EU Whistleblower Compliance – hankintakustannuksen optimoinnista

Whistleblower-järjestelmillä tarkoitetaan menettelyitä, joilla taloudellisia tai muita väärinkäytöksiä havaitsevat henkilöt voivat ilmoittaa havainnostaan pelkäämättä ilmoituksen johtavan heille itselleen epämiellyttäviin seurauksiin.

Yritysten hallituksille keskeisin kannustin Euroopan Unionin Whistleblower-direktiivin edellyttämän prosessin implementointiin perustuu ensisijaisesti hallituksen selonottovelvollisuuden täyttämiseen ja käännettyyn todistustaakkaan, ja vasta toissijaisesti direktiiviin sekä siinä viitattuun sääntelyyn.

Merkittäviä täsmennyksiä tarvitaan

Transparency Internationalin mukaan maailmassa on kaksi sääntelykokonaisuutta, jotka suojaavat tyydyttävästi väärinkäytösepäilystä ilmoittanutta – EU:n ja USA:n kokonaisuudet. Australian sääntelykokonaisuus todetaan osin suojaavaksi ja muut (esimeriksi Ruotsin, Norjan ja Italian) suojaamattomiksi. Tämä tarkoittaa sitä, että järjestelmälle ja prosessille asetettavat vaatimukset tulevat monissa maissa merkittävästi täsmentymään ja laiminlyönnin tai puutteen seuraamukset tulevat ankaroitumaan huomattavasti.

EU:n väestöstä on arviolta 240 miljoonaa henkilöä, joille direktiivi tarjoaa ilmoittajansuojan työnantajayhteisöjen kustannuksella. Heidät tulee myös todisteellisesti kouluttaa, jotta direktiivin vaatimus järjestelmän ja prosessin uskottavuudesta sekä luotettavuudesta ilmoittajan näkökulmasta täyttyy. Näin työnantajalle voi syntyä jopa puoleksi vuodeksi etu- ja yksinoikeus sitä koskevaan epäilytietoon.

Whistleblower-järjestelmistä

Haasteelliseksi Whistleblower-direktiivin käytännön toteuttamisen tekee se, että pääosa yritysten WB-hallinnon taakkaa keventämistä markkinoivista tietojärjestelmistä ei kuitenkaan helpota olennaisten WB-prosessin kustannusten hallintaa. Merkittävinä näistä mainittakoon direktiivissä, GDPR:ssä ja yhteisölaeissa tarkoitetut käännetyt näyttötaakat sekä operatiiviset tutkinta- ja arkistointivelvoitteet. Usein vain prosessikustannuksiltaan alhaisin prosessin osa, kuten nimettömän epäilyilmoituksen jättämismekanismi, automatisoidaan ja tämä esitetään norminmukaisena järjestelmänä ja prosessina.

Merkittävät järjestelmätoimittajat väittävät tuotteidensa täyttävän vaatimukset, vaikka järjestelmät eivät koske työläimpiä WB-ilmoitusprosessin osia. Kun asiantila havaitaan, puutetta pidetään työnantajayhteisön kohonneena GDPR-, WB- sekä yhtiö- tai maksukyvyttömyysoikeudellisena riskinä – joka realisoitui esimerkiksi Vastaamon (tutkinta kesken, yhtiö konkurssissa) ja roomalaisen La Sapienza yliopiston GDPR-sakon tapauksissa.

Tietojen suojausvelvoitteen laiminlyönnillä voi olla tuhoisia seuraamuksia.

Vaihtoehtoisesti puutteesta johtuvaa riskiä voidaan hallita työnantajayhtiön toistuvalla asiantuntijatyöllä, järjestelmätoimittajan vastuuna tai hankinnan vaatimustenmukaisuudesta vastaavien vakuutuksista. Olennaista on havaita, että WB- tai asianhallintajärjestelmä sisältää huomattavan määrän erityisen arkaluontoista henkilötietoa ilmoittajasta, mahdollisista todistajista ja epäillyistä – tietojen suojausvelvoitteen laiminlyönnillä voi olla tuhoisia seuraamuksia.

Automaatio vs. asiantuntijatyö

Euroopan Unionin whistleblowing-sääntely tasapainottaa eri intressiryhmien oikeutetut intressit varsin hyvin. Sääntely kuitenkin edellyttää suhteellisen raskasta hallintoa, joka voidaan kustannustehokkaasti tuottaa melko edistyneen tietojärjestelmän avulla. Itse suorite – uskottava, luotettava ja jäävitön ilmoitus- ja tutkintaprosessi – voidaan tuottaa myös perinteisellä asiantuntijatyöllä. Dokumentointivelvoite ja käännetyt todistustaakat johtavat tosin siihen, että asianmukaisen työn hinta epäilyilmoitusta kohden muodostuu kohtuuttoman korkeaksi.

GDPR-rikkomuksissa sakkoriski on neljä prosenttia liikevaihdosta ja maineriski on tuhoisa.

WB-järjestelmän kattavan automatisoinnin tuotantokustannus on huomattava, mutta päätöstä tehtäessä on hyvä huomioida asiantuntijatyön kustannukset sekä asiaan liittyvät riskit. Riski siitä, että väärin optimoitu prosessi ei vastaa soveltuvan yhteisölain, GDPR:n tai WB-direktiivin vaatimuksia, on perusteltua arvioida.

GDPR-rikkomuksissa sakkoriski on neljä prosenttia liikevaihdosta ja maineriski on tuhoisa. WB-direktiivin vaatimusten laiminlyönti myös estää yrityksen hallitusta kattamasta käännettyä näyttötaakkaansa ja jopa kyseenalaistaa toiminnan vastuullisuuden. Näiden riskien nykyarvo on huomattava ja vaihtoehtoisia riskinhallintakeinoja on rajallisesti tarjolla. Riskien kattaminen norminmukaisella järjestelmällä ja prosessilla lienee siis suositeltavaa.

Tilaa ilmoitukset
Ilmoita kun
guest
0 Kommenttia
vanhimmat
uusimmat suosituin
Inline Feedbacks
View all comments