...

Skuteczny program ochrony sygnalistów

Picture of Ałła Rycek

Ałła Rycek

Chief Compliance Officer, Lead Auditor CMS ABMS (PECB CoC), GDPR Officer, QSCert Lead Auditor ISO 9001, ISO 37001

Skuteczny program ochrony sygnalistów: praktyki i standardy ISO

Whistleblowing to dziś nie opcja, lecz konieczność. Regulatorzy na całym świecie postrzegają sygnalistów jako kluczowy mechanizm kontrolny w walce z korupcją i nadużyciami korporacyjnymi. Jednak skuteczny program wymaga czegoś więcej niż polityki na papierze.

Wprowadzenie do ochrony sygnalistów

Współczesne organizacje działają w rzeczywistości, w której whistleblowing przeszedł transformację z procedury opcjonalnej do obligatoryjnej funkcji governance wymagającej nadzoru na poziomie zarządu. Publikacja autorstwa Amandy Lyras i Daniela Bartletta z kancelarii Clayton Utz, opublikowana w Risk & Compliance Magazine, omawia australijskie ramy prawne oraz najlepsze praktyki w zakresie ochrony sygnalistów, które mają bezpośrednie przełożenie na funkcjonowanie programów whistleblowerskich w organizacjach globalnych. Artykuł koncentruje się na dwóch fundamentalnych wyzwaniach: po pierwsze, organizacje muszą wdrożyć programy whistleblowerskie, które zarówno spełniają wymogi prawne, jak i budują zaufanie, po drugie – muszą być wyposażone w kompetencje do rzetelnego reagowania na otrzymane zgłoszenia, w tym prowadzenia sprawiedliwych procesowo śledztw. Autorzy podkreślają, że zaniedbanie któregokolwiek z tych obszarów niesie ze sobą ryzyko regulacyjne, prawne i reputacyjne.

ISO 37001 ochrona sygnalistów

Regulacyjny aspekt

Regulacyjny kontekst whistleblowingu w Australii

Publikacja rozpoczyna się od przedstawienia australijskich ram prawnych ochrony sygnalistów, ustanowionych w Corporations Act 2001. Artykuł wskazuje, że ustawa nakłada na organizacje obowiązek utrzymywania compliantnych polityk whistleblowerskich oraz ochrony osób dokonujących zgłoszeń dotyczących „misconduct” lub „improper state of affairs or circumstances”. Autorzy szczegółowo opisują zakres ochrony prawnej: po pierwsze, nielegalnym jest ujawnienie tożsamości sygnalisty lub informacji mogących go zidentyfikować, które pochodzą bezpośrednio lub pośrednio z jego zgłoszenia, chyba że zastosowanie ma ograniczony wyjątek. Po drugie, zakazane jest powodowanie szkody osobie z powodu przekonania lub podejrzenia, że ta osoba dokonała, może dokonać, proponuje dokonać lub mogłaby dokonać chronionego zgłoszenia.

Zgodnie z publikacją, naruszenie tych przepisów może skutkować znacznymi karami cywilnymi i karnymi. Autorzy przytaczają konkretny precedens: w 2025 roku Australian Securities and Investments Commission (ASIC) osiągnęła karę w wysokości 7,5 mln dolarów australijskich plus 1 mln dolarów kosztów w pierwszej sprawie egzekucyjnej dotyczącej tych przepisów. Ten przypadek ilustruje rosnącą determinację regulatorów w egzekwowaniu wymogów ochrony sygnalistów.

Charakterystyka efektywnego programu whistleblowerskiego

Publikacja argumentuje, że programy whistleblowerskie nie powinny funkcjonować w izolacji – muszą działać jako system wczesnego ostrzegania zasilający szersze ramy compliance, audytu i ryzyka. Artykuł podkreśla: „analiza zgłoszeń whistleblowerskich może pomóc w identyfikacji emerging compliance concerns, szczególnie gdy połączymy dane whistleblowerskie z raportowaniem incydentów oraz wynikami ankiet pracowniczych, aby organizacja mogła antycypować trendy tematyczne”.

