Czekając na ustawę o sygnalistach

W grudniu mija rok, od kiedy Dyrektywa (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii powinna zostać zaimplementowana przez państwa członkowskie. Polska wciąż jest w grupie krajów, które nie wprowadziły odpowiednich przepisów chroniących sygnalistów.

Komisja Europejska w 2022 r. dwukrotnie upominała już spóźnialskie państwa, wzywając do pełnej transpozycji i udzielenia odpowiedzi na temat przyczyn zaniechań. Dalsza zwłoka grozi wniesieniem sprawy do Trybunału Sprawiedliwości Unii Europejskiej i nałożeniem kar finansowych. Istnieje duża szansa, że zdyscyplinuje to rząd do przyspieszenia prac nad nową ustawą.

Marcin Waszak

Mozolne prace legislacyjne

Sam proces przygotowania nowego prawa zaczął się dopiero na jesieni 2021 r., kiedy Ministerstwo Rodziny i Polityki Społecznej opublikowało pierwszy projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Potem był etap konsultacji publicznych i kolejne trzy wersje projektu opublikowane w 2022 r., z których ostatni z datą 22 lipca. W międzyczasie odbyły się też uzgodnienia międzyresortowe i poznaliśmy protokół rozbieżności. Bardzo możliwe, że to właśnie w tabeli uwag nieuwzględnionych znaleźć można przyczyny, dla których prace po stronie rządu jeszcze się nie zakończyły.

Faktem jest, że po wakacjach zapadła cisza na temat dalszych losów projektu. Rządowy proces legislacyjny zatrzymał się na etapie uzgodnień z Komitetem do Spraw Europejskich. Co istotne, każdy kolejny projekt zawierał coraz mniej zmian w stosunku do poprzedniego, a projekt ostatni w zestawieniu z poprzednim różnił się wyłącznie kosmetycznymi, językowymi poprawkami. W znakomitej większości składał się z przepisów wynikających wprost z wytycznych Dyrektywy UE, miejscami cytując ją słowo w słowo. Na tej podstawie można przypuszczać, że przyszła ustawa nie będzie daleko odbiegać od obecnego kształtu projektu, choć oczywiście podczas prac nad nią w Sejmie i w Senacie sporo jeszcze może się wydarzyć. Dlaczego proces ten do tej pory toczy się tak wolno, gdzie leży pies pogrzebany?

Co wyhamowuje ustawę?

Stawiam tezę, że gdyby ustawa o sygnalistach miała dotyczyć wyłącznie podmiotów sektora prywatnego, przepisy dawno już weszłyby w życie. Najważniejsze dylematy rządu zdają się dotyczyć tego jak ma działać system ochrony sygnalistów oparty o jednostki sektora finansów publicznych i z czego będzie finansowany. Z projektu ustawy wciąż wyziera potężna luka w postaci braku listy organów publicznych właściwych do przyjmowania zgłoszeń zewnętrznych i podejmowania na ich podstawie działań następczych. Będzie to powodować dezorientację tak sygnalistów jak i samych organów publicznych, niepewnych czy i w jakim zakresie mają prowadzić zewnętrzne kanały zgłaszania.

Dodatkowo Ministerstwo Spraw Wewnętrznych i Administracji nie wycofało się ze swojego postulatu, żeby organ właściwy do zajmowania się zgłoszeniami sygnalistów ustanowić jeden w postaci Prokuratury zamiast rozproszonego systemu organów publicznych. Przystanie na postulat MSWiA to powrót do modelu zgłaszania ujętego w projekcie ustawy o jawności życia publicznego, powszechnie krytykowanego za to, że ochronę sygnalisty uzależnia od arbitralnych decyzji prokuratora. Być może jednak propozycja ta jest wciąż dyskutowana i nie przypadkiem projekt milczy o tym, którym organom publicznym nada kompetencje do zajmowania się sprawami sygnalistów. Wyjątkiem jest tutaj Rzecznik Praw Obywatelskich, któremu została przydzielona rola centralnego organu zajmującego się gromadzeniem i weryfikacją zgłoszeń zewnętrznych. RPO pośredniczyłby w przekazywaniu informacji między sygnalistą a organem, w którego kompetencjach leży zbadanie naruszenia. Dla samego RPO to rola problematyczna, wykraczająca poza ustawowo przypisane mu działania, ale też niosąca za sobą duże obciążenia finansowe. Tymczasem ze strony Ministerstwa Finansów słychać pohukiwania, że skutki finansowe przyszłej ustawy nie zostały dokładnie policzone a liczba zgłoszeń i czasochłonność ich obsługi może okazać się zupełnie inna od przewidywanej. Dlatego biorąc pod uwagę kryzys gospodarczy spowodowany pandemią Covid-19 i wojną w Ukrainie, sugeruje, aby na początek Biuro RPO wygospodarowało środki na ten cel w ramach istniejącego już budżetu. Wreszcie wciąż możliwy jest wariant polegający na stworzeniu nowej instytucji, która przejmie zadania RPO i innych organów publicznych w zakresie obsługi zgłoszeń zewnętrznych. Jest to rozwiązanie obecne w kilku europejskich krajach, np. na Słowacji, jednak niosące ze sobą jeszcze większe wyzwania finansowo-kadrowe aniżeli poszerzenie kompetencji RPO. Nie bez znaczenia jest to, że powołanie dedykowanej instytucji zanim jeszcze wdroży zewnętrzne kanały zgłaszania wymaga dodatkowego czasu, który już dawno się skończył.

