Nowoczesna technologia w służbie sygnalistom

Digitalizacja, automatyzacja, informatyzacja – te pojęcia na przestrzeni ostatnich lat na dobre zagościły na agendach zarządzających. Ci w narzędziach IT pokładają nadzieję nie tylko na zwiększenie efektywności, lepszy nadzór na procesami, ale także na uzyskanie zgodności z prawem. Rynek oprogramowania po wybuchu pandemii rozgrzał się do czerwoności. Nic dziwnego, bo od skutecznie wdrożonych rozwiązań IT zależeć mogło nawet „być albo nie być" organizacji. W tym samym czasie, choć nie w tak krytycznych okolicznościach, nie mogło zabraknąć miejsca na narzędzia dla sygnalistów.

Zgłoszenie online

Sygnalizowanie naruszeń teoretycznie nie wymaga specjalnych rozwiązań. Wątpliwości można przekazać osobiście, listownie lub – jeśli firma nią dysponuje – wrzucić do fizycznej skrzynki skarg i zażaleń. Ze względu na ograniczoną poufność lub brak możliwości uzyskania informacji zwrotnej, skuteczność takich narzędzi jest jednak ograniczona.

Wraz z pojawianiem się regulacji nakładających na przedsiębiorców obowiązek wdrażania kanałów dla sygnalistów, rynek wykształcił szereg rozwiązań, które miały usprawnić proces zgłaszania potencjalnych nieprawidłowości. Przez wiele lat najbardziej popularne były tzw. gorące linie umożliwiające rozmowę telefoniczną, podczas której zbierane były informacje od whistleblowera, a następnie przekazywane właściwym osobom. I choć rozwiązania tego typu nie były wolne od wad – wymagały na ogół wielojęzycznej obsługi, także poza standardowymi godzinami pracy – to angielskie pojęcie „whistleblower hotline" stało się niemalże synonimem rozwiązania stworzonego dla sygnalistów.

Podobnie jak inne procesy w firmach, także i ten w ostatnim czasie przechodzi cyfrową rewolucję. Infolinie coraz częściej ustępują miejsca narzędziom online. Z perspektywy efektywności trudno się temu dziwić – rozwiązania IT nie wymagają wieloosobowej obsługi, są dostępne 24 godziny na dobę i są łatwe w tłumaczeniu. Okazuje się także, że mogą pomagać spełniać bardziej wygórowane wymagania regulatorów.

Odpowiedzią Regtech

Rozwiązania wykorzystujące technologie informatyczne w celu spełnienia wymagań regulacyjnych doczekały się w ostatnich latach specjalnego określenia. „Regtech", jak zwykło się je nazywać od angielskiego „regulatory technology". Patrząc przez pryzmat dyrektywy, Regtech może okazać się szczególnie przydatny tam, gdzie tradycyjne rozwiązania whistleblowingowe mogą zawodzić.

Takim wyzwaniem może być np. przekazanie informacji zwrotnej sygnaliście, w szczególności jeżeli jego życzeniem jest pozostanie anonimowym. Aplikacje dostępne online mają potencjał, by radzić sobie z tym wymaganiem, przykładowo generując unikalny identyfikator zgłoszenia, z pomocą którego sygnalista może sprawdzić status sprawy, a także pozostając anonimowym, utrzymać kontakt z osobami weryfikującymi zgłoszenie.

Innym aspektem jest wspieranie przez aplikacje procesu zarządzania zgłoszeniem. Narzędzie IT może np. generować przypomnienia, ułatwiając dotrzymywanie wymaganych terminów. Może również odnotowywać podjęte działania, dokumentując tym samym należytą staranność procesu weryfikacji, a jednocześnie umożliwiając ograniczenie dostępu do zgłoszenia tak, by sprawa pozostała poufna.

Najważniejsze (cyber)bezpieczeństwo

W przypadku systemów informatycznych nieodzowna pozostaje kwestia bezpieczeństwa. Jak wynika ze Światowego Badania Uczciwości w Biznesie przeprowadzonego przez EY w 2020 r., ryzyko cyberataku jest najczęściej wskazywanym zagrożeniem dla długoterminowego sukcesu firmy. Jest ono postrzegane jako równie groźne co ryzyko nadużyć oraz nawet większe niż ryzyko związane z korupcją czy sytuacją makroekonomiczną.

Informacje o możliwych naruszeniach kwalifikują się bez wątpienia do grupy poufnych, których ujawnienie nie leży w interesie firmy. Warto o tym pamiętać, decydując się na wdrożenie rozwiązania dla sygnalistów. Informacje powinny być szyfrowane i przechowywane na bezpiecznych serwerach. Dodatkowo, aby spełniać wymagania dotyczące ochrony danych osobowych, serwery powinny być zlokalizowane na terenie Europy (dokładniej na terytorium Europejskiego Obszaru Gospodarczego).

Oprócz utraty danych, firmom zagrażają także inne rodzaje cyberataków. Narzędzia dostępne za pośrednictwem stron lub aplikacji internetowych (a tak aktualnie tworzy się rozwiązania dla sygnalistów) powinny być m.in. zabezpieczone przed atakami typu XSS (od ang. cross-site scripting) czy DDoS (od ang. Distributed Denial of Service). Pierwszy z nich to atak polegający na wprowadzeniu w treści atakowanej strony (np. poprzez formularz zgłaszania nieprawidłowości) kodu, który mógłby przechwytywać dane użytkownika lub doprowadzać do niepożądanego działania aplikacji. Drugi rodzaj ataku ma na celu spowodowanie niedostępności usługi poprzez zajęcie wszystkich wolnych zasobów.

To oczywiście tylko przykłady. Lista zagrożeń jest znacznie dłuższa. Mając to na uwadze, warto decydować się na właściwie zabezpieczone i stale wspierane rozwiązania. W obszarze cyberbezpieczeństwa nie da się bowiem wyeliminować ryzyka raz na zawsze.