Bezpieczeństwo w firmie. Co to jest Compliance , po co komu prawnik i procedury ? Co warto wiedzieć - krótki film

Dziś polecam obejrzenie krótkiego wywiadu on-line ze mną: "Bezpieczeństwo w firmie. Co to jest Compliance, po co komu prawnik i procedury? Co warto wiedzieć" - LINK do filmu

Można mnie posłuchać i pooglądać przez 18 minut :-)

Jeżeli chcesz mnie poczytać to zapraszam na INFOR lub na Linkedin

Ps. w następnym tygodniu obiecuję tradycyjny post

Compliance przypomina parasol

Zawsze noszę ze sobą parasol (chyba że jadę na rowerze, wtedy mam przy sobie wielkie przeciwdeszczowe ponczo). Przez ostatnie 11 lat był to duży, czarny parasol firmy Zest. Druty z kompozytu wyginają się ale nie łamią. Rdzeń ze stali nie jedno wytrzymał. Wcześniej niszczyłem parę parasoli co roku. Ten dał radę przez 11 lat. Od paru miesięcy zastępuje go nowy model parasola. Też firmy Zest.

Ludzie widząc mnie z parasolem, zwłaszcza w słoneczne dni pytali czemu go codziennie noszę.

Czasami jeszcze niektórzy mnie o to pytają.

Od paru lat odpowiadam "Ten typ tak ma".

Dziś zdradzę ten sekret. Codziennie noszę ten parasol bo:

1) chroni przed deszczem jak pada,

2) pozwala zachować się jak gentleman i np. gdy pada i trzeba zaprowadzić córkę bezpiecznie i sucho na zajęcia,

3) służy jako laska, gdy jestem zmęczony,

4) służy jako broń,

5) wyróżnia mnie i jest kolejnym elementem po którym ludzie mnie kojarzą,

6) jest dostosowany do mnie i moich potrzeb,
7) weszło to mi w nawyk, a nawyk to druga natura człowieka.

System Compliance powinien przypominać taki parasol. Ponieważ:

1) Compliance powinien chronić przed naruszeniami prawa i norm, a więc przed kłopotami,

2) Compliance powinien pomagać zachowywać się etycznie i chronić ludzi w organizacji, przed, w trakcie i po kryzysie,

3) Compliance powinien służyć jako wsparcie dla zarządzania,

4) Compliance powinien służyć jako broń przeciwko nieuczciwym,

5) Compliance wyróżnia uczciwe podmioty,

6) Compliance powinien być dostosowany do organizacji i jej potrzeb,
7) bycie Compliance powinno stać się częścią DNA organizacji, czyli na stałe wpisać się w jej Kulturę.

Czemu więc większość ludzi nie nosi codziennie parasolów  lub nosi małe niby parasoleczki, które szybko łamie wiatr? A potem moknie.

Czemu większość firm nie ma Compliance lub niby go ma, a nie ma lub nie działa on dobrze?
A potem ma problemy.

Bo tak niby łatwiej, taniej i wygodniej.

Bo Compliance to inwestycja i wzrost Kultury organizacji. Ale Compliance wymaga konsekwencji, pewnego wysiłku i zmiany przyzwyczajeń.

A ludzie traktują Compliance jak koszt i dodatkowe obowiązki i utrudnienia. Bo po co codziennie nosić ten parasol i o nim pamiętać,

Bo nagle oficer Compliance mówi, że nie wolno przyjmować lub dawać drogich prezentów - bo łapówka.

Bo oficer Compliance pilnuje by wszyscy przestrzegali zasad i procedur. A kto złamie, powinien być sprawiedliwie ukarany. Bez względu np. czyim jest znajomym lub jakie zajmuje stanowisko.

Bo oficer Compliance ...... zmienia zwyczaje organizacji. A zmiana zawsze ma wrogów.

Niech moc Compliance będzie z wami

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 25

Ostatnie 3 miesiące wszyscy pisali o Koronawirusie oraz tzw.  Tarczach (teraz szykują już czwartą tzw. Tarczę).

Przy okazji wprowadzano zmiany w innych ustawach (np. KSH co opisałem ostatnio - LINK)
Osobiście czekam na falę pozwów związanych z zamknięciem gospodarki przez Rząd. Myślę, że w wielu sytuacjach na podstawie Kodeksu cywilnego, przedsiębiorcy będą mogli żądać odszkodowania za szkody powstałe w czasie epidemii od Skarbu Państwa lub innego podmiotu wykonującego władzę publiczną. 

W dniu 10 maja br. miały być wybory. Ale zostały przełożone przez Jarków bez żadnego trybu. Kilkadziesiąt milionów wydane na karty do głosowania, wydrukowanych bez podstawy prawnej zostały wyrzucone w błoto. I nikt nie poniósł kary. To pokazuje upadek praworządności i zasad w Polsce.

Człowiek przyzwyczaja się do wszystkiego. Z jednej strony to dobrze. Bo to pozwala nam przetrwać. Z drugiej to źle. Bo coraz mniej nas, jako Społeczeństwo oburza łamanie praworządności, hejt, chamstwo czy kłamstwa. Coraz mniej szanujemy i wierzymy władzy, organom i procedurom. 

Nie bądźmy obojętni i nie powtarzajmy błędów z przeszłości.

No ale to post z serii Ciekawostki z prawa.

CBA opublikowało Sprawozdanie z realizacji Rządowego Programu Przeciwdziałania Korupcji na lata 2018–2020 za pierwsze półrocze 2019 roku oraz raport Obszary przestępczości korupcyjnej w Polsce w latach 2018–2019.

EY Polska rozpoczął projekt "Jak być zawsze o krok przed oszustami, jeśli oni znają najlepsze skróty?". Na swojej stronie (LINK) opisują schematy działania oszustów. Polecam lekturę.

Podobno znowu trwają pracę nad nowelizacją KSH, podobno mają być zwiększone kompetencje Rad Nadzorczych oraz poprawione regulacje związane z funkcjonowaniem grup kapitałowych. Pożyjemy zobaczymy.

Ostatnio pisałem trochę o RODO (w tym o drugich urodzinach RODO) i Compliance.

Materiały o Compliance znajdziecie TU i TU

A materiały o RODO znajdziecie TU

Cały czas wszyscy czekamy na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa. Czas mamy do grudnia 2021 r. Oby nie było tak jak z RODO. Na ostatnią chwilę i niekompletnie.

Przy okazji przypominam, że od 1 stycznia 2021 roku wchodzi w życie nowe Prawo Zamówień Publicznych.

I tyle w telegraficznym skrócie. Po prostu za dużo się dzieje

Skąd legalnie i za darmo czerpać podstawową wiedzę o kontrahencie?

Każdy przedsiębiorca zadaje sobie lub powinien zadawać sobie pytanie:

"Skąd mogę legalnie i za darmo czerpać wiedzę o moim kontrahencie?"

Jeżeli nasz kontrahent prowadzi działalność na podstawie wpisu do CEIDG możemy go sprawdzić TU. Przypominam na marginesie, że od ponad roku dane osobowe w CEIDG nie są wyłączone z reżimu ochrony danych osobowych. Więc sprawdzać można ale z głową bo RODO ;-)

Jeżeli nasz kontrahent jest wpisany w KRS to po pierwsze polecam sprawdzić wpisy w KRS TU. Odpis aktualny da nam podstawową wiedzę co i jak. Odpis pełny pozwoli spojrzeć w przeszłość. Poza tym warto zajrzeć też do Rejestru Dłużników niewypłacalnych.

Oczywiście istnieje ryzyko, że wpis będzie nie aktualny lub będziemy musieli pogrzebać głębiej. Wtedy trzeba zamówić akta danego podmiotu, np. spółki SA we właściwym KRS i pofatygować się do czytelni akt.

Po drugie możemy TU sprawdzić czy zostało złożone sprawozdanie finansowe. Niestety odkąd wprowadzono format xml jest to trochę utrudnione ale i tak można się paru rzeczy dowiedzieć. Chciałbym zwrócić uwagę, że nie złożenie przez podmiot sprawozdania finansowego powinien być dla nas sygnałem ostrzegającym. 

Oczywiście sprawozdania finansowe i sprawozdania z działalności trzeba umieć czytać i analizować. Jeżeli nie potrafisz to skorzystaj z pomocy specjalisty. 

Jeżeli nasz kontrahent jest płatnikiem VAT to warto go sprawdzić TU. Przy okazji sprawdzimy na jaki rachunek powinniśmy zapłacić by uniknąć problemów. Szkoda tylko że nie podają rachunku VAT.

Oczywiście poza tym mamy do pomocy wujka GOOGLE. Oczywiście jeżeli jakiegoś podmiotu nie ma w internecie to nie oznacza, że w rzeczywistości też go nie ma. Z drugiej strony czasami podmiot jest w internecie a w rzeczywistości go nie ma. Google bywa prawdziwą kopalnią informacji. Oczywiście trzeba do nich podchodzić z głową.

Oprócz wyszukiwarki mamy też GOOGLE MAPS. Warto np. czasami sobie popatrzeć czy te hale naprawdę istnieją.

Jeżeli już mowa o nieruchomościach.

Polecam sprawdzanie za damo ksiąg wieczystych - TU.

I map geodezyjnych - TU lub TU. 

Jeżeli kontrahent prowadzi stronę firmową lub bloga, to warto go przejrzeć i poczytać.

Oczywiście niniejszy post nie wymienia wszystkich możliwości i źródeł pozyskiwania legalnie i za darmo informacji o kontrahencie. Nie wspomniałem choćby o Monitorze Sądowym i Gospodarczym.

W niniejszym poście wskazuję tylko podstawowe źródła informacji. Znalezienie informacji o kontrahencie to tylko pierwszy krok. Informacje trzeba jeszcze m.in. zweryfikować, przeanalizować i wyciągnąć wnioski. No ale to już inna historia.

Już na zakończenie, chciałbym tylko podkreślić, że sprawdzając kontrahenta, pamiętajmy żeby zachować równowagę. Brak zaufania nie pozwoli nam prowadzić biznesu. Zbyt duże zaufanie może nas drogo kosztować.

A teraz mała prywata ;-)

Dobrym wyjściem jest konsultowanie każdej umowy lub transakcji z prawnikiem. Dziś już nie jest to drogie i są możliwe różne sposoby rozliczeń, a wcześniejsza konsultacja z prawnikiem pozwala uniknąć czasami dużych problemów.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 13

W 2010 r. została opublikowana ustawa o publicznym transporcie zbiorowym. Odpowiadałem wtedy od strony formalno-prawnej za Grupę Kapitałową w skład której wchodziły m.in. 3 PKS`y. Byliśmy pełni nadziei, że w końcu skończy się dzika konkurencja na drogach i rynek publicznego transportu zbiorowego zostanie ucywilizowany i uporządkowany. W końcu widzieliśmy szansę na przeżycie i rozwój PKS`ów.

Niestety ustawodawca zdecydował, że ustawa wejdzie w pełni w życie w 1 stycznia 2017 r. 

Dlaczego niestety? Bo oznaczało to zagładę wielu PKS`ów i likwidację tysięcy połączeń.

 

Pamiętam jak w 2015 r. otwierałem Kancelarię. Pełny nadziei, że ustawa lada moment wejdzie w życie i moja unikalna wiedza, jak udzielać zamówień na podstawie ustawy o publicznym transporcie zbiorowym przyniesie mi olbrzymie zyski. Zmontowałem zespół itd., zacząłem startować w przetargach, zaczęły wpływać zaproszenia do składania ofert i ..................................

W ostatniej chwili Ustawodawca przełożył termin pełnego wejścia w życie ustawy o rok, a później jeszcze o rok i jeszcze o rok ......

Cały pomysł na biznes okazał się nieaktualny. Ja sobie poradziłem. Gorzej, że zaczęły upadać kolejne PKS`y a duzi przewoźnicy typy Mobilis, Arriva zaczęli się wycofywać z tego rynku. Można powiedzieć, że w Polsce publiczny transport zbiorowy (poza miejskim i między dużymi miastami) dotknęła apokalipsa.

Rok przed wyborami rząd, który dorżnął publiczny transport zbiorowy (poprzez odroczenie wejścia w życie ustawy) ogłosił, że reaktywuje PKS`y na wsi. O projekcie ustawy pisałem parokrotnie (np. TU i TU).

W dniu 7 maja 2019 r. projekt ustawy o funduszu rozwoju przewozów autobusowych trafił do Sejmu i został skierowany do pierwszego czytania (TU masz link do druku sejmowego).

Ku mojemu zdziwieniu projekt uległ w trakcie prac legislacyjnych w rządzie dużym zmianom. Ale według mnie nie uratuje publicznego transportu zbiorowego w Polsce. Do tego potrzebna jest mądra zmiana ustawy o publicznym transporcie zbiorowym i jej pełne wejście w życie. A na razie nie widzę na to szans. Obym się mylił.

No ale przejdźmy do czegoś co tygryski lubią najbardziej, czyli Compliance i RODO.

Polskie Stowarzyszenie Prawników Przedsiębiorstw oraz kancelaria WKB Wierciński, Kwieciński, Baehr opublikowali raport "WEWNĘTRZNY DZIAŁ PRAWNY A COMPLIANCE - RAZEM CZY OSOBNO?". Oto LINK do raportu. Polecam lekturę. 

Dwie ważne myśli

1. oficer compliance musi mieć odpowiednio wysoka pozycję w podmiocie (najczęściej jest na stanowisku Dyrektora),
2. Compliance musi mieć zapewniony odpowiedni budżet,

inaczej grozi to, że system Compliance zostanie uznany np. przez pracowników, za pozorny.

