Taki i podobne, prozaiczne kazusy stają się co roku rzeczywistością dla wielu polskich przedsiębiorstw i członków ich organów. Nieprawidłowości skutkują wymiernymi stratami dla organizacji, które mogą być narażone zarówno na konsekwencje prawne, jak również ekonomiczne i wizerunkowe. Jednocześnie osobistą odpowiedzialność zarówno cywilną, jak i karną, poza bezpośrednimi sprawcami naruszeń, ponosić mogą członkowie organów zarządzających spółek uczestniczących w bezprawnej działalności.
Podstawowym wentylem bezpieczeństwa, chroniącym zarządy przed zbyt daleko posuniętą odpowiedzialnością, jest miernik zachowania należytej staranności w zarządzaniu organizacją. Co istotne, należyta staranność w stosunku do przedsiębiorców musi być interpretowana w kontekście profesjonalnego charakteru prowadzonej działalności. W konsekwencji, jak wskazują sądy, członek zarządu zawsze będzie oceniany jak profesjonalista, a więc osoba, od której należy wymagać więcej niż od przeciętnego uczestnika obrotu gospodarczego. W praktyce oznacza to, że od zarządów spółek wymaga się obecnie nie tylko sumienności w wykonywaniu zadań, ale także określonego poziomu fachowości i znajomości regulacji prawnych i mechanizmów zarządzania. Sprostanie temu zadaniu jest tym trudniejsze, im większa skala działalności organizacji, tym bardziej, że choć zarządy mogą polegać na opiniach i analizach sporządzanych przez pracowników i podmioty zewnętrzne, to jednak samo powierzenie zadania profesjonaliście (np. adwokatowi lub radcy prawnemu) nie zwalania organu od obowiązku krytycznej weryfikacji rezultatu prac. Jednocześnie miernik należytej staranności z natury rzeczy nie jest stały i zmienia się w czasie, wraz ze zmieniającymi się regulacjami i standardami rynkowymi. Postępująca integracja i globalizacja obrotu gospodarczego przynoszą do Polski nowe trendy i przepisy dotyczące właściwego zarządzania organizacjami, które wywierają bezpośredni wpływ na zasady compliance.
Nowe nadciąga z Zachodu
Rozwój dziedziny zarządzania ryzykiem nadużyć jest wynikiem postępującego zaostrzania sankcji za niezgodne z prawem funkcjonowanie organizacji. Na skutek międzynarodowych regulacji w zakresie ochrony danych osobowych, przeciwdziałania praniu brudnych pieniędzy czy korupcji nawet niewielkie podmioty mogą ponieść daleko idące konsekwencje nadużyć. W związku z powyższym nowe wzorce w zakresie procedur compliance docierają obecnie do Polski dwiema drogami – ścieżką regulacyjną, przede wszystkim za sprawą prawodawstwa unijnego oraz oddolnie, dzięki aktywności samych uczestników obrotu gospodarczego, w szczególności międzynarodowych korporacji, które wdrażają w swoich spółkach modele zarządzania zaczerpnięte z państw zachodnich.
Prawodawstwo unijne do tej pory w sposób wybiórczy wkraczało w sferę zarządzania ryzykiem wystąpienia nadużyć w organizacjach. Oko unijnego regulatora zwrócone było przede wszystkim na sektory regulowane, tj. szeroko rozumiane instytucje finansowe, ubezpieczycieli i banki. Na skutek działalności prawodawczej na szczeblu Unii Europejskiej w tych branżach od kilku lat obowiązują już procedury ochrony sygnalistów, czyli osób decydujących się ujawnić nieprawidłowości w funkcjonowaniu organizacji (ang. whistleblowers). Innym przykładem wdrażania na szeroką skalę nowych wymogów w zakresie zachowania zgodności było uchwalenie Ogólnego rozporządzenia o ochronie danych osobowych, znanego szerzej pod skrótem RODO, które nałożyło na organizacje obowiązki obejmujące monitorowanie i zapewnienie bezpieczeństwa przetwarzania danych osobowych. Na podstawie rozporządzenia niektóre podmioty zostały również zobowiązane do powołania inspektora ochrony danych - osoby odpowiedzialnej za monitorowanie sposobu przetwarzania danych w organizacji.
Prawdziwy przełom w dziedzinie compliance zapowiada natomiast projekt dyrektywy o ochronie osób zgłaszających przypadki naruszenia prawa Unii, przyjęty w kwietniu bieżącego roku przez Parlament Europejski. Brak kompleksowej regulacji w zakresie ochrony sygnalistów był od lat krytykowany przez przedstawicieli organizacji pozarządowych w Polsce. Jednocześnie Unia Europejska dostrzegła niejednolity poziom ochrony wynikający z odmiennych regulacji obowiązujących w poszczególnych państwach członkowskich. Nowe przepisy nakazują stworzenie kanałów zgłaszania nieprawidłowości zarówno w samych organizacjach (wewnętrznie), jak i bezpośrednio do właściwych organów (zewnętrznie). Dyrektywa przewiduje także daleko posuniętą ochronę sygnalistów przed działaniami odwetowymi, w szczególności zwolnieniem z pracy, degradacją i zastraszaniem. Wejście w życie nowych przepisów znacząco utrudni też możliwość zacierania śladów po naruszeniach, gdyż zgodnie z zamiarem projektodawców nieskuteczne mają być wszelkie porozumienia, w tym powszechnie stosowane umowy o zachowaniu poufności, które godziłyby w obowiązki dotyczące zgłaszania nieprawidłowości.
Mechanizm ochronny
Niezależnie od wymogów nakładanych bezpośrednio przez prawo, podstawową zachętą do wdrażania odpowiednich procedur compliance jest szansa na zwolnienie się z odpowiedzialności, w sytuacji gdy nieprawidłowości wystąpią mimo funkcjonowania odpowiednich mechanizmów zabezpieczających. Z perspektywy członków organów zarządzających wdrożenie funkcjonalnego systemu zarządzania ryzkiem wystąpienia nieprawidłowości będzie stanowiło istotny argument przemawiający za dochowaniem należytej staranności przy pełnieniu swojej funkcji. W wielu przypadkach pozwoli to wykluczyć odpowiedzialność osobistą zarządu. Co więcej, współczesne regulacje prawne wprost dopuszczają możliwość uchylenia się przez organizację od odpowiedzialności za naruszenia, jeśli wystąpiły one mimo wdrożenia procedur zapobiegawczych. Przykładem może tu być wzorcowa na szczeblu międzynarodowym brytyjska ustawa antykorupcyjna z 2010 roku. W tę samą stronę zmierza również polski ustawodawca, procedujący obecnie nową ustawę o odpowiedzialności podmiotów zbiorowych. Zgodnie z rządowym projektem, spółka będzie mogła uwolnić się od odpowiedzialności za czyny popełnione przez powiązane z nią osoby, jeśli wykaże, że jej wszystkie organy zachowały należytą staranność wymaganą w danych okolicznościach w zakresie organizacji działalności podmiotu i nadzoru nad tą działalnością.