Ranking kanałów zgłoszeniowych

Ocena i porównanie stosowanych i dostępnych kanałów zgłoszeniowych

Podczas wdrożeń i szkoleń przeprowadzanych u naszych klientów, prosiliśmy o wypełnienie ankiety dotyczącej dostępnych i stosowanych rozwiązań umożliwiających przyjmowanie i obsługę zgłoszeń nieprawidłowości. Wzięliśmy pod lupę do oceny pięć różnych kanałów zgłoszeniowych:

Kanał zgłoszeniowy Sygnalista24.info

Każda z cech, która podlegała ocenie, została objaśniona uczestnikom przed ankietą. Wybraliśmy do oceny te cechy, które decydują o akceptowalnym poziomem bezpieczeństwa sygnalisty i samego pracodawcy. Pytaliśmy o łatwość obsługi zgłoszenia, komunikację dwustronną, zapewnienie bezpieczeństwa przesyłanych danych i anonimowości sygnalisty. Pojawiły się również pytania dotyczące nadzoru nad zgłoszeniami, archiwizację, dostępnością danego rozwiązania oraz nakładów związanych z utrzymaniem systemu zgłaszania nieprawidłowości.

Szczegóły, co kryje się pod poszczególnymi cechami, zamieściliśmy w artykule, na blogu: Cechy kanałów zgłoszeniowych.

Kanały zgłoszeniowe. Ranking. Dlaczego dokonaliśmy oceny i porównania?

Postanowiliśmy ocenić stosowane na rynku rozwiązania, ponieważ w ustawodawstwie krajowym pojawiły się dwie niezależne ustawy, które wspominają o konieczności utworzenia wewnętrznych kanałów do zgłaszania nieprawidłowości przez sygnalistę:

  1. ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, tzw. Ustawa AML (w Polsce już od 1 marca 2018 r., z późniejszymi nowelizacjami) oraz
  2. wymagana na podstawie Dyrektywy UE, ustawa dot. ochrony osób zgłaszających nieprawidłowości, tzw. ustawa o sygnalistach (aktualnie jako projekt).

Wyniki przedstawiono w poniższej tabeli.

Typ kanału zgłoszeniowego

CECHA Skrzynka fizyczna Osobiste spotkanie Dedykowany e-mail Dedykowany telefon zaufania Aplikacja, kanał zgłoszeniowy SYGNALISTA24.info
Dostępność 24/7
Poziom bezpieczeństwa pod kątem wycieku danych, od strony sygnalisty
Poziom bezpieczeństwa pod kątem wycieku danych, w tym danych osobowych, od strony podmiotu
Szyfrowanie end-to-end
Zapewnienie bezpieczeństwa danych zgodnie z wymaganiami RODO (poufność, dostępność, integralność)
Zgodność zastosowanego rozwiązania z wymaganiami RODO (obowiązki wobec sygnalisty i osób
wymienionych w zgłoszeniu)
Zapewnienie sygnaliście poufności i anonimowości
Przyjmowanie zgłoszeń anonimowych z jednoczesnym zachowaniem wymiany korespondencji
Bezpieczna wymiana korespondencji z sygnalistą po zgłoszeniu
Przekazanie przez sygnalistę dowodu w postaci dokumentu, filmu, pliku
Pisemne potwierdzenie przekazania zgłoszenia wraz z dowodami
Przekazanie sygnaliście pisemnej informacji zwrotnej
Dostęp do historii działań związanych ze zgłoszeniem, w tym możliwość generowania pdf
Bezpieczne przydzielanie zgłoszonej sprawy do członków zespołu wyznaczonych do wykonania działań
następczych
Przydzielanie i odbieranie uprawnień koordynatorowi w pojedynczej sprawie
Automatyczna rejestracja zgłoszeń i ich archiwizacja zgodnie z wymaganiami
Rejestr zgłoszeń wg wytycznych dla wewnętrznych i zewnętrznych kanałów zgłoszeniowych, do pobrania w
pdf
Podpis uwierzytelniający pochodzenie dokumentu zgłoszenia i rejestru
Koszt utrzymania zastosowanego rozwiązania
Skala:

Próba: 168 ankiet Badanie w okresie 2.11.-24.02.2022

Porównanie i ocena kanałów zgłoszeniowych. Komentarz do rankingu

Zastosowaliśmy skalę od 1 do 10 punktów, gdzie ilość <5 jest nieakceptowana dla danej cechy. Przedstawione wyniki wskazują na kilka prawidłowości, które wynikają z zagrożeń dotyczących poufności oraz zabezpieczenia danych i ochrony sygnalisty. Wybór kanału zgłoszeniowego zadecyduje czy osiągniemy cel w postaci przyjaznego miejsca pracy z możliwością jego ciągłej poprawy, czy też ze względu na brak lub niedostateczną ochronę sygnalista przekaże posiadane informacje kanałem zewnętrznym do wyznaczonych podmiotów publicznych.

Warte podkreślenia są następujące cechy kanałów zgłoszeniowych:

  1. zapewnienie stawianych wymagań przez ustawodawcę, a więc:
    • anonimowość i poufność,
    • bezpieczeństwo danych m.in. pod kątem RODO,
    • potwierdzenie przyjęcia zgłoszenia (do 7 dni) i odpowiedź sygnaliście w wymaganym 3 miesięcznym terminie,
    • rejestr naruszeń wymagany m.in. do sprawozdań rocznych;
  2. dostępność, łatwość obsługi przy jednoczesnym zapewnieniu poufności sygnaliście;
  3. łatwość obsługi od strony podmiotu , a więc:
    • zapewnienie pełnej dwustronnej korespondencji,
    • możliwość potwierdzenia otrzymania/doręczenia korespondencji’
    • dołączenie dowodów w postaci załączników,
    • administrowanie danymi w momencie rozpatrywania potencjalnego naruszenia;
  4. faktyczny koszt utrzymania system:
    • czas pełnej obsługi nieprawidłowości ze strony upoważnionej osoby/podmiotu wraz z rejestrowaniem, gromadzeniem i przygotowywaniem zestawień,
    • ponoszone stałe nakłady w zapewnienie bezpieczeństwa danych,
    • koszt wsparcia prawnego,
    • czas przeznaczony na działania następcze komisji powołanej do rozpatrywania zgłoszeń,
    • całkowity koszt poniesionych strat z tytułu ujawnionych nieprawidłowości,
    • utrata wizerunku;
  5. zagrożenia dot. ewentualnych wycieków informacji o nieprawidłowościach oraz danych osobowych sygnalisty.

Przedstawione cechy nie posiadają takiej samej wagi, jednakże ich dobór i ważność jest podyktowana wskazanymi w projekcie polskiej ustawy ewentualnymi sankcjami. Jakie to sankcje? Pierwsza, za utrudnianie dokonywania zgłoszeń poprzez brak udostępnienia kanału zgłoszeniowego lub udostępnienie kanału, który niedostatecznie chroni tożsamość sygnalisty. Druga, za działania odwetowe w postaci kar czy też wynikające z ujawnienia danych sygnalisty. Trzecia, za brak jasnych procedur i regulaminów, brak konsultacji ze związkami, przedstawicielami pracowników czy brak szkoleń pracowniczych. Więcej na ten temat znajdziesz tutaj: Ustawa o sygnalistach. Kary i sankcje za brak wdrożenia przepisów o ochronie sygnalistów.