Vorgaben zum Schutz von Hinweisgebern zu beachten haben. Die ISO 37002 kann dabei helfen, weil sie Unternehmen dabei unterstützt, diese Vorgaben zu erfüllen.
2 Wesentliche Merkmale
Aufbau der Norm
Die ISO 37002 ist ebenso wie verschiedene andere Managementsystemnormen nach der High Level Structure gegliedert. Sie besteht demzufolge aus zehn Hauptabschnitten. Die inhaltlichen Schwerpunkte liegen in den Hauptabschnitten 4 bis 10. Diese enthalten die für den Anwender der Norm relevanten Leitlinien. Abbildung 1 zeigt den Aufbau eines Hinweismanagementsystems nach ISO 37002, wobei in Klammern die Normabschnitte angegeben sind.
Die ISO 37002 ist ebenso wie verschiedene andere Managementsystemnormen nach der High Level Structure gegliedert. Sie besteht demzufolge aus zehn Hauptabschnitten. Die inhaltlichen Schwerpunkte liegen in den Hauptabschnitten 4 bis 10. Diese enthalten die für den Anwender der Norm relevanten Leitlinien. Abbildung 1 zeigt den Aufbau eines Hinweismanagementsystems nach ISO 37002, wobei in Klammern die Normabschnitte angegeben sind.
Anwendungsbereich der ISO 37002
Die Leitlinien in der ISO 37002 sind allgemein gefasst und für alle Unternehmen anwendbar, unabhängig von ihrem Typ, ihrer Größe, der Art ihrer Tätigkeit, ihrer Rechtsform und davon, ob es sich um öffentliche, privatwirtschaftliche oder gemeinnützige Sektoren handelt. Gemäß den Leitlinien ISO 37002 basiert ein wirksamer Hinweismeldungsprozess auf den Grundsätzen Vertrauen, Unparteilichkeit und Schutz und umfasst folgende vier Schritte, die auch in Abbildung 2 gezeigt werden:
Die Leitlinien in der ISO 37002 sind allgemein gefasst und für alle Unternehmen anwendbar, unabhängig von ihrem Typ, ihrer Größe, der Art ihrer Tätigkeit, ihrer Rechtsform und davon, ob es sich um öffentliche, privatwirtschaftliche oder gemeinnützige Sektoren handelt. Gemäß den Leitlinien ISO 37002 basiert ein wirksamer Hinweismeldungsprozess auf den Grundsätzen Vertrauen, Unparteilichkeit und Schutz und umfasst folgende vier Schritte, die auch in Abbildung 2 gezeigt werden:
| Schritt 1: | Entgegennahme von Berichten über Fehlverhalten, |
| Schritt 2: | Bewertung von Berichten über Fehlverhalten (Sichtung), |
| Schritt 3: | Eingehen auf Berichte über Fehlverhalten, |
| Schritt 4: | Abschluss von Fällen aufgrund von Hinweisgebermeldungen [1]. |
Entscheidungen delegieren
Gemäß ISO 37002 kann die oberste Leitung die Befugnis für Entscheidungen im Rahmen des Hinweismeldungsprozesses, etwa die Entgegennahme von Meldungen über Fehlverhalten, die Durchführung von Bewertungen, die Umsetzung von Schutzmaßnahmen, die Durchführung von Untersuchungen und den Abschluss der Fälle, delegieren [1]. Dazu sollte ein angemessener Entscheidungsfindungsprozess festgelegt und aufrechterhalten werden, der sicherstellt, dass die Entscheidungsträger über angemessene Befugnisse verfügen und frei von tatsächlichen oder potenziellen Interessenkonflikten sind. Ferner besteht die Möglichkeit, einzelne oder alle Hinweismanagementfunktionen an Personen außerhalb des Unternehmens zuzuweisen, also auszugliedern, z. B. an einen externen Rechtsanwalt.
Gemäß ISO 37002 kann die oberste Leitung die Befugnis für Entscheidungen im Rahmen des Hinweismeldungsprozesses, etwa die Entgegennahme von Meldungen über Fehlverhalten, die Durchführung von Bewertungen, die Umsetzung von Schutzmaßnahmen, die Durchführung von Untersuchungen und den Abschluss der Fälle, delegieren [1]. Dazu sollte ein angemessener Entscheidungsfindungsprozess festgelegt und aufrechterhalten werden, der sicherstellt, dass die Entscheidungsträger über angemessene Befugnisse verfügen und frei von tatsächlichen oder potenziellen Interessenkonflikten sind. Ferner besteht die Möglichkeit, einzelne oder alle Hinweismanagementfunktionen an Personen außerhalb des Unternehmens zuzuweisen, also auszugliedern, z. B. an einen externen Rechtsanwalt.
