fbTrack
REKLAMA
REKLAMA

Firma

Odpowiedzialność podmiotów zbiorowych: criminal compliance w działalności przedsiębiorstwa

AdobeStock
Nowa ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźba kary (dalej „nowa ustawa"), czeka na pierwsze czytanie w Sejmie. Jej uchwalenie może nastąpić w pierwszym kwartale tego roku. Projektodawca, wzorem innych państw europejskich, pragnie poprzez nowe przepisy zwiększyć efektywność zwalczania przestępczości gospodarczej, zapewniając pokrzywdzonym większą szansę naprawienia szkody wyrządzonej przestępstwem.

Całokształt zaproponowanych zmian w przepisach rozpatrywany wraz z treścią uzasadnienia projektu pozwala postawić tezę, że nowa ustawa, w przeciwieństwie do obecnej regulacji, będzie powszechnie stosowana przez prokuraturę.

Jakie funkcje

Obok funkcji represyjnej, nowa ustawa ma realizować przede wszystkim funkcję prewencyjną. Surowe sankcje wynikające z nowelizacji (kara pieniężna od 30 tys. do nawet 60 mln zł oraz rozwiązanie podmiotu zbiorowego) mają być, w zamyśle projektodawcy, stosowane w przeważającej mierze do tych podmiotów, które nie wprowadziły u siebie stosownych rozwiązań organizacyjnych i proceduralnych w zakresie zarządzania ryzykiem i braku zgodności działalności przedsiębiorstwa z prawem. Ryzyko sankcji ma zobligować przedsiębiorców do wdrożenia u siebie systemu criminal compliance, którego celem jest zapewnienie funkcjonowania przedsiębiorstwa zgodnie z przepisami prawa karnego.

Wychodząc od generalnej charakterystyki, należy wskazać, że rolą systemu compliance jest w szczególności identyfikowanie, ocena, monitorowanie, raportowanie i doradztwo w zakresie ryzyka braku zgodności działalności przedsiębiorstwa z przepisami prawa, rekomendacjami organów nadzoru, regulacjami wewnętrznymi podmiotu oraz przyjętymi przez podmiot standardami postępowania. Zadaniem systemu compliance w przedsiębiorstwie jest wprowadzenie i utrzymanie organizacji przedsiębiorstwa pozwalającej zminimalizować ryzyko poniesienia sankcji prawnych, strat finansowych lub utraty dobrej reputacji (wiarygodności dla klientów, kontrahentów, akcjonariuszy, inwestorów, opinii publicznej).

Ile obowiązków

Skuteczne zabezpieczenie przedsiębiorstwa przed odpowiedzialnością wynikającą z projektowanych zmian winno przede wszystkim koncentrować się na działaniach prewencyjnych zmierzających bezpośrednio do wyeliminowania takich nieprawidłowości w organizacji działalności podmiotu zbiorowego, które ułatwiają lub umożliwiają popełnienie czynu zabronionego.

Nowa ustawa wprowadza dodatkowe obowiązki dla przedsiębiorców, także dla tych, którzy mają w ramach swojej struktury organizacyjnej powołaną jednostkę ds. zarządzania ryzykiem braku zgodności (komórkę compliance).

Obowiązkiem przedsiębiorstwa, w myśl projektowanej ustawy jest:

- określenie zasad postępowania w przypadku zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności (art. 6 ust. 4 pkt 1),

- określenie zakresu odpowiedzialności poszczególnych organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu (art. 6 ust. 4 pkt 2),

- określenie osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów i zasad regulujących działalność podmiotu zbiorowego (art. 6 ust. 4 pkt 3) -wymóg dotyczący jedynie średniego i dużego przedsiębiorcy,

- wdrożenie systemu informowania o nieprawidłowościach zapewniającego ochronę sygnalistom – tzw. whistleblowing (art. 11 ust. 1).

Należy zaznaczyć, że powyższe wyliczenie nie ma charakteru zamkniętego, bowiem art. 6 ust. 4 nowej ustawy nie wymienia taksatywnie wszystkich nieprawidłowości w organizacji podmiotu zbiorowego, za które będzie on odpowiadać. W przepisie tym wskazano na przykładowe nieprawidłowości w organizacji działalności podmiotu zbiorowego, które ułatwiły lub umożliwiły popełnienie czynu zabronionego. Kluczowy jest w tym względzie przepis nowej ustawy, który wyłącza odpowiedzialność podmiotu zbiorowego za nieprawidłowości w organizacji, jeżeli podmiot zbiorowy wykaże, że dochowano należytej staranności wymaganej w danych okolicznościach w organizacji działalności tego podmiotu lub nadzorze nad nim. To oznacza, że projektodawca ustanowił domniemanie winy po stronie podmiotu zbiorowego, na którym spoczywać będzie w tym względzie ciężar dowodu w zakresie wykazania należytej staranności. Do przedsiębiorców zastosowanie będzie miał w tym względzie wzorzec najwyższej staranności, właściwej dla profesjonalisty.

