ISO 37002 om varslingssystemer – det etiske perspektivet

ISO 37002 er retningslinjer for varslingssystemer som kommer i år. Dette er den første ISO-standarden som kun gjelder for varslingssystemer. Den har som oppgave å hjelpe organisasjoner med å sette opp varslingssystemer, slik at de kan håndtere varsler på en effektiv måte og oppnå langsiktig verdi av et slikt system. 

Eksperter fra WhistleB er engasjert i utviklingen av ISO 37002, som ledes av ISO-innkaller dr. Wim Vandekerckhove. WhistleBs Jan Stappers intervjuet Vandekerckhove, for å få hans synspunkter om standarden og høre hvordan den vil kunne hjelpe organisasjoner med å oppnå transparens, tillit og en etisk bedriftskultur ved hjelp av et varslingssystem.

«Vi har ikke bruk for flere varslere. Vi trenger bare å lytte bedre til dem som vi allerede har.» dr. Wim Vandekerckhove.


1. Kan du si litt om deg selv, Wim?
Jeg er professor i forretningsetikk ved Universitetet i Greenwich i London. Jeg forsker på institusjonelle aspekter ved varsling, og forskningsområdet mitt i bredere forstand, handler om tillit til prosesser og prosedyrer i organisatoriske rammer. Jeg er meddirektør i CREW – navnet er en forkortelse for Center for Research on Employment and Work – hvor jeg ser på den sosiale påvirkning som forskningen vår har på samfunnet utenfor akademia. Og så er jeg sjefsredaktør i et fagtidsskrift som helter Philosophy of Management. Det er der mye av inspirasjonen min kommer fra.


2. Hvorfor engasjerer en professor i forretningsetikk seg i arbeidet med å utvikle en ISO-standard for varslingssystemer?
Forskningens påvirkning av samfunnet utenfor akademia er veldig viktig for meg. Forskningsinteressene mine har alltid vært relatert til den institusjonelle siden av varsling – altså ikke varsleren selv, men de menneskene som mottar varslene. Hva gjør de med varslene? Hva gjør de ikke med dem? Så på den måten, kan du si at ISO 37002 er relevant. 

Det var mye snakk om hvilke form ISO-standarden burde ha, og vi så på innholdet til en rekke eksisterende nasjonale retningslinjer (Australia, Canada, Frankrike, Japan, Storbritannia) og fant ut at de var alle forskjellige fra hverandre med hensyn til prioriteringer, mangler og stil. Det var enighet om at ISO 37002 skulle være en standard som setter opp retningslinjer for varslingssystemer. Hva må planlegges? Hvor omfattende skal det være? Hvordan driftes og overvåkes systemet? Hvordan kontrolleres det? Det er den typiske ledelsessyklusen. Hva må lederen gjøre? Hvordan gi støtte til det?


3. Hvordan mener du at en systematisk tilnærming til varsling fremmer transparens i alle former for organisasjoner og arbeidsplasser?
Grunnleggende eksisterer det en enorm avstand mellom det som skjer ute i bedriften og det ledelsen i organisasjonen kjenner til. Ikke bare når det gjelder det etikk, kriminalitet og klager, men også når det gjelder feil eller problemer med driften. Noen ganger kan det være vanskelig å sende et signal om dette til beslutningstakerne. Det er der det oppstår mangler i kommunikasjonen.

Varslingssystemer kan faktisk øke transparensen slik at mangler av denne typen unngås. Du har de ansatte, mellomledelsen og toppledelsen. Men selvfølgelig, hvis toppledelsen ikke ønsker å lytte, så vil heller ikke varslingssystemene fungere. Mange organisasjoner – og jeg vil påstå de fleste toppledere – ønsker å høre om problemene, men av en eller annen grunn komme de ikke lederne for øre. Det betyr ikke at mellomledelsen ønsker å gå stille i dørene, men de er fanget mellom barken og veden, og det kan varslingssystemer virkelig gjøre noe med. 

Derfor øker systemene transparensen i den øverste delen av organisasjonen, men de øker også transparensen for de ansatte hvis det implementeres på en god måte. For med ordentlige kommunikasjon om slike systemer og den lærdom de kan få ut av systemene, kan du faktisk vise de ansatte at det finnes en upartisk kanal, at organisasjonen faktisk er lydhør og hvis det skulle være et problem, så vil det bli løst. Dessuten er det forebyggende, fordi det gir et signal til overtrederne at de ikke vil slippe unna.


4. Hva er de viktigste problemene som organisasjoner strir med eller vil møte i årene som kommer, når det gjelder forseelser eller overtredelser i bedriften?
Det vil være relatert til Covid. Arbeidsmåtene vil sannsynligvis endre seg – vi vil nok vende tilbake til kontorene, men kanskje ikke et hundre prosent. Forskjellige arbeidsmåter når det gjelder tid og sted vil påvirke hvor og hvordan overtredelser skjer. Hvordan kan overtredelser oppdages gjennom bedriftens vanlige revisjonsprosesser, for eksempel? Hvordan utvikles en bedriftskultur og etiske normer som forebygger mot overtredelser når folk arbeider hjemmefra? Dette kommer til å bli de viktigste sakene som det må arbeides med.


5. Hva er hovedmålene med ISO 37002?
Den handler om hvordan varslene behandles, ikke om personen som varsler. ISO 37002 gir organisasjoner retningslinjer for hvordan de kan sette opp et system for å håndtere varsler. Vi fokuserer særlig på mottak av varsler, vurdering av varsler, inkludert prioritering, imøtegåing av varsler – noen skal etterforskes og overtredelser må rettes opp osv. – og så lukking av varslingssaker. Det er de fire trinnene i behandling av varsler.  

For øyeblikket er ISO 37002 ikke en sertifisert standard som antikorrupsjon og samsvar, men den kan brukes i tilknytning til de andre standardene. Se på det som en frittstående standard som lett kan brukes sammen med relaterte standarder.


6. På hvilken måte vil ISO 37002 være spesielt verdifull for en forretningsleder som ønsker å implementere et varslingssystem på best mulig måte?
Den veileder om hvordan et varslingssystem kan integreres i de andre systemene.  Mange organisasjoner har allerede klagesystemer. I noen land er det bestemte krav med hensyn til mobbing og krenkelser og de har allerede systemer for dette. ISO 37002 veileder om hvordan varslingssystemet kan passes inn i det som organisasjonen allerede gjør, for på den måten å styrke innsatsen og opparbeide integritet i organisasjonen. Standarden sier noe om hva du må tenke på når du planlegger et varslingsystem, hvordan det er å drifte det og hvordan det gjennomgås. Hvilke kunnskap kan systemet gi? Dét er virkelig verdifullt.


7. Hvilke organisasjoner har samarbeidet om dette ISO 37002-prosjektet?
Organisasjonene bak nasjonale standarder – mer enn 40 slike organisasjoner har bidratt. De har alle sine egne komiteer – for eksempel den britiske BSI-standarden, så hadde vi eksperter fra ingeniørbedrifter, helseorganisasjoner, sykehus, folk fra offentlige myndigheter og folk fra selskaper som tilbyr konsulentvirksomhet og veiledning, og som leverer tjenester i forhold til integritet. Jeg mener å huske at også du var med i den nasjonale nederlandsk speilkomitéen? 

Det var en lignende sammensetning i ISO-arbeidsgruppen, men vi hadde også forskjellige representanter fra nasjonale organisasjoner pluss Transparency Internasjonal, OECD, Employee Business Resource Group, European Trade Union Confederation osv.


8. Hva er skjedd så langt i utviklingen av ISO 37002? I hvilken fase befinner den seg i nå og når forventes den å være tilgjengelig, og hvordan vil den bli gjort tilgjengelig?
Vi er i sluttfasen nå. Det opprinnelige første utkastet kom først. Deretter laget vi et utkast nummer to med kommentarer, og vi mottok hundrevis av dem fra de nasjonale komiteene. Så har ISO-arbeidsgruppen arbeidet seg gjennom flere runder inntil vi kom frem til et tredje utkast, som ble sent ut til avstemning og flere kommentarer. Disse ble håndtert og nå er vi i fasen for siste utkast, som er sendt ut for endelig avstemning og mindre rettelser. 

Prosjektet går som planlagt, så vi regner med å være i mål i april i år, eller i mai. Standarden vil gjøres tilgjengelig som dokumenter som kan kjøpes og forskjellige former for lisenser.


9. Hvordan komplementerer ISO 37002EU-direktiv om vern av varslere?
Etter min mening er kravene til organisasjoner når det gjelder interne varslingssystemer minimale i EU-direktiv om vern av varslere. Det er nødvendig å ha et slikt system og det må kunne brukes til å varsle på en trygg måte. Men det å ha et internt varslingssystem er ingen garanti i seg selv. Jeg har ofte sagt at vi trenger ikke flere varslere, vi trenger bare å bli bedre til å lytte til dem vi allerede har. Mange selskaper tror ennå på myten om at flere varsler er bedre, at dem som gjør noe ulovlig ikke blir dømt hvis det ikke varsles. Det tror jeg ikke er riktig, ofte blir de det, men ikke nødvendigvis ved at sakene når frem til dem som virkelig kan gjøre noe ved dem eller så blir sakene ikke behandlet godt nok. 

Og den problematikken står det ikke noe om i EU-direktivet. Men altså, indirekte er det som om folk vil få beskyttelse hvis de rapporterer eksternt til en regulator eller når de går til media. Så indirekte betyr det at organisasjoner må bli bedre til å håndtere varsler internt. Forskning i Storbritannia, USA og Australia viser at mer enn 90 % av varsler i utgangspunktet var interne. Så organisasjoner har muligheten for å reagere på overtredelser. Det det handler om er – kan du høre varslerne? Så du trenger gode kanaler. 

