To ważne, ale… najczęściej niewystarczające, bo kanał zgłoszeniowy oraz zbiór procedur to dopiero początek. O tym, czy organizacja rzeczywiście potrafi prawidłowo reagować na nadużycia, decydują pierwsze godziny po zgłoszeniu.
Spis treści
- Czy wdrożenie samej procedury zgłoszenia nadużycia jest wystarczające?
- Jak przyjąć zgłoszenie o potencjalnym naruszeniu tak, aby go nie „spalić”?
- Błąd pierwszy: po zgłoszeniu sygnalisty przekazanie sprawy osobie, która organizacyjnie odpowiada za obszar objęty zarzutem
- Błąd drugi: rozmowy wyjaśniające przed zabezpieczeniem dowodów
- Błąd trzeci: zbyt szerokie informowanie osób w organizacji
- Dlaczego czas reakcji po zgłoszeniu sygnalisty ma znaczenie?
- Rola niezależnego audytu śledczego po zgłoszeniu sygnalisty
Czy wdrożenie samej procedury zgłoszenia nadużycia jest wystarczające?
Ważny fragment
Polska ustawa o ochronie sygnalistów wprowadziła obowiązek posiadania procedury zgłoszeń wewnętrznych dla wielu organizacji. Co do zasady dotyczy to podmiotów, na rzecz których wykonuje pracę zarobkową co najmniej 50 osób, choć w niektórych sektorach np. finansowym, bezpieczeństwa transportu czy ochrony środowiska, próg ten nie ma zastosowania.
Ustawa mówi jednak nie tylko o samym przyjmowaniu zgłoszeń. Równie istotne są działania następcze, czyli czynności zmierzające do oceny prawdziwości informacji i przeciwdziałania naruszeniu prawa.
I właśnie na tym etapie zaczyna się najważniejszy problem praktyczny. Organizacja może posiadać wzorcowy regulamin, specjalną skrzynkę e-mailową, odpowiednio przygotowany formularz, a nawet zewnętrzną, bezpieczną platformę oraz formalnie wyznaczone osoby do obsługi zgłoszeń. Nie oznacza to jednak jeszcze, że potrafi profesjonalnie zbadać sprawę. Prawdziwym testem nie jest samo przyjęcie zgłoszenia, lecz to, co dzieje się później. A w tym przypadku najczęściej kluczowe okazuje się doświadczenie.
Jak przyjąć zgłoszenie o potencjalnym naruszeniu tak, aby go nie „spalić”?
Przypomnijmy tutaj o normie ISO 37002:2021 – międzynarodowym standardzie, który zawiera wytyczne w zakresie ustanawiania, wdrażania i utrzymywania skutecznego systemu zarządzania zgłoszeniami o nieprawidłowościach, opartego na zasadach zaufania, bezstronności i ochrony. Opisuje on system zarządzania zgłoszeniami w czterech krokach: przyjęcie zgłoszenia, ocena, zajęcie się sprawą oraz zamknięcie sprawy. W języku audytu śledczego można to sprowadzić do sekwencji: receive, assess, investigate, conclude. Każdy z tych etapów wymaga innego podejścia i sposobu myślenia.
Ważny fragment
Jest to istotne także dlatego, że zgłoszenia są jednym z najważniejszych źródeł wykrywania nadużyć. Według ACFE w raporcie „Occupational Fraud 2026”, aż 43 procent analizowanych fraudów wykryto dzięki zgłoszeniom sygnalistów. Oszacowano również, że standardowe nadużycia, rozpoczynały się 12 miesięcy przed ich wykryciem. Tymczasem zgłoszenie sygnalisty może wskazywać na potencjalne nieprawidłowości znacznie wcześniej. To między innymi właśnie z tego powodu zgłoszenia od sygnalistów należy traktować w sposób szczególny.
Błąd pierwszy: po zgłoszeniu sygnalisty przekazanie sprawy osobie, która organizacyjnie odpowiada za obszar objęty zarzutem
Jednym z najczęstszych błędów po zgłoszeniu jest przekazanie sprawy osobie, która organizacyjnie odpowiada za obszar objęty zarzutem. Jeżeli zgłoszenie dotyczy zakupów, trafia do szefa zakupów. Jeżeli dotyczy finansów, dostaje je dyrektor finansowy. Jeżeli dotyczy konkretnego projektu, sprawę „do wyjaśnienia” otrzymuje jego opiekun lub menedżer.
