Whistleblowing – hasło miesiąca

Niewątpliwie temat sygnalistów jest teraz na topie. Powodem takiego stanu rzeczy jest na pewno zbliżający się termin wdrożenia w życie unijnej dyrektywy (17 grudnia) oraz opublikowany przed chwilą projekt polskiej ustawy wdrażający tę dyrektywę w naszym kraju. Mamy od tego tematu coraz więcej ekspertów, komentarzy, rad, itp.

A gdybyśmy spojrzeli na ten temat trochę szerzej? Gdyby takim hasłem miesiąca nie był ‘sygnalista’ ale ‘szef zapewnienia zgodności’ (czyli popularny ‘compliance officer’)? A może drugie słowo – klucz: ‘integracja’? O czym mówię? O compliance jako o systemie, który spina w organizacji wszystkie wątki związane z zapewnieniem zgodności z przepisami nas obowiązującymi (choć nie tylko chodzi tu o regulacje prawne, ale o tym może przy następnej okazji).

Wszyscy wiemy, że obowiązują nas określone przepisy prawne, i wg tych norm prowadzimy swoje biznesy. Ale już nie zawsze mamy świadomość ich zmian i zachodzących pomiędzy poszczególnymi przepisami korelacji. Otoczenie prawne nie jest jedyne, które wpływa na naszą organizację. Mamy określoną sytuację społeczną, polityczną, własną kulturę organizacyjną, itp., a to też ulega zmianie i też warto te zmiany śledzić i analizować.

Odbiegam od tematu sygnalistów? NIE! Zgłaszanie naruszeń będzie takim samym obowiązkiem prawnym jak przestrzeganie zapisów RODO, Kodeksu Handlowego, Kodeksu Pracy i wielu innych przepisów. Będzie też świetnym wyznacznikiem naszej kultury organizacyjnej. Co zrobić, aby whistleblowing nie był kolejnym ‘półkownikiem’ (kupioną, nieużywaną procedurą leżącą na półce) a działaniem nas wspomagającym? Co zrobić, aby nie powstał w firmie kolejny mini-silos wiedzy, kompetencji, wpływów? Twórzmy proces zgodności, a nie tylko sygnalistów.

Po pierwsze, korzystajmy z tego co mamy. Compliance wiąże w sobie wiele wątków, ten prawniczy jest najbardziej widoczny, ale nie jest jedyny. Mamy też regulacje księgowe, podatkowe, mamy wymagania naszych klientów, kontrahentów, mamy standardy (branżowe, międzynarodowe). To już wymogło na nas jakieś procesy analizy, weryfikacji, działania wg. określonych norm. Może my już mamy jakieś analizy ryzyka, kanały zgłoszeń tylko prowadzone w ramach innych procesów? Może wystarczy te elementy połączyć na nowo i osiągniemy z tego tytułu nową wartość?

Po drugie, integrujmy. System zgłaszania naruszeń może być wciągnięty w programy AML (jeśli je mamy), albo ich zaczątkiem. Jeśli do zgłaszania naruszeń użyjemy systemu IT, należy wykonać DPIA (czyli sięgamy do RODO). Zweryfikujmy, czy działania prowadzone w ramach różnych procesów nie dublują nam się, czy nie prowadzimy np. analizy ryzyka w różnych skalach, bo raz ocenia to radca prawny, a raz IOD-a. Jeśli mamy kanał zgłaszania incydentów bezpieczeństwa (RODO, ISO 27001), może warto i można go wykorzystać i w tym procesie?

Poniżej propozycja wykorzystania standardów ISO – coraz szerzej i częściej wykorzystywane, mogą być bazą dla naszego compliance.

Normy ISO do wykorzystania dla budowy systemu compliance

 

Grafika poszerzona o normy z rodziny 22300, 31000 i 29000 – ISO-wsparcie

Ten post ma jeden komentarz

  1. Grzegorz Pająk

    Po publikacji tego grafu na in pojawiło się sporo komentarzy, mówiących, że to mało ;). Rzeczywiście wskazałem tutaj tylko kilka ostatnio najczęściej wspominanych norm dotyczących compliance i RODO. Ale norm, z których można korzystać przy budowie systemów zgodności i bezpieczeństwa w firmie, jest dużo więcej. A kluczem do korzystania z konkretnych dokumentów jest specyfika naszej własnej organizacji, naszego produktu, potrzeb naszych klientów.

    Pod publikacją dostępny jest link do poszerzonego grafu o normy z rodziny 29000, 22300 i 31000. Zrobił się większy, do obejrzenia 3 strony – każdy powinien wybrać coś dla siebie.
    Grzegorz Pająk

Dodaj komentarz