Najczęściej przedsiębiorcy skupiają się stricte na ryzykach finansowych i ekonomicznych, podczas gdy wciąż bagatelizowany jest szczególny rodzaj ryzyka – ryzyko prawne.
Ryzyko prawne definiować należy jako możliwość poniesienia strat na skutek prowadzenia przez przedsiębiorstwo aktywności wykraczających poza ramy odpowiednich regulacji, prawnych bądź kontraktowych. Inaczej ujmując, ryzyko prawne stanowi zagrożenie, które wynika pośrednio lub bezpośrednio z nieprzestrzegania przepisów oraz zawartych umów.
Krok pierwszy: ustalenie i minimalizacja ryzyka
Pierwszym krokiem na drodze zarządzania ryzykiem prawnym w przedsiębiorstwie powinno być ustalenie tego ryzyka. Identyfikacja jego postaci, rozmiarów oraz stopnia prawdopodobieństwa jego wystąpienia stanowi bezwzględna podstawę w całym procesie, a przeprowadzona szczegółowo oraz solidnie jest w stanie zapewnić maksymalną skuteczność zapobiegania ryzykom prawnym w firmie.
Poniżej przedstawiamy działania, które powinny zostać podjęte celem przeprowadzenia skutecznej identyfikacja ryzyka.
1. Precyzyjne określenie obszaru działalności przedsiębiorstwa
Podstawowym środkiem dla identyfikacji ryzyka powinno być dokładne określenie obszaru działalności firmy. Dzięki takiemu zabiegowi możliwe będzie stworzenie katalogu dedykowanych dla danej branży aktów prawnych, regulacji, zaleceń oraz wymagań na gruncie prawa krajowego oraz międzynarodowego, które stanowić będą kierunek dalszych działań i procedur. Oprócz regulacji branżowych nie należy zapominać o uwzględnieniu regulacji ogólnych takich jak prawo pracy, RODO (ochrona danych osobowych) czy AML (przeciwdziałanie praniu brudnych pieniędzy).
2. Precyzyjnie określenie struktury przedsiębiorstwa
Kluczowym elementem dla ustalenia ryzyka jest określenie liczby zatrudnionych w nim pracowników, a także całego schematu organizacyjnego – ustalenie charakteru i szczebli poszczególnych stanowisk, stosunków kierownictwa. Dzięki temu możliwa będzie nie tylko stabilizacja stosunków podległości pomiędzy pracownikami, ale także określenie odpowiedzialności za powierzane zadania, czy też dostosowanie (lub wprowadzenie) właściwych dokumentów wymaganych przez prawo pracy.
3. Współpraca z kierownikami jednostek zakładu
Przedsiębiorstwa o bardziej rozwiniętej strukturze w większości posiadają wyróżnione komórki, które odpowiadają za różne obszary działania firmy, a którymi zarządzają ich kierownicy (np. kadry, dział IT). Istotnym jest, aby uwzględnić ich opinie i zastrzeżenia w ustalaniu potencjalnego ryzyka oraz jego znaczenia dla każdej z komórek organizacyjnych.
4. Rozmowy z pracownikami
Poprzez poznanie opinii pracowników zakładu możliwe jest dotarcie do informacji o niestosowaniu wymaganych przepisów czy procedur. Informacje te w normalnym trybie nigdy nie zostałyby, z różnych przyczyn, przekazane do wyższych szczebli przedsiębiorstwa.
5. Analiza kontrahentów oraz zawartych umów
Celem identyfikacji ryzyka, przedsiębiorca powinien poddać pod analizę liczbę oraz rodzaj kontrahentów, zawieranych kontraktów czy udzielanych pełnomocnictw. Dzięki temu możliwa będzie klasyfikacja stopnia zabezpieczenia interesów przedsiębiorstwa, ocena stosowanych wzorców oraz skuteczności odzyskiwania należności z kontraktów.
Czytaj więcej:
Krok drugi: zapobieganie ryzyku
Po ustaleniu konkretnych postaci ryzyka prawnego zagrażającego firmie, kluczowym jest wdrożenie odpowiednich działań, czyli - co zrobić, aby nie dopuścić do strat?
1. Podział obowiązków – stanowisko wewnętrzne lub outsourcing
W procesie zarządzania ryzykiem prawnym konieczne jest skorzystanie z pomocy osób o odpowiednich kompetencjach. Można to zrealizować poprzez utworzenie stanowiska i zatrudnienie osoby z doświadczeniem prawniczym lub w compliance lub też skorzystanie z usług podmiotów zewnętrznych. Osoby te będą zajmować się wyłącznie minimalizacją ryzyka w firmie w zakresie niezgodności działań z prawem lub wydawaniem zaleceń innym osobom na wszystkich szczeblach, od zwykłych pracowników aż po kierowników. Ważnym jest, aby tak wyznaczona osoba mogła efektywnie spełniać swoją rolę, a zatem być w pełni niezależna w swoim działaniu.
Outsourcing tej usługi zdaje się być najdogodniejszym rozwiązaniem. Z naszych obserwacji wynika, że podmiot zajmujący się compliance w firmie musi posiadać praktyczną wiedzę nie tylko z zakresu funkcjonowania przedsiębiorstwa, ale również prawa. Zakres ryzyk jest bardzo szeroki, co powoduje, że osoby wyznaczone wewnętrznie i tak potrzebują wsparcia Kancelarii w pewnych działkach prawa.
2. Monitoring zmian w przepisach oraz sygnalizowanie dodatkowych obowiązków dla firmy
Podczas identyfikacji ryzyka, koniecznym krokiem było ustalenie obszaru działalności przedsiębiorstwa, a w tym również ogólnych (np. RODO) oraz szczególnych aktów prawnych na szczeblu krajowym oraz międzynarodowym, które te obszary regulują.
Aby zapobiegać potencjalnemu ryzyku prawnemu, koniecznym jest stałe monitorowanie powyższych aktów prawnych oraz wyznaczenie osób za to odpowiedzialnych. Tylko w 2021 r. w Polsce w życie weszło aż 20.960 stron aktów prawnych, co stanowi wzrost o 40,5 proc. w stosunku do poprzedniego roku (źródło: Barometr prawa. Analiza stabilności otoczenia prawnego w polskiej gospodarce. Edycja 2022. Grant Thornton). To na przedsiębiorcy ciąży obowiązek zapewnienia zgodności działalności firmy z przepisami. Ważne aby dostosowanie działania przedsiębiorcy odbywało się na bieżąco, z baczeniem na daty wejścia w życie przepisów.
3. Wdrożenie procedur i przeszkolenie pracowników
Dla zapewnienia zgodności działań przedsiębiorstwa z obowiązującym prawem, konieczne jest wdrożenie adekwatnych procedur i regulaminów postępowania. Należy pamiętać przy tym, że samo ich wprowadzenie nie gwarantuje sukcesu, a najważniejszym elementem jest dokładne i całościowe przeszkolenie pracowników w zakresie nowych procedur i ich stosowanie.
4. Uściślenie schematu organizacyjnego przedsiębiorstwa
Istotnym środkiem dla zapobiegania ryzykom jest uszczelnienie schematu organizacyjnego przedsiębiorstwa, a więc takie usystematyzowanie stanowisk, aby każdy kierownik posiadał dokładną wiedzę o tym, za działania których pracowników odpowiada, a każdy pracownik wiedział kto jest jego przełożonym. Oprócz tego ważne jest, aby obowiązki pracowników pracujących na określonych stanowiskach (również kierowniczych) były jasno wskazane i egzekwowane.
5. Whistleblowing (sygnaliści)
Dla sprawnego zarządzania ryzykiem prawnym, konieczne jest umożliwienie osobom trzecim (w tym pracownikom) bezpiecznego zgłaszania zauważanych nieprawidłowości w zakresie przestrzegania przepisów w firmie, a także ustalenie procedur działań następczych. Niezależnie od faktu, że oficjalnie ustawa o ochronie tzw. sygnalistów dalej jest na etapie projektu, dla zapewnienia zgodności działania przedsiębiorcy z prawem zalecane jest wprowadzenie omawianej procedury. Zapewnienie przejrzystości działań przedsiębiorcy pozwala nie tylko na zapewnienie zgodności z prawem ale także jego wizerunek i renomę.
Należy podkreślić, że wybór środków pozwalający na ustalenia ryzyka, jego minimalizacji czy zapobiegania powinien być indywidualnie dostosowany do działalności, struktury i rozmiarów przedsiębiorstwa. Nie w każdym przypadku konieczne będzie poniesienie wysokich nakładów celem wdrożenia wszystkich wymienionych działań. Mając na uwadze naszą praktykę w obszarze compliance i obserwację klientów Kancelarii, możemy stwierdzić, że najbardziej efektywnym sposobem radzenia sobie z ryzykiem prawnym jest współpraca przedsiębiorcy z profesjonalnym podmiotem zewnętrznym. Dzięki posiadanej wiedzy oraz szerokiemu doświadczeniu podmioty te są w stanie precyzyjnie ocenić sytuację, wdrożyć zmiany oraz wesprzeć przedsiębiorcę w ustaleniu polityki zarządzania ryzykiem prawnym w przedsiębiorstwie.
Wiktoria Ronc – Prawnik, Kancelaria Radców Prawnych Tomasz Czapczyński
Anna Kałużna - Radca prawny, Kancelaria Radców Prawnych Tomasz Czapczyński