środa, 16 stycznia 2019

System Zgodności (Compliance) - na przykładzie systemów zgodności w Bankach

Kiedy na gruncie projektu ustawy o odpowiedzialności podmiotów zbiorowych dyskutuje się o wzorcach systemów zgodności, najczęściej wymienia się:
  1. normę ISO 37001 Anti-Bribery Management Systems, która stanowi globalny standard kształtowania systemów przeciwdziałania korupcji,
  2. normę ISO 19600 Compliance Management Systems,
  3. Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A.
Często zapomina się o tym, że mamy przepisy dotyczące zarządzania ryzykiem braku zgodności, trybu anonimowego zgłaszania naruszeń prawa oraz obowiązujących w bankach procedur i standardów etycznych. A dokładniej piszę o Rozporządzeniu Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach z dnia 6 marca 2017 r. (Dz.U. z 2017 r. poz. 637).
Oczywiście stosowanie ww. rozporządzenie dotyczy tylko Banków ale myślę, że przez analogię może być zastosowane w projektowaniu, wdrażaniu i utrzymywaniu systemów zgodności również w innych podmiotach. W niniejszym artykule omówię jak powinien wyglądać system zarządzania zgodnością zbudowany na podstawie wzorca bankowego :-)
System zarządzania ryzykiem braku zgodności, procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedury i standardy etyczne funkcjonują na podstawie strategii zarządzania, strategii zarządzania ryzykiem, polityk, procedur i planów.
Każda organizacja powinna mieć spisaną strategię zarządzania, strategię zarządzania ryzykiem, polityki, procedury i plany. Oczywiście te dokumenty mogą nosić różne nazwy. Wszystko zależy od kultury organizacji. Powinny jednak być i funkcjonować. Same sporządzenie dokumentacji bez jej wdrożenia nie wystarczy.
System zarządzania zgodnością jest zorganizowany na trzech niezależnych poziomach
System zarządzania zgodnością powinien być zorganizowany w tzw. trzy linie obronne.
  1. pierwszy poziom składa się zarządzanie ryzykiem w działalności operacyjnej,
  2. drugi poziom składa się z działalności komórki do spraw zgodności.
  3. trzeci poziom składa się działalność komórki audytu wewnętrznego
Zarząd odpowiada za system zarządzania zgodnością
Zarząd projektuje, wprowadza oraz zapewnia działanie systemu zarządzania ryzykiem, dokonuje przeglądów strategii i procedur oraz procedur anonimowego zgłaszania naruszeń prawa oraz obowiązujących procedur i standardów etycznych w szczególności przez:
  1. zapewnienie struktury organizacyjnej dostosowanej do wielkości i profilu ponoszonego ryzyka i umożliwiającej skuteczne wykonywanie zadań;
  2. opracowanie, przyjęcie i powiązanie strategii zarządzania podmiotem zbiorowym z systemem zarządzania ryzykiem i systemem kontroli wewnętrznej;
  3. opracowanie, przyjęcie i wdrożenie strategii i polityk oraz zapewnienie wdrożenia systemu, zgodnie z przyjętymi zasadami legislacji wewnętrznej, oraz monitorowanie ich przestrzegania;
  4. ustanowienie odpowiednich zasad raportowania, w tym zasad raportowania zarządu do rady nadzorczej;
  5. zapewnienie przejrzystości działań podmiotu zbiorowego oraz przyjęcie i wprowadzenie zasad polityki informacyjnej;
  6. wprowadzanie niezbędnych korekt i udoskonaleń systemu zarządzania w przypadku zmiany wielkości i profilu ryzyka w działalności podmiotu oraz czynników otoczenia gospodarczego lub wykrycia nieprawidłowości w funkcjonowaniu systemu zarządzania.
W ramach zapewniania przez system przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych:
  1. zarząd odpowiada za efektywne zarządzanie ryzykiem braku zgodności, rozumianym jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych;
  2. zarząd odpowiada za opracowanie polityki zgodności, zapewnienie jej przestrzegania i składanie radzie nadzorczej raportów (nie rzadziej niż raz do roku) w sprawie zarządzania ryzykiem braku zgodności;
  3. polityka zgodności zawiera podstawowe zasady zapewniania zgodności działania podmiotu zbiorowego z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi przez wszystkich pracowników podmiotu, w tym podstawowe zasady zapewniania zgodności na wszystkich liniach obronnych, oraz wyjaśnia główne elementy procesu zarządzania ryzykiem braku zgodności;
  4. w przypadku wykrycia nieprawidłowości w stosowaniu polityki zgodności zarząd podejmuje odpowiednie działania w celu usunięcia tych nieprawidłowości, w tym środki naprawcze lub dyscyplinujące.
Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem oraz ocenia adekwatność i skuteczność tego systemu
Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem oraz ocenia (co najmniej raz w roku) adekwatność i skuteczność tego systemu.
Co należy do obowiązków komórki Compliance?
Do obowiązków komórki do spraw zgodności należy:
  1. opracowanie regulaminu funkcjonowania komórki do spraw zgodności, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki do spraw zgodności;
  2. identyfikowanie ryzyka braku zgodności, w szczególności przez analizę przepisów prawa, regulacji wewnętrznych , standardów rynkowych oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórkę do spraw zgodności;
  3. ocena ryzyka braku zgodności przez pomiar lub szacowanie tego ryzyka;
  4. projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności;
  5. monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności;
  6. okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do zarządu i rady nadzorczej,
  7. wykonywanie ww. czynności na podstawie regulaminu funkcjonowania komórki do spraw zgodności oraz procedur i metodyk;
  8. dokumentowanie ww. czynności.
Niezależność komórki Compliance, komunikacja itp.
Tak w punktach :-) :
  • W podmiocie zbiorowym powinny funkcjonować mechanizmy zapewniające niezależność komórki audytu wewnętrznego oraz komórki do spraw zgodności.
  • Regulamin funkcjonowania komórki do spraw zgodności powinien być zatwierdzony przez Zarząd i rada nadzorczą.
  • Osoba komórką do spraw zgodności powinna mieć zapewniony bezpośredni kontakt z członkami zarządu i rady nadzorczej.
  • Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach zarządu.
  • Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach rady nadzorczej, w przypadku gdy przedmiotem posiedzenia są zagadnienia związane z zapewnianiem zgodności lub zarządzaniem ryzykiem.
  • Powołanie i odwołanie osoby kierującej komórką do spraw zgodności powinno odbywać się za zgodą rady nadzorczej po uprzednim wysłuchaniu tej osoby przez radę nadzorczą.
  • Wynagrodzeń pracowników zatrudnionych komórce do spraw zgodności powinno zapewniać niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiać zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach.
  • W podmiocie powinny istnieć mechanizmy chroniące pracowników komórki do spraw zgodności przed nieuzasadnionym wypowiedzeniem umowy o pracę.
  • Komórka do spraw zgodności nie powinna być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w podmiocie zbiorowym. Pracownicy tej komórki nie powinni wykonywać innych obowiązków niż wynikające z zadań tej komórki.
  • Pracownicy komórki do spraw zgodności muszą posiadać kwalifikacje, doświadczenie i umiejętności w zakresie zarządzania ryzykiem braku zgodności występującym w działalności podmiotu oraz muszą mieć dostęp do wszelkich niezbędnych informacji.
  • Zarząd jest odpowiedzialny za zapewnienie środków finansowych niezbędnych do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników komórki do spraw zgodności.

Procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych.
Procedury anonimowego zgłaszania naruszeń powinny wyglądać następująco:
  • Podmiot zbiorowy powinien opracować i wdrożyć procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych. Przez obowiązujące procedury rozumie się wszelkie akty wewnętrzne, w tym regulaminy, instrukcje, systemy i rozwiązania przyjęte w danym podmiocie.
  • Podmiot zbiorowy powinien zapewnić możliwość zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji.
  • Procedury anonimowego zgłaszania przez pracowników naruszeń powinny określać co najmniej:
  1. sposób odbierania zgłoszeń w sprawie naruszeń, zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez pracownika dokonującego zgłoszenia;
  2. sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
  3. sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
  4. zasady zapewniające zachowanie poufności pracownikowi dokonującemu zgłoszenia, w przypadku gdy pracownik ten ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia;
  5. wskazanie osób odpowiedzialnych za odbieranie zgłoszeń naruszeń, z uwzględnieniem, że w przypadku gdy zgłoszenie dotyczy członka zarządu, powinno być ono przyjęte przez radę nadzorczą;
  6. sposób przekazywania członkowi zarządu, radzie nadzorczej oraz wyznaczonym pracownikom lub jednostkom organizacyjnym i informacji związanych ze zgłoszeniem naruszenia, niezbędnych do prawidłowej weryfikacji tego zgłoszenia, z uwzględnieniem ograniczenia zakresu przekazywanych informacji odpowiednio do celów realizowanych przez procedurę oraz treści zgłoszenia naruszenia;
  7. rodzaj i charakter działań następczych podejmowanych na skutek:  a)  odebrania zgłoszenia naruszenia,  b)  weryfikacji zgłoszenia naruszenia - oraz sposób koordynacji tych działań; 8)  termin usunięcia przez podmiot danych osobowych zawartych w zgłoszeniach naruszeń;
  • Zarząd powinien ustalić wewnętrzny podział kompetencji wskazujący członka zarządu, do którego są zgłaszane naruszenia oraz odpowiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń.
  • Członek zarządu, o którym mowa powyżej lub rada nadzorcza, po otrzymaniu zgłoszenia, wyznacza pracowników, jednostki organizacyjne lub komórki organizacyjne odpowiedzialne za podejmowanie i koordynowanie weryfikacji zgłoszenia naruszenia oraz podejmowanie działań następczych.
  • Zarząd jest odpowiedzialny za adekwatność i skuteczność procedur anonimowego zgłaszania przez pracowników naruszeń.
  • W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia i oddalenia podejrzeń w nim zawartych członek zarządu albo rada nadzorcza, gdy zgłoszenie dotyczy członka zarządu, niezwłocznie powiadamiają osobę, której zarzucono dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, z zastrzeżeniem zachowania poufności.
  • Rada nadzorcza powinna, w zależności od potrzeb, nie rzadziej jednak niż raz w roku, oceniać adekwatność i skuteczność procedury anonimowego zgłaszania przez pracowników naruszeń.
  • Podmiot powinien przeprowadzać wstępne i regularne szkolenia pracowników w zakresie zgłaszania naruszeń, w szczególności obowiązujących w tym zakresie procedur.
Czy każdy system Compliance powinien tak wyglądać i czy to wszystko?
Odpowiedź brzmi: NIE i NIE

