Whistleblowing – ryzyko czy szansa dla firm?
Ochrona sygnalistów, czyli osób zgłaszających nieprawidłowości w organizacji, stała się jednym z nowych obowiązków podmiotów prywatnych i państwowych, w tym firm, urzędów czy innych instytucji w Polsce. Choć czynność polegająca na informowaniu o przypadku łamania prawa (z ang. whistleblowing) budzi niekiedy kontrowersje, to stanowi ona ważne narzędzie ochrony interesów nie tylko pracowników, ale także samej organizacji.
Pojęcie whistleblowingu powstało we wczesnych latach 70. XX wieku w Stanach Zjednoczonych. Za jego autora uznaje się Ralpha Nadera, który nawoływał do informowania o nadużyciach w korporacjach. W najprostszym tłumaczeniu hasło to oznacza ujawnienie nielegalnych, nieetycznych czy niebezpiecznych praktyk mających miejsce w organizacji. Osoba zgłaszająca tego typu działania nosi nazwę sygnalisty. Zgłaszanie nieprawidłowości może przybrać formę wewnętrzną, gdy raportowanie odbywa się w ramach danej organizacji oraz zewnętrzną, gdy informacje przekazywane są do niezależnej instytucji, np. regulatora, urzędu lub do mediów. W kolejnych latach whistleblowing stał się coraz ważniejszym elementem mechanizmów wykrywania oraz przeciwdziałania naruszeniom i znalazł swoje odzwierciedlenie m.in. w prawie bankowym, ustawie AML (Anti-Money-Laundering) czy regulacji Sarbanes-Oxley Act (SOX) obowiązującej w odniesieniu do firm działających w USA lub przeprowadzających transakcje z amerykańskimi podmiotami. Oznacza to, że firmy funkcjonujące w niektórych branżach i na niektórych rynkach musiały posiadać określone procedury i narzędzia do zbierania informacji o nieprawidłowościach oraz prowadzić działania wyjaśniające. Wprowadzenie nowych przepisów było efektem nadużyć, które ujrzały światło dzienne, a sztandarowym przykładem była właśnie amerykańska ustawa SOX, która powstała po ogromnym skandalu związanym z firmą energetyczną Enron. Wynikiem tego było bankructwo spółki, a ona sama stała się symbolem korupcji i kreatywnej księgowości. Inwestorzy ponieśli gigantyczne straty na inwestycjach w akcje i obligacje firmy. Tysiące pracowników straciło pracę. Z rynku audytorskiego zniknął Arthur Andersen. Skompromitowały się agencje ratingowe i biura maklerskie. Część zarządzających trafiła do aresztu. W toku śledztwa okazało się, że nieprawidłowości księgowe były wcześniej anonimowo zgłoszone ówczesnemu prezesowi firmy przez sygnalistkę – wiceprezes ds. rozwoju w Enronie.
Wprowadzenie procedur whistleblowingowych okazuje się jednak krokiem niewystarczającym, bowiem sygnaliści, w wyniku ujawniania przez siebie informacji o wystąpieniu nadużyć, spotykają się z działaniami odwetowymi ze strony organizacji lub przełożonych. Na potwierdzenie tego można przytoczyć wyniki badania, jakie przeprowadziła wiosną 2021 r. agencja badawcza ARC Rynek i Opinia, na zlecenie braf.tech. Respondenci wskazali w nim, że w wyniku zgłoszenia 55 proc. z nich doświadczyło negatywnych konsekwencji ze strony pracodawcy lub zna taki przypadek w odniesieniu do innej osoby. W prawie połowie sytuacji efektem było zwolnienie z pracy. Obawa przed konsekwencjami służbowymi stała się więc dużym problemem, który sprawia, że pracownicy nie decydują się na raportowanie nieprawidłowości, więc whistleblowing nie funkcjonuje – we wspomnianym już badaniu taki powód podało aż 69 proc. uczestników ankiety.
Wprowadzenie nowych przepisów było efektem nadużyć, które ujrzały światło dzienne, a sztandarowym przykładem była właśnie amerykańska ustawa SOX, która powstała po ogromnym skandalu związanym z firmą energetyczną Enron. Wynikiem tego było bankructwo spółki, a ona sama stała się symbolem korupcji i kreatywnej księgowości.
