Jolanta Ojczyk: Posłowie pracują już nad projektem ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (UOPZ). Wprowadzi ona bardzo duże zmiany w odpowiedzialności spółek, których menadżerowie, czy osoby działające w ich imieniu popełnią przestępstwo. Za co będzie można zostać ukaranym?

Bartosz Makowicz: Projektowana ustawa przewiduje nie tylko znaczne podwyższenie sankcji, ale poszerza zakres zastosowania samej ustawy. Znosi się min. katalog czynów zabronionych, za które może odpowiedzieć przedsiębiorstwo, czyli podstawą odpowiedzialności będzie co do zasady każdy czyn zabroniony pod groźbą kary jako przestępstwo ścigane z oskarżenia publicznego lub przestępstwo skarbowe. Do przypisania odpowiedzialności spółce nie będzie już niezbędny wyrok skazujący osobę fizyczną. Dodatkowo podmioty zbiorowe ponosić będą odpowiedzialność za czyny popełnione przez osoby trzecie, m.in. partnerów handlowych, reprezentantów, pracowników oraz podwykonawców i ich pracowników, o ile choćby pośrednio osiągnęły z czynu korzyść majątkową. Co więcej, projekt idzie jeszcze dalej, niż dotychczas najbardziej zuchwały w tej kwestii UK Birbery Act (z ang. brytyjska ustawa o przekupstwie), jeśli chodzi o jego zastosowanie geograficzne. UOPZ będzie miała bowiem zastosowanie nawet, jeśli do czynu zabronionego dojdzie na terytorium innego państwa. Przykładowo może dojść do niego w Chinach, ale skierowany był np. przeciwko podmiotowi polskiemu. Zadziała również, kiedy sam skutek czynu wystąpi w Polsce, np. członek zarządu angielskiej firmy przekupi w Chinach chińskiego kontrahenta, przez co to on, a nie polska spółka dostanie zlecenie.

Chcesz wiedzieć więcej o zarządzaniu zgodnością z przepisami prawa? Weź udział w Compliance Days 2019.
Konferencja odbędzie się 2-3 kwietnia w Warszawie. Zapisz się on-line!
 

Czy firma będzie mogła bronić się przed karami?

Czy rzeczywiście będzie można się obronić, pokażą pierwsze wyroki, sama projektowana ustawa przewiduje w każdym razie taką możliwość, choć jest ona nieco ukryta. W projekcie czytamy, że jedną z przesłanek odpowiedzialności jest brak zachowania należytej staranności w organizacji, wyborze lub nadzorze. W innym miejscu znajdujemy z kolei wskazówki odnośnie należytej staranności. Zalicza się do nich określenie zasad postępowania na wypadek zagrożenia popełnienia czynu, określanie zakresu odpowiedzialności organów i komórek organizacyjnych i, co najciekawsze, określenie osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów i zasad regulujących działalność podmiotu.
Te wskazówki to nic innego jak zwrócenie uwagi, że dochowanie należytej staranności w organizacji należy badać przez pryzmat istniejącego i efektywnego systemu zarządzania zgodnością, czyli tzw. Compliance Management Systems (CMS). Projektodawca tym samym zdecydował się na wprowadzenie możliwości tzw. Compliance Defence (strategia obrony przez wykazanie systemu compliance) i to nie tylko na tym poziomie. Istnienie efektywnego CMS powinno w przyszłości zostać także uwzględnione na etapie wymierzania kary, czyli de facto obrona compliance może doprowadzić do całkowitego uniknięcia kary lub jej pomniejszenia. Warto wspomnieć, że ciężar dowodowy w tej kwestii został przeniesiony na przedsiębiorstwo, czyli to spółka będzie musiała udowodnić, że posiadała efektywny system zarządzania zgodnością.

Czy są to rozwiązania przełomowe?