Według publikacji, kluczowe elementy skutecznego programu whistleblowerskiego, zgodne z wytycznymi ASIC, można zredukować do sześciu filarów: silne fundamenty, widoczne przywództwo, świadomość personelu, godne zaufania kanały raportowania, obiektywne i uczciwe śledztwa oraz konsekwentny pomiar z nadzorem zarządu.

Autorzy szczegółowo omawiają polityki whistleblowerskie jako fundament prawny i operacyjny programu. Artykuł wskazuje na problematyczne zjawisko: „wiele organizacji posiada polityki, które nie pokrywają kluczowych definicji ustawowych, nie są realizowane w praktyce, ani nie są wdrażane poprzez kompleksowe szkolenia świadomościowe”. Dobrze opracowana polityka whistleblowerska, według publikacji, powinna pomóc sygnalistom zrozumieć, jakie sprawy mogą być zgłaszane oraz jakie kanały są dostępne, promować kulturę „safe to speak up” zwiększającą transparentność, wspierać compliance i kulturę etyczną poprzez odstraszanie oraz zapewniać lepszą ochronę sygnalistom i wspierać osoby odpowiedzialne za reagowanie na zgłoszenia w sposób zgodny z prawem.

Kanały raportowania i odpowiedzialność za program

Publikacja podkreśla znaczenie wielokanałowego modelu raportowania, który może obejmować wewnętrzne linie telefoniczne obsługiwane przez przeszkolony personel, portale webowe, bezpośredni dostęp do oficerów ochrony sygnalistów oraz, gdzie to możliwe, niezależnych dostawców zewnętrznych. Artykuł wskazuje: „stała się powszechną praktyką, że organizacje zapewniają pracownikom dostęp do niezależnego dostawcy zewnętrznego przyjmującego zgłoszenia, które są następnie przekazywane organizacji, szczególnie że to łatwiej wspiera sygnalistów pragnących dokonać anonimowego zgłoszenia chronionego na mocy Corporations Act”.

Według autorów, przy rozważaniu wewnętrznych opcji raportowania, efektywny program whistleblowerski zazwyczaj identyfikuje ograniczoną liczbę kluczowych odbiorców i kieruje zgłoszenia do tych osób. Publikacja ostrzega: „gdy jest zbyt wielu wewnętrznie zidentyfikowanych odbiorców, może to prowadzić do sytuacji, w której zgłoszenia whistleblowerskie otrzymują osoby, które nie w pełni rozumieją swoje obowiązki po otrzymaniu takiego zgłoszenia”.

Artykuł zdecydowanie lokuje ostateczną odpowiedzialność za program whistleblowerski na poziomie zarządu. Autorzy cytują ASIC Report 758 „Good practices for handling whistleblower disclosures”, w którym ASIC powtórzyło swoje oczekiwania odnośnie accountability zarządu i wzywało dyrektorów do rozważenia korzyści płynących z refleksji nad danymi z programu whistleblowerskiego organizacji, w tym czy zgłoszenia ujawniają jakiekolwiek emerging areas of risk dla organizacji.

Reagowanie na zgłoszenia – zasady śledcze

Publikacja szczegółowo omawia pięć nakładających się na siebie etapów wiarygodnej odpowiedzi na zgłoszenie: ocena, planowanie, śledztwo, podejmowanie decyzji oraz zamknięcie sprawy. Artykuł podkreśla znaczenie uzyskania zgody sygnalisty na wykorzystanie lub ujawnienie jego tożsamości jako części procesu oceny, śledztwa i raportowania, oraz wyjaśnienia z góry, jak będzie chroniona jego poufność. Zgodnie z publikacją, zakres wymaganej zgody zależy od konkretnych faktów każdego przypadku.

Autorzy argumentują, że procedural fairness jest fundamentalnym tenetem procesu śledczego. Artykuł wskazuje na rosnącą praktykę wysokiej jakości programów: „coraz bardziej powszechną cechą organizacji o wysokowydajnym procesie śledczym whistleblowerskim jest włączenie ocen ryzyka w celu określenia prawdopodobieństwa, że sygnalista zostanie poddany detriment”. Ocena ryzyka powinna być solidna i koncentrować się na prawdopodobieństwie jakiejkolwiek potencjalnej szkody dla sygnalisty, włączając ryzyka odwetu, wiktymizacji, nękania lub niekorzystnych zmian w warunkach zatrudnienia.