Ochrona sygnalistów
Działania odwetowe kierowane wobec sygnalistów i niska efektywność procedur whistleblowingowych sprawiły, że konieczne stało się wprowadzenie mechanizmów prawnych, które zagwarantują ochronę raportujacych. W ten sposób powstała Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwana powszechnie dyrektywą o ochronie sygnalistów. Od 17 grudnia 2021 roku obowiązuje ona podmioty działające na terenie wspólnoty (firmy prywatne zatrudniające ponad 250 osób, wszystkie podmioty prawne z sektora publicznego, podmioty działające w sektorze finansowym), a za kolejne 2 lata obejmie swoim działaniem następną grupę organizacji (firmy prywatne zatrudniające od 50 do 249 osób). W sumie będzie dotyczyć blisko 142 tysięcy podmiotów w Polsce! W związku z brakiem umocowania nowych regulacji w prawie lokalnym poprzez krajowe ustawy przepisy te nie w weszły w życie w Polsce i innych 23 krajach UE (stan na 1 kwietnia 2022 r.), jednak kwestią czasu jest, że taka ustawa będzie uchwalona. Pierwszy jej projekt ujrzał światło dzienne w październiku 2021 r.
Dyrektywa UE – główne założenia
Główne wymagania wobec podmiotów objętych działaniem nowych przepisów, które zostały wymienione powyżej, to stworzenie systemu whistleblowingowego, czyli odpowiednich procedur i wewnętrznych kanałów komunikacji do zgłaszania nieprawidłowości, wyznaczenie osób lub działów w organizacji odpowiedzialnych za przyjmowanie i przetwarzanie zgłoszeń, a także prowadzenie działań następczych – wyjaśniających. Ten ostatni element jest niezwykle ważny, bowiem jak wskazali pracownicy w badaniu ARC, 44 proc. z nich nie decyduje się na dokonanie zgłoszenia, bo uważa, że nie przyniosą one żadnych skutków. W efekcie taki system nie będzie działał efektywnie. Dyrektywa wskazuje również, że sygnalistą podlegającym ochronie może być praktycznie każdy – pracownik, współpracownik, klient, akcjonariusz, dostawca, kontrahent, a nawet kandydat do pracy czy osoba trzecia, mająca styczność z organizacją. Przedmiotem zgłoszenia kwalifikującym do ochrony mogą być m.in. nadużycia finansowe, łamanie przepisów dot. zamówień publicznych, prawa pracy, ochrony środowiska, BHP, RODO, zdrowia publicznego czy ochrony konsumentów.
Kanał komunikacji dla sygnalistów
Jednym z najważniejszych elementów systemu whistleblowingowego jest wewnętrzny kanał komunikacji do zgłaszania nieprawidłowości. Dyrektywa jako główne cechy kanału określa kryteria funkcjonalne oraz techniczne. Kanał musi pozwalać na dwustronną komunikację pomiędzy sygnalistą a firmą, zapewniać ochronę danych przekazywanych w ramach zgłoszenia oraz ochronę poufności tożsamości osoby zgłaszającej. W dużym skrócie – sygnalista powinien mieć możliwość otrzymania informacji o przyjęciu zgłoszenia, statusie sprawy, działaniach następczych podjętych lub planowanych w związku ze zgłoszeniem oraz przekazania dodatkowych informacji w późniejszym etapie postępowania, a wszelkie dane muszą być doskonale chronione przed dostępem osób trzecich. Tożsamość sygnalisty musi być ściśle chroniona – mogą ją znać tylko osoby przyjmujące zgłoszenie i prowadzące działania wyjaśniające. Zarówno dane sprawy uzyskane w procesie sygnalizowania, jak i dane osoby zgłaszającej oraz – potencjalnie – dane osoby podanej w zgłoszeniu jako sprawca działania lub zaniechania muszą być przetwarzane zgodnie z RODO. Cechą kanału może być także możliwość składania zgłoszeń w pełni anonimowo. Zarówno dyrektywa, jak i ostatni znany projekt polskiej ustawy zakładają dowolność w tym zakresie, ale warto przywołać ponownie badanie ARC – 70 proc. pracowników oczekuje od systemu whistleblowingowego możliwości składania zgłoszeń anonimowo, co warunkuje ich skłonność do sygnalizowania nieprawidłowości w przyszłości.
Bazując na wymaganiach prawnych i biorąc pod uwagę oczekiwania samych pracowników, wydaje się, że najlepszą i najbardziej praktyczną formą kanału komunikacji będzie ta elektroniczna, w postaci specjalnie stworzonych do tego celu aplikacji, np. whiblo. Jeszcze przed powstaniem samej dyrektywy UE, dominującymi sposobami do zbierania zgłoszeń były raczej te analogowe. W głównej mierze były do tego celu wykorzystywane skrzynki na listy lub przekazy ustne w formie rozmów osobistych czy na infolinii. Jednakże nie spełniają one większości warunków określonych przepisami, czyli nie gwarantują ochrony prywatności. Ponadto nie są zgodne z RODO i nie dają możliwości dwustronnej komunikacji. Wady mają również popularne skrzynki e-mail, bowiem są podatne na włamania, trudno jest kontrolować dostęp do nich, monitorować czy wiadomości nie zostały skasowane przez osobę trzecią. Dodatkowo wiadomości e-mail oraz przesyłane załączniki zawierają liczne metadane pozwalające na namierzenie autora lub komputera, z którego były wysłane. Dobrze zaprojektowany system informatyczny czy aplikacja są pozbawione tych ograniczeń. Ponadto pozwalają na automatyzację, łatwiejsze zarządzanie procesem odbioru i przetwarzania zgłoszeń, większe bezpieczeństwo danych oraz eliminację błędów.
Wydaje się, że najlepszą i najbardziej praktyczną formą kanału komunikacji będzie ta elektroniczna, w postaci specjalnie stworzonych do tego celu aplikacji.
Szansa, a nie zagrożenie!
Wdrożenie wewnętrznych procedur i kanałów komunikacji dla sygnalistów to nie tylko konieczność wypełnienia obowiązku wynikającego z nowych regulacji. Przede wszystkim pracodawcy zyskują narzędzie wspierające ich w zarządzaniu ryzykiem. Wczesne wykrycie, a następnie rozwiązanie problemu w firmie, może uchronić ich przed upublicznieniem informacji godzących w reputację firmy, co w efekcie mogłoby spowodować straty wizerunkowe i finansowe. Warto wspomnieć też, że dyrektywa oraz projekt polskiej ustawy zakładają uprzywilejowanie wewnętrznego kanału, czyli sygnalista w pierwszej kolejności powinien dokonywać zgłoszeń w ramach organizacji, w której dochodzi do nadużyć, a dopiero wobec braku podjętych działań, decydować się na informowanie organów państwowych czy mediów. Oznacza to, że stosując odpowiednie procedury i wykazując dobrą wolę, tj. rozwiązując problemy, firma czy instytucja może znacznie ograniczyć ryzyko ujawnienia sytuacji na zewnątrz. W historii znamy wiele przypadków dużych korporacji, gdy brak systemu lub nieefektywne procedury spowodowały ujawnienie nadużyć i w efekcie ogromne afery, straty wizerunkowe i finansowe liczone w dziesiątkach lub setkach milionów dolarów. Tym najbardziej znanym jest oczywiście wspomniany Enron, ale wszyscy pamiętamy też głośne sprawy z ostatnich lat dotyczące Volkswagena, Siemensa czy ostatnio Facebooka.
Straty generowane w wyniku ujawnienia nieprawidłowości to jedna kwestia, ale co jeśli organizacja nie ma świadomości swoich wewnętrznych problemów? PwC w Światowym badaniu przestępstw gospodarczych 2020 podaje, że aż 46 proc. przedsiębiorstw w Polsce dotknęła przestępczość gospodarcza, a co 3 polska firma zanotowała straty powyżej 4 mln zł w okresie 24 miesięcy poprzedzających badanie. Co więcej, wg. „Raport to the Nations ACFE” z 2022 r., organizacje posiadające procedury whistleblowingowe zanotowały aż o 50% mniej strat w stosunku do firm, które takich procedur nie posiadały.
Ostatni aspekt, o którym warto wspomnieć w kontekście korzyści dla organizacji, to jej rozwój zgodnie z trendami HR. Aktualnie wielu pracodawców ma duży problem z pozyskiwaniem pracowników, w związku z czym firmy zaczęły przykładać dużo większą wagę do swojej reputacji i wizerunku wśród kandydatów. Zbieranie zgłoszeń, a w konsekwencji rozwiązywanie ewentualnych problemów, jest więc dobrym narzędziem wspierającym ochronę wizerunku oraz budowanie kultury organizacji opartej na zaufaniu i słuchającej głosu pracowników.
Nieprawidłowości mogą zdarzyć się w każdej organizacji niezależnie od branży, skali działalności, lokalizacji czy wielkości zatrudnienia. Tylko od odpowiedniego podejścia pracodawcy zależy, czy takie problemy będą zgłaszane i rozwiązywanie wewnętrznie, czy jednak zostaną upublicznione, przyczyniając się poważnych konsekwencji dla przedsiębiorstwa. Dobrą reputację często buduje się latami, ale można ją stracić w mgnieniu oka. Whistleblowing temu właśnie służy – pomaga wychwytywać i wzmacniać słabsze obszary firmy.