ISO 37008: Interne Untersuchungen innerhalb von Organisationen

Verfasst von Mike Chew

In den letzten Jahren hat die ISO mehrere Normen veröffentlicht, die Organisationen bei der Entwicklung, Messung und Berichterstattung zu wichtigen Aspekten ihrer Compliance-Programme unterstützen sollen. Die bekannteste davon, ISO 37001, konzentriert sich auf die Bekämpfung von Bestechung und Korruption, während eine andere, ISO 37301, allgemeine Grundsätze und Anforderungen enthält, die Organisationen zur Einrichtung von Systemen für alle wichtigen Bereiche von Compliance-Programmen (wie Sorgfaltspflichten, Exportkontrollen oder sogar ESG-bezogene Bereiche wie Menschenrechte) nutzen können.

Der Zeitpunkt für die Einführung der ISO 37008 könnte nicht besser sein. Angesichts der Einführung und Verbreitung mehrerer neuer Compliance- und ESG-Gesetze mit kritischen Anforderungen in Bezug auf Berichterstattung und Untersuchungen (wie das deutsche Sorgfaltspflichtgesetz, das australische Menschenrechtsgesetz und Bestechungsgesetze wie der United States Foreign Corrupt Practices Act und der United Kingdom Bribery Act) bietet die ISO 37008 Organisationen Leitlinien für die Entwicklung und Verwaltung von Programmen für diese Bereiche.

In diesem Artikel werden wir folgende Themen behandeln:

  • die in dieser Norm dargelegten Schlüsselkonzepte
  • Wie Unternehmen die durch Compliance- und ESG-Vorschriften auferlegten Anforderungen an die Berichterstattung und Untersuchungen durch eine Zertifizierung nach ISO 37008 effektiver verwalten können.

Die wichtigsten Konzepte der ISO 37008

ISO 37008 legt fünf Bereiche fest, die Organisationen bei der Entwicklung ihrer Untersuchungsprogramme als Leitfaden dienen sollen:

  • Grundprinzipien
  • Ressourcen und Fachwissen zur Durchführung von Untersuchungen
  • Festlegung von Richtlinien und Verfahren
  • Berichterstattung
  • Anwendung von Abhilfemaßnahmen.

ISO 37008 vertritt traditionelle Grundsätze, auf denen die meisten Untersuchungsprogramme von Unternehmen basieren. Diese Grundsätze erinnern Organisationen daran, sicherzustellen, dass Untersuchungen:

  • unabhängig
  • vertraulich
  • durchgeführt von erfahrenen Fachleuten
  • objektiv und unparteiisch
  • in Übereinstimmung mit den geltenden Gesetzen durchgeführt.

ISO 37008 legt großen Wert darauf, dass der Vorstand (als „Leitungsgremium” bezeichnet) und die Führungskräfte (als „oberes Management” bezeichnet) in das Untersuchungsprogramm investieren, damit kompetente, qualifizierte Ressourcen für die Durchführung von Untersuchungen zur Verfügung stehen. Auch wenn dies selbstverständlich erscheinen mag, betont die Norm, dass Organisationen auch ihr Engagement für die Bereitstellung finanzieller und materieller Ressourcen für die Durchführung von Untersuchungen unter Beweis stellen müssen. Die Norm fordert Organisationen auf, geeignete Technologieplattformen für die Verwaltung von Meldungen und Untersuchungen zu nutzen und finanzielle Ressourcen für Investitionen in diese Produkte bereitzustellen.

Über Fähigkeiten, Fachwissen und Geld hinaus betont ISO 37008 auch, dass das Leitungsgremium und die oberste Führungsebene die Unabhängigkeit und Unparteilichkeit des Untersuchungsprogramms gewährleisten müssen. Wenn Sie mit anderen ISO-Normen zur Compliance (wie ISO 37001) vertraut sind, wissen Sie, dass die ISO großen Wert darauf legt, dass die obersten Ebenen einer Organisation ihr Engagement für Compliance unter Beweis stellen. Im Gegensatz zu anderen Rahmenwerken liegt die Verantwortung für Compliance und Ethik nicht ausschließlich bei den Compliance- und ESG-Abteilungen. Vielmehr müssen der Vorstand und die Führungskräfte für eine klare Kommunikation zwischen sich und den auf Integrität fokussierten Teams sorgen, damit diese ihre Aufgaben wahrnehmen können und einen direkten Kommunikationskanal zur obersten Führungsebene der Organisation haben.

ISO 37008 verlangt von Organisationen, dass sie eine Richtlinie zur Regelung des Untersuchungsprozesses entwickeln. Während die meisten großen Organisationen bereits über solche Dokumente verfügen, hebt die Norm wichtige Elemente des Untersuchungsprogramms hervor, die in der Richtlinie ausdrücklich beschrieben werden sollten, was für die Zertifizierung unerlässlich ist.

Am nützlichsten dürfte ISO 37008 in Abschnitt 8 sein, der die Planung und Durchführung des Untersuchungsprozesses regelt. Einer der wichtigsten Aspekte, die in Abschnitt 8 beschrieben werden, ist die Einrichtung einer „Berichtslinie”, die von dem Team, das die Ermittlungsarbeit durchführt, getrennt sein kann. Gemäß der Norm sollte diese Berichtslinie die Unparteilichkeit des Ermittlungsteams gewährleisten, prüfen, ob (je nach Art des Vorfalls) Behörden kontaktiert werden müssen, und das Risiko und die Auswirkungen auf die Organisation bewerten. Das Ermittlungsteam sollte die Berichtslinie während der Durchführung der Ermittlungen auf dem Laufenden halten.

Die Norm fordert das Untersuchungsteam außerdem dazu auf, eine vorläufige Bewertung potenzieller Vorfälle durchzuführen und zu dokumentieren. Während die meisten Organisationen wahrscheinlich bereits über einen Triage-Prozess verfügen, trägt die in der Norm beschriebene vorläufige Bewertung dazu bei, dass Organisationen wichtige Aspekte jeder Untersuchung klar dokumentieren, wie z. B. die Kontaktaufnahme mit den relevanten Parteien, die Ermittlung der Auswirkungen auf das Geschäft, die Berücksichtigung relevanter Umwelt- und Rechtsfragen und die Entscheidung, ob externe Beratung oder Unterstützung hinzugezogen werden sollte. Die Notwendigkeit einer dokumentierten vorläufigen Bewertung unterstreicht auch die Notwendigkeit, Software oder Untersuchungsplattformen zu verwenden, mit denen diese Informationen aufgezeichnet werden können.

Abschnitt 8 enthält außerdem detailliertere Informationen zu den technischen Aspekten von Untersuchungen, wie beispielsweise der elektronischen Datenerfassung, -speicherung, -analyse und -überprüfung. Der Anhang zu Abschnitt 8 enthält interessante Vorschläge, von denen viele Organisationen profitieren können, darunter:

  • Die Gewährleistung der Vertraulichkeit wird gegenüber dem Meldenden eines potenziellen Vorfalls durch eine sogenannte „schriftliche Verwarnung” gemäß der Norm betont.
  • Einführung eines „Überprüfungsprotokolls“, um eine effiziente Verwaltung wichtiger Dokumente durch die Verwendung von Schlüsselwörtern, Tagging und Kategorisierung sicherzustellen
  • sich der möglichen Beeinträchtigung einer Untersuchung bewusst bleiben.

ISO 37008 beschreibt die Durchführung eines „Abschlussprozesses“, der das Ende jeder Untersuchung markiert und evidenzbasierte Erkenntnisse sowie eine ausreichende Feststellung der Ergebnisse enthalten muss, um Abhilfemaßnahmen einzuleiten.

Die Norm legt wichtige Anforderungen für die Erstellung eines Untersuchungsberichts fest. Zu diesen Anforderungen gehören:

  • die Hinzufügung von Beweisstücken und wichtigen Anlagen
  • Zusammenfassung der Fakten
  • Festlegung von Beschränkungen und Einschränkungen
  • Wahrung der Vertraulichkeit durch organisatorische Standards zur Aufbewahrung von Dokumenten.

Auch hier kann Software wieder helfen.

Die letzten relevanten Abschnitte der ISO 37008 befassen sich mit Abhilfemaßnahmen und der Interaktion mit Interessengruppen. Wenn es darum geht, nach einer Untersuchung wirksame Maßnahmen zu ergreifen, geht die Norm über die bloße Feststellung hinaus, dass Abhilfemaßnahmen fair und in einem angemessenen Verhältnis zu den aufgedeckten Problemen stehen sollten. Stattdessen betont die Norm die Notwendigkeit für Unternehmen, Compliance-Lücken und Schwachstellen zu identifizieren, damit längerfristige Verbesserungen in den relevanten Bereichen des Compliance-Programms vorgenommen werden können.

Der letzte Abschnitt über die Interaktion mit Stakeholdern behandelt verschiedene Aspekte der Kommunikation von Ergebnissen, nächsten Schritten und der Berichterstattung an relevante Parteien. Der Standard behandelt das Thema der sorgfältigen Offenlegung gegenüber Behörden und betont, dass Compliance- und Integritätsteams die Untersuchungsergebnisse mit dem Leitungsgremium und der Geschäftsleitung besprechen, entscheiden sollten, ob eine Offenlegung erforderlich (oder vorteilhaft) ist, und vor der Kommunikation Rechtsberater konsultieren sollten.

Anwendung von ISO 37008 auf kritische Compliance- und ESG-Gesetze

Die Gestaltung Ihres Untersuchungsprogramms auf der Grundlage der Richtlinien und Anforderungen der ISO 37008 kann Ihnen dabei helfen, bestimmte Compliance- und ESG-Gesetze effektiver einzuhalten.

Gesetz gegen Korruption im Ausland (FCPA)

Es gibt zwar keine strengen Richtlinien dafür, wie Unternehmen ihre Antikorruptionsprogramme entwickeln sollten, um die Anforderungen des FCPA zu erfüllen, aber ein wichtiges Dokument, das seit Jahren verwendet wird, ist der Leitfaden „Evaluation of Corporate Compliance Programs” (Bewertung von Compliance-Programmen für Unternehmen) des US-Justizministeriums (DOJ). In diesem Dokument legt das DOJ Kriterien fest, die Staatsanwälte bei der Bewertung eines Unternehmens auf potenzielles Fehlverhalten anwenden können.

Einer der wichtigsten Programmbereiche, den die Staatsanwaltschaft bewerten wird, ist die vertrauliche Meldestruktur und der Untersuchungsprozess einer Organisation, die laut DOJ „äußerst aussagekräftig“ dafür sind, ob ein Unternehmen Mechanismen zur Unternehmensführung eingerichtet hat. Viele der spezifischen Faktoren, die die Staatsanwaltschaft bewerten wird, stimmen mit den wichtigsten Abschnitten der ISO 37008 überein, darunter:

  • Verfahren zur ordnungsgemäßen Festlegung des Umfangs einer Untersuchung
  • Anwendung einer Methodik, um sicherzustellen, dass Untersuchungen unabhängig, objektiv und dokumentiert sind
  • die Zuweisung ausreichender Mittel für die Mechanismen und Instrumente, die im Rahmen des Berichts- und Untersuchungsprogramms eingesetzt werden.

Über die Einhaltung der FCPA-Richtlinien hinaus kann ISO 37008 auf verschiedene praktische Arten zum Umgang mit Korruptionsbekämpfung beitragen, darunter:

  • Sicherstellen, dass das Unternehmen über einen Prozess verfügt, um Bedenken und Meldungen zu gängigen Bestechungspraktiken zu bearbeiten, wie z. B. Schmiergeldzahlungen an Lieferanten, die Einrichtung von Schmiergeldkassen, um sich von Regierungsbeamten und Kunden unzulässige geschäftliche Vorteile zu verschaffen, und die Gewährung von Vorteilen, die gegen die Unternehmensrichtlinien für Geschenke, Bewirtung und Unterhaltung verstoßen.
  • Bereitstellung von Leitlinien zur Implementierung digitaler und forensischer Tools zur Recherche und Untersuchung von Dokumenten und Transaktionen, die potenzielle Fälle von Bestechung beschreiben, wie E-Mails, Textnachrichten, Rechnungen und Quittungen
  • Erstellung von Berichten, in denen die Vorwürfe, bekannte Fakten, beteiligte und betroffene Personen sowie Ergebnisse jeder Untersuchung klar dargelegt werden

Beratung zur Entscheidung, wie und ob ein Unternehmen potenzielle Erkenntnisse gegenüber Behörden offenlegen sollte – im Zusammenhang mit dem FCPA könnte dies insbesondere Offenlegungen umfassen, um die Schwere der Strafen zu mildern oder den Abschluss einer Vereinbarung über den Aufschub oder den Verzicht auf Strafverfolgung mit den Strafverfolgungsbehörden zu beschleunigen.

Das deutsche Sorgfaltspflichtgesetz (SCDDA)

Das SCDDA trat Anfang 2023 in Kraft. Es ist Deutschlands erste Verordnung, die Unternehmen für potenzielle Menschenrechtsverletzungen und Umweltprobleme verantwortlich macht. Um das SCDDA einzuhalten, müssen Unternehmen Managementsysteme implementieren, um relevante Risiken innerhalb ihrer Betriebe und Lieferketten zu überwachen. Zu den wichtigsten Prozessen, die entwickelt werden müssen, gehören:

  • Eine Grundsatzerklärung, die Verfahren zur Überwachung von Menschenrechts- und Umweltrisiken sowie Erwartungen an Lieferanten und Mitarbeiter festlegt.
  • ein Meldeverfahren, das es Mitarbeitern, Lieferanten und betroffenen Personen ermöglicht, potenzielle Verstöße zu melden
  • Jährliche Berichterstattung an die Regierungsbehörden über die Ergebnisse der Sorgfaltspflicht und der Untersuchungen.

Die Zertifizierung nach ISO 37008 kann Unternehmen besser auf die Einhaltung der SCDDA vorbereiten. Die ISO 37008-Zertifizierung gewährleistet die Implementierung mehrerer Prozesse, die für die Einhaltung der SCDDA nützlich sind, darunter:

  • Überarbeitung der Richtlinien, um zu kommunizieren, dass die Berichtswege des Unternehmens nicht nur für traditionelle Themen wie Korruption und Personalangelegenheiten genutzt werden können, sondern auch für die Offenlegung potenzieller Menschenrechts- und Umweltverstöße.
  • Einrichtung eines zugänglichen Meldeverfahrens und von Tools, die sowohl von internen als auch von externen Stakeholdern genutzt werden können
  • Schaffung von Verfahren zur Untersuchung, Bewältigung und Meldung von Menschenrechts- und Umweltproblemen.

Da die SCDDA von Dritten (Lieferanten, Kunden, betroffenen Personen) verlangt, über Informationen zur Meldung zu verfügen, sollten Unternehmen erwägen, auf ihrer Website eine öffentlich zugängliche Richtlinie zu veröffentlichen und gleichzeitig eine interne Richtlinie beizubehalten, in der die Untersuchungsverfahren dargelegt sind.

Die Einhaltung der SCDDA lässt sich leichter erreichen, indem man sich auf die Anforderungen der ISO 37008 bezieht.

Die Richtlinie über die Nachhaltigkeitsberichterstattung von Unternehmen (CSRD)

Die CSRD trat Anfang 2023 in Kraft und verpflichtet Unternehmen, über die Nachhaltigkeit ihrer Geschäftspraktiken zu berichten.

Der erste wichtige Abschnitt der CSRD verlangt von Organisationen, über verschiedene strategische Initiativen und Ziele im Bereich Nachhaltigkeit zu berichten, darunter Maßnahmen zur Begrenzung der globalen Erwärmung, Strategien zur Erreichung der CO2-Neutralität bis 2050 und interne Nachhaltigkeitsrichtlinien sowie die Widerstandsfähigkeit des Geschäftsmodells und der Nachhaltigkeitsstrategie der Organisation.

Der zweite wichtige Abschnitt der CSRD konzentriert sich auf die Sorgfaltspflicht. In dieser Richtlinie bezieht sich „Sorgfaltspflicht“ auf Prozesse zur Informationsbeschaffung, um negative Auswirkungen zu ermitteln, die durch die Geschäftstätigkeit und die Lieferkette der Organisation verursacht werden. Einer der wichtigsten Aspekte dieses Abschnitts sind die Maßnahmen, die das Unternehmen ergreift, um nachteilige Auswirkungen zu verhindern, zu mindern, zu beheben oder zu beenden. Durch die Bezugnahme auf ISO 37008 können Unternehmen sicherstellen, dass ihre Berichts- und Untersuchungsprozesse so eingerichtet sind, dass sie Anfragen im Zusammenhang mit Nachhaltigkeit bearbeiten und verwalten können. Auch wenn manche Nachhaltigkeitsfragen aus rechtlicher Sicht als weniger dringlich oder weniger relevant betrachten, sollten sie dennoch bedenken, dass Nachhaltigkeitsfragen diejenigen betreffen können, die keine Stimme haben oder weniger Zugang zu Rechtsmitteln haben, wie z. B. lokale Gemeinschaften, die von den Aktivitäten eines Unternehmens betroffen sind, Kunden oder Lieferanten in lokalen Märkten. Durch die Einbeziehung von Nachhaltigkeitsfragen in die Berichterstattung und Untersuchungen können Organisationen die durch ihre Aktivitäten verursachten negativen Auswirkungen leichter bewältigen und eine genaue Offenlegung zur Einhaltung der CSRD sicherstellen.

Schlussfolgerung

ISO 37008 bietet Unternehmen eine Möglichkeit, ihre Berichts- und Untersuchungsprotokolle zu standardisieren, und stellt gleichzeitig einen Rahmen bereit, um diese Prozesse an die wichtigsten Anforderungen neuer und bestehender Compliance- und ESG-Vorschriften anzupassen. Aus geschäftlicher Sicht bietet die Norm Unternehmen eine Möglichkeit, nachzuweisen, dass ihre internen Compliance-Prozesse den Best Practices entsprechen.

Kontaktieren Sie uns
Mike Chew
Zurück

Ein praktischer Leitfaden zu ISSB S1 und S2 für Unternehmen in Singapur
Weiter

Möchten Sie eine Whistleblowing-Lösung installieren? Hier erfahren Sie, wo Sie beginnen können.