Jak rozumieć pojęcie compliance?
Działania compliance (zwane też compliance management system, CMS) to zespół reguł, praktyk i schematów, które mają zapewnić zgodne z prawem działanie danej organizacji oraz kontrolę czynności podejmowanych przez osoby legitymowane do występowania w jej imieniu.
Choć samo pojęcie CMS nie ma definicji legalnej, w literaturze przyjmuje się, że jest to „całokształt środków i procesów w danej organizacji, które mają na celu wykrycie ryzyka niezgodności i zarządzanie nimi w ten sposób, aby żaden z członków organizacji nie dopuścił się naruszenia obowiązujących regulacji, czyli zachował się z nimi zgodnie.”
W praktyce nie ma jednego, uniwersalnego pojęcia compliance, ponieważ każda firma funkcjonuje na innych zasadach. Uznaje się jednak, że filary systemu CMS tworzą:
-
prawidłowa identyfikacja ryzyka (np. prawnego, finansowego, organizacyjnego),
-
opracowanie protokołów, polityk i procedur oraz ich aktualizowanie,
-
wytypowanie osoby lub działu odpowiedzialnego za rozstrzyganie sytuacji wątpliwych.
Jakie podmioty objęte są regulacją nowej ustawy?
Reguły compliance według ustawy dotyczą podmiotów zbiorowych. Zgodnie z art. 2 pkt 1 nowego aktu, podmiotem zbiorowym jest:
-
osoba prawna,
-
jednostka organizacyjna nieposiadająca osobowości prawnej, którym odrębne przepisy przyznają zdolność prawną (np. spółki osobowe),
-
spółki prawa handlowego z udziałem Skarbu Państwa,
-
jednostki samorządu terytorialnego i ich związki,
-
spółka kapitałowa w organizacji,
-
podmiot w stanie likwidacji,
-
przedsiębiorca niebędący osobą fizyczną, z wyłączeniem Skarbu Państwa, jednostek samorządu terytorialnego i ich związków.
Warunkiem podlegania ustawie jest posiadanie siedziby lub prowadzenie działalności gospodarczej na terytorium RP chyba, że czyn zabroniony został popełniony na terytorium Polski (lub tam wystąpił jego skutek) albo też był skierowany przeciwko podmiotowi polskiemu.
Nowe zasady odpowiedzialności podmiotów zbiorowych
Projekt nowego aktu prawnego wprowadza daleko idącą odpowiedzialność podmiotów zbiorowych nie tylko za działania własne, ale także za czyny zabronione popełnione przez podmioty współpracujące.
Zgodnie z art. 5 ust. 1 i 2 ustawy, podmiot zbiorowy (organ lub członek tego organu) odpowiada za czyn zabroniony, którego znamiona zostały wyczerpane przez działanie lub zaniechanie pozostające bezpośrednio w związku z prowadzoną przez ten podmiot działalnością.
Odpowiedzialność rozciąga się także na czyny pozostające w bezpośrednim związku z działalnością gospodarczą podmiotu popełnione przez:
-
osobę fizyczną uprawnioną do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu,
-
osobę fizyczną dopuszczoną do działania przez jego organ lub członka organu wskutek nadużycia uprawnień lub niedopełnienia obowiązków,
-
osobę zatrudnioną przez podmiot w związku ze świadczeniem pracy na jego rzecz.
Należy podkreślić, że według nowego projektu podmiot zbiorowy ponosi odpowiedzialność za wszystkie czyny zabronione pod groźbą kary jako przestępstwo lub przestępstwo skargowe (z wyłączeniem przestępstw prywatnoskargowych).
Czym jest pośrednia odpowiedzialność przedsiębiorcy?
Nowa ustawa o odpowiedzialności podmiotów zbiorowych w art. 6 przewiduje też odpowiedzialność w przypadku choćby pośredniego odniesienia korzyści w wyniku popełnienia czynu zabronionego przez:
-
podwykonawcę albo innego przedsiębiorcę będącego osobą fizyczną, jeżeli czyn zabroniony pozostał w związku z wykonaniem umowy zawartej z podmiotem zbiorowym,
-
pracownika albo osobę upoważnioną do działania w interesie albo na rzecz przedsiębiorcy niebędącego osobą fizyczną, jeżeli czyn zabroniony pozostawał w związku z wykonaniem umowy na rzecz tego przedsiębiorcy.
Aby pociągnąć podmiot zbiorowy do odpowiedzialności dyscyplinarnej, wystarczy, żeby organ, jego członkowie lub osoby zatrudnione wiedziały lub przy zachowaniu należytej staranności mogły się dowiedzieć o popełnieniu lub próbie popełnienia czynu zabronionego.
Chodzi zatem nie tylko zdobycie wiedzy w toku wykonywania czynności służbowych, ale też dołożenie należytych starań, jakich można oczekiwać od osób wykwalifikowanych i odpowiednio przygotowanych do zajmowania określonego stanowiska.
