Największe nadużycia finansowe w firmach wykryte w ostatnich latach były w przeważającej większości ujawnione dzięki sygnalistom, osobom z wewnątrz firm, zgłaszającym nieprawidłowości. Unia Europejska chce ułatwić raportowanie nieprawidłowości i zobligowała państwa członkowskie do wdrożenia dyrektywy o ochronie sygnalistów. Największe polskie firmy – zatrudniające powyżej 250 osób – powinny być gotowe z odpowiednimi procedurami już za dwa miesiące, 17 grudnia 2021 r. 

– Jednym z efektów pandemii, która wprowadziła pracę zdalną na masową skalę, jest zwiększenie skali nadużyć w firmach. Najczęściej spotykane malwersacje to wyprowadzanie pieniędzy z firmy poprzez fikcyjne usługi i faktury bez pokrycia czy korupcja wobec dostawców i klientów. Spodziewamy się, że wprowadzenie w życie zapisów unijnej dyrektywy zwiększy skalę raportowania nieprawidłowości przez sygnalistów również w Polsce. Firmy staną przed dość surowymi wymogami, m.in. będą miały trzy miesiące na przekazanie informacji o podjętych działaniach. Jeśli nie będą gotowe na przyjmowanie zgłoszeń i reagowanie na nie, wejście w życie nowych regulacji może spowodować chaos organizacyjny. Sygnaliści będą mieli możliwość zgłaszania nieprawidłowości do stron trzecich, do niezależnego organu lub – w ekstremalnych przypadkach – do mediów. To rodzi ryzyko reputacyjne i prawne dla firm – mówi Mariusz Witalis, partner kierujący Działem Zarządzania Ryzykiem Nadużyć EY, lider praktyki w Europie Centralnej i Środkowowschodniej. 

Czytaj również: Sygnaliści: Zostało mało czasu na wdrożenie dyrektywy>>

Daleka droga do pełnej gotowości

Dyrektywa wejdzie w życie na mocy przepisów krajowych. Projekt ustawy o ochronie osób zgłaszających naruszenia prawa znalazł się w wykazie prac legislacyjnych, a jego przyjęcie planowane jest na czwarty kwartał 2021 r. EY w ramach badania „Czas na ochronę sygnalistów” sprawdził, czy firmy są przygotowane na zmiany. Z badania wynika, że przygotowania nie są zaawansowane i nawet firmy deklarujące pełną gotowość (9 proc.) będą musiały zmierzyć się z nowymi obowiązkami. Żadne z badanych przedsiębiorstw nie spełnia na ten moment tzw. „standardu minimum” obejmującego m.in. utworzenie poufnych kanałów przyjmowania zgłoszeń, przeszkolenie pracowników czy jasne określenie procedur zgłaszania nieprawidłowości i procesu wyjaśniania naruszeń. 26 proc. podmiotów przyznaje, że nie jest gotowe na te wymogi. Blisko połowa (49 proc.) spółek nie udostępniła dotychczas żadnego kanału zgłoszeń, a zaledwie co dwudziesta (5 proc.) rozpoczęła szkolenie pracowników. Co trzecia firma (34 proc.) już teraz przyznaje, że nie zdąży wdrożyć systemu zgłaszania nadużyć do 17 grudnia br. 

 


Lista wyzwań jest długa

Uczestnicy badania wskazali wymogi dyrektywy UE o ochronie sygnalistów, które – ich zdaniem – będą najtrudniejsze w praktycznej realizacji. Blisko co druga badana firma (45 proc.) obawia się, że nie dotrzyma terminów wynikających z dyrektywy (w tym między innymi obowiązku wyjaśnienia sprawy w ciągu 3 miesięcy od zgłoszenia), a co trzecia (36 proc.) dostrzega trudności w wykazywaniu należytej staranności w prowadzeniu wewnętrznych postępowań wyjaśniających. Z kolei co piąta (20 proc.) wskazała, że problemem dla niej może się okazać zapewnienie rzeczywistej ochrony osoby zgłaszającej przed działaniami odwetowymi (takimi jak np. zwolnienie z pracy czy obniżenie wynagrodzenia).

 

 

Ryzyko dla firm może stanowić rozproszony charakter odpowiedzialności za nadzorowanie procesu zgłaszania nadużyć i jego niedoszacowany wymiar prawny. Co drugi zarząd (45 proc.) powierza proces przyjmowania i rozpatrywania zgłoszeń więcej niż jednej jednostce organizacyjnej. Najczęściej angażowane są działy HR (50 proc.) oraz działy compliance (28 proc.). W co piątej spółce (19 proc.) w proces wyjaśniania zgłoszonych spraw włączeni są bezpośrednio członkowie zarządu. Co ciekawe, w wewnętrzne dochodzenia rzadziej włączani są firmowi prawnicy (22 proc.).

Niezależnie od przypisania odpowiedzialności, zarządzanie ryzykiem w spółce ostatecznie spoczywa na barkach zarządu. Zarówno wdrożenie wymogów dyrektywy jak i prowadzenie postępowań wyjaśniających z zachowaniem należytej staranności wymaga specjalistycznej wiedzy i większego niż deklarowane zaangażowania działów prawnych. Prowadzenie w firmie po raz pierwszy dochodzenia wewnętrznego to chodzenie po polu minowym. Błąd może nas sporo kosztować – mówi Jarosław Grzegorz, associate partner w Dziale Zarządzania Ryzykiem Nadużyć EY.

 


Szklanka do połowy pełna

Respondenci dostrzegają szereg korzyści płynących z dyrektywy o ochronie sygnalistów: 89 proc. z nich uważa, że wdrożenie wynikających z niej postanowień sprzyja ich biznesowi. Wśród kluczowych korzyści płynących z wdrożenia wymogów dyrektywy spółki wskazują ograniczenie: ryzyka reputacyjnego (42 proc.), potencjalnych strat finansowych (37 proc.) oraz ryzyka prawnego (36 proc.). 

Jednocześnie firmy wyrażają obawy związane ze zwiększeniem wymogów dotyczących ochrony sygnalistów. Przede wszystkim boją się zbyt dużej liczby zgłoszeń wewnętrznych prowadzących do nieefektywności procesu (39 proc. ankietowanych) oraz zgłoszeń zewnętrznych (35 proc.), które mogą skutkować kontrolą służb lub innych organów publicznych takich jak policja, UOKiK czy PIP. 

Badanie zostało przeprowadzone we wrześniu 2021 r. na próbie 150 spółek o ugruntowanej pozycji rynkowej, zatrudniających ponad 250 pracowników i działających na rynku powyżej 5 lat. 23 proc. badanych to spółki notowane na GPW. 69 proc. badanych to firmy z wyłącznie polskim kapitałem. 37 proc.  respondentów to osoby kierujące działem HR, 29 proc. to compliance oficerowie, 16 proc. to osoby kierujące działem audytu wewnętrznego, a 11 proc.  kierownicy działów prawnych. Pytaliśmy o stan prac nad wdrożeniem dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L z 2019 r. nr 305, str. 17).