Vertraulichkeit sicherstellen
Eine große Bedeutung kommt der Vertraulichkeit der Informationen von Hinweisgebern zu [1]. Dies bedeutet, dass die Identität des Hinweisgebers ohne dessen Zustimmung niemandem gegenüber offengelegt werden darf, der nicht unbedingt davon Kenntnis erhalten muss. Anonymität ist durch geeignete Prozesse sicherzustellen.
Eine große Bedeutung kommt der Vertraulichkeit der Informationen von Hinweisgebern zu [1]. Dies bedeutet, dass die Identität des Hinweisgebers ohne dessen Zustimmung niemandem gegenüber offengelegt werden darf, der nicht unbedingt davon Kenntnis erhalten muss. Anonymität ist durch geeignete Prozesse sicherzustellen.
Meldewege anbieten
Im Hinblick auf die Entgegennahme von Berichten über Fehlverhalten fordert die ISO 37002, dass das Unternehmen sichtbare, zugängliche und sichere Meldewege identifiziert, umsetzt, kommuniziert und aufrechterhält [1]. Dies sind insbesondere persönliche und telefonische Kanäle, webbasierte Onlinedienste und die herkömmliche Briefpost. Diese Meldewege werden in Tabelle 1 erläutert.
Im Hinblick auf die Entgegennahme von Berichten über Fehlverhalten fordert die ISO 37002, dass das Unternehmen sichtbare, zugängliche und sichere Meldewege identifiziert, umsetzt, kommuniziert und aufrechterhält [1]. Dies sind insbesondere persönliche und telefonische Kanäle, webbasierte Onlinedienste und die herkömmliche Briefpost. Diese Meldewege werden in Tabelle 1 erläutert.
Tabelle 1: Meldewege für Hinweisgeber [1]
Beispiel | Erläuterung | |
|---|---|---|
persönliche Kanäle | Die Meldungen erfolgen an verschiedene Managementfunktionen (z. B. Linienvorgesetzter, oberste Leitung, oberstes Organ, Datenschutzbeauftragter, Umweltschutz- und Gesundheitsschutzbeauftragter, Compliance-Beauftragter oder eine Ombudsperson). Es ist | |
| ||
| ||
telefonische Kanäle | Bei telefonischen Kanälen können die folgenden Elemente die Zugänglichkeit und Vertrauenswürdigkeit steigern: | |
| ||
| ||
| ||
| ||
| ||
| ||
webbasierte Onlinedienste | Meldewege über webbasierte Onlinedienste, digitale oder mobile Anwendungen können: | |
| ||
| ||
| ||
Briefpost | Per Briefpost eingehende Meldungen können an eine eigene, sichere Adresse gerichtet werden. Sofern interne Briefkästen als Kommunikationskanal in einem Hinweismanagementsystem genutzt werden, sollten Unternehmen sicherstellen, dass diese Anonymität oder Vertraulichkeit aufrechterhalten können, z. B., dass sie sich nicht im Sichtfeld einer Überwachungskamera befinden, um eine unbeabsichtigte Identifizierung des Hinweisgebers zu verhindern. |
Rückmeldungen geben
Die ISO 37002 legt großen Wert darauf, dass der Hinweisgeber nach jedem Verfahrensschritt im Hinweismeldungsprozess eine Rückmeldung erhält, insbesondere Informationen zum Status des Berichts und zum nächsten Schritt, der unternommen wird. Wichtig ist insbesondere, dass die Entgegennahme eines Berichts zu einem Fehlverhalten zeitnah erfolgt, z. B. innerhalb von drei Arbeitstagen.
Die ISO 37002 legt großen Wert darauf, dass der Hinweisgeber nach jedem Verfahrensschritt im Hinweismeldungsprozess eine Rückmeldung erhält, insbesondere Informationen zum Status des Berichts und zum nächsten Schritt, der unternommen wird. Wichtig ist insbesondere, dass die Entgegennahme eines Berichts zu einem Fehlverhalten zeitnah erfolgt, z. B. innerhalb von drei Arbeitstagen.
Bewertungsindikatoren
Die Norm fordert ferner, dass das Unternehmen die Leistung des Hinweismanagementsystems überwacht und misst. Dazu kann es quantitative und qualitative Indikatoren heranziehen, z. B. [1]:
Die Norm fordert ferner, dass das Unternehmen die Leistung des Hinweismanagementsystems überwacht und misst. Dazu kann es quantitative und qualitative Indikatoren heranziehen, z. B. [1]:
| • | Zahl der entgegengenommenen Berichte über Fehlverhalten nach Land, Region, Abteilung, |
| • | Art des gemeldeten Fehlverhaltens, |
| • | benötigte Zeit zur Bestätigung des Eingangs eines erstmaligen Berichts über Fehlverhalten, |
| • | benötigte Zeit für die Ausführung jedes einzelnen Schritts, |
| • | relativer Anteil der im Zeitverlauf über normale Meldewege, jedwede interne alternative Meldesysteme und jedwede externe alternative Meldesysteme erhaltenen Berichte, |
| • | Rückmeldung an Hinweisgeber einschließlich Zufriedenheit mit dem Hinweismanagementsystem und Verbesserungsvorschlägen, |
| • | wiederkehrende Personalbefragungen über Kenntnis des Hinweismanagementsystems und das diesem entgegengebrachte Vertrauen, |
| • | Anteil der Berichte, die sich bei einer Untersuchung bestätigen, gegenüber dem Anteil jener, die sich nicht bestätigen, |
| • | Anteil der Berichte, die nicht in den Anwendungsbereich des Hinweismanagementsystems fallen, |
| • | Anteil der Berichte, bei denen die bereitgestellten Informationen wissentlich falsch waren, |
| • | Anteil der Hinweisgeber, die das Unternehmen nach Meldung eines Fehlverhaltens verlassen haben, und die Gründe für ihr Ausscheiden, |
| • | Anteil der Meldungen, die zu Korrekturmaßnahmen führten, |
| • | durchschnittliche Zeit für die Untersuchung/den Abschluss von Fällen, |
| • | Schwere der Fälle, |
| • | Wirksamkeit und Wert der unternommenen Korrekturmaßnahmen. |
| Vorteile der ISO 37002 | |
| • | Sie ermöglicht es einem Unternehmen, Fehlverhalten frühzeitig zu erkennen und darauf einzugehen. |
| • | Die Norm hilft dabei, große finanzielle und Reputationsschäden abzuwenden. |
| • | Die Norm ist gut mit anderen nach der High Level Structure gegliederten Normen kombinierbar. |
| • | Die ISO 37002 ist klar strukturiert und einfach anzuwenden. |
| • | Die Umsetzung der ISO 37002 stärkt die Integrität des Unternehmens und damit auch das Vertrauen. |
3 Inhaltsverzeichnis der Norm
Vorwort | |
Einleitung | |
1 | Anwendungsbereich |
2 | Normative Verweisungen |
3 | Begriffe und Definitionen |
4 | Kontext der Organisation |
4.1 | Verstehen der Organisation und ihres Kontextes |
4.2 | Verstehen der Erfordernisse und Erwartungen interessierter Parteien |
4.3 | Festlegen des Anwendungsbereichs des Hinweisgebermanagementsystems |
4.4 | Hinweisgebermanagementsystem |
5 | Führung |
5.1 | Führung und Verpflichtung |
5.2 | Hinweisgeberpolitik |
5.3 | Rollen, Verantwortlichkeiten und Befugnisse in der Organisation |
6 | Planung |
6.1 | Maßnahmen zum Umgang mit Risiken und Chancen |
6.2 | Ziele des Hinweisgebermanagementsystems und Planung zu deren Erreichung |
6.3 | Planung von Änderungen |
7 | Unterstützung |
7.1 | Ressourcen |
7.2 | Kompetenz |
7.3 | Bewusstsein |
7.4 | Kommunikation |
7.5 | Dokumentierte Information |
8 | Betrieb |
8.1 | Betriebliche Planung und Steuerung |
8.2 | Entgegennahme von Berichten über Fehlverhalten |
8.3 | Bewertung von Berichten über Fehlverhalten |
8.4 | Eingehen auf Berichte über Fehlverhalten |
8.5 | Abschluss von Fällen aufgrund von Hinweisgebermeldungen |
9 | Bewertung der Leistung |
9.1 | Überwachung, Messung, Analyse und Bewertung |
9.2 | Internes Audit |
9.3 | Managementbewertung |
10 | Verbesserung |
10.1 | Fortlaufende Verbesserung |
10.2 | Nichtkonformität und Korrekturmaßnahmen |
Quellen
1
ISO 37002:2021 – Hinweismanagementsysteme – Leitlinien; Englischer Orginaltitel: Whistleblowing management systems – Guidelines