W związku z tym coraz bardziej doniosłą rolę zaczyna odgrywać problematyka zapewniania zgodności funkcjonowania organizacji z wymogami prawa i wewnętrznymi regulacjami, zwana z angielskiego compliance, która jeszcze do niedawna stanowiła domenę spółek giełdowych i międzynarodowych korporacji. W ostatnich latach compliance zaczyna jednak znajdować drogę pod strzechy polskich małych i średnich przedsiębiorstw. Dla przedsiębiorców, a w szczególności członków organów spółek, istotne jest, aby zdawać sobie sprawę, w jaką stronę podążają obecne trendy w zakresie wdrażania procedur zapewniania zgodności oraz jakie mogą być ich konsekwencje dla organizacji. Należy zastanowić się, do jakiego stopnia procedury compliance mogą zabezpieczyć interesy organizacji i osób nią zarządzających na wypadek wystąpienia naruszeń prawa.

Czytaj także:

System Compliance: jakie nieprawidłowości wykrywa w firmie

Konsekwencje nieprawidłowości

Ryzyko naruszenia prawa może zaktualizować się na wielu poziomach działania organizacji, często przy braku wiedzy osób nią zarządzających. Jednak z punktu widzenia właścicieli - udziałowców lub akcjonariuszy - ostateczną odpowiedzialność za nieprawidłowości w spółce ponosi najczęściej właśnie zarząd.

Tak też zdarzyło się w spółce Alfa, której zarząd pozostawał nieświadomy wymuszania i przyjmowania korzyści majątkowych, potocznie zwanych łapówkami, przez jednego z pracowników Alfa od Beta - podwykonawcy spółki Alfa - w zmian za nieprzerwane udzielanie zleceń. Choć sytuacja utrzymywała się przez dłuższy czas, żaden z pracowników spółki Alfa, którzy podejrzewali nieprawidłowości, nie zdecydował się zgłosić swoich obaw. Do obnażenia procederu doszło przypadkiem, za sprawą konkurenta Beta, który wykrył i nagłośnił sprawę. Po przeprowadzeniu audytu okazało się, że w na skutek kilkuletniej działalności korupcyjnej spółka Alfa poniosła stratę przekraczającą kilkaset tysięcy złotych a jej właściciele grożą zarządowi odpowiedzialnością za spowodowaną szkodę.

Taki i podobne, prozaiczne kazusy stają się co roku rzeczywistością dla wielu polskich przedsiębiorstw i członków ich organów. Nieprawidłowości skutkują wymiernymi stratami dla organizacji, które mogą być narażone zarówno na konsekwencje prawne, jak również ekonomiczne i wizerunkowe. Jednocześnie osobistą odpowiedzialność zarówno cywilną, jak i karną, poza bezpośrednimi sprawcami naruszeń, ponosić mogą członkowie organów zarządzających spółek uczestniczących w bezprawnej działalności.

Podstawowym wentylem bezpieczeństwa, chroniącym zarządy przed zbyt daleko posuniętą odpowiedzialnością, jest miernik zachowania należytej staranności w zarządzaniu organizacją. Co istotne, należyta staranność w stosunku do przedsiębiorców musi być interpretowana w kontekście profesjonalnego charakteru prowadzonej działalności. W konsekwencji, jak wskazują sądy, członek zarządu zawsze będzie oceniany jak profesjonalista, a więc osoba, od której należy wymagać więcej niż od przeciętnego uczestnika obrotu gospodarczego. W praktyce oznacza to, że od zarządów spółek wymaga się obecnie nie tylko sumienności w wykonywaniu zadań, ale także określonego poziomu fachowości i znajomości regulacji prawnych i mechanizmów zarządzania. Sprostanie temu zadaniu jest tym trudniejsze, im większa skala działalności organizacji, tym bardziej, że choć zarządy mogą polegać na opiniach i analizach sporządzanych przez pracowników i podmioty zewnętrzne, to jednak samo powierzenie zadania profesjonaliście (np. adwokatowi lub radcy prawnemu) nie zwalania organu od obowiązku krytycznej weryfikacji rezultatu prac. Jednocześnie miernik należytej staranności z natury rzeczy nie jest stały i zmienia się w czasie, wraz ze zmieniającymi się regulacjami i standardami rynkowymi. Postępująca integracja i globalizacja obrotu gospodarczego przynoszą do Polski nowe trendy i przepisy dotyczące właściwego zarządzania organizacjami, które wywierają bezpośredni wpływ na zasady compliance.