Póki co najtrudniejsze dla rządu okazują się decyzje dotyczące kilku elementów ustawy o sygnalistach, co do których Dyrektywa UE nie narzuca jednego rozwiązania. W interesie polskiego państwa, ale też organizacji czekających na wytyczne jak i kiedy procedury zgłoszeń wdrożyć, powinny zostać podjęte niezwłocznie.

Odpowiedzialność podmiotów zbiorowych a compliance

Skierowany w styczniu 2019 do Sejmu rządowy projekt ustawy „o odpowiedzialności podmiotów zbiorowych za czyny zagrożone pod groźbą kary” jest prawdopodobnie jednym z ważniejszych, jeśli nie najważniejszym projektem dotyczącym obszaru compliance w Polsce.

Z tego względu już teraz należy przyjrzeć się mu bliżej właśnie pod kątem tego, jak funkcja compliane jest w stanie uchronić podmiot zbiorowy przed ponoszeniem odpowiedzialności.

 

Zakres odpowiedzialności

Zakres podmiotowy, wedle projektu ustawy, dotyczy tzw. podmiotów zbiorowych (art. 2 pkt 1 projektu), a więc osoby prawnej, jednostki organizacyjnej niemającą osobowości prawnej, której odrębne przepisy przyznają zdolność prawną, w tym również spółki handlowej z udziałem Skarbu Państwa, jednostki samorządu terytorialnego lub związku takich jednostek, spółki kapitałowej w organizacji, podmiotu w stanie likwidacji oraz przedsiębiorcy niebędącego osobą fizyczną, z wyłączeniem Skarbu Państwa, jednostek samorządu terytorialnego i ich związków.

Zakresie przedmiotowym projekt ustawy dotyczy z kolei popełnienia czynu zabronionego (art.2 pkt 2 projektu)  – definiowanego jako czyn zabroniony przez ustawę pod groźbą kary jako przestępstwo ścigane z oskarżenia publicznego lub jako przestępstwo skarbowe, z wyłączeniem czynów popełnionych przez opublikowanie materiału prasowego oraz innych naruszeń prawa związanych z przekazywaniem myśli ludzkiej, do których stosuje się przepisy o odpowiedzialności prawnej i postępowaniu w sprawach prasowych określone w ustawie z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. z 2018 r. poz. 1914).

Ponadto zgodnie z art. 5 ust. 1 projektu ustawy podmiot zbiorowy odpowiada za czyn zabroniony, którego znamiona zostały wyczerpane przez działanie lub zaniechanie pozostające bezpośrednio w związku z prowadzoną przez ten podmiot działalnością, zaś warunkiem odpowiedzialności na podstawie ust. 1 jest wyczerpanie znamion czynu zabronionego wskutek:

  1. działania lub zaniechania organu;
  2. umyślnego działania lub zaniechania członka organu.

W typowej sytuacji spółka prawa handlowego ponosiłaby więc odpowiedzialność na mocy projektowanej ustawy za przestępstwo dokonane na przykład na skutek działania lub zaniechania przez członka jej zarządu.

Projekt ustawy idzie jednak o wiele dalej, o czym stanowi wprost art. 6 ust. 1 projektu ustawy

Art. 6.