Obowiązek określenia zasad postępowania w przypadku zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności stanowi novum w polskim systemie prawnym, bowiem nawet uregulowania compliance istniejące w sektorze finansowym nie zawierają powyższej rekomendacji.

Obowiązki wskazane w art. 6 ust. 4 pkt 1 i 2 nowej ustawy będą spoczywać na każdym przedsiębiorcy, będącym podmiotem zbiorowym, z wyłączeniem mikro przedsiębiorców (wyłączenie może być tylko pozorne z uwagi na treść art. 6 ust. 6 i generalny wymóg zachowania należytej staranności w organizacji spółki).

Compliance due dsilligence

Co należy zrobić, aby nie narazić się na zarzut nieprawidłowości w organizacji przedsiębiorstwa w odniesieniu do wymienionych na wstępie obowiązków criminal compliance?

Przede wszystkim konieczne jest przeprowadzenie badania compliance due dilligence w przedsiębiorstwie, które pozwoli na zdiagnozowanie nieprawidłowości mogących wystąpić w związku z jego działalnością. Audyt criminal compliance powinien być ukierunkowany na identyfikację obszarów, w których występuje ryzyko nieprawidłowości, podlegających sankcjom z nowej ustawy, w szczególności skutkujących sankcjami na płaszczyźnie prawnokarnej, mogących zaistnieć w związku z działalnością spółki (wyodrębnienie ewentualnych pól naruszeń). Audyt powinien również zmierzać do należytej identyfikacji kluczowych procesów i decyzji podejmowanych w podmiocie zbiorowym, w tym do wyodrębnienia tzw. risk takerów, czyli osób mających istotny wpływ na profil ryzyka przedsiębiorstwa. Bardzo istotne z perspektywy bieżącej działalności przedsiębiorstwa, w tym w szczególności odpowiedzialności kadry zarządzającej, jest prawidłowe określenie struktury organizacyjnej przedsiębiorstwa oraz precyzyjne określenie zakresu obowiązków jego poszczególnych organów, komórek oraz pracowników. W ramach badania due dilligence powinien zostać dokonany pełny przegląd struktury organizacyjnej przedsiębiorstwa, celem zlokalizowania ewentualnych luk i nieprawidłowości.

Do należytej identyfikacji potencjału ryzyka prawnokarnego niezbędna jest fachowa wiedza zespołu audytowego, w którego skład powinni wchodzić m.in. specjaliści z zakresu prawa karnego gospodarczego i skarbowego, albowiem rezultatem wspomnianego audytu powinno być stworzenie mapy ryzyka wystąpienia naruszeń, w tym ryzyka popełnienia czynu zabronionego przez podmiot zbiorowy z podziałem na zidentyfikowane czyny zabronione.

Mapa ryzyka powinna zawierać skatalogowane czyny zabronione, mogące zaistnieć w związku z działalnością przedsiębiorstwa, z przypisanym wartościowaniem prawdopodobieństwa ich wystąpienia oraz rekomendacjami, co do sposobów zapobiegania ich wystąpieniu. Zatem w wyniku badania compliance due dilligencie, przedsiębiorca winien otrzymać raport z audytu, składający się z mapy ryzyka oraz rekomendacji w zakresie niezbędnych działań i zmian w przedsiębiorstwie służących zapobieżeniu ryzyka realizacji znamion czynu zabronionego przez podmiot zbiorowy. Rekomendacje mogą dotyczyć konieczności zaprojektowania konkretnych procedur, wprowadzenia zmian w strukturze organizacyjnej oraz dokonania modyfikacji umownych zakresów obowiązków poszczególnych pracowników.

Jakie przestępstwa

Wyodrębnić można katalog przestępstw, których wystąpienie może być powiązane z działalnością większości przedsiębiorstw działających na rynku, bez względu na branże. Są to m.in. następujące czyny zabronione: przekupstwo, korupcja menedżerska, płatna protekcja, oszustwo, kradzież, przywłaszczenie, przestępstwa na szkodę pracownika, pranie brudnych pieniędzy, niegospodarność, naruszenie tajemnicy przedsiębiorstwa, przestępstwa na szkodę wierzyciela, przestępstwa zawarte w kodeksie spółek handlowych (np. niezgłoszenie upadłości w terminie), oszustwo podatkowe, nierzetelne fakturowanie, firmanctwo, zmowa przetargowa, fałszowanie dokumentów.

Te przestępstwa mogą zaistnieć w związku z działalnością większości podmiotów zbiorowych. W przypadku jednak, gdy przedsiębiorstwo działa w branży regulowanej to mapa ryzyka musi uwzględniać przepisy karne zawarte w ustawach szczególnych, dotyczące np.: prawa ochrony środowiska (np. w branży deweloperskiej, przemysł ciężki).

