Większość nieprawidłowości w organizacjach wychodzi na jaw dzięki zgłoszeniom wewnętrznym, a nie audytom czy zewnętrznym regulatorom. Osoby blisko codziennej pracy widzą to, czego audytor nie ma szans dostrzec, i mówią, jeśli mają komu i w jakiej formie. Dyrektywa o ochronie sygnalistów (2019/1937) uczyniła ten obowiązek prawny jednoznacznym dla całej Unii. Czego nie zrobiła, to nie powiedziała organizacjom, jak faktycznie prowadzić system, który zachęca do zgłoszeń, rzetelnie je rozpatruje i chroni osoby je składające. ISO 37002:2021, opublikowana przez ISO/TC 309 dnia 27 lipca 2021 r., to międzynarodowa norma stworzona dokładnie po to, by tę lukę wypełnić. To instrukcja operacyjna do prawnego minimum, jakie nakreśliła Dyrektywa.
Czym ISO 37002 jest, a czym nie jest
ISO 37002:2021 to norma o charakterze wytycznych dla zarządzania zgłoszeniami sygnalistów, opublikowana przez ISO/TC 309 dnia 27 lipca 2021 r. Mówi organizacjom, jak prowadzić wiarygodny system; sama nie jest certyfikowalna. Powiązana z nią ISO 37301 (zarządzanie zgodnością) jest certyfikowalnym rodzicem. ISO 37002 jest neutralna sektorowo i wielkościowo, dobrowolna, choć coraz częściej wymagana przez regulatorów i kontrahentów.
Różnica między wytycznymi a wymaganiami nie jest formalna: norma wytycznych mówi, jak coś powinno być zrobione, ale nie daje jednostkom certyfikującym listy kontrolnej do audytu. ISO 37002 dostarcza merytorycznej treści, na której opiera się audytowalna postawa zgodności, choć sama nie podlega certyfikacji.
Norma przyjmuje zharmonizowaną strukturę systemów zarządzania ISO, wspólną dla ISO 9001, ISO 14001, ISO 45001 i całej rodziny. Oznacza to dziesięć rozdziałów w stałej kolejności: Zakres, Powołania normatywne, Terminy, Kontekst, Przywództwo, Planowanie, Wsparcie, Działania operacyjne, Ocena efektów działania, Doskonalenie. Każdy, kto wdrażał wcześniej system zarządzania ISO, rozpozna szkielet; każdy, kto nie wdrażał, doceni, że ten szkielet ułatwia wpisanie normy w to, co organizacja już prowadzi.
ISO 37002 jest świadomie neutralna sektorowo i wielkościowo. Wprowadzenie do normy mówi wprost, że jej zalecenia mogą stosować organizacje niezależnie od typu, wielkości, charakteru działalności oraz przynależności do sektora publicznego, prywatnego czy non-profit. Sama jest dobrowolna, choć poszczególni regulatorzy lub kontrahenci mogą uczynić jej stosowanie warunkiem umownym.
Zaufanie, bezstronność, ochrona: trzy filary normy
Trzy słowa niosą ciężar całej normy: zaufanie, bezstronność i ochrona. Klauzula 4.4 mówi, że system zarządzania zgłoszeniami nieprawidłowości powinien stosować te zasady i zapewniać odpowiednią informację zwrotną w całym procesie. Każde wymaganie operacyjne w ISO 37002 sprowadza się do jednej z tych trzech zasad; rozumienie ich to rozumienie normy.
Zaufanie zdefiniowano jako percepcję, którą posiadają strony zainteresowane. Klauzula 5.1.2 ujmuje to wprost: "Wiarygodność systemu zarządzania zgłoszeniami nieprawidłowości zależy od tego, czy strony zainteresowane postrzegają, że kierownictwo jest zaangażowane w system i będzie przestrzegać procedur." Takie ujęcie wymusza na organach zarządzających i kierownictwie najwyższego szczebla widoczne demonstrowanie zaangażowania, budowanie kultury otwartego mówienia i słuchania (speak-up / listen-up) oraz takich kanałów zgłaszania, by zaniepokojony pracownik nie musiał wybierać między kanałem a swoją pracą.
Bezstronność przewija się zarówno przez ocenę (klauzula 8.3), jak i przez postępowanie wyjaśniające (klauzula 8.4). Norma wymaga, by osoby prowadzące sprawę były wykwalifikowane, sprawiedliwe wobec zaangażowanej jednostki organizacyjnej, sprawiedliwe wobec osoby, której dotyczy zgłoszenie, i sprawiedliwe wobec sygnalisty. Tam, gdzie wewnętrznej bezstronności nie da się zapewnić, ISO 37002 zaleca prowadzenie postępowań przez niezależną jednostkę lub zewnętrznego audytora. Osoby decyzyjne muszą być wolne od rzeczywistych lub potencjalnych konfliktów interesów, z udokumentowanym poziomem upoważnień (klauzula 5.3.3).
Ochrona ma ze wszystkich trzech zasad najwięcej warstw. Obejmuje ochronę przed odwetem i działaniami szkodzącymi, ale również ochronę tożsamości, środki wsparcia (poradnictwo, dostosowanie miejsca pracy, równy dostęp do awansu i szkoleń) oraz wyrazistą zasadę przywrócenia stanu z klauzuli 8.4.3: tam, gdzie szkoda już nastąpiła, "sygnalista powinien zostać przywrócony do sytuacji, w której znajdowałby się, gdyby nie poniósł szkody." Ochrona trwa po zamknięciu sprawy; system ma monitorować skutki dla osób, które zgłosiły.
Cztery kroki operacyjne (klauzula 8)
Klauzula 8 to operacyjne serce ISO 37002. Dzieli pracę systemu zgłoszeniowego na cztery sekwencyjne fazy (Przyjęcie, Ocena, Rozpatrzenie, Zamknięcie) i pokazuje, jak w każdej z nich wygląda dobra praktyka. Programy pomijające którąkolwiek z czterech faz albo gubią zgłoszenia na wejściu, albo zawodzą sygnalistę w fazie zamknięcia; cztery fazy nie są opcjonalne.
Przyjmowanie zgłoszeń (8.2) obejmuje same kanały: osobiście, telefonicznie, online, listownie, przez aplikację mobilną. Norma wymaga, by były widoczne, dostępne i bezpieczne, a także oddzielone od zwykłej hierarchii zarządczej, by zgłoszenie dotyczące przełożonego nie musiało przechodzić przez tego przełożonego. Potwierdzenie odbioru ma być szybkie: klauzula 8.1 sugeruje "natychmiastowe automatyczne potwierdzenie odbioru, a następnie wiadomość spersonalizowaną w ciągu trzech dni roboczych." Siedmiodniowy termin z Dyrektywy to minimum prawne; ISO oczekuje, że zrobicie to lepiej.
Ocena (8.3), nazywana w normie triażem, decyduje o tym, co dzieje się dalej. Każde zgłoszenie sortowane jest według prawdopodobieństwa i wpływu, a sama decyzja jest dokumentowana. Osoby oceniające sprawdzają, czy zgłoszenie mieści się w zakresie systemu, czy konieczne jest powiadomienie organów zewnętrznych (policja, regulator), czy trzeba zabezpieczyć dowody zanim ktokolwiek zostanie poinformowany, oraz czy sygnalista nie jest narażony na natychmiastowe ryzyko działań szkodzących.
Rozpatrzenie (8.4) to faza postępowania wyjaśniającego, prowadzona z domniemaniem niewinności i z jednoczesną ochroną trzech grup: sygnalisty, osoby, której dotyczy zgłoszenie, oraz innych istotnych stron, takich jak świadkowie czy członkowie rodziny. Postępowania mają być bezstronne, odpowiednio zasobne, sprawiedliwe, rzetelne i poufne. Norma podkreśla, że zabezpieczenie i ochrona dowodów to nie tylko technika śledcza, ale również zasada ochronna.
Zamknięcie (8.5) to faza, którą najczęściej pomijają słabe programy zgłoszeniowe. Obejmuje ustalenia, ewentualne sankcje dyscyplinarne, informację zwrotną do sygnalisty, dalszy monitoring ochrony, zbieranie informacji zwrotnej oraz wnioski na przyszłość, które trafiają do kolejnej iteracji systemu. Zamknięcie sprawy jest udokumentowane, a nie milczące. Praktyczny przykład tego, jak te cztery kroki wyglądają w realnej procedurze sygnalisty, daje więcej niż dowolny pojedynczy szablon.
Czego ISO 37002 dopowiada tam, gdzie Dyrektywa milczy
Dyrektywa o ochronie sygnalistów wyznacza minimum prawne: chronione kategorie zgłaszających, siedmiodniowy termin potwierdzenia odbioru, trzymiesięczny termin merytorycznej informacji zwrotnej, zakaz odwetu, odwrócenie ciężaru dowodu. Jest świadomie skąpa w warstwie operacyjnej. ISO 37002 dopowiada to "jak" w zakresie zgłoszeń anonimowych, kompetencji osób prowadzących sprawy oraz szerokości działań szkodzących.
ISO 37002 dopowiada to "jak". W kwestii zgłoszeń anonimowych klauzula 7.5.5 zajmuje stanowisko bez zaklinania rzeczywistości: organizacje mogą je dopuścić, ale muszą uświadomić sygnalistom, że "anonimowe zgłaszanie może ograniczyć zarówno możliwość prowadzenia postępowania, jak i ochrony osoby zgłaszającej", oraz przewidzieć mechanizmy umożliwiające komunikację mimo anonimowości tam, gdzie to wykonalne. Norma nie podejmuje za organizację decyzji o anonimowości; pokazuje, jak wygląda uczciwa implementacja w obu wariantach.
W zakresie kompetencji osób prowadzących sprawy klauzula 7.2 wymienia osiem cech, jakie muszą wykazać osoby odpowiedzialne za ochronę, wsparcie i postępowanie: wiarygodność, inteligencję emocjonalną, dyplomację, bezstronność, integralność, przywództwo, poufność i rozsądny osąd. To nie są ogólnikowe przymiotniki z opisu stanowiska; to kryteria selekcji tych, którym wolno zbliżyć się do tożsamości sygnalisty.
W kwestii działań szkodzących definicja z klauzuli 3.13 jest szersza niż potoczne pojęcie odwetu. Obejmuje zwolnienie, degradację, przeniesienie, zmianę zakresu obowiązków, niekorzystne oceny pracownicze, czarne listy, szkody reputacyjne, straty finansowe, postępowanie sądowe, mobbing, izolację, ujawnienie tożsamości oraz zaniechanie zapobieżenia szkodzie na dowolnym etapie procesu. Ta szerokość jest celowa; odbiera organizacjom miejsce, w którym mogłyby twierdzić, że wrogie środowisko pracy nie było formalnie odwetem.
Integracja 37002 z 37001 i 37301
ISO 37002 należy do trzyelementowego stosu norm ładu organizacyjnego: ISO 37001 (antykorupcja), ISO 37301 (zarządzanie zgodnością, certyfikowalna) oraz ISO 37002 (zgłaszanie nieprawidłowości). Wszystkie trzy mają wspólną zharmonizowaną strukturę Annex SL, więc organizacja, która wdrożyła już jedną z nich, dokłada kolejne bez budowania równoległej infrastruktury. Wydanie ISO 37001:2025 wprost odsyła do ISO 37002 w sprawach zgłoszeniowych.
| Wymiar | ISO 37002 | ISO 37001 | ISO 37301 |
|---|---|---|---|
| Zakres | Zarządzanie zgłoszeniami | Zarządzanie antykorupcyjne | Zarządzanie zgodnością |
| Certyfikowalna | Nie (wytyczne) | Tak | Tak |
| Skupienie | Zgłoszenia, postępowania, ochrona zgłaszającego | Zapobieganie korupcji i reagowanie | Zgodność w skali całej organizacji |
| Opublikowana | 2021 | 2025 (nowelizacja) | 2021 |
Wydanie ISO 37001:2025 wprost odsyła do 37002 w zakresie wymagań dotyczących zgłaszania nieprawidłowości, uznając, że wiarygodny program antykorupcyjny nie istnieje bez wiarygodnego kanału zgłoszeń. Bibliografia ISO 37002 powołuje z kolei ISO 31000 (zarządzanie ryzykiem), ISO 19011 (auditowanie systemów zarządzania) i ISO/IEC 27001 / 27018 (bezpieczeństwo i prywatność danych), umieszczając normę na styku ładu, ryzyka i bezpieczeństwa informacji, a nie w roli inicjatywy HR.
Dla organizacji wdrażającej system zgłoszeniowy od zera kolejność praktyczna jest zwykle odwrotna: zacznij od 37002, by zaprojektować substancję operacyjną, następnie nałóż 37301 jako certyfikowalną nakładkę zarządzania zgodnością, a 37001 dołóż, jeżeli ekspozycja antykorupcyjna jest istotna. Pójście prosto po certyfikat, bez substancji operacyjnej, daje papier do audytu wokół pustego systemu.
Co mówią dane porównawcze i działania egzekucyjne z 2025 roku
Europejskie programy zgłoszeniowe wypadają słabo na poziomie przepustowości operacyjnej. Dane porównawcze pokazują, że europejskie sprawy o odwet są potwierdzane w 32% (niemal dwukrotnie częściej niż 17% w Ameryce Północnej), a mediana czasu zamknięcia sprawy wynosi 69 dni (wobec 19 w Ameryce Północnej). Trybunał Sprawiedliwości nałożył w marcu 2025 r. 38 mln euro kar ryczałtowych na pięć państw; niezgodność pozostaje powszechna.
Pełniejszy obraz danych: europejskie organizacje przyjmują około 0,67 zgłoszenia na 100 pracowników wobec 1,75 w Ameryce Północnej. 65% europejskich zgłoszeń jest anonimowych wobec 52% w Ameryce Północnej. Europejscy pracownicy czekają też średnio 13 dni przed złożeniem zgłoszenia wobec 8 w Ameryce Północnej.
Czytane razem te liczby same piszą diagnozę operacyjną. Wyższy poziom anonimowości i dłuższy czas zwłoki przed zgłoszeniem to obie sygnały deficytu zaufania, który mają zamykać wymagania klauzuli 5 (przywództwo) i klauzuli 7.4 (komunikacja) z ISO 37002. Wyższa skuteczność potwierdzania odwetu odzwierciedla architekturę ochrony, którą prawo europejskie zbudowało wokół zgłaszających; dłuższy czas zamknięcia pokazuje, że europejskie programy mają postawę prawną, ale brakuje im przepustowości operacyjnej. Wskaźniki efektywności z klauzuli 9 normy, w tym czas potwierdzenia odbioru i czas zamknięcia, dają zarządom podstawę, by zapytać dlaczego i to naprawić.
Presja regulacyjna nadal się zaostrza. Dnia 6 marca 2025 r. Trybunał Sprawiedliwości Unii Europejskiej nałożył ryczałtowe kary na pięć państw członkowskich za spóźnioną lub niedokonaną transpozycję: Niemcy 34 mln euro, Czechy 2,3 mln euro, Węgry 1,75 mln euro, Luksemburg 375 tys. euro, a Estonia 500 tys. euro plus karę dzienną do czasu pełnej zgodności. Polska została ukarana wcześniej, w kwietniu 2024 r. Wszystkie państwa członkowskie przyjęły już ustawy transponujące, ale w ocenie Komisji żadne nie może być jeszcze uznane za w pełni zgodne, a niezgodności wskazano w mniej więcej połowie z nich. Aktualny obraz krajowy śledzimy w naszym zestawieniu prawa o sygnalistach w Europie.
Dobrowolny status ISO 37002 mieści się w tej zaostrzającej się ramie regulacyjnej. Norma sama z siebie nie sprawi, że organizacja będzie zgodna z Dyrektywą, i wcale nie próbuje. Robi co innego: przekłada obowiązek prawny, który organizacja już dźwiga, na system produkujący użyteczne zgłoszenia, postępowania, które się obronią, oraz ochronę utrzymującą się po zamknięciu sprawy, zamiast udokumentowanej infolinii, której nikt nie ufa. Dla organizacji ważącej, czy podjąć ten dobrowolny wysiłek, odpowiedź leży w luce, którą europejskie wskaźniki wciąż mierzą.
Radca prawny, specjalizuje się w prawie gospodarczym, handlowym oraz prawie własności intelektualnej. Jest doradcą prawnym i biznesowym dla firm z branży e-commerce, IT oraz digital marketingu.