  1. Podmiot zbiorowy odpowiada również za czyn zabroniony, pozostający bezpośrednio w związku z prowadzoną przez ten podmiot działalnością, jeżeli został popełniony przez:
    1) osobę fizyczną uprawnioną do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu;
    2) osobę fizyczną dopuszczoną do działania przez jego organ, członka jego organu lub osobę, o której mowa w pkt 1, wskutek nadużycia uprawnień lub niedopełnienia obowiązków;
    3) osobę przez niego zatrudnioną, w związku ze świadczeniem pracy na jego rzecz.
  1. Podmiot zbiorowy odpowiada za czyn zabroniony, z którego chociażby pośrednio osiągnął korzyść majątkową, popełniony przez:
    1) podwykonawcę albo innego przedsiębiorcę będącego osobą fizyczną, jeżeli jego czyn zabroniony pozostawał w związku z wykonywaniem umowy zawartej z podmiotem zbiorowym,
    2) pracownika albo osobę upoważnioną do działania w interesie lub na rzecz przedsiębiorcy niebędącego osobą fizyczną, jeżeli jego czyn pozostawał w związku z wykonywaniem umowy zawartej przez tego przedsiębiorcę z podmiotem zbiorowym – jeżeli organ, członek organu lub osoba, o której mowa w ust. 1, wiedziała lub przy zachowaniu ostrożności wymaganej w danych okolicznościach mogła się dowiedzieć, że osoby określone w pkt 1 i 2 będą usiłowały popełnić lub popełniły czyn zabroniony lub że u przedsiębiorcy, o którym mowa w pkt 2, występują nieprawidłowości określone w ust. 4.

Oznacza to więc, że spółka prawa handlowego ponosiłaby odpowiedzialność na mocy projektowanej ustawy za przestępstwo dokonane nie tylko na skutek działania lub zaniechania przez członka jej zarządu, ale także czynu zabronionego popełnionego przez jej pracownika, a nawet podwykonawcę. Nietrudno zauważyć, że zwłaszcza w przypadku największych spółek, mówimy o sytuacji, gdy spółka zatrudnia lub zawiera umowy z tysiącami osób fizycznych i na mocy ustawy miałaby ponosić odpowiedzialność za działania przestępcze tych osób.

Jako że podmiot zbiorowy nie jest osobą fizyczną, niemożliwe jest oczywiście zastosowanie kary pozbawienia wolności. Nie mnie jednak katalog kar i środków jest niezwykle surowy (art.15-17 projektu)

Art. 15. Karami orzekanymi wobec podmiotu zbiorowego są:

  1. kara pieniężna;
  2. rozwiązanie podmiotu zbiorowego.

Art. 16. Środkami orzekanymi wobec podmiotu zbiorowego są:

  1. przepadek mienia lub korzyści majątkowych albo ich równowartości;
  2. zakaz promocji lub reklamy prowadzonej działalności, wytwarzanych lub sprzedawanych wyrobów, świadczonych usług lub udzielanych świadczeń;
  3. zakaz prowadzenia działalności gospodarczej określonego rodzaju;
  4. zakaz korzystania z dotacji, subwencji lub innych form wsparcia finansowego ze środków publicznych;
  5. zakaz korzystania z pomocy organizacji międzynarodowych, których Rzeczpospolita Polska jest członkiem;
  6. zakaz ubiegania się o zamówienia publiczne;
  7. obowiązek zwrotu na rzecz Skarbu Państwa równowartości wsparcia finansowego środkami publicznymi, otrzymanego od chwili popełnienia czynu zabronionego do chwili wydania orzeczenia w sprawie odpowiedzialności podmiotu zbiorowego;
  8. podanie wyroku do publicznej wiadomości;
  9. obowiązek naprawienia szkody lub zadośćuczynienia za doznaną krzywdę;
  10. stałe albo czasowe zamknięcie oddziału podmiotu zbiorowego;
  11. nawiązka.

Funkcja compliance jako narzędzie chroniące podmiot zbiorowy przed ponoszeniem odpowiedzialności

Co jednak najbardziej istotne odpowiedzialność podmiotu zbiorowego za przestępstwa i przestępstwa skarbowe (np. pracowników czy podwykonawców) nie jest jednak według projektu ustawy  odpowiedzialnością bezwarunkową.

