ISO 37002, czyli nowe wytyczne o sygnalistach
Redakcja PIT.plOd 17 grudnia 2021 r. częściowo zaczęły obowiązywać przepisy unijnej dyrektywy o ochronie sygnalistów. Czekamy również na jej implementację, co może nastąpić w niedługim czasie, gdyż opublikowany został pod koniec zeszłego roku projekt ustawy.
Organizacje, które zdecydowały się już teraz wdrożyć systemy ochrony sygnalistów, mogą szukać pomocy w, niedawno opublikowanych przez komitet ISO/TC309, wytycznych ISO 37002:2021 - Whistleblowing management systems - Guidelines, czyli wytycznych dotyczących systemów zarządzania zgłaszaniem nieprawidłowości.
Jakie organizacje mogą je wykorzystać?
Wytyczne ISO 37002 stworzone zostały w taki sposób, aby można było je użyć tak naprawdę w każdej organizacji. Sama Międzynarodowa Organizacja Normalizacyjna wskazuje, że mają one charakter ogólny i mają zastosowanie do wszystkich organizacji, niezależnie od rodzaju, wielkości, charakteru działalności, a także rodzaju sektora - publicznego, prywatnego lub non-profit [1].
Kto to jest sygnalista?
Sygnalista to demaskator, osoba, która bez żadnych konsekwencji prawnych, zgłasza i nagłaśnia nieprawidłowości, naruszenia przepisów czy korupcję w firmie, w której pracuje. Z angielskiego whistleblower to dosłownie „człowiek dmuchający w gwizdek”.
Często panuje mylne przekonanie, że budowanie systemów compliance (m. in. AML, RODO, procedury antymobbingowe i antydyskryminacyjne, sygnaliści) opartych na normach i wytycznych ISO jest możliwe tylko dla firm z rozbudowaną strukturą i dysponujących dużymi środkami pieniężnymi lub zasobami. Jednak jak wyżej zostało wskazane, absolutnie tak nie jest, a stosowanie standardów ISO jest dobrą praktyką, która pomaga zbudować efektywny system.
Co zawierają wytyczne?
Dokument zawiera wskazówki dotyczące ustanowienia, wdrożenia, utrzymania i doskonalenia systemu zarządzania zgłaszaniem nieprawidłowości. Zaleca się, aby praca nad wdrożeniem systemu oparta była na popularnym Cyklu Deminga (Plan-Do-Check-Act).
Wytyczne oparte zostały na trzech głównych zasadach - ochrony, zaufania i bezstronności oraz obejmują cztery główne etapy
- otrzymywanie zgłoszeń o nieprawidłowościach;
- ocena otrzymanych zgłoszeń;
- reagowanie na zgłoszenia;
- zamykanie zgłoszeń sygnalistów.
Certyfikacja
Wytyczne dotyczące systemów zarządzania zgłaszaniem nieprawidłowości nie zostały zaprojektowane do certyfikacji, a więc nie będzie możliwe uzyskanie od niezależnego podmiotu posiadającego akredytację potwierdzenia skutecznego wdrożenia ISO 37002.
Podsumowanie
Wykorzystywanie norm i wytycznych ISO przy projektowaniu i wdrażaniu systemów zgodności (compliance) jest bardzo wartościowe. Nie tylko pomagają zbudować efektywny system, ale dodatkowo są bardzo cenione przez organy nadzorcze (jak w przypadku UODO i norm ISO 27001 i 27701) oraz budują wśród klientów i kontrahentów pozytywny wizerunek organizacji godnej zaufania.
Praktyczne zastosowanie wytycznych dotyczących systemów zarządzania zgłaszaniem nieprawidłowości wyraża się we wdrożeniach, do których bardzo wiele organizacji będzie zmuszona przez przepisy unijnej dyrektywy. Wytyczne ISO w bardzo wielu elementach są komplementarne z jej wymaganiami, a czasami również stawiają wyższe wymagania lub uszczegóławiają pewne założenia. Dodatkowo wskazują na konieczność dopasowania wytycznych do specyfiki i kontekstu (w tym prawnego) organizacji.
System zarządzania zgłaszaniem nieprawidłowości może być wdrożony samodzielnie lub użyty jako część ogólnego systemu zarządzania zgodnością w organizacji. Wytyczne ISO 37002 są doskonałym dopełnieniem ISO 37001 (systemy przeciwdziałania korupcji) oraz ISO 37301 (systemy compliance). Niestety wytyczne ISO 37002 dotyczące sygnalistów nie zostały jeszcze ujęte w programie tłumaczeń PKN, a więc na razie trzeba korzystać z wersji anglojęzycznej.
https://www.iso.org/standard/65035.html
Autor: Paweł Kaczmarek, kancelaria Graś i Wspólnicy