Ustawodawca podkreślił jednocześnie, że do odpowiedzialności za pośrednią korzyść wystarczy spełnienie przesłanki niewłaściwej organizacji organu zbiorowego, która umożliwiła lub ułatwiła popełnienie czynu zabronionego.
Aby uniknąć odpowiedzialności na gruncie ustawy, podmiot zbiorowy musi wykazać, że dochował należytej staranności wymaganej w danych okolicznościach oraz w nadzorze nad tą działalnością w zakresie:
-
wyboru współpracowników,
-
nadzoru nad osobami trzecimi,
-
organizacji działania wewnętrznego.
Wykazanie przesłanki dochowania należytej staranności następuje przez wcześniejsze i odpowiednie wdrożenie polityki compliance. Co w praktyce może zrobić podmiot zbiorowy?
Jak wykazać wdrożenie procedury compliance w przedsiębiorstwie na gruncie nowej ustawy?
Każda organizacja opiera się na innym modelu funkcjonowania, dlatego zdefiniowanie jedynego, słusznego paradygmatu postępowania compliance jest niemożliwe. Można jednak wskazać na praktyki najczęściej stosowane przez podmioty zbiorowe, nawiązując do art. 6 ust. 4 nowej ustawy. Przykładowo będzie to:
-
Uregulowanie zasad postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności
W procedurach organizacyjnych warto przewidzieć np. obowiązek złożenia zawiadomienia możliwości popełnienia przestępstwa do organów ścigania i wytypować odpowiedzialną za to osobę. Innym przykładem może być przewidzenie odpowiedzialności dyscyplinarnej za dopuszczenie się określonych zaniedbań.
-
Określenie zakresu odpowiedzialności organów, komórek organizacyjnych, pracowników i osób uprawnionych do działania w jego imieniu
Przejawem wdrożenia reguł compliance będzie też enumeratywne wyliczenie zakresie obowiązków tak organów, jak i poszczególnych ich członków, aby było możliwe jednoznaczne ustalenie, kto dopuścił się danego uchybienia i na jakim etapie ono wystąpiło.
-
Powołanie Compliance Officera lub działu compliance
Ustawodawca sugeruje też utworzenie odrębnego stanowiska (lub nawet całej komórki), jest odpowiedzialnego za monitorowanie prawidłowości procedur w firmie. Dział compliance czuwa nad bieżącą oceną całokształtu procesów zachodzących w firmie. Nic nie stoi na przeszkodzie, aby w celu monitorowania systemu CMS zatrudnić firmę zewnętrzną, która zajmie się nadzorem nad zgodnością procedur.
-
Umożliwienie zgłaszania nieprawidłowości
Podmiot zbiorowy powinien zadbać też o utworzenie procedur, które umożliwiają skuteczny obieg informacji oraz niezwłoczne podejmowanie działań. Dobrym pomysłem wykazania spełnienia tej przesłanki jest wdrożenie odpowiednich standardów ISO, np. 27001 i 27017 odpowiadających za ustandaryzowanie ochrony informacji (w tym umieszczanych w chmurze).
W art. 11 ustawa wprowadza obowiązek utworzenia odrębnego kanału dla sygnalistów, czyli osób, które zgłaszają pracodawcy naruszenia prawa, w których przedmiocie mają wiedzę. Wdrożenie tego obowiązku ma wspomóc nowa unijna dyrektywa o ochronie praw sygnalistów. Niestety, w polskim porządku prawnym ustawa implementująca dyrektywę wciąż znajduje się na etapie konsultacji.
Obowiązek ten ustawodawca uznał za na tyle istotny, że w art. 15 ust. 1 in fine wprowadził możliwość podwojenia sankcji finansowej!
Warto także rozważyć wdrożenie w firmie zasad zarządzania ryzykiem. Mają one na celu jak najszybsze zidentyfikowanie potencjalnych ryzyk (np. finansowych, prawnych, wizerunkowych) i ograniczenie ich negatywnego oddziaływania. W skład zasad zarządzania ryzykiem wchodzi:
-
ustanowienie zakresu zarządzania ryzykiem,
-
szacowanie ryzyka,
-
akceptowanie ryzyka,
-
postępowanie z ryzykiem,
-
monitorowanie i przegląd ryzyka.
Na podmiocie zbiorowym spoczywa odpowiedzialność za wykazanie, że wdrożył on wszystkie, niezbędne środki. Dlatego, jeżeli nie jesteś pewny, czy Twoja firma spełnia wymagania w zakresie procedur compliance, skorzystaj z audytu wykwalifikowanych prawników.
