ISO 37002:2021, czyli standaryzacja zarządzania systemami whistleblowingowymi – cz. 2

Photographic portrait of Justyna Mańkowska
Justyna Mańkowska

EY Polska, Dział Zarządzania Ryzykiem Nadużyć, Starszy Analityk

Jak EY może pomóc

  • Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (Financial Crime Compliance)

    Pomagamy podmiotom z branży finansowej skutecznie ograniczać ryzyka związane z praniem pieniędzy i finansowaniem terroryzmu. Łączymy wiedzę ekspercką z zakresu Compliance, doświadczenie operacyjne z realizacji procesów KYC/AML oraz znajomość nowoczesnych technologii informatycznych. Dzięki temu możemy świadczyć kompleksowe usługi doradcze, a także wspierać naszych klientów w codziennej realizacji procesów operacyjnych w obszarze Financial Crime.

    Przeczytaj więcej

  • Ochrona sygnalistów (whistleblowing)

    Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

    Przeczytaj więcej

  • Sankcje gospodarcze - sklep on-line

    Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.

    Przeczytaj więcej

  • Zarządzanie zgodnością i etyką (Compliance & Integrity)

    Wspieramy firmy w prowadzeniu etycznego biznesu budując systemy compliance oraz wdrażając narzędzia i mechanizmy sprzyjające zarządzaniu zgodnością.

    Przeczytaj więcej

Norma zawiera wytyczne sprzyjające tworzeniu systemów zarzadzania zgłoszeniami sygnalistów opartego na zasadach zaufania do pracodawcy, bezstronności w rozstrzyganiu zgłoszeń i ochrony sygnalisty.

W lipcu 2021 roku Międzynarodowa Organizacja Normalizacyjna (International Organization for Standarization – ISO) opublikowała standard, którego zastosowanie będzie pochodną wielkości, charakteru, złożoności i jurysdykcji działań danej organizacji. Może on pomóc firmom w udoskonaleniu istniejących już polityk i procedur w zakresie zgłaszania nieprawidłowości lub w spełnieniu wymogów obowiązujących w tym zakresie przepisów. Wytyczne mają charakter ogólny i mogą mieć zastosowanie we wszystkich podmiotach, niezależnie od ich rodzaju, wielkości, charakteru działalności oraz tego, czy działają w sektorze publicznym, prywatnym czy non-profit.

 

W drugiej części tekstu skupimy się na poszczególnych elementach wdrażania i funkcjonowania systemu, przekazując wskazówki normy co do poszczególnych etapów. W pierwszej części omówiliśmy podstawowe pojęcia dotyczące ochrony sygnalistów. 

 

Wytyczne określone przez normę

Norma daje wytyczne odnośnie wszystkich elementów wdrażania systemu zarządzania zgłoszeniami, takich jak:

  • planowanie (reagowanie na ryzyko, wyznaczanie celów systemu, planowanie zmian)
  • środki wsparcia (zasoby, kompetencje, wiedza, szkolenia, komunikacja, wymogi odnośnie dokumentów, w tym kwestie ochrony danych i poufności)
  • planowanie operacyjne i kontrola (rola informacji zwrotnej w procesie, przyjmowanie i rozpatrywanie zgłoszeń, środki zapobiegające działaniom odwetowym, zarządzanie naruszeniami, ochrona sygnalisty (i innych zaangażowanych stron), konkludowanie zgłoszonych przypadków naruszeń)
  • ocena wyników (monitorowanie, weryfikacja, analiza i ewaluacja, audyt systemu i rola kadry zarządczej)
  • ciągłe doskonalenie (zarządzanie procesem obsługi niezgodności i podejmowanie działań naprawczych) Praktyczne znaczenie ISO 37002 wyraża się w przekazaniu wytycznych odnośnie wdrożenia i utrzymania systemu zgłaszania nieprawidłowości, zdefiniowanego na mocy Dyrektywy 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa UE), którą państwa członkowskie są zobowiązane zaimplementować do 17 grudnia 2021. Norma przewiduje tożsame lub bardziej restrykcyjne wymogi odnośnie systemu zarządzania zgłoszeniami, podkreślając wielokrotnie konieczność dopasowania wytycznych do specyfiki i kontekstu (w tym prawnego) organizacji. Poniżej znajduje się tabela porównująca generalne wymogi tzw. Standardów minimum, wymaganych na mocy dyrektywy UE oraz korespondujących zaleceń ISO 37002.

Dyrektywa UE

ISO 37002

Poufne kanały zgłoszeń

Organizacje powinny określić, wdrożyć, zakomunikować i utrzymywać widoczne, dostępne i bezpieczne kanały raportowania. W miarę możliwości, przynajmniej jeden powinien być niezależny od hierarchii zarządzania. Mogą to być alternatywne kanały wewnętrzne lub kanały obsługiwane przez zewnętrznego dostawcę usług. Należy wdrożyć procesy zapewniające, że wszystkie zainteresowane strony, w tym osoba zgłaszająca nieprawidłowości oraz osoby, których dotyczy zgłoszenie, mają zapewnioną poufność. 

Siedem dni na potwierdzenie przyjęcia zgłoszenia sygnalisty

Potwierdzenie odbioru powinno być terminowe (np. natychmiastowe automatyczne potwierdzenie odbioru, a następnie spersonalizowana wiadomość w ciągu trzech dni roboczych). Jeśli dany etap trwa dłużej niż oczekiwano, należy przekazać sygnaliście pośrednią informację zwrotną, aby uaktualnić ramy czasowe.

Trzy miesiące na informację zwrotną do sygnalisty odnośnie rozpatrzenia zgłoszenia

Informacje zwrotne powinny być przekazywane na każdym etapie procesu zgłaszania nieprawidłowości.

Przejrzysta i łatwo dostępna informacja odnośnie polityk dotyczących zgłaszania nieprawidłowości

Polityka dotycząca zgłaszania nieprawidłowości powinna być łatwo dostępna jako udokumentowana informacja, regularnie komunikowana w organizacji i poza nią, dostępna dla zainteresowanych stron z należytym uwzględnieniem takich aspektów jak wiek, język, niepełnosprawność, itp. jej odbiorców.

Bezstronna osoba albo dedykowany zespół odpowiedzialny za proces wyjaśniający i działania następcze

Organizacje powinny określić, wdrożyć, zakomunikować i utrzymać proces, który zapewni, że dochodzenia będą prowadzone bezstronnie przez odpowiednio wykwalifikowany personel. Rozpatrujący powinni być uczciwi i bezstronni wobec danej jednostki biznesowej lub osoby zgłaszającej nieprawidłowości oraz osoby, której dotyczy zgłoszenie.

Należyta staranność w działaniach następczych

Organizacja powinna określić, wdrożyć i utrzymywać procesy, które zapewniają bezstronną ocenę, selekcję i zarządzanie zgłoszeniami niewłaściwych działań. Decyzje dotyczące oceny powinny być udokumentowane. Należy odpowiednio rozważyć zatrudnienie zewnętrznych ekspertów, w szczególności w przypadku, gdy specjalistyczne umiejętności dochodzeniowe nie są dostępne wewnętrznie lub gdy nie jest zapewniona bezstronność wewnętrznego pracownika dochodzeniowego. W miarę możliwości należy przyjąć podejście multidyscyplinarne. Profesjonalne zarządzanie dochodzeniami obejmuje m.in. poniższe zasady:
a) Proces dochodzeniowy powinien być na tyle rzetelny, aby mógł sprostać kontroli administracyjnej, operacyjnej i prawnej,
b) W ramach dochodzenia należy zabezpieczyć i chronić dowody,
c) Zarządzanie danymi osobowymi powinno odbywać się zgodnie z przepisami zasadami RODO,
d) Komunikacja powinna być jasna i jednoznaczna, równoważąca interesy organizacji i osób sygnalistów.

Zgodnie z postanowieniami ISO 37002 [1] system zarządzania zgłaszaniem nieprawidłowości powinien wspierać wszystkie etapy procesu ich zgłaszania takie jak:

Oprócz wytycznych dotyczących kwestii operacyjnych norma zaleca także wypracowanie odpowiedniej kultury korporacyjnej, główną w tym rolę przypisując kierownictwu najwyższego szczebla tj. zarządowi i kadrze zarządczej. Ich działania mają polegać m.in. na promowaniu systemu zarządzania zgłoszeniami, zapewnieniu jego dostępności oraz demonstrowaniu swojego zaangażowania w proces. Wszystko w zgodzie z zasadą , że stateczność systemu zarządzania zgłaszaniem nieprawidłowości zależy od tego, czy zainteresowane strony wierzą, że kierownictwo jest zaangażowane w system i będzie przestrzegać wyznaczonych zasad.

Kadrze zarządczej jest również przypisane zadanie ustanowienia funkcji zarządzania systemem zgłoszeń odpowiedzialnej za zapewnienie, że system jest zgodny z zaleceniami ISO 37002 oraz składanie zarządowi, osobom pełniącym najwyższe funkcje kierownicze i innym właściwym funkcjom takim jak compliance, sprawozdań z działania systemu. Część lub całość funkcji zarządzania może być powierzona osobom z zewnątrz organizacji. Organizacje, które nie mają osoby zajmującej się wyłącznie tą funkcją, mogą wyznaczyć jedną lub więcej osób, o ile nie występują konflikty interesów lub nie zachodzą wątpliwości w kwestii zaufania i bezstronności tych osób.

Norma podkreśla istotną rolę przekazywania informacji zwrotnej sygnaliście, feedback powinien być przekazywany na każdym etapie procesu zgłaszania nieprawidłowości. Potwierdzenie odbioru powinno być terminowe (np. natychmiastowe automatyczne potwierdzenie odbioru, a następnie spersonalizowana wiadomość w ciągu trzech dni roboczych). Przypomnijmy, że dyrektywa UE przewiduje siedem dni na potwierdzenie przyjęcia zgłoszenia sygnalisty, jednak jest to termin maksymalny. Jeśli dany etap trwa dłużej niż oczekiwano, należy przekazać sygnaliście pośrednią informację zwrotną, aby uaktualnić ramy czasowe.

Korzyści z systemu

Jak zbudowanie systemu zgłoszeń w oparciu o wytyczne ISO 37002 może pomóc organizacjom?

Potencjalne korzyści z zastosowania wskazówek i dobrych praktyk dokumentu obejmują m.in. zachęcanie i ułatwianie zgłaszania nieprawidłowości, a co za tym idzie umożliwienie organizacji zidentyfikowania i zajęcia się niewłaściwym postępowaniem przy najbliższej okazji, co może pomóc w wykryciu nieprawidłowości na wczesnym etapie, kiedy jeszcze nie doszło do szkody. Zminimalizowane ryzyko z kolei ogranicza wystąpienie niewłaściwych działań, a więc działa zapobiegawczo lub minimalizująco w kontekście utraty aktywów czy ryzyka reputacyjnego.

W celu budowy zaufania do systemu, norma udostępnia cenne wskazówki w zakresie wspierania i ochrony osób zgłaszających przypadki naruszeń i innych zainteresowanych stron. Wytyczne dotyczące właściwego i terminowego rozpatrywania zgłoszeń będą natomiast przydatne do zapewnienia skuteczności całego procesu. Poprawa kultury organizacyjnej i zarządzania w długofalowej perspektywie przyczynia się do zbudowania otoczenia, w którym występowanie nieprawidłowości jest oceniane jednoznacznie negatywne przez samych pracowników i innych interesariuszy, a co za tym idzie zmniejsza się liczba nieprawidłowych zachowań. Wskazówki normy pomogą w zapewnieniu zgodności z zasadami, procedurami oraz zobowiązaniami prawnymi i społecznymi organizacji, a poprzez demonstrowanie społeczeństwu, rynkom, organom regulacyjnym, właścicielom i innym zainteresowanym stronom rzetelnych i etycznych praktyk w zakresie zarządzania zastosowanie standardu wpływa na reputację firmy, zarówno wśród partnerów biznesowych, jak i pracowników czy konsumentów.

Zobacz również

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają. Wyniki naszego badania zbiegają się w czasie z zamieszczeniem w wykazie prac legislacyjnych polskiego projektu** ustawy o ochronie osób zgłaszających naruszenia prawa, którego przyjęcie planowane jest w IV kwartale 2021r.

Jarosław Grzegorz

Jak skuteczna struktura sygnalizowania o możliwych naruszeniach może pomóc w tworzeniu trwałej wartości?

Skuteczne systemy sygnalizowania możliwych naruszeń są istotne nie tylko z punktu widzenia prawa i etyki, ale także pomagają firmom zyskać przewagę konkurencyjną. Dowiedz się więcej.

EY Global

Zapobieganie nadużyciom finansowym i ich wykrywanie: wzmocnienie roli przedsiębiorstw, biegłych rewidentów i organów regulacyjnych

Dowiedz się, dlaczego konieczne jest ponowne zbadanie, w jaki sposób tradycyjne procedury kontroli podchodzą do ryzyka nadużyć finansowych.

EY Global

Imperatyw kategoryczny Kanta jako wstęp do dyskusji o compliance

Compliance w organizacji nie bierze się z niczego, nie pojawia się nagle jako prawda objawiona.

EY Polska
    Kontakt
    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.