Z perspektywy zarządzania przedsiębiorstwem, wydaje się to być logiczne. Jednak z perspektywy postępowania wyjaśniającego jest mocno ryzykowne. Osoba odpowiedzialna za dany obszar może być świadkiem, uczestnikiem procesu, przełożonym osób wskazanych w zgłoszeniu, beneficjentem określonego układu decyzyjnego albo kimś, kto ma interes w ograniczeniu skali ustaleń. Nie musi być sprawcą nadużycia. Wystarczy, że jest zbyt blisko sprawy.
Dlatego pierwszym profesjonalnym krokiem powinien być niezależny triage. Trzeba ustalić, czego dotyczy zgłoszenie, jakie osoby i procesy obejmuje, czy może chodzić o naruszenie prawa, konflikt interesów, działanie na szkodę spółki, korupcję, fałszowanie dokumentów, omijanie procedur, nieprawidłowości pracownicze albo naruszenie regulacji wewnętrznych. Dopiero po takiej ocenie można zdecydować, kto powinien prowadzić sprawę, a kto nie powinien mieć do niej dostępu.
google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Błąd drugi: rozmowy wyjaśniające przed zabezpieczeniem dowodów
W wielu organizacjach pierwszą reakcją jest rozmowa. Zarząd chce wysłuchać jednej i drugiej strony, ustalić motyw i bliższe szczegóły zdarzenia, sprawdzić temat „u źródła”. Problem polega na tym, że w sprawach nadużyć rozmowa wyjaśniająca to czynność, która powinna odbyć na późniejszym etapie postępowania.
Jeżeli najpierw zapytamy osobę wskazaną w zgłoszeniu, czy dochodziło do nieprawidłowości, a dopiero później zaczniemy zabezpieczać korespondencję, dokumenty, historię akceptacji płatności, dane księgowe czy metadane plików, to sami informujemy potencjalnie podejrzane osoby, gdzie należy „posprzątać dowody”.
Standardy pracy z materiałem, zwłaszcza cyfrowym, od lat podkreślają znaczenie identyfikacji, gromadzenia, pozyskania i zabezpieczenia danych, które mogą mieć wartość dowodową. Chodzi o elementarną dyscyplinę procesu: najpierw zabezpieczyć źródła, potem rozmawiać. W praktyce oznacza to konieczność szybkiego ustalenia, gdzie mogą znajdować się istotne dane. Mogą to być skrzynki pocztowe, komunikatory, systemy finansowo-księgowe, repozytoria umów, obiegi akceptacyjne, systemy zakupowe, dyski sieciowe, służbowe laptopy, telefony, rejestry wejść, monitoring, logi dostępu, a czasem także dokumentacja papierowa. Każde z tych źródeł ma własną podatność na zmianę albo utratę.
Błąd trzeci: zbyt szerokie informowanie osób w organizacji
Postępowanie wyjaśniające powinno być poufne. Ustawa wymaga ochrony poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osób trzecich wskazanych w zgłoszeniu. Do przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych mogą być dopuszczone wyłącznie osoby upoważnione.
Jednocześnie, im więcej osób wie o zgłoszeniu, tym większe ryzyko przecieku, represji, uzgadniania wersji wydarzeń, presji na świadków lub prób przeprowadzenia nieformalnego śledztwa, prowadzonego przez przypadkowych pracowników firmy. A takie „śledztwo korytarzowe” potrafi zniweczyć możliwość odtworzenia przebiegu zdarzenia.
Zasada powinna być prosta: informację otrzymują tylko ci, którzy muszą ją znać, aby zabezpieczyć interes organizacji, ochronić sygnalistę, zachować zgodność z prawem albo podjąć konkretną czynność dowodową.
Dlaczego czas reakcji po zgłoszeniu sygnalisty ma znaczenie?
Ważny fragment
Po zgłoszeniu sygnalisty znaczenie ma nie tylko szybkość reakcji, lecz przede wszystkim jej kolejność. Pierwsze działania rzadko przesądzają o pełnym wyniku sprawy, ale często decydują o tym, czy organizacja zachowa dostęp do wiarygodnych dowodów. W tym czasie organizacja powinna wykonać kilka czynności, które wyznaczą ramę całego postępowania.
W pierwszej kolejności należy potwierdzić przyjęcie zgłoszenia, jeżeli sygnalista podał adres do kontaktu. Ustawa przewiduje na to 7 dni. Nie oznacza to jednak, że firma ma tydzień na bezczynność. Potwierdzenie jest obowiązkiem komunikacyjnym, natomiast działania zabezpieczające powinny rozpocząć się tak szybko, jak tylko to możliwe.