System Compliance powinien być dostosowany do danego podmiotu i jego specyfiki.
Compliance to tylko cześć układanki. Trzeba jeszcze pamiętać np.. o: audycie, w tym audycie śledczym, nadzorze wewnętrznym, antyfraudzie, zarządzaniu ryzykiem, ładzie korporacyjnym.

poniedziałek, 7 stycznia 2019

Czy członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance?

W wersji projektu ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary z dnia 5 grudnia 2018 r. pojawiła się propozycja wprowadzenia odpowiedzialności karnej członków Rad Nadzorczych, jeżeli w wyniku niedopełnienia obowiązków, choćby nieumyślnie stworzyli warunki do popełnienia przestępstwa z art. 296 kk § 1-4. 
W następnej wersji projektu ww. zapis zniknął równie nagle jak się pojawił. 
Pojawiły się głosy, że Radom Nadzorczym nic nie grozi. 
W niniejszym artykule postaram się w związku z powyższym odpowiedzieć na pytanie: Czy członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance?

Zacznijmy od początku. Do czego zobowiązany jest, w skrócie, Zarząd, a do czego zobowiązana jest Rada Nadzorcza?

Zarząd zobowiązany jest do prowadzenia spraw Spółki i jej reprezentacji.

Rada Nadzorcza zobowiązana jest do stałego nadzoru nad działalnością spółki we wszystkich dziedzinach jej działalności. Często też Rady Nadzorcze powołują, odwołują lub zawieszają członków Zarządu, udzielają tzw. zgód korporacyjnych itp.

Nowy projekt ustawy o odpowiedzialności podmiotów zbiorowych nakłada na Spółki m.in. obowiązek posiadania skutecznych systemów Compliance. Projekt ten, przewiduje też m.in. sankcje do 60 mln zł.

