ISO 37002: Was Organisationen über die Whistleblowing-Norm wissen müssen

ISO 37002 bietet eine Orientierungshilfe für Organisationen, die ein rechtskonformes und effektives Hinweisgebersystem einrichten möchten.
EQS Editorial Team
Auf einen Blick

ISO 37002 ist der neue Standard für Hinweisgebersysteme und wurde im Juli 2021 veröffentlicht. ISO 37002:2021 zielt darauf ab, Richtlinien für die Implementierung, Verwaltung, Evaluierung, Aufrechterhaltung und Verbesserung von digitalen Hinweisgebersystemen bereitzustellen. Der Leitfaden richtet sich an alle Organisationen, unabhängig von ihrer Art, Größe oder ihrem Tätigkeitsfeld und ist für den öffentlichen oder privaten Sektor genauso relevant wie für gemeinnützigen Organisationen.

Der Leitfaden zielt darauf ab, Hinweisgeber und andere beteiligte Personen zu unterstützen und zu schützen, sicherzustellen, dass Meldungen über Missstände ordnungsgemäß und zeitnah bearbeitet werden, und die Organisationskultur und -führung zu verbessern. Vor allem aber soll der Leitfaden Organisationen dabei helfen, ein Hinweisgebersystem aufzubauen, das auf den Grundsätzen von Vertrauen, Objektivität und Sicherheit beruht.

ISO 37002 notepad | integrityline.com

Die Vorgaben des Standards können an die Größe, Art, Komplexität und rechtlichen Rahmenbedingungen der jeweiligen Organisationen angepasst werden. Die ISO 37002 hilft Organisation dabei, ihre bestehenden Whistleblowing-Maßnahmen und -Prozesse zu verbessern oder die geltenden Rechtsvorschriften für den Schutz von Hinweisgebern einzuhalten.

Im Gegensatz zur EU-Richtlinie zum Schutz von Hinweisgebern (Richtlinie 2019/1937), die von den EU-Mitgliedstaaten bis Ende 2021 in nationales Recht umgesetzt werden muss, können Organisationen die Norm ISO 37002 als eigenständigen Leitfaden oder zusammen mit anderen Standards für EU-Richtlinie zum Schutz von Hinweisgebern anwenden.

Anfang Mai haben wir uns virtuell mit den Mitgliedern der Arbeitsgruppe und den Initiatoren Wim Vandekerckhove (Professor für Wirtschaftsethik an der Universität Greenwich) und Andrew Samuels (CEO von WislPort) zusammengesetzt, um zu besprechen, was der Standard leistet, was er nicht leistet und für wen er relevant ist.

1. Warum hatten Sie das Gefühl, dass Hinweisgebersysteme eine ISO-Norm benötigen?

Wim Vandekerckhove (WV): Es gab bereits eine Reihe von nationalen Standards und Richtlinien, zum Beispiel in Australien, Großbritannien, Japan, Kanada und Frankreich. Als wir diese verglichen, waren sie nicht unbedingt widersprüchlich, aber alle wiesen noch Schwächen auf, hatten ihren eigenen Stil und andere Schwerpunkte. Aus diesem Grund war es sinnvoll, einen internationalen, einheitlichen Standard zu schaffen.

Andrew Samuels (AS): Der Zeitpunkt war richtig, weil wir im letzten Jahrzehnt viele Skandale erlebt haben. Organisationen beginnen, den Bedarf an internen Kanälen zu erkennen, über die Menschen sicher und genau Fehlverhalten melden können. Die Sozialen Medien haben es den Menschen viel leichter gemacht, sich zu Wort zu melden und Missstände zu übermitteln, die intern hätten behandelt werden können oder sollen. Ein internationaler Standard bietet auch einen Rahmen, der in allen Regionen und über verschiedene regulatorische Zuständigkeiten hinweg anwendbar ist, was aufgrund der Anzahl von Organisationen, die heute global tätig sind, besonders notwendig ist.

