ISO 37002- „szkielet” systemu ochrony sygnalistów

ISO 37002, które wprowadza standard zarządzania system zgłaszania nieprawidłowości, została opublikowana w lipcu 2021 roku. Zastosowanie się do wytycznych zawartych w ISO 37002 pozwoli organizacjom zapewnić elementy do tworzenia, wdrażania, utrzymywania i doskonalenia systemu ochrony sygnalistów i zgłaszania nieprawidłowości.

Coraz więcej firm wdraża wewnętrzne procesy raportowania sygnalistów, temat będzie jeszcze bardziej gorący w grudniu tego roku, bo jeśli jeszcze o tym nie wiesz (co mało prawdopodobne) 17 grudnia 2021 to data wejścia w życie dyrektywy (2019/1937) w sprawi ochrony osób zgłaszających naruszenia prawa Unii powszechnie znanej jako dyrektywa o ochronie praw sygnalistów .

Wytyczne opierają się w głównej mierze na podstawowych filarach: zaufaniu, bezstronności i bezpieczeństwie.Głównymi celami międzynarodowych wytycznych ISO są:

  1. zachęcanie i ułatwianie zgłaszania nieprawidłowości
  2. wspieranie i ochrona sygnalistów oraz osób trzecich,
  3. zapewnienie właściwego i terminowego rozpatrywania zgłoszeń dotyczących nieprawidłowości,
  4. poprawę kultury organizacyjnej i zarządzania,
  5. ograniczenie ryzyka wystąpienia nadużyć

Nie ma się co oszukiwać, wytyczne ISO 37002 są bardzo ogólne i konieczne będzie ich uszczegółowienie poprzez utworzenie sprawnego systemu ochrony sygnalistów. Ma to jednak swoje plusy – wytyczne mogą stanowić nieocenioną pomoc w trakcie tworzenia procedur zgłaszania nieprawidłowości i ochrony sygnalistów w organizacji i mogą być stosowane niezależnie lub w połączeniu z innymi normami, takimi jak system zarządzania zgodnością według ISO 37301.

Dobry, lecz niewystarczający drogowska

Wdrożenie wytycznych wskazanych w ISO 37002 niestety nie zapewni, że procedury dotyczące whistleblowingu będą zgodne z przepisami. Sugeruje to już samo zaszeregowanie ISO 37002 jako wytycznych, a nie jako norm. Wytyczne te ustanawiają jedynie międzynarodowy standard określający sposób w jaki firmy powinny obchodzić się z tematyką sygnalistów, który musi zostać dostosowany do wielkości, charakteru, złożoności danej organizacji. Przy tym wszystkim firmy wdrażając system ochrony sygnalistów w oparciu o wytyczne ISO 37002 nie mogą zapominać też o obowiązujących je regulacjach prawnych np. dotyczących danych osobowych.

Ważne uzupełnienie

Czy w takim razie wytyczne nie mają większego sensu? Absolutnie nie. ISO 37002 stanowić może bardzo użyteczny „szkielet”, który wykorzystać mogą firmy projektując system ochrony sygnalistów.

Wytyczne wskazują, że firmy powinny szczególną uwagę poświęcić funkcji jaką pełni system ochrony sygnalistów wewnątrz organizacji a nie skupiać się jedynie na ochronie zgłaszających naruszenia lub na stworzeniu polityki zgłaszania nieprawidłowości.

Wyraźnie podkreślono – mimo, że niektóre z wytycznych będą miały zastosowanie w przypadku większych organizacji, to każda organizacja (niezależnie od wielkości) potrzebować będzie zaufanego, doświadczonego, uczciwego i kompetentnego zespołu zarządzającego zgłoszeniami i odpowiadającego za komunikację z sygnalistą.

Organizacje przy doborze tego zespołu będą musiały wziąć pod uwagę wiele czynników. Nie tylko tych oczywistych jak zasoby finansowe czy ludzkie, ale też istniejące rozwiązania informatyczne czy strukturę organizacyjną.

(Nie)kompletne narzędzia

W ISO 37002 zawarto również elementy, które organizacje mogą wykorzystać w trakcie tworzenia systemu ochrony sygnalistów takie jak wskazówki jak reagować na pierwsze zgłoszenia nieprawidłowości oraz jakie pytania zadawać sygnalistom.

Wytyczne zawierają też rekomendacje dotyczącą nadawania priorytetu zgłoszeniom na podstawie oceny ryzyka a także określają wyjściową listę pytań, którą można dostosować do specyfiki firmy. Znajdziemy w nich także przykładowy zakres tematyczny, który należy wziąć pod uwagę organizując szkolenia dla pracowników, zasady przekazywania informacji zwrotnej sygnaliście czy oceny funkcjonowania całego systemu.

