Standardul ISO 37002, în sprijinul avertizării de integritate

Mihaela Pop, Manager de proiecte

Instituțiile publice și companiile private cu peste 50 de angajați vor avea obligația, din decembrie 2021 și respectiv decembrie 2023, să instituie mecanisme dedicate avertizării de integritate și proceduri care să garanteze, printre altele, standarde ridicate de siguranță, proceduri de anonimizare a datelor avertizorilor sau gestionarea corespunzătoare a sesizărilor înregistrate. Obligația este parte a Directivei europene nr. 1937/2019 privind protecția avertizorilor de integritate, ce trebuie transpusă în această perioadă în legislația românească.


În cadrul proiectului EAT – avertizarea de integritate sprijinită de tehnologie, am avut discuții cu peste 70 de reprezentanți ai unor instituții publice ori companii private. O concluzie a acestor conversații a fost că subiectul mecanismelor sigure de avertizare este pe lista de „și altele”, departe de a fi încă o preocupare actuală. Un motiv pot fi și provocările cu care se confruntă organizațiile în contextul pandemiei COVID-19, dar, cu siguranță, chiar și fără pandemie, avertizarea de integritate nu este o prioritate pentru managementul din România, fie că este vorba de cel privat sau din instituțiile publice.

În cadrul acelorași discuții, au apărut des și întrebări privind implementarea concretă a noilor dispoziții. Cele mai multe s-au referit la tipul mecanismelor de avertizare care vor trebui instituite, cine ar urma să administreze un canal de avertizare, ce ar trebui să prevadă acea „procedură clară de gestionare” a unui canal, ce sancțiuni s-ar impune în caz de neconformitate și cine le-ar aplica, ce „autoritate independentă” va coordona implementarea normelor transpuse etc.


În sprijinul celor care vor trebui să aplice prevederile noii legi, vor sta și o serie de repere în abordarea protecției avertizorilor de integritate, în forma Standardului ISO 37002.

Am discutat cu Radu Răuță (R.R.), membru în două grupuri de lucru din cadrul Comitetului Tehnic 309 al Organizației Internaționale de Standardizare (ISO), despre Standardul ISO 37002 ca instrument de ghidare în abordarea subiectului avertizării de integritate.


Ce este ISO și ce este bine să știm despre standardele pe care le elaborează?

R.R.: ISO este Organizația Internațională de Standardizare, o rețea de organisme de standardizare cu sediul la Geneva. În forurile sale sunt reprezentate organismele de certificare din 165 de state. Activitatea din forurile interne ale organizației rezultă în standarde internaționale. Din 1974 până în prezent au fost emise peste 15.000 de standarde în diferite industrii.

Standardele apar ca o cerință a pieței, acolo unde apare și nevoia de a se menține un anumit nivel de calitate și performanță a unui bun sau a unui serviciu. Prin urmare, ele nu sunt niciodată obligatorii, ISO neavând rolul de a legifera. Ele sunt gândite să răspundă unei nevoi a pieței. Țările membre își nominalizează experți în grupurile de lucru, dar ISO are protocoale de colaborare și cu organizații patronale din diferite industrii cu care se consultă atunci când elaborează un standard. Astfel, standardele ISO nu impun un mod de lucru, rămânând la latitudinea statelor dacă vor să transpună un anumit standard, căutând să introducă în legislație aspecte precum acestea, cum este de exemplu în România cazul achizițiilor pentru lucrări publice de construcții, se cere ISO 9001 – managementul calității, iar alte instituții cer managementul mediului, managementul sănătății și securității în muncă sau siguranța alimentelor. Mai mult, ține de fiecare organizație dacă dorește să aibă o asemenea recunoaștere, putând reprezenta și o mișcare comercială pentru respectiva entitate.


Ce este standardul ISO 37002?

R.R.: ISO 37002 este un standard pentru sistemele de management de tip „whistleblowing”. Acest standard prezintă instrucțiuni pentru managementul canalelor de avertizare, dar nu este un standard ce poate fi certificat. În același timp, merită menționat că standardul ISO 37002 nu este primul standard pe whistleblowing, ci o continuare și o îmbunătățirea a unui standard britanic.

În septembrie 2016, ISO a înființat Comitetul Tehnic 309, organizat în grupuri de lucru. Scopul acestui comitet este standardizarea în domeniul guvernanței – direcție, control și responsabilitate a organizațiilor. În noiembrie 2016, deoarece crescuse numărul de avertizări și pentru că devenea un subiect foarte important, a fost inițiat procesul de elaborare al acestui standard (37002) pentru whistleblowing. Din 2018 este înființat și grupul de lucru 3 (WG 3) pentru dezvoltarea standardului ISO dedicat avertizării de integritate, cu termen de finalizare sfârșitul anului 2021.

Coordonatorul acestui grup de lucru este profesorul Wim Vandekerckhove, expert recunoscut internațional și autor pe tema avertizării de integritate. În grupul de lucru am identificat mulți reprezentanți din industrie, reprezentanți ai unor mari companii de consultanță, din IT, diferite autorități, persoane cu interes și foarte implicate în procesul de elaborare al acestei arii a integrității.


În ce stadiu de elaborare se află acum acest standard dedicat avertizării de integritate?

R.R.: Deadline-ul autoimpus ar fi toamna sau iarna anului 2021. În momentul de față, standardul a trecut de faza de proiect. La începutul lunii ianuarie a acestui an, a fost comunicat proiectul final al standardului (final draft) și se pregătește comunicarea sa pentru votul la nivelul organizațiilor membre ale rețelei ISO. Din acest moment nu se mai primesc propuneri, modificări, amendamente la text. Standardul astfel elaborat trebuie să fie votat favorabil de două treimi din membrii permanenți ai rețelei ISO (organizații naționale și patronale), dar nu mai mult de o pătrime din voturi se acceptă a fi împotrivă. Dacă nu se întrunesc aceste condiții, proiectul este retrimis Comitetului Tehnic pentru a fi reexaminat. Dacă însă sunt întrunite condițiile, proiectul se trimite spre publicare și devine standard.

Standardul 37002 este gândit să acționeze ca un ghid de bună practică. El nu îți oferă un vehicul certificabil. Nu vei putea să spui că ai un certificat pentru ISO 37002. În schimb, aplicabilitatea acestui ghid este pentru mai multe standarde, precum: standardul de management anti-mită, standardul de management al conformității – ceea ce înseamnă că dacă vrei să îți implementezi un sistem intern de conformitate (compliance internal system), poți să urmărești ghidul oferit de ISO 37002 pentru a vedea cum să faci un mecanism de avertizare, sistemul pentru operațiuni de securitate, pentru managementul riscurilor, tehnologia informației, acestea fiind câteva dintre exemple.


Cu ce recomandări vine standardul ISO 37002?

  • Recomandările din ISO 37002 pun accent pe protejarea avertizorilor, dar și pe protejarea persoanei care face obiectul avertizării, pentru a nu exista cazuri în care, cu rea intenție, să fie trasă la răspundere, ori să i se aducă prejudicii unei persoane care poate este nevinovată – protejarea, până la proba doveditoare, a persoanei care face obiectul sesizării de integritate.
  • Detaliază aspectele legate de roluri, responsabilități și autorități specifice. Standardul spune ce trebuie să facă top managementul sau organul de conducere, cum ar fi consiliul de administrație și face recomandări referitoare la asigurarea bunei funcționări a mecanismelor de avertizare instituite într-o organizație.
  • Menționează că, în cadrul fiecărei organizații cu sistem de avertizare, există Whistleblowing Management Function, adică o poziție/o funcție, care poate să nu fie un job în sine, dar căreia să i se atribuie responsabilități legate de administrarea sistemului de avertizare. De exemplu, poate să nu fie consilierul de etică, sau cineva din grupul de lucru pentru implementarea Strategiei Naționale Anticorupție (care implică aspecte ce țin de avertizarea în interes public), dar poate fi o persoană din departamentul juridic sau una de la resurse umane etc. Dacă organizația are o structură mai complexă, pot fi desemnate chiar mai multe persoane pentru a avea atribuții legate de canalul de avertizare. ISO 37002 prevede însă ca toate persoanele desemnate să aibă competențele necesare, să fie bine instruite în vederea gestionării eficiente a unui canal de avertizare, să beneficieze de caracteristici precum integritate și imparțialitate. Sunt descrise destul de detaliat competențele pe care ar trebui să le aibă o persoană care administrează un canal de avertizare: inteligență emoțională, diplomație, imparțialitate, leadership, confidențialitate și judecată clară/limpede/corectă.
  • Descrie și procedura ce trebuie urmată după primirea unei sesizări de către administratorul unui sistem de avertizare și gestionarea etapizată a fiecărei situații în parte, recomandându-se urmarea unei politici și a unei proceduri transparente pe care toată lumea să o poată consulta. Etapizarea presupune, printre altele: cum se primește o avertizare, cum se analizează (preliminary check), cum se demarează investigația internă, cum se asigură confidențialitatea.
  • Recomandă, de asemenea, menținerea unei documentații și evidențe foarte clare pentru a putea avea o trasabilitate a tuturor acțiunilor și pentru a putea îmbunătăți continuu acest sistem.
  • Prevede obligativitatea de a face cursuri de conștientizare și instruire a angajaților pentru că sistemul nu poate să funcționeze dacă angajații nu știu despre existența lui și cum funcționează.
  • Face recomandări privind arhitectura sistemului de avertizare, astfel încât acesta să nu creeze premisele pentru a fi formulate multe avertizări care nu se încadrează în scopul pentru care a fost instituit. Aici va conta foarte mult elementul complementar, dacă o organizație va reuși să creeze o cultură de tip „speak up” și de consiliere. Spre exemplu, dacă am văzut o problemă, să am posibilitatea să mă duc să întreb dacă doar mi s-a părut mie sau suspiciunea mea este rezonabilă, fapta sesizată reprezintă o neregulă și poate face obiectul unei avertizări de integritate – posibilitatea de a te consulta și de a primi îndrumare. În România, există o cultură în a nu comenta, a nu raporta, iar în acest sens nu mi-aș face griji că instituțiile românești for fi copleșite de numărul de avertizări, cel puțin în primii ani și până când vom avea câteva cazuri importante soluționate, care vor dovedi că funcționează sistemul. Dacă Directiva nu va fi popularizată, îi va lua ani de zile ca ea să își producă efecte și lucrurile să funcționeze realmente.
  • Prevede obligativitatea ca mecanismele de avertizare să garanteze confidențialitatea informației. Nu s-a intrat în prea multe tehnicități pentru a nu părea că favorizează sau recomandă un anumit sistem de avertizare de pe piață.

Toate recomandările ISO 37002 sunt caracterizate de adaptabilitate, altfel încât să fie aplicabile și într-o organizație de 10 oameni și într-una de 5.000 de angajați, iar prevederile standardului acestuia nu sunt specifice unui anumit sector sau tip de organizație. De asemenea, ele sunt caracterizate și de interoperabilitate. Astfel, pentru organizațiile care deja au un sistem de management de calitate, de mediu sau orice sistem de control intern managerial, va fi foarte ușoară integrarea acestora cu ISO 37002.

Așadar, ISO 37002 se poate dovedi un instrument util pentru o abordare eficientă și calitativă a noilor reglementări.