Dopasowanie procedur

Kolejnym etapem dostosowania działalności podmiotu do wymogów nowej ustawy będzie projektowanie lub modyfikacja istniejących procedur compliance.

W raporcie z audytu, powinny znaleźć się wyraźne rekomendacje audytora co do procedur koniecznych do wdrożenia lub modyfikacji, celem zapobieżenia możliwości popełnienia przestępstwa przez osobę, za którą odpowiedzialność ponosi podmiot zbiorowy. W sytuacji popełnienia przestępstwa przez pracownika przedsiębiorstwa, gdy prokurator uzna, że zostały spełnione przesłanki odpowiedzialności wynikające z nowej ustawy oraz, że przemawia za tym interes społeczny i przedstawi zarzuty podmiotowi zbiorowemu, to wtedy na przedsiębiorstwie spoczywać będzie ciężar dowodu w zakresie wykazania dochowania należytej staranności. W takiej sytuacji podmiot zbiorowy, któremu przedstawiono zarzut, może bronić się przedkładając wdrożone i funkcjonujące w przedsiębiorstwie procedury. Oczywiście przedsiębiorca powinien udowodnić również, że należycie nadzorował funkcjonowanie tych procedur oraz organizował system szkoleń dla wszystkich pracowników. Katalog procedur koniecznych do wdrożenia, celem kontrolowania ryzyka działalności przedsiębiorstwa z prawem karnym jest szeroki, a w każdym przypadku zależeć będzie od wyników audytu, który powinien poprzedzać etap projektowania i wdrażania procedur. Procedury compliance powinny mieć charakter zindywidualizowany, dostosowany do działalności konkretnego przedsiębiorstwa, tak by zapewnić ich stosowalność.

Szkolenia pracowników oraz kadry menedżerskiej

Etapem wieńczącym wdrażanie systemu criminal compliance w przedsiębiorstwie jest przeprowadzanie serii szkoleń zarówno dla pracowników jak i kadry zarządzającej. Przedsiębiorca powinien zapewnić szkolenia z zakresu funkcjonowania zaprojektowanych procedur compliance oraz w przedmiocie typów przestępstw, jakie mogą wystąpić w podmiocie zbiorowym, jak również w trakcie pracy konkretnego pracownika. Obligatoryjnie w każdym przedsiębiorstwie oraz szczególnie istotne jest to, by szkolenia te były przeprowadzane przez profesjonalistów i nie miały charakteru pozornego. Szkolenia powinny odbywać się cyklicznie i posiadać wymiar praktyczny. W razie ewentualnego postępowania prokuratorskiego lub sądowego w przedmiocie pociągnięcia podmiotu zbiorowego do odpowiedzialności, przedsiębiorca, który wdrożył u siebie system szkoleń, będzie mógł wykazać przed prokuratorem lub sądem, iż dochował należytej staranności, przedstawiając dowody na okoliczność przeprowadzania cyklicznych szkoleń.

Przykład

W ramach audytu criminal compliance, audytorzy powinni dokonać pomiaru prawdopodobieństwa materializacji ryzyka popełnienia każdego z identyfikowanych czynów zabronionych, np. przestępstwa przekupstwa (art. 229 k.k.) oraz przestępstwa korupcji menedżerskiej (art. 296a k.k.).

W tym celu konieczne będzie zidentyfikowanie konkretnych działów oraz stanowisk w strukturze przedsiębiorstwa, które znajdować się będą w kręgu ryzyka popełnienia przestępstwa przekupstwa oraz korupcji menedżerskiej (czynnej lub biernej). Z pewnością w każdym przedsiębiorstwie w grupie ryzyka będą pracownicy działu handlowego. To oni bowiem, w związku z wykonywana pracą, mogą udzielić korzyści majątkowej potencjalnemu klientowi, w zamian za sprzedaż usługi bądź towaru, od której to transakcji dany pracownik ma otrzymać umówioną prowizję.

Wyrazem dochowania należytej (najwyższej) staranności przez przedsiębiorcę będzie, m.in. zaprojektowanie i wdrożenie kodeksu antykorupcyjnego, a w tym polityki określającej ogólne standardy przekazywania i przyjmowania upominków okolicznościowych oraz zaproszeń, także tych o charakterze marketingowym. Zasadne byłoby również stworzenie lub odpowiednie dostosowanie istniejącej polityki wynagradzania, której założenia miałaby eliminować czynniki kryminogenne w ramach przedsiębiorstwa. Przedsiębiorca powinien również zapewnić pracownikom odpowiednie szkolenie z zakresu obowiązywania kodeksu antykorupcyjnego, ze szczególnym naciskiem na omówienie przestępstw korupcyjnych i procedury zgłaszania nieprawidłowości w przypadku podejrzenia popełnienia lub usiłowania przestępstwa korupcyjnego w ramach przedsiębiorstwa.