Nowe nadciąga z Zachodu

Rozwój dziedziny zarządzania ryzykiem nadużyć jest wynikiem postępującego zaostrzania sankcji za niezgodne z prawem funkcjonowanie organizacji. Na skutek międzynarodowych regulacji w zakresie ochrony danych osobowych, przeciwdziałania praniu brudnych pieniędzy czy korupcji nawet niewielkie podmioty mogą ponieść daleko idące konsekwencje nadużyć. W związku z powyższym nowe wzorce w zakresie procedur compliance docierają obecnie do Polski dwiema drogami – ścieżką regulacyjną, przede wszystkim za sprawą prawodawstwa unijnego oraz oddolnie, dzięki aktywności samych uczestników obrotu gospodarczego, w szczególności międzynarodowych korporacji, które wdrażają w swoich spółkach modele zarządzania zaczerpnięte z państw zachodnich.

Prawodawstwo unijne do tej pory w sposób wybiórczy wkraczało w sferę zarządzania ryzykiem wystąpienia nadużyć w organizacjach. Oko unijnego regulatora zwrócone było przede wszystkim na sektory regulowane, tj. szeroko rozumiane instytucje finansowe, ubezpieczycieli i banki. Na skutek działalności prawodawczej na szczeblu Unii Europejskiej w tych branżach od kilku lat obowiązują już procedury ochrony sygnalistów, czyli osób decydujących się ujawnić nieprawidłowości w funkcjonowaniu organizacji (ang. whistleblowers). Innym przykładem wdrażania na szeroką skalę nowych wymogów w zakresie zachowania zgodności było uchwalenie Ogólnego rozporządzenia o ochronie danych osobowych, znanego szerzej pod skrótem RODO, które nałożyło na organizacje obowiązki obejmujące monitorowanie i zapewnienie bezpieczeństwa przetwarzania danych osobowych. Na podstawie rozporządzenia niektóre podmioty zostały również zobowiązane do powołania inspektora ochrony danych - osoby odpowiedzialnej za monitorowanie sposobu przetwarzania danych w organizacji.

Prawdziwy przełom w dziedzinie compliance zapowiada natomiast projekt dyrektywy o ochronie osób zgłaszających przypadki naruszenia prawa Unii, przyjęty w kwietniu bieżącego roku przez Parlament Europejski. Brak kompleksowej regulacji w zakresie ochrony sygnalistów był od lat krytykowany przez przedstawicieli organizacji pozarządowych w Polsce. Jednocześnie Unia Europejska dostrzegła niejednolity poziom ochrony wynikający z odmiennych regulacji obowiązujących w poszczególnych państwach członkowskich. Nowe przepisy nakazują stworzenie kanałów zgłaszania nieprawidłowości zarówno w samych organizacjach (wewnętrznie), jak i bezpośrednio do właściwych organów (zewnętrznie). Dyrektywa przewiduje także daleko posuniętą ochronę sygnalistów przed działaniami odwetowymi, w szczególności zwolnieniem z pracy, degradacją i zastraszaniem. Wejście w życie nowych przepisów znacząco utrudni też możliwość zacierania śladów po naruszeniach, gdyż zgodnie z zamiarem projektodawców nieskuteczne mają być wszelkie porozumienia, w tym powszechnie stosowane umowy o zachowaniu poufności, które godziłyby w obowiązki dotyczące zgłaszania nieprawidłowości.

Mechanizm ochronny

Niezależnie od wymogów nakładanych bezpośrednio przez prawo, podstawową zachętą do wdrażania odpowiednich procedur compliance jest szansa na zwolnienie się z odpowiedzialności, w sytuacji gdy nieprawidłowości wystąpią mimo funkcjonowania odpowiednich mechanizmów zabezpieczających. Z perspektywy członków organów zarządzających wdrożenie funkcjonalnego systemu zarządzania ryzkiem wystąpienia nieprawidłowości będzie stanowiło istotny argument przemawiający za dochowaniem należytej staranności przy pełnieniu swojej funkcji. W wielu przypadkach pozwoli to wykluczyć odpowiedzialność osobistą zarządu. Co więcej, współczesne regulacje prawne wprost dopuszczają możliwość uchylenia się przez organizację od odpowiedzialności za naruszenia, jeśli wystąpiły one mimo wdrożenia procedur zapobiegawczych. Przykładem może tu być wzorcowa na szczeblu międzynarodowym brytyjska ustawa antykorupcyjna z 2010 roku. W tę samą stronę zmierza również polski ustawodawca, procedujący obecnie nową ustawę o odpowiedzialności podmiotów zbiorowych. Zgodnie z rządowym projektem, spółka będzie mogła uwolnić się od odpowiedzialności za czyny popełnione przez powiązane z nią osoby, jeśli wykaże, że jej wszystkie organy zachowały należytą staranność wymaganą w danych okolicznościach w zakresie organizacji działalności podmiotu i nadzoru nad tą działalnością.

Jak przygotować organizację

Można zadać pytanie, czy zarząd spółki Alfa, który z pozoru zawsze działał zgodnie z prawem, powinien odpowiadać osobiście za nieprawidłowości, o których nikt mu nie doniósł. W świetle powszechnie uznawanych dobrych praktyk oraz zmian legislacyjnych odpowiedź musi być twierdząca. Podobnie, ustalenie, że członkowie zarządu francuskiego Orange sami nie dopuszczali się mobbingu wobec pracowników, nie będzie jeszcze równoznaczne ze zwolnieniem ich z odpowiedzialności. Zarządzanie zgodnością nie jest już obecnie postrzegane jako wyłączna domena działów prawnych i zarządów. Ochrona organizacji przed nieprawidłowościami musi bowiem odbywać się już na najniższych szczeblach działalności i angażować wszystkich pracowników. Osoby działające na niższych szczeblach organizacji często jako pierwsze stykają się ze źródłami nieprawidłowości, procederami korupcyjnymi lub niewłaściwym traktowaniem pracowników. W konsekwencji, zadaniem zarządów musi być włączanie w system zarządzania zgodnością wielu kategorii pracowników, pełniących różne role w ramach organizacji. Zarząd odpowiedzialny jest za nadawanie etycznego tonu działalności całego podmiotu (ang. tone at the top) i stworzenie komplementarnego systemu monitorowania ryzyka nadużyć i nieprawidłowości w poprzek struktury korporacyjnej przedsiębiorcy. Compliance bezpośrednio łączy się z procedurami audytu wewnętrznego, systemami antykorupcyjnymi, mechanizmami zarządzania ryzykiem operacyjnym, a tym samym wymaga interdyscyplinarnego podejścia.

W interesie zarządów jest wdrożenie takich procedur, które realnie mogą być przestrzegane przez pracowników i nie wpłyną destrukcyjnie na bieżącą działalność organizacji. W praktyce oznacza to najczęściej stworzenie niezależnego systemu raportowania nieprawidłowości, wprowadzenie polityki antykorupcyjnej, obejmującej zasady przyjmowania prezentów i korzyści od osób trzecich, a także właściwe procedury bezpieczeństwa, ochrony tajemnicy przedsiębiorstwa i danych osobowych. W większych organizacjach koniecznością może stać się powołanie osobnego stanowiska lub komórki organizacyjnej odpowiedzialnych za zarządzanie ryzkiem wystąpienia nieprawidłowości (tzw. oficera compliance). W opisywanym projekcie ustawy o odpowiedzialności podmiotów zbiorowych, taki obowiązek nakłada się już na średnie przedsiębiorstwa.

Być może istnienie niezależnego i bezpiecznego kanału komunikacji skłoniłoby jednego z pracowników spółki Alfa do ujawnienia obaw dotyczących sposobu współpracy z podwykonawcą i w konsekwencji zapobiegłoby dalszym nadużyciom. Zadaniem zarządu Alfa było także takie ukształtowanie umowy z podwykonawcą, aby był on pod groźbą kary umownej zobowiązany do niezwłocznego raportowania zarządowi Alfa wszelkich propozycji korupcyjnych. Wreszcie, regularnie przeprowadzane audyty wewnętrzne powinny zwrócić uwagę na nieprawidłowości przy wyborze podwykonawcy.

Zdaniem autora

Jeremiasz Kuśmierz, adwokat w Kancelarii Magnusson Tokaj i Partnerzy

Opisane obok mechanizmy obowiązują już w wielu polskich spółkach i nie przyczyniły się do obniżenia ich konkurencyjności. Wręcz przeciwnie, wysokie standardy etyczne i procedury zapobiegania nadużyciom są obecnie elementem wymaganym przez wielu partnerów biznesowych z Unii Europejskiej i Stanów Zjednoczonych. Pozostaje więc wyrazić nadzieję, że najbliższe lata będą dla polskiego rynku i działających na nim przedsiębiorców upływały pod hasłem dalszego wzmacniania i doskonalenia procedur compliance.