Szanowni Państwo,
W dniu 11 stycznia 2019 r. Rada Ministrów skierowała pod obrady Sejmu projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Ustawa reguluje zasady ponoszenia odpowiedzialności, o charakterze represyjnym, przez m.in. przedsiębiorców, w tym spółki, za czyny zabronione pod groźbą kary jako przestępstwa lub przestępstwa skarbowe, w związku z osiągnięciem przez podmiot zbiorowy korzyści majątkowej z takiego czynu oraz związanej z działaniami wobec osób sygnalizujących nieprawidłowości.
Przedkładając Państwu niniejszą informację, chcielibyśmy zasygnalizować niektóre zmiany i wymogi związane z systemami zarządzania zgodności (compliance), będące konsekwencją wejścia w życie ustawy. Niniejszy dokument ma charakter jedynie informacyjny i nie obejmuje wszystkich obszarów objętych ustawą, dlatego też pozostajemy w gotowości poszerzenia i rozwinięcia analizy poszczególnych fragmentów lub całości ustawy.
***
Przesłanki odpowiedzialności. Przesłanką odpowiedzialności podmiotów zbiorowych jest pozostawanie takiego czynu w związku z działalnością podmiotu zbiorowego i zaistnienie czynu w wyniku działania lub zaniechania organu podmiotu lub umyślnego działania lub zaniechania członka organu, a także gdy taki czyn (związany z działalnością podmiotu) został popełniony przez pracownika czy osobę uprawnioną do jego reprezentowania (pełnomocnika, prokurenta). Podmiot zbiorowy odpowie także za czyn zabroniony swojego podwykonawcy lub kontrahenta jeżeli choćby pośrednio uzyskał z niego korzyść majątkową.
Jak wskazuje art. 6 ust. 3 projektu ustawy jednym z warunków odpowiedzialności na podstawie ustawy jest wyczerpanie znamion czynu zabronionego w następstwie co najmniej braku należytej staranności w wyborze osoby, która popełniła czyn albo w nadzorze nad nią ze strony podmiotu zbiorowego albo występowanie takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.
Ustęp 4 art. 6 projektu ustawy wyjaśnia, że nieprawidłowość taka, polega w szczególności na tym, że:
1) nie zostały określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności (określenie tych zasad nie dotyczy podmiotu, który jest mikroprzedsiębiorcą);
2) nie został określony zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie (określenie tego zakresu nie dotyczy podmiotu, który jest mikroprzedsiębiorcą);
3) nie została określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu, który jest co najmniej średnim przedsiębiorcą;
4) organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.
Wyłączenie odpowiedzialności. Jednakże odpowiedzialność za nieprawidłowość będzie można wyłączyć na podstawie art. 6 ust. 6 projektu ustawy, zgodnie z którym
podmiot zbiorowy nie odpowiada za nieprawidłowość, jeżeli wykaże, że wszystkie organy i osoby uprawnione do działania w jego imieniu lub interesie zachowały należytą staranność wymaganą w danych okolicznościach w organizacji działalności tego podmiotu oraz w nadzorze nad tą działalnością.
Prowadzi to zatem do wniosku, że przesłanką zwolnienia z odpowiedzialności za nieprawidłowości w organizacji przedsiębiorcy jest wykazanie, że organy i osoby uprawione zachowały należytą staranność w organizacji tego podmiotu. Podstawowym narzędziem służącym do wykazania tejże staranności jest odpowiednio zbudowany i funkcjonujący system zapewnienia zgodności działalności podmiotu zbiorowego z przepisami i regulacjami wewnętrznymi. Innymi słowy odpowiednio zaprojektowany, wdrożony i funkcjonujący system zapewnienia zgodności będzie istotnym mitygantem ryzyka odpowiedzialności na gruncie ustawy.
Miara staranności. Jedynym z podstawowych wyzwań jakie większość przedsiębiorców będzie miało w obliczu nowej ustawy to znalezienie odpowiedniej miary należytej staranności przy tworzeniu systemu zarządzania zgodnością. Miary, która będzie pewnego rodzaju wzorcem do oceny czy dany podmiot ponosi odpowiedzialność na gruncie projektu ustawy.
Jak wskazuje uzasadnienie do projektu ustawy
Przez należytą staranność należy rozumieć określony, modelowy sposób postępowania. Wzorzec należytej staranności powinien być formułowany według kryteriów obiektywnych, co oznacza, iż należy brać pod uwagę faktycznie i powszechnie stosowane sposoby postępowania w danej sytuacji. Nie są więc uwzględniane indywidualne cechy podmiotu, jego właściwości osobiste. Jednocześnie jednak należy wskazać, iż cywilistyczny wzorzec postępowania, pomimo swego obiektywnego charakteru, jest zawsze osadzony w kontekście rodzaju stosunków występujących w danej sprawie (np. zobowiązaniowych czy też deliktowych itp.). Znaczenie ma także rodzaj podmiotów, do których wzorzec się odnosi. Przykładowo inny będzie wzorzec należytej staranności przewidziany dla przedsiębiorcy, inny zaś dla grup zawodowych takich jak lekarze czy nauczyciele. W budowaniu wzorców pomocne są stworzone przez poszczególne grupy podmiotów kodeksy etyczne czy też zbiory reguł postępowania. Na gruncie niniejszej ustawy, wzorzec należytej staranności będzie zatem musiał uwzględniać typ i rodzaj podmiotu zbiorowego, który dopuścił się popełnienia czynu zabronionego, oraz zasady jego funkcjonowania w obrocie prawnym.
W uzasadnieniu projektu ustawy próżno zatem szukać jakichkolwiek ścisłych kryteriów według, których ocena należytej staranności powinna przebiegać. Nie mamy również określonego jej zakresu czy przejawów. Jednakże uzasadnienie kładzie nacisk na dwa elementy oceny tejże staranności – obiektywizm i proporcjonalność. W niniejszym artykule chciałbym zatem zaproponować czytelnikom skąd czerpać źródła inspiracji przy tworzeniu systemów zarządzania zgodnością w celu spełnienia obu przesłanek.
Obiektywizm miary. Po pierwsze zatem skupmy się na obiektywizmie. W większości sektorów gospodarki na gruncie przepisów powszechnie obowiązujących system zarządzania zgodnością nie jest jakkolwiek uregulowany. Nie mamy więc normy prawnej, która wskazywałaby jak system zarzadzania zgodnością powinien wyglądać. Jest jednak jeden wyjątek. Od wielu lat system zarządzania zgodnością jest precyzyjnie uregulowany w sektorze finansowym, a najpełniej zaś w bankach. Przepisy o bankowych systemach zarządzania zgodnością pomimo, iż opierają się na anglosaskiej teoretycznej koncepcji internal control system są dostosowane zarówno do polskich warunków prawnych jak i polskiego obrotu gospodarczego. Oczywiście może pojawić się pytanie, czy system zaprojektowany dla banków nie będzie zbyt wycinkowy i ukierunkowany na bardzo specjalistyczne regulacje rynku finansowego. Jednakże praktyka funkcjonowania tych systemów pokazuje niezbicie, że są to systemu, które z powodzeniem można zastosować do wszystkich dużych i średnich przedsiębiorców, z uwagi na uniwersalność modelu oraz elastyczność mechanizmów zarządzania zgodnością. I to system zarządzania zgodnością w bankach jako funkcjonujące i sprawdzone rozwiązanie powinien stać się miara staranności podług ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, nie zaś abstrakcyjne normy zawarte czy to w standardach ISO (normy ISO 37001 Anti-Bribery Management Systems lub ISO 19600 Compliance Management Systems), które z samego swojego założenia winny być jeszcze mocno dostosowane do lokalnych warunków, czy wreszcie „Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A.”, które obarczone są mocna fragmentarycznością i ogólnością.
Zarządzanie zgodnością w bankach. W sektorze bankowym obowiązek stworzenia systemu zarządzania zgodnością, w tym jego kompetencji, organizacji, zadań i umiejscowienia w organizacji, przewidziany jest zarówno na gruncie prawa bankowego, rozporządzenia wykonawczego Ministra Finansów i Rozwoju oraz Rekomendacji H Komisji Nadzoru Finansowego w sprawie systemu kontroli wewnętrznej.
Zgodnie z Rekomendacja H do obowiązków komórki do spraw zgodności należy:
1) opracowanie regulaminu funkcjonowania komórki do spraw zgodności, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki do spraw zgodności;
2) identyfikowanie ryzyka braku zgodności, w szczególności przez analizę przepisów prawa, regulacji wewnętrznych, standardów rynkowych oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórkę do spraw zgodności;
3) ocena ryzyka braku zgodności przez pomiar lub szacowanie tego ryzyka;
4) projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności;
5) monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności;
6) okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do zarządu i rady nadzorczej,
7) wykonywanie ww. czynności na podstawie regulaminu funkcjonowania komórki do spraw zgodności oraz procedur i metodyk;
8) dokumentowanie ww. czynności.
To co przebija przez powyższy zakres obowiązków to jego kompleksowość. Nie dotyczy on jedynie obowiązku opracowywania regulacji wewnętrznych czy szkoleń, ale wprost przewiduje, że ryzyko braku zgodności[1], mimo iż jest ryzykiem trudnomierzalnym, podlega procesowi identyfikacji, pomiaru i ograniczania. Odpowiedniemu zarządzaniu ryzykiem braku zgodności służą mechanizmy przeciwdziałania ryzyku braku zgodności jako rozwiązania organizacyjne i procedury, umożliwiają zapewnienie zgodności działania danej organizacji z powszechnie obowiązującymi przepisami prawa oraz regulacjami wewnętrznymi. Mechanizmy te muszą dotyczyć zarówno projektowanych regulacji wewnętrznych, w tym kodeksów etyki czy rozwiązań antykorupcyjnych, jak również wdrożenia tych regulacji na poziomie jednostek organizacyjnych, w tym przestrzegania ich przez pracowników. Za przestrzeganie regulacji wewnętrznych odpowiadać muszą kierownicy poszczególnych jednostek organizacyjnych, natomiast w zakresie projektowania nowych regulacji, procedur czy produktów, obok jednostki biznesowej (często inicjującej dany produkt czy procedurę), rolę wspomagającą (opiniującą, doradczą) pełni np. biuro prawne i komórka zapewnienia zgodności.
Sektor bankowy jako benchmark. Powyższe prowadzi mnie do wniosku, że pierwszą i podstawową miarą należytej staranności będą istniejące na dzień dzisiejszy rozwiązania w sektorze bankowym, które z powodzeniem można przeszczepić na inne sektory gospodarki. Nie bez przyczyny sektor bankowy w tym zakresie wskazywany był jako drogowskaz i benchmark zmian w systemach zarządzania zgodnością w innych sektorach.
Proporcjonalność miary. Po drugie w zakresie proporcjonalności należy wskazać, że z uwagi na fakt, że przedmiotem oceny na gruncie projektu ustawy będą bardzo różni przedsiębiorcy to miara staranności powinna być inna. Pytanie oczywiście na podstawie jakich kryteriów można określać, że dany przedsiębiorca z uwagi na prowadzoną działalność powinien mieć inne (w domyśle łagodniejsze) wymagania w zakresie funkcjonującego systemu zarządzania zgodnością. Można oczywiście dokonać zróżnicowania na podstawie wielkości przedsiębiorców w podziale na małych, średnich i dużych, jednakże w mojej ocenie nie będzie to najlepsze rozwiązanie. Skala i rozmiar prowadzonej działalności jest oczywiście bardzo ważnym elementem przy tej ocenie, jednakże nie może być jedynym. Przyjęcie bowiem tylko kryterium wielkości spowoduje, że podwyższonymi standardami nie będą objęte przedsiębiorstwa, które jakkolwiek nie prowadzą działalności na dużą skalę, jednakże te, których działalność jest obarczona dużym ryzykiem. Rozwiązaniem będą znowu przepisy funkcjonujące w sektorze bankowym[2], które wskazują, że do oceny zasady proporcjonalności należy uwzględnić m.in. następujące kryteria:
1) wielkość pod względem sumy bilansowej instytucji oraz jej jednostek zależnych objętych zakresem konsolidacji ostrożnościowej;
2) obecność geograficzną instytucji oraz wielkość jej działalności w każdej jurysdykcji;
3) formę prawną instytucji, w tym to, czy instytucja jest częścią grupy, a jeżeli tak, ocenę proporcjonalności dla tej grupy;
4) czy dana instytucja jest notowana na giełdzie, czy też nie;
5) rodzaj działalności i usług świadczonych przez instytucję;
6) model i strategię biznesową instytucji;
7) charakter i złożoność jej działalności biznesowej oraz strukturę organizacyjną instytucji;
8) strategię w zakresie ryzyka, skłonność do podejmowania ryzyka i rzeczywisty profil ryzyka instytucji;
9) strukturę własnościową i finansowania instytucji;
10) rodzaj klientów (np. detaliczni, korporacyjni, instytucjonalni, małe firmy, podmioty publiczne) oraz złożoność produktów lub umów;
11) czynności objęte outsourcingiem i kanały dystrybucji; oraz
12) dotychczasowe systemy informatyczne, w tym systemy służące utrzymaniu ciągłości działalności i czynności objęte outsourcingiem w tym obszarze.
Stosowanie rozwiązań bankowych. Zastosowanie istniejących rozwiązań już funkcjonujących i obowiązujących przepisów pozwoli przedsiębiorcom uniknąć zbędnej i wręcz niebezpiecznej dyskusji na temat miary należytej staranności w zakresie zarządzania zgodnością w ich działalności. Wykazanie odpowiedniego poziomu systemu zarządzania zgodnością poprzez jego odniesienie do analogicznych systemów w sektorze bankowym, które jak już wspominałem są jedynym benchmarkiem, może pozwolić wykazać, że dany przedsiębiorca stosuje najwyższe rynkowe standardy. Zaś spełnianie kryteriów stosowania zasady proporcjonalności jakie dostarcza nam sektor bankowy będzie stanowiło ważny argument do dyskusji z organem dokonującym oceny systemu zarządzania zgodnością.
Wnioski. Powyższe rozważania prowadzą mnie do wniosku, że zamiast w tym momencie tworzyć naprędce modele funkcjonowania systemów zarządzania zgodnością warto sięgnąć do sprawdzonych rozwiązań z sektora bankowego. Takie podejście uprości dyskusje z podmiotem oceniającym system jak i zminimalizuje ryzyko arbitralności przy ocenie wzorca należytej staranności.
[1] Ryzyko braku zgodności rozumiane jest jako ryzyko poniesienia sankcji prawnych, powstania strat finansowych bądź utraty reputacji lub wiarygodności wskutek niezastosowania się przedsiębiorcy, pracowników przedsiębiorcy lub podmiotów działających w jego imieniu do przepisów prawa, regulacji wewnętrznych oraz przyjętych przez przedsiębiorcę standardów rynkowych.
[2] Wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie zarządzania wewnętrznego (EBA/GL/2017/11).