Der Einstieg in die Arbeit an Ihrem Whistleblowing-Managementsystem nach ISO 37002 beginnt mit einer Bewertung, wie Ihr Unternehmen derzeit mit Bedenken umgeht, die von Mitarbeitern, Auftragnehmern, Lieferanten und anderen Interessengruppen vorgebracht werden.

Der erste Schritt ist eine Lückenanalyse, bei der bestehende Meldesysteme anhand der Anforderungen der Norm überprüft werden. Dazu gehören Meldekanäle, Fallbearbeitungsprozesse, Vertraulichkeitsschutz, Untersuchungsverfahren, Schutzmaßnahmen gegen Vergeltungsmaßnahmen und die Aufsicht durch die Unternehmensleitung.

Diese erste Bewertung deckt häufig Schwachstellen auf, wie beispielsweise nicht vollständig vertrauliche Meldewege, uneinheitliche Untersuchungspraktiken, unzureichender Schutz für Hinweisgeber, mangelhafte Fallverfolgung und begrenzte Transparenz für das Management hinsichtlich des Zustands der Kultur der offenen Kommunikation.

ISO 37002 bietet einen strukturierten Rahmen für den Übergang von einer ad hoc Beschwerdebearbeitung zu einem formellen Managementsystem, das die Meldung von Verstößen fördert, Whistleblower schützt, konsistente Untersuchungen unterstützt und das Engagement der Organisation für ethisches Verhalten demonstriert.

Unternehmen führen ISO 37002 in der Regel ein, um regulatorischen Anforderungen gerecht zu werden, die Unternehmensführung zu stärken, das Vertrauen der Stakeholder zu stärken und die Früherkennung von Fehlverhalten zu verbessern. Die Zertifizierung belegt die Ausgereiftheit des Whistleblowing-Systems und einen proaktiven Ansatz für das ethische Risikomanagement.

Die meisten Organisationen schließen den Zertifizierungsprozess innerhalb von sechs bis zwölf Monaten ab, abhängig von ihrer Größe, ihrer geografischen Präsenz und bestehenden Melderegelungen. Zu den Ergebnissen gehören eine frühzeitigere Erkennung von Problemen, geringere regulatorische und Reputationsrisiken, ein stärkeres Vertrauen der Mitarbeiter und klarere Belege für eine ethische Unternehmenskultur gegenüber Aufsichtsbehörden, Investoren und Geschäftspartnern.

Die effektive Umsetzung der ISO 37002 erfordert spezielle Fähigkeiten, die über allgemeine Compliance-Schulungen hinausgehen. Die Teams müssen die praktischen Realitäten der Whistleblowing-Praxis verstehen, einschließlich unparteiischer Fallbearbeitung, fairer Ermittlungsmethoden und der rechtlichen Schutzmaßnahmen, die das Melden von Missständen in verschiedenen Rechtsordnungen unterstützen.

Personalverantwortliche, Compliance-Teams, Rechtsberater, interne Revision und Führungskräfte, die mit der Bearbeitung von Anliegen befasst sind, müssen in der Lage sein, Meldungen angemessen entgegenzunehmen, Probleme objektiv zu bewerten, Untersuchungen konsequent zu leiten, Meldende vor Vergeltungsmaßnahmen zu schützen und Fälle auf kontrollierte und vertretbare Weise abzuschließen.

Die zweitägigen und dreitägigen ISO 37002-Schulungen von Speeki sind darauf ausgelegt, diese Fähigkeiten aufzubauen. Die Kurse behandeln alle Anforderungen der Norm anhand praktischer Fallbeispiele, Untersuchungsszenarien und angewandter Übungen.

Die Teilnehmer lernen, wie sie effektive Meldewege gestalten, Verfahren zur Fallaufnahme und -bewertung einrichten, angemessene Untersuchungen durchführen, Schutzmaßnahmen gegen Vergeltungsmaßnahmen umsetzen, die Kultur der offenen Kommunikation messen und die für die Zertifizierung erforderlichen Unterlagen aufbewahren.