W Polsce z pewnością! Podobne rozwiązania istnieją jednak w innych krajach już od lat, np. w USA, i niedawno zostały wprowadzone we Francji i w Hiszpanii, także niemiecki ustawodawca szykuje podobne regulacje. Nie nazwałbym więc tego przełomem, a raczej nadrabianiem zaległości.  Z perspektywy ekonomicznej, rozwiązania takie stanowią o konkurencyjności danego rynku krajowego – nikt nie chce inwestować tam, gdzie karze się firmy posiadające efektywne systemy zarządzania zgodnością (CMS). Wręcz przeciwnie: tendencja idzie w tym kierunku, aby nagradzać starania o compliance. W warunkach polskich jednak można powiedzieć, że reforma spowoduje istotne podniesienie znaczenia compliance w spółkach i innych organizacjach. Są to więc rozwiązania znane i ważne, szkoda jedynie, że projektodawca nie do końca dopracował niektóre mechanizmy, jak przykładowo dookreślenie wymogu należytej staranności. Brakuje też jednolitości w zastosowanej terminologii i często „nazywania rzeczy po imieniu”, bo nie od dzisiaj, a od wielu lat mówimy w Polsce o systemach zarządzania zgodnością, o oficerach compliance, sygnalistach, etc. Jak pięknie byłoby, gdyby te wszystkie terminy znalazły odzwierciedlenie w nowej ustawie, to by znacznie w przyszłości ułatwiło jej zastosowanie i jeszcze lepiej promowało compliance, czyli uczciwe zachowanie w biznesie, a to przecież główne cele reformy!

Czy ustawa powinna wprowadzać definicje tych pojęć?

Oczywiście, należy to do dobrych praktyk ustawodawczych, aby w części wprowadzającej uwzględnić katalog definicji terminów występujących w ustawie, chyba że definicje takie można znaleźć w innych aktach. Pomijając szereg terminów, które pojawiają się w tej ustawie po raz pierwszy i które powinny być zdefiniowane, w kwestii „należytej staranności” uzasadnienie projektu odwołuje się do ogólnych definicji z prawa cywilnego. To jednak nie wystarczy. Mamy tutaj bowiem do czynienia z ustawą karną oraz szeregiem nowych regulacji dotyczących compliance, co do których milczą inne regulacje rodem z prawa cywilnego. Stąd ciężko będzie powołać się na istniejące rozwiązania z tej dziedziny prawa.

Wracając do tworzenia systemu zarządzania zgodnością w firmie - na co w szczególności trzeba zwrócić uwagę, by taki system pomógł zwolnić spółkę z odpowiedzialności?

Przede wszystkim trzeba mieć na uwadze konkretną funkcję CMS, jaką jest wspomniana wcześniej compliance defence (strategia obrony przez wykazanie systemu compliance) w powiązaniu z przeniesieniem ciężaru dowodowego na podmiot zbiorowy. Bardzo ważna będzie więc dokumentacja compliance, aby na wypadek braku zgodności można było przedstawić odpowiednie dowody. Ponadto z pewnością należy wdrożyć takie elementy, które expressis verbis wymienia sam projekt. Pamiętać należy jednak, że te szczątkowo wskazane w ustawie elementy nie wystarczą, aby stworzyć skuteczny CMS. Decydujące będzie, jaką treścią orzekający w przyszłości sędziowie wypełnią przesłankę należytej staranności. Nie podlega wątpliwości, że chodzi tutaj o CMS, ważne będzie zatem, jak taki system powinien wyglądać, bo ustawodawca nie podaje dalszych szczegółów. Wydaje mi się, że w obliczu istniejącej luki, podobnie ja w innych państwach, w których ustawodawca wprowadził podobne regulacje, ważną rolę odegra tzw. prawo miękkie, czyli istniejące w tym zakresie ogólnie uznane standardy, do których niewątpliwie należą normy ISO 19600 Compliance Management Systems (system zarządzania zgodnością) i ISO 37001 Anti-Bribery Management Systems (system zarządzania ryzykiem korupcji). Cała sztuka polega też na tym, aby taki system był odpowiednio dopasowany do potrzeb danej organizacji, czyli musi być odzwierciedleniem istniejącego ryzyka niezgodności. Problem i wyzwanie tkwią w tym, że w CMS nie ma mowy o jednym rozwiązaniu dla wszystkich, są jednak pewne elementy, których nie powinno nigdy zabraknąć. Zasadniczy cel CMSu to wykreowanie i utrzymanie długofalowej kultury zgodności, a to nie jest łatwe, gdyż natura ludzka często skłania się ku temu, aby łamać przepisy.

Jaka jest w tym wszystkim rola compliance oficera? Projekt przewiduje jego obowiązkowe zatrudnienie.

Oficer compliance już teraz odgrywa ważną rolę, a po uchwaleniu ustawy jej znaczenie niepomiernie wzrośnie. Dlatego musi mieć odpowiednie zakotwiczenie w organizacji, niezależność i adekwatne zasoby, aby mógł zbudować i wdrożyć system zarządzania ryzykiem braku zgodności. Ważne jest, aby miał poparcie kierownictwa, które aktywnie i widocznie powinno wspierać system na każdym jego etapie. W spółkach często powstaje mylne przekonanie, że oficer compliance odpowiedzialny jest za zgodność – skoro funkcja taka została powołana, to organizacja i poszczególni pracownicy zostają zwolnieni z wymogu dbania o przestrzeganie reguł. Oczywiście oficer compliance także jest odpowiedzialny za zachowanie zgodności, ale tylko w zakresie swoich obowiązków, a do tych należy wdrożenie i utrzymanie efektywnego CMSu. To jednak każdy pracownik odpowiedzialny jest za compliance w zakresie wykonywanych obowiązków. I tutaj właśnie powinien odpowiednio działać system: każdy powinien wiedzieć i rozumieć, jakie ma obowiązki i jak właściwie zachować się w danej sytuacji, aby zachowanie to było zgodne z regulacjami. Inne wyzwanie to wykształcenie. Oficer compliance nie musi być koniecznie prawnikiem, bo wdrożenie i obsługa CMSu wymaga różnych umiejętności, zwłaszcza zarządczych. Warto więc już teraz rozejrzeć się za możliwością zdobycia w tym zakresie nowych kompetencji i podjąć odpowiednie szkolenie.

Rola organów spółki kapitałowej w realizacji funkcji compliance

Bartosz Jagura

Sprawdź  

Czy wystarczy samo przygotowanie wewnętrznych procedur przeciwdziałania nieprawidłowościom zgodnych z tymi normami? Czy trzeba będzie wykazać ich stosowanie?

Sam compliance na papierze oczywiście nie wystarczy. Muszą to być takie procedury, działania i struktury, które są efektywne i działają długofalowo. Ważna jest jako punkt wyjściowy solidna analiza ryzyka. Myślę, że zasadnicze znacznie ma także m.in. odpowiednia koncepcja komunikacji compliance tak, aby każdy zrozumiał, jakie ma obowiązki i jak się zachować. Tutaj bardzo pomocne są przykładowo kodeksy zachowań, często mylone z kodeksami etycznymi. Samo przygotowanie takiego systemu oczywiście nie wystarczy, bo nie byłaby to należyta staranność w myśl ustawy. Jeśli ja bym był rozstrzygającym sędzią, to orzekłbym, że podmiot w ten sposób chciał tylko stworzyć pozory, a sam system nie działał. System nie tylko musi zostać wdrożony, ale też na bieżąco sprawdzany i ulepszany. To już dzisiaj jest podstawą, także wśród wielu polskich spółek, które wdrożyły CMS. Wracając jednak do wcześniejszego pytania: CMS aby był efektywny wcale nie musi być ani drogi, ani nieproporcjonalnie rozbudowany.

Czytaj też w LEX: Analiza: Odpowiedzialność karna podmiotów zbiorowych dotyczące rozliczeń podatkowych - projektowane regulacje >>
 

Czy w interesie firmy będzie sprawdzanie wszystkich sygnałów o nieprawidłowościach, prowadzenie dochodzeń?

Jeśli ustawa wejdzie w życie w obecnej formie, to prowadzenie wewnętrznych dochodzeń będzie ustawowym obowiązkiem. Przepis ten można różnie oceniać, bo to przecież nie obowiązek firmy, a organów ścigania, czyli projektodawca niejako przekłada zadania organów państwowych na podmioty prywatne. Także w tym zakresie nie jest to jednak wielkim novum, bo już dzisiaj prywatne dochodzenia w spółkach prowadzone są na co dzień – co do zasady zlecane na zewnątrz. Obowiązek może jednak być uciążliwy zwłaszcza dla małych i średnich przedsiębiorstw, które na takie praktyki po prostu nie będą mogły sobie pozwolić finansowo. Z drugiej strony ryzyko jest wielkie, gdyż projekt przewiduje jeszcze surowsze kary, jeśli podmiot nie zbada informacji o podejrzeniu. Pozostaje mieć nadzieję, że sądy będą uwzględniać takie sytuacje podczas wymierzania kary i łagodniej traktować małe i średnie przedsiębiorstwa.