Równolegle trzeba przeprowadzić wstępną kwalifikację zgłoszenia: czy opis mieści się w ustawowym katalogu naruszeń prawa, czy dotyczy regulacji wewnętrznych, konfliktu interesów, nadużycia majątkowego, obszaru AML, zamówień, finansów albo bezpieczeństwa danych. Jeżeli zgłoszenie obejmuje mobbing, dyskryminację lub inne kwestie pracownicze, należy dodatkowo ustalić, czy organizacja objęła takie sprawy procedurą wewnętrzną, czy powinny być prowadzone odrębnym trybem HR lub antymobbingowym.
Następnie trzeba ocenić ryzyko odwetu. Ochrona sygnalisty rozpoczyna się od chwili dokonania zgłoszenia lub ujawnienia publicznego, jeżeli spełnione są ustawowe przesłanki. W praktyce oznacza to, że organizacja powinna od początku monitorować, czy wobec osoby zgłaszającej nie pojawiają się działania dyscyplinujące, izolujące, degradujące, pomijające przy decyzjach kadrowych albo w inny sposób pogarszające jej sytuację.
Rola niezależnego audytu śledczego po zgłoszeniu sygnalisty
Postępowanie wyjaśniające nie powinno zaczynać się od zbierania wszystkiego, co akurat jest pod ręką.
Ważny fragment
Nadmiar danych, bez konkretnego planu działania, daje złudzenie zabezpieczenia wszystkiego, co istotne, ale nie musi prowadzić do wartościowych ustaleń. Audyt śledczy porządkuje sprawę w sposób profesjonalny, ponieważ wymusza określenie wstępnych hipotez śledczych, zakresu danych, kolejności czynności, obiektywnych kryteriów oceny oraz zasad dokumentowania materiału.
Oczywiście nie każda sprawa wymaga zaangażowania zewnętrznego audytora śledczego. Proste zgłoszenia, dotyczące jasno określonych incydentów, mogą być skutecznie obsłużone wewnętrznie, jeżeli organizacja ma kompetentny i bezstronny zespół. Są jednak sytuacje, w których niezależne wsparcie staje się istotnym zabezpieczeniem interesu firmy.
Dotyczy to zwłaszcza zgłoszeń obejmujących kadrę zarządzającą, finanse, zakupy, relacje z kontrahentami, konflikty interesów, możliwe działania na szkodę spółki, manipulację dokumentacją, naruszenia regulacyjne albo sprawy, które mogą mieć dalszy ciąg przed organami ścigania, regulatorem, sądem lub ubezpieczycielem.
Rola zewnętrznego audytu śledczego nie sprowadza się wyłącznie do tego, że ktoś z zewnątrz spojrzy obiektywnie na zagadnienie. Jego znaczenie polega przede wszystkim na profesjonalnym warsztacie: zabezpieczeniu materiału, analizie danych, rekonstrukcji chronologii, ocenie spójności dokumentów, prowadzeniu rozmów wyjaśniających, analizie powiązań, jak również przygotowaniu kompletnego raportu, który jasno pokazuje przebieg postępowania wyjaśniającego od momentu zgłoszenia do przedstawienia wniosków i rekomendacji.
Nie bez znaczenia jest również to, że dobrze przeprowadzone postępowanie chroni nie tylko sygnalistę i organizację. Chroni także osoby, których zgłoszenie dotyczy. Chaotyczne wyjaśnianie sprawy może skrzywdzić zarówno zgłaszającego, jak i osoby niesłusznie wskazane w zawiadomieniu, a także ich przełożonych. Wartość niezależnego audytu śledczego polega na tym, że pozwala oddzielić przypuszczenia od ustaleń, które można potwierdzić dowodami.
Procedura zgłoszeń wewnętrznych jest koniecznym elementem systemu ochrony sygnalistów, ale nie zastępuje rzetelnego postępowania wyjaśniającego. Dla organizacji kluczowe znaczenie ma to, czy po otrzymaniu zgłoszenia potrafi ona działać w sposób uporządkowany, poufny i dowodowo bezpieczny.
W tym znaczeniu audyt śledczy pełni funkcję praktycznego zabezpieczenia całego procesu. Pozwala przejść od samego zgłoszenia do ustaleń, które można obronić przed zarządem, radą nadzorczą, prawnikiem, regulatorem albo sądem. A to właśnie jakość ustaleń decyduje o tym, czy organizacja rzeczywiście poradziła sobie ze zgłoszeniem sygnalisty.
Czytaj więcej: