ISO 37008: Interne Untersuchungen in Organisationen
In den letzten Jahren hat die ISO mehrere Normen herausgegeben, um Organisationen bei der Entwicklung, Messung und Berichterstattung über wichtige Aspekte ihrer Compliance-Programme zu unterstützen. Die bemerkenswerteste dieser Normen, ISO 37001, konzentriert sich auf die Bekämpfung von Bestechung und Korruption, während eine andere, ISO 37031, allgemeine Grundsätze und Anforderungen enthält, die Organisationen nutzen können, um Systeme für jeden wichtigen Bereich des Compliance-Programms zu entwickeln (z. B. Sorgfaltspflicht, Exportkontrollen oder sogar ESG-relevante Bereiche wie Menschenrechte).
Das Timing der ISO 37008 könnte nicht besser sein. Angesichts des Aufkommens und der Verbreitung mehrerer neuer Compliance- und ESG-Gesetze mit kritischen Anforderungen in Bezug auf Berichterstattung und Untersuchungen (z. B. das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette, das australische Menschenrechtsgesetz und Bestechungsgesetze wie der United States Foreign Corrupt Practices Act und der United Kingdom Bribery Act) bietet die ISO 37008 Organisationen eine Anleitung, wie sie Programme für diese Bereiche entwickeln und verwalten können.
In diesem Artikel werden wir darüber sprechen:
- die in dieser Norm umrissenen Schlüsselkonzepte
- wie Organisationen die durch Compliance- und ESG-Vorschriften auferlegten Berichts- und Untersuchungsanforderungen effektiver handhaben können, indem sie sich nach ISO 37008 zertifizieren lassen.
Die Schlüsselbegriffe der ISO 37008
Die ISO-Norm 37008 legt fünf Bereiche fest, die Organisationen bei der Entwicklung ihrer Untersuchungsprogramme leiten sollen:
- Grundprinzipien
- Ressourcen und Fachwissen für die Durchführung von Untersuchungen
- Festlegung von Strategien und Verfahren
- Berichterstattung
- Anwendung von Abhilfemaßnahmen.
ISO 37008 vertritt die traditionellen Grundsätze, auf denen die meisten Untersuchungsprogramme von Unternehmen aufbauen. Diese Grundsätze erinnern Organisationen daran, sicherzustellen, dass die Untersuchungen:
- unabhängig
- vertraulich
- von qualifizierten Fachleuten durchgeführt werden
- objektiv und unparteiisch
- in Übereinstimmung mit den geltenden Gesetzen durchgeführt werden.
Die ISO-Norm 37008 legt großen Wert darauf, dass der Vorstand (als "Leitungsorgan" bezeichnet) und die Führungskräfte (als "Top-Management" bezeichnet) in das Untersuchungsprogramm investieren, damit kompetente, qualifizierte Ressourcen für die Verwaltung der Untersuchungen zur Verfügung stehen. Dies mag zwar selbstverständlich erscheinen, doch wird in der Norm betont, dass die Organisationen auch ihr Engagement bei der Bereitstellung finanzieller und materieller Ressourcen für die Verwaltung der Untersuchungen unter Beweis stellen müssen. Der Standard fordert die Organisationen auf, geeignete Technologieplattformen für die Verwaltung von Berichten und Untersuchungen zu nutzen und finanzielle Mittel für Investitionen in diese Produkte bereitzustellen.
Neben Fähigkeiten, Fachwissen und Geld betont ISO 37008 auch, dass das Leitungsgremium und die oberste Führungsebene die Unabhängigkeit und Unparteilichkeit des Untersuchungsprogramms sicherstellen müssen. Wenn Sie mit anderen ISO-Normen zur Einhaltung von Vorschriften vertraut sind (z. B. ISO 37001), wissen Sie, dass die ISO-Norm großen Wert darauf legt, dass die oberste Ebene einer Organisation ihr Engagement für die Einhaltung von Vorschriften unter Beweis stellt. Im Gegensatz zu anderen Rahmenwerken liegt die Verantwortung für Compliance und Ethik nicht ausschließlich bei den Compliance- und ESG-Abteilungen. Stattdessen müssen der Vorstand und die Führungskräfte für eine klare Kommunikation zwischen ihnen und den für Integrität zuständigen Teams sorgen, damit letztere in die Lage versetzt werden, ihre Aufgaben wahrzunehmen, und einen direkten Kommunikationsweg zu den obersten Ebenen des Unternehmens haben.