Czy, można zastosować kryteria, które wskażą, co trzeba rozpracować, a co nie stanowi potencjalnego zagrożenia?

Każda informacja może prowadzić do przysłowiowego czubka góry lodowej. Dlatego w praktyce już dzisiaj sprawdza się każdy sygnał, który dociera do działu compliance, czy innej odpowiedzialnej jednostki. Na tym polega też zarządzenie ryzykiem compliance, trzeba je odpowiednio oszacować i zaadresować. Co z tym się zrobi dalej, zależy od tego, jak takie ryzyko konkretnie wygląda.

Co z sygnalistami, czy tutaj będzie trzeba się wykazać wyjątkowa czujnością, bo kara za ich nieposłuchanie będzie znacząca? Może wynieść nawet 60 mln zł.

Podniesienie kary nie dotyczy bezpośrednio sygnalistów, a tego, co mają do przekazania, czyli samych sygnałów. Nie tylko z uwagi na możliwość podniesienia kary, jak już wspominałem, należy weryfikować każdy sygnał, ale też z uwagi na fakt, że już dzisiaj zalicza się to do należytej staranności w organizacji. Inny aspekt tej regulacji, często jest jednak pomijany: wymóg sprawdzania sygnałów spowoduje znaczny rozwój samych systemów zarządzania sygnałami. Ja je nazywam SIN, czyli system informowania o nieprawidłowościach. Tylko, jeśli spółka będzie miała taki system i będzie on rozsądnie zintegrowany z CMSem, będzie ona w stanie spełnić oczekiwania projektodawcy i odpowiednio weryfikować zgłoszenia.  System powinien być zintegrowany z CMS-em, bo jest to nieodzowna część koncepcji komunikacji compliance, powiązana z analizą ryzyka, dochodzeniami, polepszaniem systemu i innymi elementami. Ubolewam nad tym, że projektodawca nie przedstawił tego wyraźniej w ustawie, co by ułatwiło jej stosowanie w przyszłości. Sama koncepcja ochrony sygnalisty, na co zwracały uwagę różne kręgi, też nie jest dopracowana, jednak lepsze to, niż nic. Sygnaliści wykazują się wielką odwagą, są lojalni wobec pracodawcy, ratują spółkę i miejsca pracy i działają poprawnie, za co często są szykanowani, zamiast ich chronić. Tak nie może być, miejmy nadzieję, że to tylko początek i ustawodawca wkrótce pokusi się o wzmocnienie realnej ochrony sygnalistów.

Czy trzeba spieszyć się z przygotowaniem firmy na zmiany?

Trudne pytanie. Powiem tak: to co przewiduje projekt ustawy i o czym rozmawiamy, już dzisiaj jest standardem i wpisuje się w kanon dochowania należytej staranności w organizacji, wyborze i nadzorze. Dlatego to, czy i kiedy ustawa wejdzie w życie nie powinno odgrywać żadnej roli. Compliance opłaca się już dzisiaj, bo buduje wartość firmy, zwiększa jej konkurencyjność i generuje wiele innych korzyści. Obecnie trudno wyobrazić sobie nowoczesną spółkę, która w swojej strukturze zarządzania nie wykazywałaby efektywnego systemu zarządzania zgodnością (CMS-u). Jeśli zaś ustawa wejdzie w życie, to spółki będą miały tylko sześć miesięcy na odpowiednie reformy. Uważam więc, że pora na zmiany jest teraz!

Prof. dr Bartosz Makowicz jest dyrektorem Viadrina Compliance Center, profesorem nauk prawnych na Wydziale Prawa Europejskiego Uniwersytetu Viadrina we Frankfurcie nad Odrą. Specjalizuje się w tematyce compliance i systemach zarządzania zgodnością. Jest autorem ponad stu publikacji z tego zakresu i mówcą na międzynarodowych kongresach compliance, współtwórcą norm ISO 19600 oraz ISO 37001.