Kanały zgłoszeń istnieją po to, by dać pracownikom drogę do sygnalizowania nieprawidłowości , których ich przełożeni nie chcą lub nie potrafią ujawnić. System spełnia tę rolę tylko wtedy, gdy załoga mu ufa: ten sam kanał, który pozwala cichemu inżynierowi zgłosić sfałszowany test bezpieczeństwa, równie dobrze może zostać źle zrozumiany, wykorzystany w złej wierze albo po prostu zaginąć w skrzynce odbiorczej, a każdy z tych scenariuszy psuje zaufanie szybciej, niż trwało jego budowanie. Trzy zagrożenia powracają w rozmowach z firmami: fałszywe lub złośliwe zgłoszenia, kanały przejmowane do załatwiania osobistych porachunków oraz uchybienia po stronie organizacji, które wracają do zgłaszającego w postaci działań odwetowych. Żadne z nich nie są teoretyczne. Zbiór danych z 2024 roku stanowiący podstawę raportu NAVEX 2025 obejmuje 2,15 mln zgłoszeń w 4 077 organizacjach zatrudniających 69 mln pracowników.
Kiedy zgłoszenie okazuje się fałszywe
Lęk, który napędza większość rozmów w stylu „czy w ogóle potrzebujemy tego kanału?", to obawa, że ktoś użyje go do zmyślenia oskarżenia: niezadowolony pracownik wniesie sfabrykowane zarzuty wobec menedżera, którego chce się pozbyć, albo dostawca rzuci fałszywą skargę, by zaszkodzić konkurencji. Ryzyko jest realne, ale rzadsze, niż się wydaje. Ochrona prawna sygnalistów w niemal każdej jurysdykcji opiera się na dobrej wierze, a nie na trafności faktów: osoba, która szczerze wierzyła, że doszło do nieprawidłowości, jest chroniona nawet wtedy, gdy postępowanie nic nie wykaże; ten, kto świadomie złożył zmyślone zgłoszenie, ochrony nie ma. Zgłoszenia oparte na pomyłce w dobrej wierze to system działający tak, jak powinien.
Świadomie fałszywe zgłoszenia to zupełnie inna kategoria. Amerykańskie ustawy SOX i AIR21 przewidują kary finansowe za złośliwe skargi, a państwa członkowskie UE wprowadziły analogiczne zapisy do swoich ustaw transponujących dyrektywę. Lekarstwem nie jest zaostrzanie progu wejścia, bo to tłumi prawdziwe zgłoszenia, lecz udokumentowana procedura postępowania , która rejestruje dowody, stosuje tę samą staranność niezależnie od tego, kogo dotyczy sprawa, i wytwarza obronne pisemne zamknięcie każdej sprawy. Kiedy raz na jakiś czas trafi się zgłoszenie w złej wierze, akta to pokazują.
Skargi przebrane za sygnalizowanie nieprawidłowości
Częstsze nadużycie wygląda zupełnie inaczej. Pracownik z osobistym sporem (pominiętym awansem, menedżerem, którego nie znosi, klauzulą umowy, którą chciałby renegocjować) składa go przez kanał zgłaszania nieprawidłowości, bo to droga, którą akurat zna. Ściśle rzecz biorąc, są to skargi pracownicze, a nie sygnalizowanie nieprawidłowości. Dotyczą własnego zatrudnienia zgłaszającego, a nie krzywdy wyrządzonej ogółowi czy organizacji. Skierowane na zły kanał pożerają zasoby zespołu śledczego, zaburzają dane i z reguły frustrują samego zgłaszającego, który potrzebował rozmowy z HR, a nie akt postępowania.
Rozwiązaniem jest podwójna ścieżka wejścia. Trzeba ogłosić obok siebie ścieżkę skarg pracowniczych i kanał sygnalizowania nieprawidłowości, jasno opisać różnicę w polityce i triażować każdą sprawę u wejścia, tak aby spory osobiste trafiały do HR, a zgłoszenia interesu publicznego do osoby prowadzącej dochodzenie. Dobranie właściwego kanału do każdego zgłoszenia utrzymuje dane sygnalizacyjne na tyle czyste, by można było na ich podstawie działać.
Uchybienia organizacyjne i działania odwetowe
Trzecie ryzyko to to, które dane powinny zawstydzić każdego pracodawcę na tyle, by je naprawił. Ten sam zbiór NAVEX pokazuje, że zgłoszenia działań odwetowych wzrosły do 3,08% wszystkich zgłoszeń w 2024 roku, z 2,43% w 2021, a wskaźnik potwierdzania zarzutów odwetu wynosi 18%: najniżej ze wszystkich kategorii ryzyka i ledwie wyżej niż dekadę temu. Obraz jest regionalny: Europa potwierdza odwet w 32% spraw, Ameryka Północna w 17%. Dane ankietowe mówią to samo z perspektywy zgłaszającego; Ethics & Compliance Initiative ustaliła, że około połowa amerykańskich pracowników, którzy zgłosili nieprawidłowości, doświadczyła potem jakiejś formy odwetu.
Odwet rzadko przychodzi w formie e-maila o zwolnieniu. Wygląda jak przeniesienie na gorsze stanowisko, awans, który zamiera bez wyjaśnienia, nagła seria upomnień dyscyplinarnych, wykluczenie z projektu, który zgłaszający dotąd prowadził. Wychwycenie tego wymaga drugiej połowy procesu obsługi zgłoszeń : kontaktu z osobą zgłaszającą po tygodniach i miesiącach od zamknięcia sprawy, krzyżowych sprawdzeń z danymi HR oraz ścieżki eskalacji, z której zgłaszający może skorzystać bez wracania przez ten sam łańcuch, który dopuścił się odwetu.
Co naprawdę ogranicza ryzyko
Trzy dźwignie wykonują większość pracy, a źle prowadzone programy zwykle nie mają żadnej z nich. Spisana, jawna polityka zgłaszania nieprawidłowości stanowi fundament: definiuje, co liczy się jako zgłoszenie, co liczy się jako odwet, kto prowadzi każdą sprawę i jakie ochrony przysługują zgłaszającemu. Bez tego dokumentu każda sprawa jest improwizowana, a każdy zarzut o złe prowadzenie postępowania trzeba uzasadniać od zera.
Bezstronność na etapie dochodzenia to kolejny słaby punkt. Najczęstsza wpadka polega na tym, że ktoś z linii podległości zgłaszającego trafia do zespołu prowadzącego sprawę, a osoba zgłaszająca, zwykle słusznie, dochodzi do wniosku, że postępowanie nie będzie neutralne. ISO 37002:2021 opisuje uznany schemat: oddzielić przyjmowanie zgłoszeń od prowadzenia dochodzenia, dokumentować łańcuch dowodowy i powoływać zewnętrznego badającego, gdy sprawa dotyczy osób na wysokich stanowiskach. Standardu nie da się certyfikować, ale większość dobrze prowadzonych programów się go trzyma (zob. opublikowane wytyczne ISO 37002).
Pozostaje jeszcze ustawowa podłoga. 6 marca 2025 Trybunał Sprawiedliwości UE ukarał pięć państw członkowskich za niewdrożenie w terminie dyrektywy o ochronie sygnalistów z 2019 roku: Niemcy 34 mln euro, Czechy 2,3 mln euro, Węgry 1,75 mln euro, Estonię 500 000 euro plus 1 500 euro za każdy kolejny dzień opóźnienia, Luksemburg 375 000 euro. Po tych orzeczeniach „napiszemy politykę w przyszłym kwartale" przestało być dającą się obronić pozycją dla jakiejkolwiek organizacji działającej w UE. Punktem odniesienia jest strona Komisji Europejskiej o ochronie sygnalistów.
Kanał zgłoszeń to przede wszystkim instytucjonalny nawyk. Polityki go definiują, osoby prowadzące sprawy nadają mu ostrość, a kultura, która traktuje zgłoszenia poważnie , utrzymuje go przy życiu między sprawami. Pomyłka w którymkolwiek z trzech scenariuszy i kanał zwija się w ciszę albo w szum; trafienie we wszystkie trzy zamienia go w system wczesnego ostrzegania, którego reszta organizacji nigdy nie musi budować.
Konsultant ds bezpieczeństwa danych, doradza w zakresie pomocy w identyfikacji i ochrony poufnych informacji. Nadzoruje wdrażanie narzędzi technologicznych i ich spójność z kulturą organizacji. Przygotowuje szkolenia na temat świadomości bezpieczeństwa.