2. Wie kann die ISO 37002 zu mehr Akzeptanz und Praxisrelevanz von Whistleblowing führen?

AS: Ich denke, sie wird es den Organisationen leichter machen zu verstehen, dass die Einführung eines effektiven Hinweisgeber-Programms keine lästige Aufgabe ist, und es wird auch die Ausreden der Organisationen beseitigen, es nicht zu tun. Es ist wie in anderen Bereichen, zum Beispiel bei der Gesundheit und Sicherheit. Es braucht Zeit, bis die Menschen die Vorteile sehen und ihre Denkweise ändern. Ein globaler Standard in diesem Bereich ebnet den Weg dafür, wie Organisationen effektive Hinweisgeber-Programme durchführen können. Ein globaler Standard erhöht die Akzeptanz.

WV: Es gibt enorme Unterschiede in Bezug auf die Qualität der angebotenen Speak-up-Systeme. Es gibt einige Unternehmen, die erstaunliche Arbeit leisten. Es gibt aber auch Unternehmen, die kein Meldesystem haben wollen. Aber die Mehrheit der Unternehmen will es wirklich richtig machen. Sie sehen den Mehrwert – und sie müssen auch die Anforderungen erfüllen, die in der Gesetzgebung festgelegt sind. Diese Unternehmen sagen oft, dass ihnen eine Anleitung oder Best Practices fehlen. Hier kann die ISO-Norm wirklich helfen.

3. Garantiert das Befolgen der ISO 37002-Norm also ein effektives Hinweisgebersystem?

WV: Ich halte es für einen Mythos, dass sich das eigene Business verbessert, wenn man mehr Leute dazu bringt, Fehlverhalten zu melden. Ich denke, das ist ein sehr unvollständiges Bild. Denn es geht nicht nur darum, dass Menschen Fehlverhalten melden, sondern es ist auch wichtig, dass diese Meldungen effektiv bearbeitet werden. Wenn das nicht der Fall ist, sind die Mitarbeiter demotiviert, das Fehlverhalten eskaliert und es kommt zu Skandalen. Bei der ISO-Norm geht es wirklich darum, wie Organisationen mit ihren Berichten umgehen. Das war das fehlende Teil im ganzen Puzzle.

AS: Ein Hinweisgebersystem lässt sich gut mit einem Formel-1-Wagen vergleichen. In den falschen Händen ist er gefährlich, aber in den richtigen Händen ist er ein leistungsfähiges Gadget. ISO 37002 sagt Ihnen, wie Sie Ihr System feinabstimmen, wie Sie sicher fahren, wann Sie bremsen müssen, wann Sie Gas geben müssen und wann Sie unter die Motorhaube schauen müssen, um sicherzustellen, dass er noch einwandfrei läuft. Denn wie in allen Bereichen des Lebens werden Sie immer irgendwann Teile austauschen müssen, um ihn am Laufen zu halten.

4. Welche Gemeinsamkeiten und Unterschiede gibt es zwischen der neuen Norm ISO 37002 und der EU-Whistleblowing-Richtlinie?

WV: Die EU-Richtlinie besagt, dass Sie eine interne Hinweisgeberrichtlinie und Kanäle für vertrauliche Meldungen einrichten müssen. Die ISO-Norm gibt Ihnen eine Anleitung, wie Sie das Hinweisgebersystem tatsächlich betreiben und wie Sie damit umgehen.

AS: Genau, sie sind eher komplementär als unterschiedlich. Die EU-Richtlinie listet tatsächlich drei Kanäle auf, über die Whistleblower geschützt sind – intern, gegenüber einer Aufsichtsbehörde oder gegenüber den Medien. Aber ich würde argumentieren, dass eine Organisation es vermutlich vorzieht, wenn sich die Leute zuerst intern äußern. Wenn man den Standard befolgt und ein System einrichtet, das mit der Zeit Vertrauen aufbaut, werden sich die Leute sicher fühlen, zuerst intern zu melden, anstatt sich an eine Aufsichtsbehörde oder die Medien zu wenden. Durch die Einhaltung der ISO 37002-Norm erfüllen Organisationen nicht nur das Gesetz, welches in der EU-Richtlinie festgelegt ist, sondern auch den Geist dessen, was sie zu erreichen versucht.

5. Wird die neue Norm zertifiziert werden, ähnlich wie ISO 37301 oder IDW PS 980?

WV: Momentan nicht, obwohl sie leicht in Verbindung mit den Anti-Korruptions- und Compliance-Standards verwendet werden kann, die beide Zertifizierungsstandards sind. Der Hinweisgeber-Standard ist als Leitfaden geschrieben. Es ist möglich, dass eine Aufsichtsbehörde in einem Land beschließt, bestimmte Elemente des Standards zu übernehmen und verbindlich zu machen. Aber das ist nicht die Entscheidung der ISO-Arbeitsgruppe.

6. Ist der Standard nur für große Konzerne oder auch für KMU geeignet?

AS: Ich würde sagen, dass er auch für kleinere und mittelständische Unternehmen praktikabel ist. Kleinere Unternehmen argumentieren oft, dass sie es für sie schwierig und aufwändig sei, ein Hinweisgebersystem einzurichten und zu betreiben. Der Standard stellt keine Vorschrift dar, was es für Organisationen recht einfach und unkompliziert macht.

KMU sind hier besonders gefährdet, weil Organisationen mit mehr als 50 Mitarbeitern bis 2023 unter die Whistleblowing-Richtlinie fallen werden, also müssen sie handeln. Aber die Herausforderung, etwas zu tun, besteht darin, dass man sich, wenn man das Falsche tut, tatsächlich einem größeren Risiko aussetzt. ISO 37002 kann viele Vorteile für Unternehmen bieten und sie gut schützen.

7. Wie steht die Norm ISO 37002 zur anonymen Berichterstattung?

AS: Anonymität war einer der meistdiskutierten Punkte und verschiedene Länder haben unterschiedliche Perspektiven. Die Norm gibt dazu keine Stellungnahme ab, da sie nicht präskriptiv sein soll. Wir skizzieren alle Optionen, aber letztlich überlassen wir es den Organisationen, diese Entscheidung zu treffen.

WV: Es ist wichtig zu sagen, dass die ISO-Norm die Gesetzgebung nicht außer Kraft setzen kann. Letztendlich müssen Organisationen realistisch sein. Selbst wenn ein Unternehmen sagt, dass es keine anonymen Berichte akzeptiert, heißt das nicht, dass die Leute keine schicken werden! Und wenn es sich um gute Informationen handelt, ist es vielleicht nicht klug, diese Meldung zu verwerfen.

8. Warum sind Whistleblower wichtig und warum sollten Unternehmen Meldekanäle einrichten?

WV: Hinweisgeber dienen als Frühwarnsysteme für Organisationen. Wenn man sich die ACFE-Berichte anschaut, zeigen sie, dass interne Meldungen tatsächlich der effektivste Weg für Organisationen sind, Korruption zu erkennen.

AS: Wir glauben, dass Hinweisgeber die erste Verteidigungslinie in jeder Organisation sind, denn sie sind die Augen und Ohren vor Ort. Sie erkennen Dinge viel früher als ein computergestütztes System es tun würde, und sie erkennen Dinge, die Algorithmen nicht erkennen, wie zum Beispiel missbräuchliches Verhalten. Infolgedessen sind die Bestätigungsraten von Meldungen, die über Hinweisgeber-Kanäle eingehen, ziemlich hoch. Betrugserkennungssysteme hingegen können Falsch-Positiv-Raten von bis zu 99,96 liefern. Wenn es um die Kapitalrendite geht, haben Organisationen mit effektiven Hinweisgebersystemen im Durchschnitt eine 2,8-prozentige Steigerung der Kapitalrendite, eine 20,4-prozentige Verringerung der Vergleichszahlungen und 6,9 Prozent weniger materielle Klagen (laut George Washington School of Business.

Mehr zum Thema:

Whistleblowing Report

Eine umfassende Studie über Whistleblowing in europäischen Unternehmen

Über die Interviewpartner

Andrew Samuels contact image | integrityline.com

Andrew Samuels, CEO | WislPort

Andrew Samuels ist der Gründer und CEO von WislPort und ist weithin als Vordenker im Bereich Whistleblowing anerkannt. Als regelmäßiger Medienkommentator zum Thema Whistleblowing hat Andrew Samuels sein Fachwissen dem Büro der Vereinten Nationen für Drogen- und Verbrechensbekämpfung (UNODC), dem Internationalen Olympischen Komitee (IOC), der UK All Party Parliamentary Group on Whistleblowing und dem Cambridge Symposium on Economic Crime zur Verfügung gestellt – neben anderen Engagements im privaten, gemeinnützigen und öffentlichen Sektor. 

Seit 2016 ist er als Fachexperte für das British Standards Institute (BSI) zum Thema Whistleblowing tätig und vertritt seit 2017 das BSI bei der International Standards Organisation (ISO) für ISO37002, dem internationalen Standard für Whistleblowing-Management-Systeme, wobei er maßgeblich an der Entwicklung dieses globalen Standards beteiligt war.

Vor der Gründung von WislPort verfügte Andrew über mehr als 20 Jahre Erfahrung in der Durchführung großer, komplexer Programme in den Bereichen Finanzdienstleistungen, Telekommunikation und Medien in Großbritannien, Nordamerika und in der Asien-Pazifik-Region, wobei er sich in den letzten zehn Jahren auf regulatorische und Compliance-Programme einschließlich Whistleblowing, Anti-Geldwäsche und Finanzkriminalität spezialisiert hat. 

Wim Vandekerchove contact image | integrityline.com

Prof Wim Vandekerckhove, Professor of Business Ethics | University of Greenwich

Wim Vandekerckhove hat an der Universität Gent in angewandter Ethik promoviert. Er ist Professor für Wirtschaftsethik an der Universität von Greenwich. Er war 2007 Gastdozent an der Universität Oslo (Centre for Development and the Environment SUM) und 2020 Gaststipendiat an der Griffith University (Centre for Governance and Public Policy).  

Zu seinen Büchern gehören “Whistleblowing and Organisational Social Responsibility” (Ashgate/Routledge), und “The Whistleblowing Guide: Speak-Up Arrangements, Challenges, and Best Practices” (2019, Wiley, mit Kate Kenny und Marianna Fotaki). 

Wim hat verschiedene Organisationen mit seiner Expertise zum Thema Whistleblowing unterstützt, darunter den Europarat, die Generaldirektion Justiz der Europäischen Kommission, Transparency International, Public Concern at Work, Public Services International, das Whistleblower Advice Centre in den Niederlanden, das britische Gesundheitsministerium, die britischen Financial Conduct Authority, das British Standards Institute, die Association of Chartered and Certified Accountants (ACCA), das UNODC und das Internationale Olympische Komitee (IOC). Derzeit ist er Leiter einer Arbeitsgruppe innerhalb der Internationalen Organisation für Normung (ISO TC309/WG3), die den internationalen Standard für Whistleblowing-Richtlinien entwickelt.  

Wim ist außerdem Co-Direktor des Centre of Research on Employment and Work (CREW) an der University of Greenwich und Chefredakteur von Philosophy of Management (Springer). 

Teilen Sie diesen Artikel auf:

Share on linkedin
Share on twitter
Share on facebook
EQS Editorial Team contact image | integrityline.com
EQS Editorial Team
Lob, Kritik oder Themenwünsche? Das Redaktionsteam der EQS Group freut sich auf Ihre Nachricht.