Der dreitägige Kurs umfasst zusätzliche Module zu komplexen Ermittlungen, sensiblen Offenlegungen und der Vorbereitung auf die Zertifizierungsprüfung.

Die Schulung wird vor Ort oder remote durchgeführt und trägt dazu bei, einheitliche Standards in den Bereichen Personalwesen, Recht, Compliance und Management zu etablieren. Sie unterstützt die Entwicklung eines ausgereiften Whistleblowing-Systems und stärkt die Fähigkeit der Organisation, Bedenken fair, einheitlich und professionell zu behandeln.

Ein wesentlicher Grundsatz der Umsetzung der ISO 37002 ist die Anwendung eines risikobasierten Ansatzes bei der Gestaltung von Meldewegen, der Zuweisung von Ermittlungsressourcen und dem Schutz von Hinweisgebern.

Nicht alle Bedenken bergen das gleiche Risiko. Ein Bericht über geringfügige Verstöße gegen Richtlinien erfordert eine andere Reaktion als Vorwürfe wegen Betrug, Korruption oder schwerwiegenden Sicherheitsverstößen. ISO 37002 verlangt, dass die Reaktionen verhältnismäßig sind. Die Meldewege sollten für alle potenziellen Hinweisgeber zugänglich sein, während der Umfang der Untersuchung, die Dringlichkeit und die Einbeziehung der Geschäftsleitung die Schwere und Glaubwürdigkeit des Vorwurfs widerspiegeln sollten.

Risikoprofile unterscheiden sich je nach Branche und Betriebskontext. Ein Pharmaunternehmen ist anderen Whistleblowing-Risiken ausgesetzt als ein professionelles Dienstleistungsunternehmen, doch beide können die Anforderungen der ISO 37002 erfüllen, indem sie Systeme entwickeln, die auf ihre spezifischen Risiken zugeschnitten sind. Dazu müssen die Arten von Fehlverhalten bewertet werden, die am wahrscheinlichsten auftreten und den größten Schaden verursachen würden, und anschließend muss sichergestellt werden, dass das Whistleblowing-System in der Lage ist, diese Risiken zu identifizieren und zu bewältigen.

Bereiche mit höherem Risiko erfordern in der Regel mehrere Meldewege, stärkere Untersuchungskapazitäten, einen besseren Schutz für Hinweisgeber und eine angemessene Aufsicht auf Vorstandsebene. Angelegenheiten mit geringerem Risiko können durch straffere Prozesse verwaltet werden, sofern diese fair und konsistent bleiben.

Der risikobasierte Ansatz gilt auch für die Verhinderung von Vergeltungsmaßnahmen. Meldungen, die schwerwiegendes Fehlverhalten oder hochrangige Personen betreffen, erfordern strengere Schutzmaßnahmen als routinemäßige betriebliche Belange.

Organisationen, die diese Verhältnismäßigkeit wahren, vermeiden eine Überlastung ihrer Systeme durch unnötige Prozesse und stellen gleichzeitig sicher, dass schwerwiegende Probleme die erforderliche Aufmerksamkeit und Ressourcen erhalten, um eine Eskalation der Regulierung oder Reputationsschäden zu verhindern.

Der Unterschied zwischen einer erfolgreichen ISO 37002-Zertifizierung und problematischen Auditergebnissen spiegelt oft wider, wie gründlich das Whistleblowing-System vor der externen Bewertung getestet wurde.

Unternehmen können Monate damit verbringen, Meldewege und Verfahren einzurichten, nur um dann bei Audits Schwachstellen zu entdecken. Häufige Probleme sind unvollständige Untersuchungsakten, Sachbearbeiter, die ihre Vorgehensweise nicht erklären können, unzureichender Schutz für Hinweisgeber und Meldewege, die nicht vollständig zugänglich oder vertraulich sind.

Die Vorzertifizierungsdienste von Speeki sind darauf ausgelegt, diese Probleme frühzeitig zu erkennen und zu beheben. Im Rahmen einer umfassenden Lückenanalyse wird das Whistleblowing-Managementsystem anhand der Anforderungen der Norm ISO 37002 überprüft, wobei fehlende Verfahren, unvollständige Fallakten, schwache Governance-Kontrollen und Lücken im Whistleblower-Schutz, die zu Nichtkonformitäten führen könnten, aufgezeigt werden.

Anschließend folgen Scheinaudits, die den Zertifizierungsprozess widerspiegeln. Dazu gehören Interviews mit Sachbearbeitern und Ermittlern, die Überprüfung abgeschlossener Fälle und Ermittlungsakten, die Prüfung der Zugänglichkeit und Vertraulichkeit von Meldekanälen, die Untersuchung von Maßnahmen zur Verhinderung von Vergeltungsmaßnahmen und die Bewertung von Beweismitteln, wie sie auch ein Auditor vornehmen würde.

Der Prozess identifiziert nicht nur Compliance-Lücken, sondern auch Probleme hinsichtlich der operativen Bereitschaft, wie beispielsweise uneinheitliche Untersuchungspraktiken, Dokumentationen, die keine gründliche Untersuchung belegen, Schutzmaßnahmen, die in der Praxis nicht angewendet werden, und eine Governance-Aufsicht, der es an aktiver Beteiligung mangelt.

Detaillierte Ergebnisse und klare Abhilfemaßnahmen ermöglichen es Unternehmen, ihre Systeme vor der formellen Bewertung zu stärken. Für Unternehmen mit begrenzter Fallhistorie oder solchen, die in mehreren Rechtsräumen mit unterschiedlichen gesetzlichen Anforderungen tätig sind, unterstützt diese Vorbereitung eine reibungslosere Zertifizierung und eine stärkere, glaubwürdigere Kultur der offenen Kommunikation.

Die Zertifizierung nach ISO 37002 erfolgt in einem strukturierten zweistufigen Auditprozess, der in der Regel vier bis acht Wochen dauert, von der ersten Bewertung bis zur Ausstellung des Zertifikats.

Stufe 1 ist eine Überprüfung der Dokumentation und dauert in der Regel ein bis zwei Tage, je nach Größe der Organisation und Komplexität des Whistleblowing-Systems. Die Prüfer überprüfen Richtlinien und Verfahren, Governance-Regelungen, die Gestaltung der Meldewege, Fallbearbeitungsprozesse, Untersuchungsrichtlinien und Maßnahmen zum Schutz von Hinweisgebern. Ziel ist es, zu bestätigen, dass das System angemessen gestaltet und für die operative Bewertung bereit ist.

Ein Bericht der Stufe 1 identifiziert Lücken in der Dokumentation oder Schwächen in den Verfahren, die vor dem Weiterkommen behoben werden müssen. Die meisten Organisationen benötigen zwei bis vier Wochen, um diese Mängel zu beheben und ihre Bereitschaft für Stufe 2 nachzuweisen.

Stufe 2 ist das Hauptzertifizierungsaudit und dauert in der Regel zwei bis drei Tage. Es umfasst Gespräche mit den für den Fall zuständigen Mitarbeitern, gegebenenfalls die Überprüfung der Untersuchungsakten, die Prüfung der Zugänglichkeit und Vertraulichkeit der Meldewege, die Überprüfung der Schutzmaßnahmen und die Bewertung der Governance-Aufsicht. Die Auditoren können abgeschlossene Fälle untersuchen, um die Qualität der Untersuchungen, die Unparteilichkeit und die Verfahrensgerechtigkeit zu bewerten.

Nach Stufe 2 führt die Zertifizierungsstelle eine technische Überprüfung und eine Genehmigung durch den Zertifizierungsausschuss durch, was in der Regel weitere zwei bis drei Wochen dauert, bevor das Zertifikat ausgestellt wird.

Nach der Zertifizierung werden die Organisationen jährlichen Überwachungsaudits unterzogen, die in der Regel einen Tag dauern , sowie alle drei Jahre einem vollständigen Rezertifizierungsaudit.