Zgodnie z art. 6 ust. 3 projektu podmiot zbiorowy ponosić ma odpowiedzialność pod warunkiem, że nastąpiło wyczerpanie znamion czynu zabronionego w następstwie:

  1. co najmniej braku należytej staranności w wyborze osoby, o której mowa w ust. 1 lub 2, lub osoby, o której mowa w art. 5 ust. 2 pkt 2, albo w nadzorze nad nimi ze strony podmiotu zbiorowego [patrz uwagi powyżej]
  2. takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego, chociaż inna organizacja działalności mogła zapobiec popełnieniu tego czynu.

W tym właśnie momencie kluczową rolę zaczyna odgrywać funkcja compliance, która obejmować powinna co najmniej trzy podstawowe elementy, zgodnie z załączonym schematem.

Projekt ustawy różnicuje te elementy, ale w istocie wszystkie one składają się na zawansowaną funkcją compliance, która zaczyna się w momencie nawiązania kontaktu z kandydatami na członków organu, pracowników i podwykonawców, nadzór nad ich działaniem w trakcie świadczenia pracy bądź wykonywania usługi oraz co najważniejsze rozwój organizacji w taki sposób, aby popełnianie przestępstw było co najmniej utrudnione.

Brak należytej staranność w wyborze członków organów, pracowników i podwykonawców

Z praktycznego punktu widzenia, przy wykazaniu należytej staranności w wyborze członków organów, pracowników i podwykonawców najbardziej przydatne są narzędzia, które od lat stosowane są w poszczególnych obszarach compliance.

Najłatwiej o nie w przypadku podwykonawców, w stosunku do których stosowane są tzw. procedury antykorupcyjne due dilligence mające sprawdzić potencjalnego usługodawcę pod kątem ryzyka korupcji. Zwykle stosowany jest pewne ograniczone monitorowanie podwykonawcy, który determinuje ocenę ryzyka korupcji i możliwości rozpoczęcia współpracy. W niektórych przypadkach, zwłaszcza odnośnie kluczowych podwykonawców i podwyższonego poziomu ryzyka podejmowana jest bardziej wnikliwa analiza i eskalacja decyzji nawet na poziom zarządu. Na podobnej zasadzie działają choćby niektóre procedury AML dotyczące zapobiegania praniu pieniędzy. W przypadku pracowników jako osób fizycznych kluczowe są procedury HR budowane na podobnej zasadzie, co due dilligence, przy czym pytania zwykle dotyczą nieco innego zakresu niż działania spółki będącej podwykonawcą. Wobec braku możliwości sprawdzenia kandydata na pracownika w sposób analogiczny jak sprawdza się osobę prawną, niektórzy stosują także bardziej zaawansowane testy dotyczące także zasad etyki.

W przypadku członków organów, zwłaszcza zarządów spółek, najbardziej przydatne okazują tzw. testy „fit and proper” pozwalające na wstępną, a następnie bieżącą ocenę odpowiedniości kandydatów na członków organów, przy czym często oceny te są zlecane na zewnątrz tak, aby uniknąć podejrzeń o brak niezależności. Wszystkie powyższe sposoby opierają się na technice wyboru określonych czynników ryzyka i sygnałów ostrzegawczych (tzw. red flag), które skonfrontowane z zestawem danym zbieranych od kandydatów i na temat kandydatów mają wskazać, na ile nawiązanie relacji skutkować może ryzykiem popełnienia czynu zabronionego. Jednocześnie stosowanie powyższych rozwiązań umożliwia wykazanie należytej staranności przez podmiot zbiorowy.

Brak należytej staranność w nadzorcze nad członkami organów, pracownikami i podwykonawcami

Drugim elementem, wiele skrótowo opisanym w projekcie ustawy, jest zachowanie należytej staranności w nadzorze nad członkami organów, pracownikami i podwykonawcami. W istocie chodzi tutaj o adekwatny i skuteczny system kontroli wewnętrznej. Taki system w pierwszej kolejności powinien zawierać manualne bądź automatyczne mechanizmy kontrolne (tzw. controls) wpisane w procedury operacyjne (np. podział obowiązków, autoryzacje, czynności sprawdzające), a następnie stwarzać ramy do monitorowania (nadzoru) nad ich przestrzeganiem przez członków organów, pracowników i podwykonawców. Taki nadzór może przybierać rozmaite formy od nadzoru bieżącego przez przełożonego, poprzez okresowe kontrole i testy aż po niezależny audyt wewnętrzny. Pomocne są tutaj modele COSO czy standardy IIA.