Informowanie o nieprawidłowościach

Nowa ustawa nakłada na wszystkich przedsiębiorców (także mikro) obowiązek wdrożenia systemu informowania o nieprawidłowościach (tzw. whistleblowing). W tym względzie przedsiębiorca powinien wdrożyć rozwiązania techniczne oraz organizacyjne, które pozwolą pracownikom (członkom organu oraz współpracownikom) na anonimowe zgłaszanie informacji o nieprawidłowościach w działalności przedsiębiorstwa jako całości oraz poszczególnych osób, za których czyny podmiot zbiorowy ponosi odpowiedzialność. Możliwości w tym względzie jest wiele, w zależności od rodzaju przedsiębiorstwa, można wdrożyć procedurę informowania o nieprawidłowościach w formie: telefonicznej, za pośrednictwem platformy lub komunikatora internetowego lub osobiście u osoby wyznaczonej przez przedsiębiorcę do przyjmowania zgłoszeń. W zakresie formy nie ma prawnych wymogów, ale warunkiem jest, aby zapewniała ona sygnaliście pełną anonimowość, to jest by chroniła go przed negatywnymi skutkami zgłoszenia, takimi jak np. dyskryminacja w środowisku przedsiębiorstwa.

Nowa ustawa nakłada na podmiot zbiorowy obowiązek podjęcia działań wyjaśniających w zakresie zgłaszanych informacji. Z tym wiąże się obowiązek powołania w ramach struktury organizacyjnej przedsiębiorstwa osoby lub komórki odpowiedzialnej za obsługę i weryfikację zgłoszeń sygnalistów. Organ lub osoba, do której wpłynie informacja od sygnalisty winna niezwłocznie podjąć czynności wyjaśniające. W tym zakresie powinny w podmiocie zbiorowym obowiązywać szczegółowe procedury compliance, określające tryb postępowania wyjaśniającego, tzw. wewnętrznego śledztwa (ang. internal investigation).

Procedura powinna normować tryb sprawdzania informacji od sygnalisty, zasady przesłuchiwania pracowników, zasady dokonywania przeszukań oraz zabezpieczania dokumentów lub nośników danych. W ramach wewnętrznego postępowania wyjaśniającego powinno dojść do rzetelnej weryfikacji zgłoszenia, a jego efektem powinien być sporządzony raport dla zarządu, w którym zostanie ujęty przebieg postępowania, podjęte czynności dowodowe oraz wnioski, wraz z ewentualnymi rekomendacjami w zakresie działań koniecznych do podjęcia. W sytuacji, gdy podmiot zbiorowy zaniecha przeprowadzenia postępowania wyjaśniającego, a na przykład okaże się, że zgłoszenie to było zasadne, grozić mu będzie, na mocy nowej ustawy, kara pieniężna w wysokości

zdaniem autora

Dawid Rasiński, adwokat Kancelaria Sadkowski i Wspólnicy

Nowa ustawa przewiduje, że każdy średni oraz duży przedsiębiorca powinien wyznaczyć osobę lub komórkę organizacyjną, której zadaniem będzie nadzorowanie przestrzegania przepisów i zasad regulujących działalność podmiotu zbiorowego. Jednostka ds. zarządzania ryzykiem braku zgodności (komórka compliance) jest wewnętrzną komórką podmiotu zbiorowego odpowiedzialną za identyfikację, ocenę, doradztwo, monitorowanie, testowanie i raportowanie związane z zarządzaniem ryzykiem braku zgodności. Dział compliance powinien być usytuowany w strukturze organizacyjnej przedsiębiorstwa, w sposób gwarantujący jej niezależność pod względem organizacyjnym i operacyjnym. Najważniejszym organem w zakresie kształtowania funkcji compliance jest zarząd, który współdziała w tym względzie z radą nadzorczą.

Projektodawca, przy okazji kolejnej odsłony projektu ustawy, w której wydłużono vacatio legis z pierwotnych trzech miesięcy do sześciu, wskazał wprost, iż wydłużenie tego okresu ma umożliwić przedsiębiorcom dostosowanie się do wymogów ustawy w zakresie wprowadzenia wewnętrznych procedur oceny zgodności działania podmiotu zbiorowego z prawem.

Mając na uwadze wysokość i rodzaj kar grożących przedsiębiorcy oraz zasadę domniemania winy podmiotu zbiorowego, wdrożenie przez przedsiębiorców systemu criminal compliance staje się niezbędne w kontekście uniknięcia surowej odpowiedzialności określonej w nowej ustawie. ? do 60 mln złotych.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA