Nieprawidłowości w organizacji działalności podmiotu zbiorowego
O ile dwa pierwsze elementu nie zostały szczegółowo określone w projekcie, to projektodawca rozwinął, co rozumie poprzez „nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego”. Z jednej strony jest to katalog otwarty, z drugiej został on zdefiniowany negatywnie, to znaczy poprzez wskazanie jakie typy niepożądanych działań należy uznać za nieprawidłowości. Oznacza to więc, że w katalogu tego wywieść można pewne minimum co do prawidłowej organizacji podmiotu zbiorowego, a zatem minimum co do prawidłowej funkcji compliance.
Otóż zgodnie z art. 6 ust. 4 projektu:
4. Nieprawidłowość, o której mowa w ust. 3 pkt 2, polega w szczególności na tym, że:
- nie zostały określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności, określenie tych zasad nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);
- nie został określony zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie, określenie tego zakresu nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;
- nie została określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu, który jest co najmniej średnim przedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 3 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;
- organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.
Co te przepisy oznaczają w praktyce?
Po pierwsze, użycie pojęcia „określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego”, o którym mowa w art. 6 ust. 4 pkt 1 projektu ustawy odwołuje się do stanu niepewności, a więc do pojęcia „ryzyka”. Oznacza to, że podmiot zbiorowy musi zarządzać ryzykiem braku zgodności, czy też ryzykiem popełnienia czynu zabronionego. W niektórych przypadkiem zarządzanie takim ryzykiem wpisywane jest w system kontroli wewnętrznej, gdzie zarówno mechanizmy kontrolne, jak kontrole/testowanie/monitorowanie bazują na ryzyku (tzw. risk based apprach).
Takim przykładem połączenia systemu kontroli wewnętrznej i zarządzania ryzykiem jest chociażby model COSO-ERM. W innych przypadkach stosowane są odrębne modele przewidziane do systemu zarządzania ryzykiem, jak choćby normy oparte na ISO jak choćby norma ISO 19600 czy ISO 2700. Czasami stosuje się rozwiązania hybrydowe, czego przykładem jest Rekomendacja H KNF dotycząca systemu kontroli wewnętrznej w bankach, gdzie w części C rekomendacji wprost opisany jest modelowy proces zarządzania ryzykiem compliance. To, co jest najistotniejsze w takim procesie, to zrozumienie, że o ile sama identyfikacja i ocena ryzyka jest bardzo ważna, to kluczowa jest reakcja na ryzyko, w tym zwłaszcza jego obniżanie/łagodzenie (tzw. compliance risk mitigation), na które składają się zwykle zalecenia oraz określone mechanizmu kontrolne (tzw. controls) wpisywane nie tylko do procedur compliance, ale także i przede wszystkim do procedur operacyjnych.
Po drugie, zgodnie z art. 6 ust. 4 pkt 2 należy określić „zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie”. Zakres odpowiedzialności można rozumieć w tym przypadku dwojako. W wersji minimalnej będzie to przypisanie zadań poszczególnym stanowiskom i komórkom organizacyjnym. W wersji bardziej rozbudowanej będzie to umieszczenie tych pracowników i komórek w ramowych zasadach działania systemu kontroli wewnętrznej, czyli przypisania im poszczególnych zadań kontrolnych/nadzorczych. Typowym i często stosowanym rozwiązaniem jest tzw. model trzech linii obrony, gdzie na pierwszej linii obrony są jednostki sprzedażowe, produktowe i back-office, na drugiej komórki wsparcia spełniające szeroko rozumianą rolę kontrolną/monitorującą (komórka compliance, komórki ryzyka, komórki bezpieczeństwa, inspekcje, departament prawny), a na trzeciej linii obrony znajduje się niezależny audyt. Model jest modelem hierarchicznym, co oznacza, że trzecia linia obrony monitoruje linię pierwszą i drugą, a druga linia obrony monitoruje linię pierwszą.
Po trzecie, zgodnie z art. 6 ust. 4 pkt 3 projektu ustawy powinna zostać wyznaczona określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu. Tym samym projekt ustawy niejako wprost jako warunek uniknięcia odpowiedzialności wskazuje wymóg powołania komórki compliance bądź tzw. Compliance Oficera. Pamiętając o wymogu należytej staranności należy podkreślić, że samo formalne wyodrębnienie tej funkcji to zdecydowanie za mało. Kluczowe jest zapewnienie niezależności, odpowiedniego statusu, dostępu do zasobów oraz możliwości realnego działania. Dodatkowo, co jest niezwykle istotne, także w kontekście art. 6 ust. 4 pkt 2 projektu, wskazanie odpowiedniego zakresu działania i to w taki sposób, żeby w sposób jednoznaczny rozdzielić prawa i obowiązki a także ująć relacje z innymi komórkami, w tym zwłaszcza z komórką departamentu prawnego czy departamentu ryzyka. Osobną kwestią jest rozważenie, na ile taka komórka może być łączona z innymi komórkami, a na ile powinna być niezależna i komu powinna bezpośrednio podlegać. Co do zasady najlepszym rozwiązaniem jest odrębna komórka podlegająca bezpośrednio pod prezesa z intensywnymi kontaktami z radą nadzorczą i odpowiednikiem Compliance Oficera w ramach grupy kapitałowej.
Wreszcie po czwarte, zgodnie z art. 6 ust. 4 pkt 4 projektu ustawy, wskazano, że nieprawidłowość w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego jest także wtedy, gdy organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego. Oznacza to, że nie tylko prawidłowo zaprojektowany i działający system kontroli wewnętrznej i/lub zarządzania ryzykiem oraz prawidłowo powołana komórka zgodności/funkcja zgodności wystarczy, aby nie ponosić odpowiedzialności.
Kluczowe są działania podejmowane przez decydentów w sytuacji powzięcia przez nich wiedzy przy nieprawidłowościach. Przy czym użycie sformułowania „wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego” oznacza nie tylko wiedzę o nieprawidłowościach dotyczących nieprzestrzegania procedur, niestosowania mechanizmów kontrolnych i mitygantów ryzyka, ale także wiedzę o wadach samego systemu. Otrzymując pełen negatywnych ocen i stwierdzeń (tzw. findings) raport pokontrolny, wyniki testów, raport compliance czy też raport audytu wewnętrznego członkowie organu nie będą mogli się więc tłumaczyć brakiem wiedzy, a to z kolei oznacza, że w konsekwencji podmiot zbiorowy nie będzie zwolniony z odpowiedzialności. Jednocześnie projekt ustawy w rozdziale czwartym przewiduje szczególne zasady ponoszenia odpowiedzialności podmiotu zbiorowego związane z działaniami odwetowymi wobec osób sygnalizujących nieprawidłowości.