Dodatkowo sytuację może komplikować status podwykonawców będących odrębną osobą prawną, co oznacza, że na mocy oddzielnych umów o współpracy, powinien być przewidziany wymóg stosowania przez podwykonawców określonych mechanizmów kontrolnych oraz możliwość kontroli zewnętrznej (nadzoru) nad działaniem podwykonawcy na przykład przez wizytację czy też obowiązkowe raportowanie określonych zagadnień, w tym zwłaszcza wykrytych nieprawidłowości. Należy pamiętać, że o ile system wyboru odpowiednich pracowników działa przede wszystkim prewencyjnie, o tyle system kontroli wewnętrznej nadzorujący ich pracę spełnia jednocześnie rolę prewencyjną, detekcyjną i wreszcie korekcyjną. Oznacza to, że obowiązkowym elementem takiego systemu obok elementów typowo kontrolnych, powinny być procedury odnośnie rejestrowania i raportowania wykrytych nieprawidłowości.

Warto również pamiętać, że należyta staranność odnośnie systemu kontroli wewnętrznej dotyczy po pierwsze jego adekwatności, czyli zaprojektowanych rozwiązań w zależności od wielkości, obszaru działa i zasobów podmiotu zbiorowego. Ponadto dotyczy skuteczności, a więc tego, na ile nadzór, a de facto kontrola wewnętrzna, jest wykonywana. Oznacza to więc także, że zarówno założenia systemu jak i jego stosowanie też powinno być przedmiotem określonego nadzoru (kontroli). Tym samym cały nadzór, o którym mowa w projekcie powinien być rozumiany jako zestaw mechanizmów kontrolnych, bieżącej i okresowej kontroli adekwatności i skuteczności tych mechanizmów oraz przeglądu tego, czy owa okresowa kontrola jest w ogóle w podmiocie zbiorowym wykonywana. Intensywność owego nadzoru oraz liczebność i jakość mechanizmów kontrolnych zależą od rodzaju podmiotu zbiorowego, przy czym im większa spółka i ryzyko czynu zabronionego wyższe, tym system powinien być bardziej zaawansowany.

Nieprawidłowości w organizacji działalności podmiotu zbiorowego

O ile dwa pierwsze elementu nie zostały szczegółowo określone w projekcie, to projektodawca rozwinął, co rozumie poprzez „nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego”. Z jednej strony jest to katalog otwarty, z drugiej został on zdefiniowany negatywnie, to znaczy poprzez wskazanie jakie typy niepożądanych działań należy uznać za nieprawidłowości. Oznacza to więc, że w katalogu tego wywieść można pewne minimum co do prawidłowej organizacji podmiotu zbiorowego, a zatem minimum co do prawidłowej funkcji compliance.

Otóż zgodnie z art. 6 ust. 4 projektu:

4. Nieprawidłowość, o której mowa w ust. 3 pkt 2, polega w szczególności na tym, że:

  1. nie zostały określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności, określenie tych zasad nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);
  2. nie został określony zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie, określenie tego zakresu nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;
  3. nie została określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu, który jest co najmniej średnim przedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 3 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;
  4. organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.

Co te przepisy oznaczają w praktyce?

Po pierwsze, użycie pojęcia „określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego”, o którym mowa w art. 6 ust. 4 pkt 1 projektu ustawy odwołuje się do stanu niepewności, a więc do pojęcia „ryzyka”. Oznacza to, że podmiot zbiorowy musi zarządzać ryzykiem braku zgodności, czy też ryzykiem popełnienia czynu zabronionego. W niektórych przypadkiem zarządzanie takim ryzykiem wpisywane jest w system kontroli wewnętrznej, gdzie zarówno mechanizmy kontrolne, jak kontrole/testowanie/monitorowanie bazują na ryzyku (tzw. risk based apprach).

Takim przykładem połączenia systemu kontroli wewnętrznej i zarządzania ryzykiem jest chociażby model COSO-ERM. W innych przypadkach stosowane są odrębne modele przewidziane do systemu zarządzania ryzykiem, jak choćby normy oparte na ISO jak choćby norma ISO 19600 czy ISO 2700. Czasami stosuje się rozwiązania hybrydowe, czego przykładem jest Rekomendacja H KNF dotycząca systemu kontroli wewnętrznej w bankach, gdzie w części C rekomendacji wprost opisany jest modelowy proces zarządzania ryzykiem compliance. To, co jest najistotniejsze w takim procesie, to zrozumienie, że o ile sama identyfikacja i ocena ryzyka jest bardzo ważna, to kluczowa jest reakcja na ryzyko, w tym zwłaszcza jego obniżanie/łagodzenie (tzw. compliance risk mitigation), na które składają się zwykle zalecenia oraz określone mechanizmu kontrolne (tzw. controls) wpisywane nie tylko do procedur compliance, ale także i przede wszystkim do procedur operacyjnych.

Po drugie, zgodnie z art. 6 ust. 4 pkt 2 należy określić „zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie”. Zakres odpowiedzialności można rozumieć w tym przypadku dwojako. W wersji minimalnej będzie to przypisanie zadań poszczególnym stanowiskom i komórkom organizacyjnym. W wersji bardziej rozbudowanej będzie to umieszczenie tych pracowników i komórek w ramowych zasadach działania systemu kontroli wewnętrznej, czyli przypisania im poszczególnych zadań kontrolnych/nadzorczych. Typowym i często stosowanym rozwiązaniem jest tzw. model trzech linii obrony, gdzie na pierwszej linii obrony są jednostki sprzedażowe, produktowe i back-office, na drugiej komórki wsparcia spełniające szeroko rozumianą rolę kontrolną/monitorującą (komórka compliance, komórki ryzyka, komórki bezpieczeństwa, inspekcje, departament prawny), a na trzeciej linii obrony znajduje się niezależny audyt. Model jest modelem hierarchicznym, co oznacza, że trzecia linia obrony monitoruje linię pierwszą i drugą, a druga linia obrony monitoruje linię pierwszą.

Po trzecie, zgodnie z art. 6 ust. 4 pkt 3 projektu ustawy powinna zostać wyznaczona określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu. Tym samym projekt ustawy niejako wprost jako warunek uniknięcia odpowiedzialności wskazuje wymóg powołania komórki compliance bądź tzw. Compliance Oficera. Pamiętając o wymogu należytej staranności należy podkreślić, że samo formalne wyodrębnienie tej funkcji to zdecydowanie za mało. Kluczowe jest zapewnienie niezależności, odpowiedniego statusu, dostępu do zasobów oraz możliwości realnego działania. Dodatkowo, co jest niezwykle istotne, także w kontekście art. 6 ust. 4 pkt 2 projektu, wskazanie odpowiedniego zakresu działania i to w taki sposób, żeby w sposób jednoznaczny rozdzielić prawa i obowiązki a także ująć relacje z innymi komórkami, w tym zwłaszcza z komórką departamentu prawnego czy departamentu ryzyka. Osobną kwestią jest rozważenie, na ile taka komórka może być łączona z innymi komórkami, a na ile powinna być niezależna i komu powinna bezpośrednio podlegać. Co do zasady najlepszym rozwiązaniem jest odrębna komórka podlegająca bezpośrednio pod prezesa z intensywnymi kontaktami z radą nadzorczą i odpowiednikiem Compliance Oficera w ramach grupy kapitałowej.

Wreszcie po czwarte, zgodnie z art. 6 ust. 4 pkt 4 projektu ustawy, wskazano, że nieprawidłowość w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego jest także wtedy, gdy organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego. Oznacza to, że nie tylko prawidłowo zaprojektowany i działający system kontroli wewnętrznej i/lub zarządzania ryzykiem oraz prawidłowo powołana komórka zgodności/funkcja zgodności wystarczy, aby nie ponosić odpowiedzialności.

Kluczowe są działania podejmowane przez decydentów w sytuacji powzięcia przez nich wiedzy przy nieprawidłowościach. Przy czym użycie sformułowania „wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego” oznacza nie tylko wiedzę o nieprawidłowościach dotyczących nieprzestrzegania procedur, niestosowania mechanizmów kontrolnych i mitygantów ryzyka, ale także wiedzę o wadach samego systemu. Otrzymując pełen negatywnych ocen i stwierdzeń (tzw. findings) raport pokontrolny, wyniki testów, raport compliance czy też raport audytu wewnętrznego członkowie organu nie będą mogli się więc tłumaczyć brakiem wiedzy, a to z kolei oznacza, że w konsekwencji podmiot zbiorowy nie będzie zwolniony z odpowiedzialności. Jednocześnie projekt ustawy w rozdziale czwartym przewiduje szczególne zasady ponoszenia odpowiedzialności podmiotu zbiorowego związane z działaniami odwetowymi wobec osób sygnalizujących nieprawidłowości.

Główne błędy popełniane przy koncepcjach wdrożeniowych

Czytając tekst projektu i projektując modele wdrożeniowe należy wystrzegać się typowych błędów, które w konsekwencji mogą skutkować wadliwością modelu.

Do głównych błędów popełnianych w opracowaniu koncepcji wdrożeniowych należy przede wszystkim zawężenia zakresu ponoszenia odpowiedzialności za czyn zabroniony pod groźbą kary jedynie do przestępstwa korupcji. Tymczasem mówimy o wszystkim przestępstwach, w tym także przestępstwach skarbowych. Pamiętać należy, że przepisy karne ustanowione zostały nie tylko w kodeksie karnym, ale także w szeregu ustaw szczególnych, wobec czego absolutnie podstawowym zadaniem powinno być stworzenie tzw. compliance universe, które określałoby szczegółowy zbiór przepisów mających zastosowanie do danego podmiotu zbiorowego. W świetle projektu antykorupcja to zdecydowanie za mało.

Drugim rozwiązaniem, który budzić może uzasadnione wątpliwości, jest opieranie się jedynie na bieżącym, niesformalizowanym nadzorze na pracownikami i podwykonawcami. Tymczasem wykazanie należytej staranności poniekąd wymusza ściśle sformalizowany system, wskazujący nie tylko na różnego rodzaju nadzoru i kontrole, ale także zasady ich dokumentowania, rejestrowania nieprawidłowości oraz raportowania. Pamiętać należy na tym, że szereg z owych mechanizmów kontrolnych i ich nadzorowania zaszyte jest w systemach IT, co znowuż oznacza ich konieczne skatalogowanie i okresowe testowanie.

Trzecim przypadkiem, niestety czasami spotykanym w compliance, jest jedynie formalne wyodrębnienie komórki compliance, w której Compliance Oficer staje się jedynie figurantem pozbawionym uprawnień i pozycji, wobec czego funkcja compliance daje jedynie ułudę zabezpieczenia przed odpowiedzialnością podmiotu zbiorowego.

Zakończenie

Analizując treść projektu ustawy trudno nie mieć wrażenia, że chociaż bazowała ona na antykorupcyjnych rozwiązaniach OECD i amerykańskiego FCPA, to zakres przedmiotowy odpowiedzialności, czyli wszystkie czyny zabronione pod groźbą kary sprawia, że ewentualne wdrożenie funkcji compliance będzie nie lada wyzwaniem dla podmiotów zbiorowych. Zważywszy na opis tych wymogów w ustawie z jednej strony dosyć skrótowy, z drugiej otwierający przed podmiotami zbiorowymi cały wachlarz rozmaitych rozwiązań stosowanych w obszarach compliance, okazać się może, że na samym etapie projektowania i wyboru modelu należy liczyć się z ogromem trudności, zwłaszcza że każdy taki model funkcji compliance generuje określone koszty.

Tym bardziej więc zanim dokona się określonego wyboru, warto poświęcić czas na gruntowaną analizę rozmaitych podejść do funkcji compliance, której cechą szczególną jest połączenie elementów doradztwa prawnego, kontroli wewnętrznej, audytu wewnętrznego i zarządzania ryzykiem.

Whistleblowing – kolejne obowiązki czy szansa na zmianę kulturową?

Słowem wstępu warto najpierw krótko wyjaśnić genezę pojęcia whistleblowing. W dosłownym znaczeniu oznacza dmuchanie w gwizdek, a  pojęcie wywodzi się najprawdopodobniej od charakterystycznych gwizdków, stosowanych przez brytyjskich stróży prawa, którzy wykorzystywali je do sygnalizowania popełnienia przestępstwa w celu zaalarmowania innych funkcjonariuszy i wezwania pomocy.

Pierwsze regulacje wywodzą się z czasów wojny secesyjnej w USA, podczas której przyjęto ustawę dotyczą przemysłu zbrojeniowego, w celu walki z nielegalną produkcją i przemytem broni. Nieco bardziej współczesne normy prawne, formalizujące tę instytucję w tym kraju to Whistleblower Protection Act (1989), Sarbanes-Oxley Act (2002), Dodd-Frank Act (2010), a w Wielkiej Brytanii, uznawana za wzorcową tzw. PIDA (Public Interest Disclosure Act 1998) no i wreszcie kluczowa dla wspólnoty unijnej Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

nadużycia

W języku polskim zwrot whistleblower nie miał szczęścia do właściwych tłumaczeń.