Fra et forskningsprosjekt i Australia (Whistling while they work, Griffith University), vet vi også at har man et varslingssystem, kan man motta saker som helt klart er i den offentlige interesse å få frem og som handler om integritet. Men på den andre siden, så har du også saker som tydeligvis bare er personlige klagemål. Men så har du alle sakene der i mellom, som inneholder en blanding av forskjellige elementer. Kanskje handler det om uenighet eller ting i sakene som går lenger tilbake, men som tydeligvis er problematisk. Hvordan tar man seg av det? Vi har i forskningen vår, sett både på dem som varslet og dem som håndterte varslene, og resultatet er det samme. Disse sakene er dem som ikke ender godt og som er de vanskeligste å håndtere.

Noe jeg kan lese ut av forskningen, er at vi faktisk avviser varsler for hurtig. Vi kan f.eks. avfeie dem med «Å, det er bare en klage». Hvorfor er det sånn? Fordi medarbeidere som arbeider med samsvar har sine samsvarshatter på og tenker – «det handler jo ikke om samsvar, skal den forkastes?» Det er et helt avgjørende aspekt ved det å forbedre handlingsprosessen. Alt du kan gjøre som forbedrer den er en vinner. Derfor er jeg glad for at ISO-standarden gir så stor plass til spørsmålet om prioriteringer. EU-direktivet kommer ikke inn på det, men ISO-standarden veileder videre der hvor EU-direktivet stopper opp.


10. EU-direktiv om vern av varslere er ment å fremme bruk av varslingssystem over hele Europa. Hvordan mener du at selskaper kan dra større fordel av å samsvare med den nye loven?
Det kommer an på organisasjonens størrelse. Hvis du har en stor organisasjon, vil du få en rekke varsler i løpet av et år, kan du gjøre ting med den informasjon som er nyttig i seg selv, i forhold til bedriftskulturen i selskapet. Hvis du har et varslingssystem og det eneste du får er personlige klager, hva sier det om bedriftskulturen i selskapet?  Ikke skyld på systemet – det sier faktisk noe verdifullt om bedriftskulturen som du kan arbeide med. 

Så, bortsett fra det å kunne håndtere overtredelser på et veldig tidlig stadium, så kan varslingssystemer gi ytterligere informasjon som vil hjelpe deg med å bli en responderende organisasjon. Jeg har sett mange organisasjoner som har en varslingskanal, men de bruker samme teknologi som for en spørrekanal. Det gjør det mulig for folk å teste systemet. Hvis de ønsker å varsle om mistanke om en overtredelse, men ikke er helt sikker på om det er det, så kan de ganske enkelt bare stille et vagt spørsmål rundt emnet. Disse spørsmålene er ikke beskyldninger, så de er lette å respondere på og du kan informere om selskapets policy på en tydelig måte. Dette fører faktisk til tillit og noen ganger til så mye tillit at noen vil varsle. Når du filtrerer ut beskyldninger, kan spørsmål som kommer gjennom spørrekanalen gjøres tilgjengelig i hele organisasjonen. Så du kan signalisere at spørsmål om etiske problemer er velkommen og at organisasjonen vil reagere på dem. Det handler om langt mer enn bare å samsvare med lovgivningen – det får en til å tenke «kan dette også være til hjelp på andre måter?» Dét er veldig bra hvis man skal bygge opp en etisk kultur og vise at organisasjonen er ansvarlig. 

I siste ende er det nødvendig at det eksisterer tillit mellom organisasjonen og de interne varslerne. Når du etterforsker og finner overtredelser, er det ikke alltid lett å finne en måte å kommunisere alle detaljene som du har funnet ut i etterforskningen til personen som varslet. Varslerne må stole på at du har sett på tingene og handlet, selv om det ikke alltid kan sees. Jeg tror et varslingssystem kan være til hjelp her. Dette er noe mer enn bare å samsvare med lovgivningen. Det er med til å utvikle tillit.


11. Har du noen tanker om hvilken rolle teknologien kan spille for å få folk til å varsle om betenkelige eller mistenkelige aktiviteter?
Ja, det har jeg. Det eksisterer IT-systemer som jeg kaller for toveis anonyme – du kan kommunisere med noen og personen kan forbli anonym for deg og du kan forbli anonym for dem. Du kan stille ytterligere spørsmål og de kan fortsette å være anonyme. Vi vet fra forskningen av folk unngår å varsle fordi de er redd. Det viser seg at de er redd for at taushetsplikten ikke vil opprettholdes. Online systemer eller systemer som er tilgjengelig via en app kan virkelig hjelpe på dette. Å kunne varsle online via et toveis anonymt system vil fremme varsling. 

Teknologien gjør det også mye enklere å behandle varslet på en ordentlig måte og tidsstemple alle handlinger som utføres. Med den lovgivningen som er på trappene, vil det også bli viktigere for organisasjoner å kunne vise at de har gjort det som med rimelighet kan forventes av dem – at de er ansvarlige. Dette er også innebygd i ISO 37002. Jeg tror det er mye lettere enn med telefon – hvis du kan ha toveis anonym kommunikasjon kan du også utvikle tillit.

WhistleBs varslingssystem gjør det mulig for selskapene å implementere deres varslingsprogrammer i samsvar med retningslinjene i ISO 37002 for varslingssystemer. Klikk her for en gratis demo.

Jan Tadeusz Stappers, LL.M.

Seniorleder, partnerskap

jan.stappers@whistleb.com