Die ISO-Norm 37008 verlangt von den Organisationen die Entwicklung einer Politik zur Regelung des Untersuchungsprozesses. Während die meisten großen Organisationen bereits über solche Dokumente verfügen, hebt die Norm Schlüsselelemente des Untersuchungsprogramms hervor, die ausdrücklich in der Richtlinie beschrieben werden sollten, was für eine Zertifizierung unerlässlich ist.
Am nützlichsten könnte sich die ISO 37008 in Abschnitt 8 erweisen, der die Planung und Durchführung des Untersuchungsprozesses regelt. Einer der in Abschnitt 8 beschriebenen Schlüsselaspekte ist die Einrichtung einer "Berichtslinie", die von dem die Untersuchung durchführenden Team getrennt sein kann. Dem Standard zufolge sollte diese Meldestelle die Unparteilichkeit des Untersuchungsteams sicherstellen, prüfen, ob die Behörden kontaktiert werden müssen (je nach Art des Vorfalls), und das Risiko und die Auswirkungen auf die Organisation bewerten. Das Untersuchungsteam sollte die Meldestelle im Verlauf der Untersuchung auf dem Laufenden halten.
Die Norm fordert das Untersuchungsteam außerdem auf, eine vorläufige Bewertung potenzieller Vorfälle durchzuführen und zu dokumentieren. Während die meisten Organisationen wahrscheinlich über ein Triage-Verfahren verfügen, trägt die in der Norm beschriebene vorläufige Bewertung dazu bei, dass die Organisationen die wichtigsten Aspekte jeder Untersuchung klar dokumentieren, z. B. die Kontaktaufnahme mit den betroffenen Parteien, die Bestimmung der geschäftlichen Auswirkungen, die Berücksichtigung relevanter Umwelt- und Rechtsfragen und die Entscheidung, ob externer Rat oder Unterstützung eingeholt werden sollte. Die Notwendigkeit einer dokumentierten vorläufigen Bewertung unterstreicht auch die Notwendigkeit, Software oder Untersuchungsplattformen zu verwenden, die diese Informationen aufzeichnen können.
Abschnitt 8 enthält außerdem ausführlichere Informationen zu den technischen Aspekten von Untersuchungen, wie z. B. elektronische Datenerfassung, Aufbewahrung, Analyse und Überprüfung. Der Anhang zu Abschnitt 8 enthält interessante Vorschläge, von denen viele Organisationen profitieren können:
- die Sicherstellung der Vertraulichkeit gegenüber dem Melder eines potenziellen Vorfalls durch eine "schriftliche Verwarnung", wie sie im Standard genannt wird
- Einführung eines "Überprüfungsprotokolls" zur Gewährleistung einer effizienten Verwaltung von Schlüsseldokumenten durch die Verwendung von Schlüsselwörtern, Kennzeichnung und Kategorisierung
- sich der möglichen Beeinträchtigung von Ermittlungen bewusst zu sein.
In der ISO-Norm 37008 wird die Durchführung eines "Abschlussprozesses" beschrieben, der das Ende jeder Untersuchung markiert und beweisgestützte Feststellungen sowie eine ausreichende Bestimmung der Ergebnisse zur Einleitung von Abhilfemaßnahmen beinhalten muss.
In der Norm werden wichtige Anforderungen für die Erstellung eines Untersuchungsberichts festgelegt. Diese Anforderungen umfassen:
- die Hinzufügung von Exponaten und wichtigen Anhängen
- Fakten zusammenfassen
- Festlegung von Grenzen und Zwängen
- Wahrung der Vertraulichkeit durch organisatorische Standards für die Aufbewahrung von Dokumenten.
Auch hier kann die Software helfen.
Die letzten Abschnitte der ISO 37008 befassen sich mit Abhilfemaßnahmen und der Interaktion mit den Interessengruppen. Wenn es darum geht, im Anschluss an eine Untersuchung wirksame Maßnahmen zu ergreifen, geht die Norm über die bloße Aussage hinaus, dass Abhilfemaßnahmen fair und proportional zu den aufgedeckten Problemen sein sollten. Stattdessen unterstreicht die Norm die Notwendigkeit für Unternehmen, Compliance-Lücken und Schwachstellen zu identifizieren, damit längerfristige Verbesserungen in den relevanten Bereichen des Compliance-Programms vorgenommen werden können.
Der letzte Abschnitt über die Interaktion mit den Stakeholdern behandelt verschiedene Aspekte der Kommunikation der Ergebnisse, der nächsten Schritte und der Berichterstattung an die relevanten Parteien. Der Standard behandelt das Thema der sorgfältigen Offenlegung gegenüber Behörden und hebt hervor, dass Compliance- und Integritätsteams die Untersuchungsergebnisse mit dem Leitungsgremium und der obersten Führungsebene erörtern, feststellen sollten, ob eine Offenlegung erforderlich (oder vorteilhaft) ist, und sich vor der Kommunikation mit Rechtsberatern beraten sollten.
Anwendung von ISO 37008 auf kritische Compliance- und ESG-Gesetze
Die Gestaltung Ihres Untersuchungsprogramms auf der Grundlage der Leitlinien und Anforderungen der ISO-Norm 37008 kann Ihnen helfen, bestimmte Compliance- und ESG-Gesetze effektiver einzuhalten.
Gesetz über korrupte Praktiken im Ausland (FCPA)
Es gibt zwar keine strikten Richtlinien dafür, wie Unternehmen ihre Antikorruptionsprogramme entwickeln sollten, um die Anforderungen des FCPA zu erfüllen, aber ein Schlüsseldokument, das seit Jahren verwendet wird, ist der Leitfaden "Evaluation of Corporate Compliance Programs" des Department of Justice (DOJ). In diesem Dokument legt das DOJ Kriterien fest, die Staatsanwälte bei der Bewertung eines Unternehmens auf mögliches Fehlverhalten anwenden können.
Einer der wichtigsten Programmbereiche, den die Staatsanwälte bewerten werden, ist die Struktur der vertraulichen Berichterstattung und das Untersuchungsverfahren eines Unternehmens, das nach Angaben des DOJ "sehr aussagekräftig" dafür ist, ob ein Unternehmen Mechanismen zur Unternehmensführung eingeführt hat. Viele der spezifischen Faktoren, die die Staatsanwälte bewerten werden, stimmen mit wichtigen Abschnitten der ISO 37008 überein, darunter:
- ein Verfahren für den ordnungsgemäßen Umfang einer Untersuchung
- Anwendung einer Methodik, die gewährleistet, dass die Untersuchungen unabhängig, objektiv und dokumentiert sind
- die Bereitstellung ausreichender Mittel für die Mechanismen und Instrumente, die im Rahmen des Berichts- und Untersuchungsprogramms eingesetzt werden.
Über die Angleichung an die FCPA-Richtlinien hinaus kann die ISO 37008 auf verschiedene praktische Weise bei der Verwaltung von Anti-Korruptionsangelegenheiten helfen:
- Sicherstellen, dass die Organisation über ein Verfahren verfügt, um Bedenken und Meldungen über gängige Bestechungspraktiken wie Schmiergelder an Lieferanten, die Einrichtung von Schmiergeldern zur Erlangung unzulässiger Geschäftsvorteile von Regierungsvertretern und Kunden sowie die Gewährung von Zuwendungen, die gegen die Unternehmensrichtlinien für Geschenke, Mahlzeiten und Bewirtung verstoßen, zu bearbeiten
- Bereitstellung von Leitlinien für den Einsatz digitaler und forensischer Instrumente zur Untersuchung und Prüfung von Dokumenten und Transaktionen, die potenzielle Bestechungsfälle beschreiben, wie E-Mails, Textnachrichten, Rechnungen und Quittungen
- Erstellung von Berichten, in denen die Vorwürfe, die bekannten Fakten, die beteiligten und betroffenen Personen sowie die Ergebnisse jeder Untersuchung klar dargelegt werden
Leitlinien für die Entscheidung, wie und ob ein Unternehmen potenzielle Feststellungen gegenüber den Behörden offenlegen sollte - im Zusammenhang mit dem FCPA könnte dies insbesondere Offenlegungen umfassen, um die Schwere der Strafen zu verringern oder den Abschluss einer Vereinbarung mit den Vollstreckungsbehörden über einen Aufschub oder eine Nichtverfolgung zu beschleunigen.
Das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette (SCDDA)
Die SCDDA wird Anfang 2023 in Kraft treten. Es ist die erste Verordnung in Deutschland, die Unternehmen für mögliche Menschenrechtsverletzungen und Umweltprobleme verantwortlich macht. Um die SCDDA zu erfüllen, müssen Unternehmen Managementsysteme einführen, um relevante Risiken in ihren Betrieben und Lieferketten zu überwachen. Zu den wichtigsten Prozessen, die entwickelt werden müssen, gehören:
- eine Grundsatzerklärung, in der die Verfahren zur Überwachung von Menschenrechts- und Umweltrisiken sowie die Erwartungen an Lieferanten und Mitarbeiter festgelegt sind
- ein Meldeverfahren, das es Mitarbeitern, Lieferanten und betroffenen Personen ermöglicht, mögliche Verstöße zu melden
- jährliche Berichterstattung an die Behörden über die Ergebnisse der Sorgfaltsprüfung und der Ermittlungen.
Die Zertifizierung nach ISO 37008 kann Organisationen besser auf die Einhaltung des SCDDA vorbereiten. Die Zertifizierung nach ISO 37008 gewährleistet die Umsetzung mehrerer Prozesse, die für die Einhaltung der SCDDA-Vorschriften nützlich sind, wie z. B:
- Überarbeitung der Richtlinien, um zu verdeutlichen, dass die Meldewege des Unternehmens genutzt werden können, um potenzielle Menschenrechts- und Umweltverstöße zusätzlich zu den traditionellen Themen wie Korruption und Personalangelegenheiten offenzulegen
- Einrichtung eines zugänglichen Berichterstattungsverfahrens und von Instrumenten zur Nutzung durch interne und externe Akteure
- Schaffung von Verfahren für die Untersuchung, Verwaltung und Meldung von Menschenrechts- und Umweltproblemen.
Da das SCDDA verlangt, dass Dritte (Lieferanten, Kunden, betroffene Einzelpersonen) Informationen darüber erhalten, wie sie Meldung erstatten können, sollten die Unternehmen in Erwägung ziehen, eine öffentlich zugängliche Richtlinie auf ihrer Website einzurichten und gleichzeitig eine interne Richtlinie beizubehalten, in der die Untersuchungsverfahren beschrieben werden.
Die Einhaltung der SCDDA lässt sich leichter erreichen, wenn man sich auf die Anforderungen der ISO 37008 bezieht.
Die Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (CSRD)
Die CSRD tritt Anfang 2023 in Kraft und verpflichtet Unternehmen, über die Nachhaltigkeit ihrer Geschäftspraktiken zu berichten.
Der erste große Abschnitt der CSRD verlangt von den Organisationen, über verschiedene strategische Initiativen und Ziele im Bereich der Nachhaltigkeit zu berichten, wie z. B. Maßnahmen zur Begrenzung der globalen Erwärmung, Taktiken zur Erreichung der Kohlenstoffneutralität bis 2050 und interne Nachhaltigkeitsrichtlinien sowie die Widerstandsfähigkeit des Geschäftsmodells und der Nachhaltigkeitsstrategie der Organisation.
Der zweite große Abschnitt der CSRD befasst sich mit der Sorgfaltspflicht; in dieser Richtlinie bezieht sich der Begriff "Sorgfaltspflicht" auf Verfahren zur Informationsbeschaffung, um die durch die Geschäftstätigkeit und die Lieferkette der Organisation verursachten negativen Auswirkungen zu ermitteln. Einer der Hauptaspekte dieses Abschnitts sind Maßnahmen, die die Organisation ergreift, um von ihr verursachte nachteilige Auswirkungen zu verhindern, zu mindern, zu beheben oder zu beenden. Durch die Bezugnahme auf die ISO-Norm 37008 können Organisationen sicherstellen, dass ihre Berichterstattungs- und Untersuchungsverfahren so eingerichtet sind, dass sie Anfragen im Zusammenhang mit der Nachhaltigkeit aufgreifen und bearbeiten können. Auch wenn manche Unternehmen Nachhaltigkeitsthemen als weniger dringlich oder aus rechtlicher Sicht als weniger relevant ansehen, sollten sie bedenken, dass Nachhaltigkeitsthemen auch diejenigen betreffen können, die keine Stimme haben oder denen der Zugang zu Rechtsmitteln erschwert ist, wie z. B. lokale Gemeinschaften, die von der Geschäftstätigkeit eines Unternehmens betroffen sind, oder Kunden und Lieferanten auf lokalen Märkten. Durch die Einbeziehung von Nachhaltigkeitsaspekten in die Berichterstattung und in Untersuchungen können Organisationen nachteilige Auswirkungen ihrer Tätigkeit leichter bewältigen und genaue Angaben zur Einhaltung der CSRD gewährleisten.
Schlussfolgerung
Die ISO-Norm 37008 bietet Unternehmen die Möglichkeit, ihre Berichts- und Untersuchungsprotokolle zu standardisieren und gleichzeitig einen Rahmen für die Anpassung dieser Prozesse an die wichtigsten Anforderungen neuer und bestehender Compliance- und ESG-Vorschriften zu schaffen. Aus geschäftlicher Sicht bietet die Norm Organisationen die Möglichkeit, nachzuweisen, dass ihre internen Compliance-Prozesse mit bewährten Verfahren übereinstimmen.