Jakie jeszcze regulacje warto wprowadzić w firmie
Należy podkreślić, że katalog przesłanek pozwalający ustalić dochowanie należytej staranności jest otwarty i w przypadku wszczęcia postępowania w stosunku do podmiotu zbiorowego spełnienie przesłanek odpowiedzialności będzie oceniane inaczej. Dlatego warto zawczasu rozważyć zasadność wprowadzenia również innych rozwiązań:
-
compliance zewnętrzny (np. wdrożenie kodeksu dobrych praktyk, sposób postępowania z kontrahentami i organami władzy publicznej, procedury antykorupcyjne),
-
compliance prawny (np. RODO, AML, procedury antymobbingowe),
-
compliance podatkowy (np. interpretacje podatkowe, opinie zabezpieczające, uprzednie porozumienia cenowe (APA), procedury MDR,
-
compliance branżowy (w zależności od profilu działalności firmy zakres i sposób uregulowania procedur będzie nieco inny)
Jeżeli w swojej firmie potrzebujesz wdrożyć reguły compliance, skorzystaj z porady profesjonalistów, którzy doradzą Ci, jakie rozwiązania najlepiej sprawdzą się w Twoim przypadku.
Sankcje w nowej ustawie
Dlaczego wprowadzenie reguł compliance w strukturze podmiotu zbiorowego jest tak istotne? Nowa ustawa o odpowiedzialności podmiotów zbiorowych nie zostawia niedomówień. Jeżeli w toku wszczętego postępowania zostanie stwierdzona odpowiedzialność podmiotu zbiorowego, sankcje mogą być bardzo dotkliwe!
Ustawodawca wyróżnił dwa rodzaje sankcji – kary oraz pozostałe środki.
Kary
Orzekając karę, sąd może:
-
nałożyć karę finansową,
-
orzec o rozwiązaniu podmiotu zbiorowego.
Kara pieniężna orzekana jest w wysokości od 30 tysięcy do 30 milionów złotych z uwzględnieniem okoliczności sprawy i wagi naruszenia. Z kolei rozwiązanie podmiotu jest możliwe, jeżeli służył on do popełnienia czynu zabronionego zagrożonego karą pozbawienia wolności na czas nie krótszy od 5 lat, a jego dalsze funkcjonowanie zagraża obrotowi gospodarczemu.
Karę można orzec samodzielnie lub w połączeniu z sankcjami innego rodzaju, jeżeli jest to uzasadnione.
Pozostałe środki
Katalog pozostałych sankcji został wskazany w art. 16 ustawy i obejmuje aż 11 punktów. Wśród nich znajduje się m.in.:
-
przepadek mienia lub korzyści majątkowych albo ich równowartości,
-
zakaz promocji lub reklamy działalności, wytwarzanych lub sprzedawanych wyrobów, świadczonych usług lub udzielanych świadczeń,
-
zakaz ubiegania się o zamówienia publiczne,
-
zakaz korzystania z dotacji, subwencji lub innych form wsparcia finansowego ze środków publicznych,
-
stałe albo czasowe zamknięcie oddziału podmiotu zbiorowego.
Co nowe zmiany oznaczają w praktyce?
Kiedy przepisy nowej ustawy wejdą w życie, podmioty zbiorowe czeka szereg wyzwań. Przede wszystkim implementacja nowych przepisów dotyczących compliance oznacza wyższe koszty prowadzenia działalności i konieczność zatrudnienia dodatkowych pracowników, a także adaptacji systemów informatycznych przedsiębiorstwa do potrzeb zgłoszeniowych dla whistleblowingu.
Kolejną przeszkodę mogą stanowić trudności organizacyjne. Wdrożenie procedur compliance i norm ISO wiąże się z zaprojektowaniem i wytworzeniem ogromnej ilości dokumentacji oraz zapewnienia jej płynnego obiegu, a także z koniecznością regularnego prowadzenia szkoleń wśród pracowników w celu podniesienia ich świadomości.
Dla małych firm bariery mogą być trudne do przekroczenia, a nowa ustawa nie dywersyfikuje podmiotów zbiorowych i obowiązku dochowania należytej staranności według kryterium dochodów. Pozostaje więc liczyć, że, orzekając o wadze naruszenia, sądy będą często sięgały do art. 6 ust. 5, zgodnie z którym „dokonując oceny nieprawidłowości, bierze się pod uwagę rozmiar i przedmiot działalności podmiotu zbiorowego.”
Pytania i odpowiedzi
Compliance to zespół reguł, praktyk i schematów mających zapewnić zgodne z prawem działanie organizacji. W nowej ustawie dotyczy to szczególnie podmiotów zbiorowych i obejmuje zarówno ich działania własne, jak i czyny zabronione popełnione przez podmioty współpracujące.
Regulacje obejmują różne podmioty, takie jak osoby prawne, jednostki organizacyjne bezosobowe, spółki, jednostki samorządu terytorialnego, spółki kapitałowe, przedsiębiorcy, podmioty w stanie likwidacji, itp., posiadające siedzibę lub prowadzące działalność na terytorium Polski.
Sąd może nałożyć kary finansowe w wysokości od 30 tysięcy do 30 milionów złotych. Istnieje także możliwość rozwiązania podmiotu zbiorowego. Dodatkowo, istnieje katalog pozostałych środków, takich jak przepadek mienia, zakazy reklamy, ubiegania się o zamówienia publiczne, czy korzystania z dotacji.
Zaufali nam: