Compliance jako obowiązek prawny?
Dyskusja, czy wdrożenie i stosowanie programu zgodności (compliance) jest ogólnym obowiązkiem prawnym, trwa nie od dziś. Compliance jest narzędziem zarządzania procesami operacyjnymi w organizacji, przeciwdziałania nieprawidłowościom i mitygowania odpowiedzialności. Dlatego wydaje się wchodzić w zakres obowiązku należytej staranności, sankcjonowanej nie tylko na płaszczyźnie karnej.
Aktualnie obowiązujące przepisy prawa nie nakładają ogólnego, systemowego obowiązku wdrożenia i stosowania programów compliance, choć źródłem dyskusji w tym obszarze mogłaby być obowiązująca ustawa o odpowiedzialności „karnej” podmiotów zbiorowych. Ustawa przewiduje bowiem jako przesłanki odpowiedzialności podmiotu zbiorowego niewłaściwą organizację działalności podmiotu, będącą wynikiem niedochowania należytej staranności, wymaganej w oznaczonym kontekście, oraz brak należytej staranności w wyborze lub nadzorze nad osobami działającymi w imieniu lub na rzecz spółki.
Niezależnie jednak od oceny, czy istnieje obowiązek wdrożenia strukturalnego programu zgodności, który obejmowałby każdy obszar działalności organizacji, przepisy prawa stawiają wymóg wdrażania i stosowania niezbędnych procedur zapewniających należyte realizowanie obowiązków regulacyjnych w poszczególnych sektorach aktywności. W niektórych przypadkach obowiązki te mogą mieć zasięg eksterytorialny. Procedury zgodności coraz częściej także stanowią element oceny wymaganej ostrożności przy ocenie odpowiedzialności karnej.
Nowa ustawa o odpowiedzialności podmiotów zbiorowych
Projektowana ustawa o odpowiedzialności podmiotów zbiorowych utrzymuje zarówno przesłankę winy w wyborze, jak i nadzorze oraz w organizacji. Jednocześnie wskazuje, jakie zdarzenia w organizacji podmiotu zbiorowego będą uznawane za nieprawidłowości, których zaistnienie będzie stanowiło podstawę do stwierdzenia winy, i dalej odpowiedzialności podmiotu zbiorowego.
Do nieprawidłowości tych projekt zalicza:
- brak reguł postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub niedochowania reguł ostrożności,
- brak należycie skonstruowanego podziału obowiązków i kompetencji w organizacji między jej organy, poszczególne jednostki organizacyjne oraz pracowników,
- brak powołania osoby lub komórki organizacyjnej odpowiedzialnej za nadzorowanie przestrzegania przepisów prawa w organizacji oraz jej właściwego działania,
- brak procedur monitoringu i skutecznego reagowania na nieprawidłowości.
Należy przy tym pamiętać, że wyliczenie to nie jest enumeratywne, a jedynie przykładowe, co oznacza, że ciężar właściwego przeciwdziałania nieprawidłowościom, w tym ich antycypacji, będzie leżał na podmiocie zbiorowym.
Zdefiniowane w projekcie nieprawidłowości stanowią jednocześnie dla podmiotów zbiorowych źródło obowiązków konkretnego zachowania, a w kontekście potencjalnego postępowania przeciwko podmiotowi zbiorowemu – argumenty obrony przed stwierdzeniem odpowiedzialności i nałożeniem kary.
Dodatkowy istotny obowiązek wynikający z projektu ustawy dotyczy ustanowienia i wprowadzenia systemu zgłaszania nieprawidłowości (przez sygnalistów) oraz ich wyjaśniania. Brak przeprowadzenia postępowania wyjaśniającego i usunięcia nieprawidłowości – jeżeli w wyniku sygnalizowanej nieprawidłowości dojdzie do popełnienia przestępstwa – może stanowić swoistą okoliczność obostrzającą i skutkować nałożeniem kary nawet dwukrotnie surowszej.
Obraz wyłaniający się z projektowanych przepisów jest dość mglisty z racji ogólnego sfomułowania przesłanek odpowiedzialności i warunkujących ją nieprawidłowości, którym organizacja będzie obowiązana zapobiegać. Zapobieganie nieprawidłowościom w organizacji powinno więc przybrać postać wszechstronnego systemu sformalizowanych zasad i reguł, obejmującego wszystkie obszary działalności jednostki i dostosowanego do jej specyfiki, właściwie wdrożonego i stosowanego. Temu właśnie może służyć program compliance.
Jednocześnie – jako że funkcją compliance jest przeciwdziałanie nieprawidłowościom i mitygowanie ryzyk odpowiedzialności prawnej – programy compliance powinny być może stać się standardem właściwego funkcjonowania podmiotów gospodarczych w gąszczu obowiązków prawnych, niekiedy o zasięgu ponadnarodowym.
Bieżące oczekiwania
Aktualne ustawodawstwo jest obfitym źródłem obowiązków dla podmiotów gospodarczych działających w poszczególnych sektorach. Obowiązki te formułowane są zazwyczaj jako konieczność oceny ryzyka i antycypowania możliwych naruszeń przepisów prawa i praw innych podmiotów, oraz ustanowienia systemów reakcji.
Istotnymi przykładami w tym zakresie są uregulowania związane z ochroną danych osobowych (RODO), ochroną przed naruszeniami infrastruktury informatycznej w konsekwencji cyberataku, których skutkiem może być ograniczenie lub uniemożliwienie świadczenia usług o kluczowym znaczeniu dla społeczeństwa (ustawa o krajowym systemie cyberbezpieczeństwa), obowiązkami przeciwdziałania praniu pieniędzy oraz zapobiegania wykorzystaniu informacji niejawnych w przypadku podmiotów działających na rynku finansowym i notowanych na giełdach, a także – zgłaszania schematów podatkowych.
Nie bez znaczenia są także uregulowania obowiązujące w jurysdykcjach zagranicznych, a mogące mieć eksterytorialne zastosowanie. Dotyczy to sytuacji, gdy podmiot polski prowadzi chociaż część działalności na terytorium państwa, które ustanawia obowiązki w zakresie prewencji, lub jest częścią grupy kapitałowej, której spółka matka ma siedzibę na jego terytorium.
Jednym z obszarów tego typu uregulowań jest przeciwdziałanie korupcji. Zalicza się do nich m.in. brytyjska ustawa o korupcji (Bribery Act) ustanawiająca czyn niezapobieżenia korupcji oraz francuska ustawa Sapin II. Ta druga wprowadza dla podmiotów zatrudniających co najmniej 500 pracowników i generujących rocznie obroty powyżej 100 000 000 EUR obowiązek wdrożenia i stosowania programu przeciwdziałania korupcji pod rygorem sankcji administracyjnych (o ustawie pisaliśmy tu – artykuł z czerwca 2017 i tu – artykuł ze stycznia 2018).
Innym obszarem, w którym wymogi dotyczące zgodności z przepisami prawa oraz etyką nabywają charakteru eksterytorialnego, jest przeciwdziałanie pracy niewolniczej, łamaniu praw człowieka oraz handlowi ludźmi. Ponownie pionierskie w tym obszarze jest ustawodawstwo brytyjskie (Modern Slavery Act) oraz francuskie (Loi sur le devoir de vigilence des sociétés mères et des sociétés donneuses d’ordre).
Praktyka organów ścigania
Organy ścigania coraz bardziej interesują się właściwym organizowaniem procesów decyzyjnych i prawidłowym funkcjonowaniem działalności gospodarczej. W przypadku przestępstwa nadużycia zaufania coraz wyraźniej wskazuje się, że przesłanką potencjalnej odpowiedzialności jest brak należytego nadzoru (wina w nadzorze) ze strony członków zarządu nad podejmowaniem decyzji odnoszących skutek w stosunku do majątku podmiotu gospodarczego. W przypadku zaś przestępstw karnoskarbowych – w związku z wytycznymi dotyczącymi badania kontrahentów i przeciwdziałania uwikłaniu w karuzele podatkowe – organy ścigania wprost wskazują, że należy wyznaczyć osoby do badania łańcucha dostaw, gdyż jest to organizacyjnym elementem przeciwdziałania przestępstwom karno-skarbowym.
Nadto – mimo możliwych różnic na poziomie wymogów prawnych – skuteczne compliance podlega także ocenie w toku międzynarodowych postępowań karnych. Jednym z najświeższych przykładów jest sprawa szwajcarskiego banku oraz jego spółki córki z siedzibą we Francji, oskarżonych przed francuskim sądem o nielegalne pozyskiwanie klientów oraz pranie pieniędzy pochodzących z unikania opodatkowania. Jedną z okoliczności, która legła u podstaw skazania banku w pierwszej instancji na rekordową grzywnę 3,7 miliardów euro, była przestarzała organizacja i nieefektywne procedury wewnętrzne dotyczące praktyk marketingowych we Francji. Oceniając brak efektywności procedur wewnętrznych, francuski sąd wziął pod rozwagę brak udokumentowanej komunikacji przyjętych procedur, brak sankcji dyscyplinarnych w razie ich naruszenia oraz brak kontroli ich stosowania.
Remedium – holistyczny program compliance
Strukturalne compliance obejmujące wszystkie obszary działalności podmiotu gospodarczego może być rozpatrywane w kategoriach futurystycznych, jako że nowa ustawa o odpowiedzialności podmiotów zbiorowych na dzień publikacji artykułu pozostaje projektem. Biorąc jednak pod uwagę międzynarodowe zobowiązania Polski i zastrzeżenia kierowane przykładowo przez OECD w odniesieniu do aktualnie obowiązującego reżimu odpowiedzialności karnej podmiotów zbiorowych, istnieje duże prawdopodobieństwo, że ustawa zostanie uchwalona i wejdzie w życie.
Warto więc nie czekać na bezpośredni impuls o charakterze represyjnym. Nawet jeżeli wszechstronne programy compliance nie są normatywnym obowiązkiem samym w sobie, to mogą być istotnym narzędziem zarządzania procesami operacyjnymi w organizacji, tak aby mogła ona należycie wywiązywać się z obowiązków prawnych. Istnienie programu compliance może dopomóc w stwierdzeniu, że spółka dołożyła należytej staranności, co niejednokrotnie warunkuje odpowiedzialność cywilną, administracyjną i karną.
Aleksandra Stępniewska, adwokat, praktyka karna kancelarii Wardyński i Wspólnicy