Pojawia się więc pytanie:
"Czy za brak wdrożenia i utrzymywania skutecznego systemu Compliance członkom Zarządu lub Rady Nadzorczej będzie grozić odpowiedzialność karna?"
Art. 296 Kodeksu Karnego mówi, że popełnia czyn zabroniony osoba, która:
  1. jest obowiązana na podstawie ustawy, decyzji właściwego organu lub umowy do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej,
  2. przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku,
  3. wyrządza jej znaczną szkodę majątkową lub sprowadza bezpośrednie niebezpieczeństwo wyrządzenia znacznej szkody majątkowej,
  4. za wyrządzenie znacznej szkody majątkowej odpowiada też osoba działająca nieumyślnie. Ale nie ma już w kodeksie karnym odpowiedzialności za nieumyślne sprowadzenie bezpośredniego niebezpieczeństwa wyrządzenia znacznej szkody majątkowej.
ad 1) Kluczowe znaczenie ma wykładnia "zajmowanie się sprawami majątkowymi" lub "zajmowanie się działalnością gospodarczą". Osoba "zajmująca się", wykonuje czynności władcze. Musi mieć samodzielność decyzyjną. Choć nie muszą to być decyzje jednoosobowe. Musi taka osoba posiadać uprawnienia decyzyjne w obrębie danej organizacji. Eliminuje to z kręgu osób, które mogą popełnić te przestępstwo np. pracowników, którym powierzono funkcję oficera Compliance, a którzy nie są równocześnie członkiem Zarządu. Wykonują bowiem oni tylko polecenia lub pełnią funkcję doradczą. Niewątpliwie "zajmowanie się" oznacza m.in. prowadzenie spraw Spółki - czyli przez osoby "zajmujące się" należy rozumieć członków Zarządów. W mojej ocenie wykonywanie czynności stałego nadzoru, powoływanie, odwoływanie lub zawieszanie członków Zarządu, udzielają tzw. zgód korporacyjnych itp. przez Rady Nadzorcze oznacza "zajmowanie się". Czyli przez osoby "zajmujące się" należy rozumieć również członków Rady Nadzorczej.

ad 2) Jeżeli członek Zarządu lub Rady Nadzorczej nadużywa uprawnienia lub nie dopełnia ciążących na nim obowiązków, to spełnia tą przesłankę. Przypominam, że Zarząd ma obowiązek wdrożyć i utrzymywać system Compliance, a Rada Nadzorcza sprawuje nad tym nadzór.

ad 3) Znaczna szkoda majątkowa - ponad 200 tysięcy złotych. Natomiast sprowadzenie bezpośredniego niebezpieczeństwa oznacza, że w wyniku działania lub zaniechania zaistniało wysokie prawdopodobieństwo zaistnienia konkretnej szkody. Niewątpliwie, jeżeli w wyniku działań lub zaniechań członków Zarządu lub Rady Nadzorczej Spółka poniesie odpowiedzialność na podstawie nowej ustawy o odpowiedzialności podmiotów zbiorowych to szkoda może przekroczyć 200 tysięcy zło.

ad 4) Czyn zabroniony popełniony jest nieumyślnie, jeżeli sprawca nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć.

Reasumując, jeżeli:
  1. członkowie Zarządu i Rady Nadzorczej mimo ciążącego nad nimi obowiązku nie wdrożą i nie będą utrzymywać skutecznego systemy Compliance,
  2. w wyniku powyższego Spółka poniesie znaczną szkodę wartości np. zapłaci karę 30 mln zł. na podstawie nowej ustawy o odpowiedzialności podmiotów zbiorowych,
to członkom Zarządu lub Rady Nadzorczej będzie grozić odpowiedzialność karna za brak skutecznego systemu Compliance.

Nadmienię tylko, że odpowiedzialność dyscyplinarna i cywilna członków Zarządów i Rad Nadzorczych to już osobna kwestia :-)

Na zakończenie, słyszałem już mity, że powołanie osoby odpowiedzialnej za system Compliance zwalnia Zarząd lub Radę Nadzorczą z odpowiedzialności. Nie zwalnia. Wdrożenie i utrzymanie systemy Compliance to obowiązek Zarządu. Nadzór nad tym to obowiązek Rady Nadzorczej. 
Powołanie odpowiedniej osoby odpowiedzialnej za system Compliance jest tylko JEDNYM z kilku elementów wykonywania tego obowiązku przez Zarząd i Radę Nadzorczą. Przy czym oficer Compliance, co do zasady, wykonuje tylko polecenia Zarządu lub Rady Nadzorczej i doradza.

Tak więc:
Członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance

środa, 2 stycznia 2019

Kolejna wersja projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych

No i mamy kolejną wersję projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych. Zniknął artykuł, który do kodeksu karnego wprowadzał odpowiedzialność karną członków Rad Nadzorczych. Czy to dobra zmiana?

TU macie link do mojej publikacji na ten temat na LI i projektu ustawy w pdf.

TU macie link do posta o szkoleniu, które będę współprowadził m.in. na temat przedmiotowej ustawy w dniu 5 lutego br. Oczywiście serdecznie zapraszam :-)