Należy mieć świadomość, że wytyczne te (jak każde) nie są wyczerpujące – zatem organizacje będą musiały znaleźć sposób na dostosowanie ich do swojej struktury organizacyjnej, by system ochrony sygnalistów był wydajny i skuteczny. Brak jest w ISO 37002 wskazówek co w sytuacji, gdy system ochrony sygnalistów będzie obok innych (takich jak procedury składania skarg przez klientów, czy tych dotyczących BHP pracowników) procedur kolejnym sposobem zgłaszania nieprawidłowości. Tym samym nie wytyczne nie odnoszą się do głównego pojawiającego się w praktyce wielu organizacji problemu – określeniu charakteru zgłoszeń, które powinny zostać rozpatrzone za pomocą systemu ochrony sygnalistów, a które powinny być rozpatrywane za pomocą innych procedur sygnalisty.

Nacisk na ochronę przed odwetem

Następnym obszarem, na który kładą nacisk wytyczne jest ochrona sygnalisty przed odwetem. Ochrona ta powinna być proaktywna tzn. wytyczne definiują „ochronę przed odwetem” jako skuteczną wtedy, gdy niemożność zapobieżenia lub zminimalizowania odwetu nastąpiła pomimo spełnienia standardu należytej staranności na każdym etapie zgłoszenia.

Takie podejście nakłada na organizację obowiązek identyfikacji i przeciwdziałania zagrożeniom, a nie tylko reagowania w przypadku, gdy pojawi się ryzyko odwetu. Zgodnie z tym organizacje powinny segregować i oceniać zgłoszenia dwutorowo tj. zarówno przez pryzmat wagi zgłoszenia, jak i ryzyka działań odwetowych na sygnaliście.

Trochę szersza definicja sygnalisty

Status sygnalisty według wytycznych może zyskać szersze grono osób niż wskazano w dyrektywie. ISO 37002 charakteryzuje sygnalistę jako osobę, która zgłasza podejrzenie lub faktyczną nieprawidłowość i ma uzasadnione przekonanie, że informacje te są prawdziwe w momencie dokonywania zgłoszenia. Dla przykładu wytyczne podają, że w takim rozumieniu sygnalistą może być: personel organizacji, z którymi organizacja nawiązała lub planuje nawiązać relacje biznesowe, inne osoby, takie jak przedstawiciele związków zawodowych, wszelkie osoby zajmujące w przeszłości lub przyszłości stanowiska w firmie lub organizacji, z którą firma nawiązała lub planuje nawiązać relacje biznesowe.

Jak widać wytyczne zakładają, że może istnieć szerszy krąg osób, które mogą mieć wiedzę na temat potencjalnych nieprawidłowości w organizacji, oraz że wszystkie te osoby można uwzględnić w tworzonym w organizacji systemie ochrony sygnalistów.

Do decyzji firmy należeć będzie więc czy ograniczyć swój system do osób, które uzyskają ochronę w oparciu o dyrektywę o ochronie praw sygnalistów lub polskiej ustawy czy też zaprojektować swoje systemy z uwzględnieniem szerszego zakresu zgłoszeń. Wydaje się, że kwestia uwzględnienia w systemie ochrony sygnalistów, zgłoszeń z poza organizacji będzie jedną z głównych wyzwań w tworzeniu i wdrażaniu tego systemu.

Wobec tego wytyczne pozostawiają organizacją swobodę określenia ostatecznego zakresu systemu ochrony sygnalistów. Niestety ma to swoje konsekwencje – wytyczne nie wskazują w jaki sposób system ochrony sygnalistów wpisać w inne procesy dotyczące rozpatrywania skarg, które istnieją już wewnątrz organizacji.

Źródło inspiracji

Mimo wszystko wytyczne stanowią wartościową pomoc w zakresie projektowania i oceny systemów ochrony sygnalistów. Organizacje muszą mieć jednak świadomość, że należy zwracać szczególną uwagę na przepisy krajowe dotyczące ochrony sygnalistów i zastanowić się jak zapewnić zgodność systemu ochrony sygnalistów z prawem krajowym. Firmy muszą też ocenić, w jaki sposób wdrażany system ochrony sygnalistów wpisuje się w ich kulturę organizacyjną i uwzględnić w jego tworzeniu obawy związane z aktywną ochroną przed odwetem, udzielaniem informacji zwrotnych i nieustannym udoskonalaniem komunikacji z sygnalistą.

 

Masz pytania dotyczące wdrożenia systemu ochrony sygnalistów zgodnie z ISO 37002? Chętnie odpowiemy na Twoje pytania. Odezwij się do nas na office@ipsolegal.pl lub bezpośrednio z Błażejem Wągielem.

Poczytaj na temat sygnalistów:

OCHRONA SYGNALISTÓW – CO MUSISZ WIEDZIEĆ PRZED WEJŚCIEM W ŻYCIE DYREKTYWY?

DYREKTYWA O OCHRONIE PRAW SYGNALISTÓW – NOWE OBOWIĄZKI FIRM

OCHRONA SYGNALISTÓW A OCHRONA DANYCH OSOBOWYCH

Share