Ze względu na różnice kulturowe i pewne nawyki społeczne dotyczące sprzeciwu wobec władzy i negatywnego patrzenia na osoby zgłaszające występujące nieprawidłowości do odpowiednich służb termin ten tłumaczono na początku, jako „donosiciel”, z intencjonalnym pejoratywnym wydźwiękiem.

Dopiero w miarę rozwoju instytucji i pojawieniu się kolejnych rozwiązań prawnych  w tym zakresie, rozpoczęto poszukiwania bardziej szczęśliwych określeń, a przez krótki czas taka osoba była określana jako „donosiciel w dobrej wierze”. Pokazuje to bardzo obrazowo jak bardzo zakorzeniony w polskiej kulturze był sprzeciw wobec instytucji whistleblowingu.

Finalnie przyjętym, nieco bardziej szczęśliwym i jednocześnie oficjalnym tłumaczeniem zwrotu whistleblower, także na gruncie kluczowej w tym zakresie wskazanej powyżej dyrektywy UE, jest określenie sygnalista, zdefiniowane jako „osoba dokonująca zgłoszenia”, które „oznacza osobę fizyczną, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą” (art. 5 pkt 7 przedmiotowej dyrektywy).

Regulacja unijne obejmują obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń (w tym anonimowych) oraz odpowiednich procedur na potrzeby obsługi tych zgłoszeń oraz ochrony osób sygnalizujących za ich pośrednictwem nieprawidłowości. Wprowadzają one także zakaz działań odwetowych oraz środki wsparcia i ochrony przed działaniami odwetowymi dla tych osób.

Instytucję whistleblowingu należy wskazywać jako jeden z (kluczowych?) elementów systemu zarządzania ryzykiem braku zgodności, a procedury anonimowego zgłaszania nieprawidłowości, jako nie tylko obowiązek regulacyjny, angażujący zasoby i czas nie tylko osoby wykonujących zadania w ramach funkcji compliance, ale także zarządu i rady nadzorczej (w zależności od przedmiotu zgłoszenia), ale także jako szansę. Oczywiście tak postawiona teza tendencyjnie nasuwa od razu pytanie, szansę na co?

Regulacje unijne i polskie nie idą jeszcze tak daleko, jak rozwiązania w USA, aby wprowadzać obligatoryjne nagrody finansowe dla osób zgłaszających naruszenia. Jednakże kolejne przepisy co raz bardziej rozszerzają zakres odpowiedzialności podmiotu zbiorowego i jego organów zarządzających, za czyny zabronione i naruszenia obowiązków regulacyjnych ciążących na tych podmiotach. Nawet najbardziej rozbudowany system kontroli i zarządzania ryzykiem, a także zasoby ludzkie i informatyczne dedykowane do wykonywania tych zadań, nie będą w stanie być przy każdym pracowniku przez 100% czasu i zapewnić pokrycia efektywną kontrolą 100% wykonywanych czynności w organizacji.

Można więc postawić tezę, że tylko zbudowanie odpowiedniej kultury compliance w organizacji, dotyczącej nie tylko konieczności stosowania standardów i zasad postępowania, ale także obejmującej ochronę, szacunek i pochwałę wobec osób, które nie przechodzą obojętnie wobec nieprawidłowości, tylko zgłaszają je odpowiednimi kanałami w organizacji, jest w stanie w sposób w pełni efektywny ograniczyć ryzyko braku zgodności, sankcji regulacyjnych, a także osobistej odpowiedzialności członków zarządu lub rady nadzorczej. Przy osobie dopuszczającej się przestępstw lub innego rodzaju nadużyć najbliżej nie jest pracownik kontroli czy departamentu audytu, czy nawet bezpośredni przełożony.

To osoby z tego samego zespołu lub bezpośrednio współpracujące z osobą działającą w sposób niezgodny z prawem i etyką są w stanie najszybciej zwrócić uwagę na tego rodzaju sytuacje, a odpowiednie powiadomienie dedykowanych jednostek w organizacji (co do zasady funkcji compliance), połączone z obowiązkiem przeprowadzenia postępowania wyjaśniającego i ochroną zgłaszającego, jest w stanie doprowadzić do wykrycia nieprawidłowości już na wczesnym etapie i skutecznie zmitygować ryzyko wystąpienia sankcji regulacyjnych, w tym finansowych wobec podmiotu lub personalnej odpowiedzialności zarządu lub rady nadzorczej.