Publikacja podkreśla również znaczenie terminowości śledztw: „cel 90 dni na zakończenie śledztwa jest generalnie uznawany za właściwy, przy czym należy zauważyć, że opóźnienia są często korelowane ze słabymi wynikami i wyższym stresem uczestników”.

whistleblowing

Perspektywa norm ISO

ISO 37002 – Operacjonalizacja systemu whistleblowingu

Artykuł wskazuje na potrzebę wielokanałowego modelu raportowania z jasną ochroną poufności sygnalistów, co znajduje szczegółową operacjonalizację w ISO 37002. Norma definiuje kompleksowy system zarządzania zgłoszeniami nieprawidłowości, obejmujący mechanizmy oceny ryzyka detrimental conduct wobec sygnalisty. W kontekście tez publikacji o konieczności „oceny prawdopodobieństwa, że whistleblower zostanie poddany detriment”, ISO 37002 dostarcza ustrukturyzowanych wytycznych, jak taka ocena powinna przebiegać, uwzględniając pytania takie jak: kto jeszcze zna lub ma dostęp do informacji, jaki jest związek sygnalisty z podmiotem zgłoszenia, czy sygnalista obawia się detriment i czy detrimental conduct już wystąpił.

Publikacja podkreśla znaczenie szkoleń dla odbiorców zgłoszeń w zakresie ich obowiązków, szczególnie odnośnie poufności sygnalistów. ISO 37002 adresuje to wprost, wymagając szkoleń dla governing body, top management, whistleblowing management function oraz menedżerów i osób mających role i odpowiedzialności w ramach systemu. Szkolenia powinny obejmować zakres wrongdoing w ramach polityki, kanały raportowania, czego sygnalista może oczekiwać od polityki oraz jak będzie oceniany i rozpatrywany raport wrongdoing.

ISO 37301 – Integracja z systemem compliance

Autorzy argumentują, że program whistleblowerski musi być zintegrowany z szerszymi ramami compliance, audytu i ryzyka oraz działać jako system wczesnego ostrzegania. ISO 37301 operacjonalizuje tę potrzebę, definiując whistleblowing jako część mechanizmu raising concerns w ramach compliance management system. Norma wskazuje: „nawet gdy nie jest to wymagane przez lokalne regulacje, organizacje powinny rozważyć opracowanie mechanizmu whistleblowerskiego pozwalającego na anonimowość lub poufność, dzięki któremu pracownicy i agenci organizacji mogą zgłaszać lub szukać wytycznych dotyczących noncompliance bez obawy przed odwetem”.

Publikacja podkreśla konieczność „dobrze funkcjonującego mechanizmu dla terminowego i dokładnego badania jakichkolwiek zarzutów lub podejrzeń misconduct przez organizację”. ISO 37301 dostarcza ramy dla investigation processes, wymagając, aby śledztwa identyfikowały root causes of misconduct, luki w systemie compliance oraz braki w accountability, w tym wśród menedżerów, top management i governing body. Norma podkreśla również znaczenie thoughtful root-cause analysis, która adresuje zasięg i wszechobecność noncompliance.

ISO 37001 – Walka z korupcją poprzez whistleblowing

Publikacja rozpoczyna się stwierdzeniem kluczowym: „regulatorzy na całym świecie coraz częściej postrzegają whistleblowing jako niezbędny mechanizm kontrolny w walce z oszustwami, korupcją i innymi formami nadużyć korporacyjnych”. ISO 37001 bezpośrednio adresuje tę rolę whistleblowingu w kontekście systemów antykorupcyjnych. Norma wymaga wdrożenia procedur umożliwiających personelowi oraz innym osobom działającym w imieniu organizacji lub w związku z nią zgłaszanie podejrzeń bribery poufnie i bez obawy przed odwetem.

W kontekście tez artykułu o konieczności prowadzenia fair i independent investigations, ISO 37001 określa szczegółowe wymogi procesowe: śledztwo powinno być przeprowadzone przez osobę, która nie była zaangażowana w sprawę, może to być anti-bribery function, audyt wewnętrzny, inny właściwy menedżer lub właściwa strona trzecia. Osoba prowadząca śledztwo powinna otrzymać odpowiednie uprawnienia, zasoby i dostęp od top management, aby umożliwić efektywne przeprowadzenie dochodzenia.

Publikacja podkreśla znaczenie follow-up actions po zakończeniu śledztwa. ISO 37001 operacjonalizuje to wymaganie, wskazując konkretne działania, które organizacja powinna rozważyć w zależności od okoliczności i powagi sprawy, takie jak: zakończenie, wycofanie się lub modyfikacja zaangażowania organizacji w projekt, transakcję lub kontrakt, zwrot lub odzyskanie jakiejkolwiek niewłaściwej korzyści, zdyscyplinowanie odpowiedzialnego personelu, zgłoszenie sprawy władzom oraz przegląd procedur antykorupcyjnych w celu zbadania, czy problem powstał z powodu jakiejś nieadekwatności w procedurach.

Praktyczne implikacje

Synteza źródła i perspektywy normatywnej prowadzi do kilku kluczowych wniosków praktycznych dla audytorów, menedżerów systemów zarządzania i członków zarządów. Po pierwsze, organizacje powinny przeprowadzić gap analysis swojego aktualnego programu whistleblowerskiego w odniesieniu do wymogów ISO 37002, koncentrując się szczególnie na mechanizmach oceny ryzyka detriment dla sygnalistów oraz na szkoleniach dla osób odbierających zgłoszenia. Jak wskazuje publikacja, problem zbyt wielu wewnętrznych odbiorców zgłoszeń można rozwiązać poprzez implementację ściśle zdefiniowanych ról zgodnie z wymogami normatywnymi.

Po drugie, organizacje powinny zintegrować swój program whistleblowerski z szerszym systemem zarządzania compliance zgodnie z ISO 37301, tworząc mechanizmy, które pozwolą na analizę zgłoszeń whistleblowerskich w połączeniu z raportowaniem incydentów oraz wynikami ankiet pracowniczych. Ta integracja umożliwi identyfikację emerging compliance trends, o której pisze publikacja jako o kluczowej wartości programu whistleblowerskiego.

Po trzecie, dla organizacji działających w środowiskach wysokiego ryzyka korupcyjnego, implementacja ISO 37001 dostarcza ustrukturyzowanych ram, które operacjonalizują rolę whistleblowingu opisaną w publikacji jako „niezbędny mechanizm kontrolny w walce z oszustwami i korupcją”. Norma zapewnia konkretne procedury śledcze oraz wymogi follow-up actions, które adresują lukę między deklarowaną polityką a rzeczywistą praktyką.

Kluczowym działaniem jest również wdrożenie regularnego raportowania do zarządu zgodnie z wytycznymi ASIC Report 758, które publikacja przytacza. Raportowanie powinno obejmować liczbę i charakter otrzymanych zgłoszeń, kanały, przez które zgłoszenia zostały otrzymane, wyniki śledztw, ramy czasowe oraz zidentyfikowane problemy. ISO 37002 dostarcza szczegółowych wytycznych dotyczących tego, co powinno być raportowane i w jaki sposób utrzymywać równowagę między transparentnością a ochroną poufności sygnalistów.

Podsumowanie

Artykuł autorstwa Amandy Lyras i Daniela Bartletta demonstruje, że skuteczne programy whistleblowerskie obecnie znajdują się na przecięciu prawa, governance i kultury organizacyjnej. Publikacja podkreśla dwie fundamentalne potrzeby: wdrożenie programów spełniających wymogi prawne i budujących zaufanie oraz wyposażenie organizacji w kompetencje do rzetelnego reagowania na zgłoszenia. Normy ISO 37002, ISO 37301 i ISO 37001 operacjonalizują te postulaty, dostarczając ustrukturyzowanych ram dla systemów zarządzania whistleblowingiem, compliance oraz walki z korupcją. Jak konkludują autorzy: „doświadczenie organizacji z dojrzałymi programami whistleblowerskimi demonstruje, że solidne programy wspierają, a nie utrudniają, efektywność operacyjną”. Dla audytorów i menedżerów systemów zarządzania oznacza to jasne przesłanie: inwestycja w kompleksowy program whistleblowerski oparty na międzynarodowych standardach to inwestycja w system wczesnego ostrzegania, który chroni interesy i reputację organizacji.

FAQ - Skuteczny program ochrony sygnalistów

Whistleblowing to mechanizm umożliwiający pracownikom i innym osobom związanym z organizacją zgłaszanie podejrzeń nadużyć, korupcji lub innych nieprawidłowości bez obawy przed odwetem. Jest to kluczowy mechanizm kontrolny, który pozwala organizacjom wykrywać problemy we wczesnym stadium, zanim przerodzą się w poważne kryzysy regulacyjne, prawne lub reputacyjne. Regulatorzy na całym świecie uznają whistleblowing za niezbędny element governance i compliance.

Trzy kluczowe normy ISO adresują whistleblowing:

- ISO 37002 – dostarcza kompleksowe wytyczne dotyczące systemu zarządzania zgłoszeniami nieprawidłowości

- ISO 37301 – integruje whistleblowing z szerszym systemem zarządzania compliance

- ISO 37001 – określa wymogi dla whistleblowingu w kontekście systemów antykorupcyjnych

Normy te dostarczają ustrukturyzowanych ram operacyjnych dla organizacji wdrażających programy ochrony sygnalistów.

Według międzynarodowych best practices, skuteczny program whistleblowerski opiera się na sześciu filarach:

  • Silne fundamenty – compliantna polityka whistleblowerska i przeszkolony personel
  • Widoczne przywództwo – zaangażowanie zarządu i top management
  • Świadomość personelu – regularne szkolenia i komunikacja
  • Godne zaufania kanały raportowania – wielokanałowy model (wewnętrzne linie, portale, zewnętrzni dostawcy)
  • Obiektywne i uczciwe śledztwa – procedural fairness i ochrona przed detriment
  • Konsekwentny pomiar z nadzorem zarządu – regularne raportowanie i analiza danych

Ochrona sygnalistów wymaga wielowarstwowego podejścia:

  • Zapewnienie anonimowości lub poufności zgłoszeń (w zależności od wyboru sygnalisty)
  • Ograniczenie liczby osób odbierających zgłoszenia do przeszkolonych kluczowych odbiorców
  • Przeprowadzenie oceny ryzyka detriment dla sygnalisty na początku i okresowo w trakcie śledztwa
  • Wdrożenie środków ochronnych (np. zmiana linii raportowania, wsparcie psychologiczne, urlopy)
  • - Przestrzeganie surowych procedur zachowania poufności informacji identyfikujących

Norma ISO 37002 dostarcza szczegółowych wytycznych dotyczących assessing and preventing risks of detrimental conduct.

Zarząd (board) ponosi ostateczną odpowiedzialność za program whistleblowerski w organizacji. Jego rola obejmuje:

  • Nadzór nad wdrożeniem i funkcjonowaniem programu
  • Otrzymywanie regularnych, strukturalnych raportów (minimum kwartalnie) o liczbie i charakterze zgłoszeń, wynikach śledztw oraz zidentyfikowanych emerging risks
  • Zapewnienie, że program jest zintegrowany z szerszymi ramami compliance, audytu i zarządzania ryzykiem
  • Demonstrowanie zaangażowania w kulturę "safe to speak up" poprzez widoczne przywództwo

Regulatorzy, tacy jak australijski ASIC, konsekwentnie podkreślają accountability zarządu jako kluczowy element skutecznego programu.

Bibliografia

Oficjalne dokumenty:

Publikacje eksperckie:

Dodatkowe materiały:

Przewijanie do góry