Von der ersten Implementierung bis zur Zertifizierung benötigen die meisten Organisationen zwischen sechs und zwölf Monaten. Der Zeitplan hängt zum Teil davon ab, ob genügend abgeschlossene Fälle vorliegen, um nachzuweisen, dass das Whistleblowing-System in der Praxis effektiv funktioniert. Dieses Verständnis trägt dazu bei, sicherzustellen, dass das System vor der formellen Zertifizierung einen angemessenen Reifegrad erreicht hat.

Während die Beratung zur Umsetzung der ISO 37002 von unabhängigen Unternehmen durchgeführt werden muss, um die Integrität der Zertifizierung zu gewährleisten, unterstützt Speeki Whistleblowing-Managementsysteme durch spezielle Schulungen und Technologien.

Die zweitägigen und dreitägigen ISO 37002-Schulungen von Speeki vermitteln interne Kompetenzen zum Verständnis, zur Auslegung und zur Anwendung der Norm im organisatorischen und rechtlichen Kontext. Die Schulungen richten sich an Sachbearbeiter, Ermittler, Personalverantwortliche, Rechtsberater und Compliance-Teams, die für den Betrieb von Whistleblowing-Systemen zuständig sind.

Die Schulungen umfassen die effektive Entgegennahme von Meldungen, unparteiische Ermittlungsmethoden, die Verhinderung von Vergeltungsmaßnahmen, rechtliche Überlegungen in verschiedenen Rechtsordnungen und den angemessenen Abschluss von Fällen. Die Kurse können auf bestimmte Branchen zugeschnitten und vor Ort oder aus der Ferne durchgeführt werden, um ein einheitliches Verständnis der Rollen und Verantwortlichkeiten zu gewährleisten.

Über die Schulungen hinaus unterstützt die Engage-Technologieplattform von Speeki ein sicheres und effizientes Whistleblowing-Management. Die Plattform bietet vertrauliche Meldekanäle, darunter auch anonyme Optionen, unterstützt die Fallaufnahme und -triage, zentralisiert Untersuchungsunterlagen, verfolgt Schutzmaßnahmen und führt strukturierte Prüfpfade. Governance-Dashboards unterstützen die Überwachung unter Wahrung der Vertraulichkeit und des Datenschutzes.

Engage hilft dabei, den Verwaltungsaufwand zu reduzieren, die Konsistenz bei der Fallbearbeitung zu verbessern und die Transparenz der Systemleistung durch Berichterstellung und Analysen zu unterstützen.

Gemeinsam bilden Schulungen und Technologie eine praktische Grundlage für den Betrieb eines Whistleblowing-Systems gemäß ISO 37002. So können Unternehmen gemeinsam mit den von ihnen ausgewählten Implementierungspartnern an der Systemgestaltung und organisatorischen Veränderungen arbeiten und gleichzeitig Struktur, Konsistenz und Glaubwürdigkeit wahren.

Eine Organisation mit einem einzigen Standort und unkomplizierten Abläufen benötigt für die kombinierten Audits der Stufen 1 und 2 möglicherweise zwei bis drei Tage. Eine multinationale Organisation, die in mehreren Ländern mit unterschiedlichen Whistleblowing-Anforderungen tätig ist, benötigt möglicherweise fünf bis acht oder mehr Audittage.

Zusätzlich zu den Prüfungsgebühren sollten Organisationen auch die Kosten für die Umsetzung einplanen. Dazu können spezielle Schulungen für Sachbearbeiter, Ermittler und Führungskräfte, externe rechtliche Überprüfungen zur Gewährleistung der Einhaltung geltender Whistleblowing-Gesetze sowie Technologieplattformen wie Speeki Engage zur Unterstützung sicherer Meldekanäle und des Fallmanagements gehören.

Zu den laufenden Kosten gehören in der Regel jährliche Überwachungsaudits, die für die meisten Organisationen in der Regel einen Tag dauern, sowie alle drei Jahre ein vollständiges Rezertifizierungsaudit.

Die Gesamtinvestition im ersten Jahr variiert je nach Komplexität der Organisation und bestehenden Vereinbarungen, wobei die nachfolgenden jährlichen Kosten in der Regel niedriger sind.