Najwyższa Izba Kontroli opublikowała informację o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego (LINK). Cytuję:

"Dane gromadzone i przetwarzane w bazach i systemach komputerowych urzędów gmin i miast, a także w starostwach są słabo chronione. Niestety urzędnicy nie przywiązują dostatecznej wagi do tego aby zapewnić ich bezpieczeństwo. Najwyższa Izba Kontroli podkreśla, że pomimo upływu kilku lat w urzędach nie nastąpiła poprawa w tym obszarze. Rodzi to uzasadnione obawy o bezpieczeństwo danych obywateli, zwłaszcza, że coraz więcej spraw załatwianych jest drogą elektroniczną, a administracja publiczna gromadzi i przetwarza coraz więcej danych w postaci elektronicznej.".

Dla samorządów mam na początek dwie rady: 

1. zlecenie audytów powdrożeniowych Systemów Zarządzania Bezpieczeństwem Danych Osobowych,
2. szkolenie pracowników.

Jakby ktoś z czytelników chciał skorzystać z moich usług w zakresie np. ochrony danych osobowych lub RODO to zapraszam do kontaktu :-)

System Compliance dla micro i małych przedsiębiorców - według projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych

Napisałem artykuł System Zgodności (Compliance) - na przykładzie systemów zgodności w Bankach, który może służyć jako podpowiedź dla średnich i dużych przedsiębiorstw jak powinien u nich wyglądać system Compliance. Na wszelki jednak wypadek powtórzę, że:

1. System Compliance powinien być dostosowany do danego podmiotu i jego specyfiki
2. System Compliance to tylko cześć układanki

A co projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary wymaga od micro i małych przedsiębiorców?

Micro przedsiębiorca będzie zobowiązany:

1. dochować co najmniej należytej staranności w wyborze członka organu lub osoby uprawnionej do działania oraz w nadzorze nad tymi osobami,
2. tak zorganizować działalność by sposób organizacji zapobiegał popełnieniu czynu zabronionego,
3. podejmować działania w przypadku sygnalizowania nieprawidłowości przez sygnalistów, w tym przeprowadzić postępowanie wyjaśniające i usunąć ewentualnie stwierdzone w ramach tego postępowania nieprawidłowości lub naruszenia, które ułatwiły lub umożliwiły popełnienie czynu zabronionego

Mały przedsiębiorca ponadto będzie zobowiązany do:

1. określenia zasad postępowania w przypadku zagrożenia popełnienia czynu zabronionego lub wystąpienia skutków niezachowania reguł ostrożności,
2. określenia zakresu odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie

Oczywiście dla oceny nieprawidłowości, oceny systemu Compliance oraz oceny należytej staranności wymaganej w danych okolicznościach w organizacji działalności danego podmiotu oraz w nadzorze nad tą działalnością bierze się pod uwagę między innymi rozmiar i przedmiot działalności podmiotu zbiorowego.

Na zakończenie chciałbym ostrzec przedsiębiorców przed kupowaniem gotowej dokumentacji po uchwaleniu przedmiotowej ustawy. To będą najprawdopodobniej pieniądze wyrzucone w błoto i sam zakup dokumentacji da tylko złudzenie bezpieczeństwa.

Czy radca prawny może jednocześnie pełnić funkcję oficera Compliance?

W większości podmiotów funkcja radcy prawnego jest oddzielona od funkcji oficera Compliance. Zdarza się jednak, że radca prawny jest jednocześnie oficerem Compliance. Czy tak powinno być?

Należy rozważyć czy wykonywanie zadań oficera Compliance może być uznane za świadczenie pomocy prawnej?

Pomoc prawna polega w szczególności na udzielaniu porad i konsultacji prawnych, sporządzaniu opinii prawnych, opracowywaniu projektów aktów prawnych oraz występowaniu przed urzędami i sądami w charakterze pełnomocnika lub obrońcy.

Zadania oficera Compliance polegają w szczególności na zarządzaniu ryzykami braku zgodności. Zarządzanie ryzykami braku zgodności polega m.in. na doradztwie, edukacji, nadzorze oraz koordynacji.

W mojej więc ocenie zadania oficera Compliance, chociaż mają wspólne obszary ze świadczeniem pomocy prawnej, nie stanowią sensu stricto pomocy prawnej. Choć mogą być uznane za pomoc prawną sensu largo. Dlaczego to jest ważne? Zgodnie z ustawą o radcach prawnych, radcy prawnemu, zatrudnionemu na podstawie umowy o pracę, nie można polecać wykonania czynności wykraczającej poza zakres pomocy prawnej. Oczywiście zakres zadań oficera Compliance może się różnić w różnych podmiotach i każdą sytuację należy oceniać indywidualnie.

Radca prawny powinien być niezależny. Jeżeli oficerowi Compliance również zostanie zagwarantowana niezależność i podległość najwyższemu kierownictwu danego podmiotu, zakaz wydawania mu instrukcji oraz zakaz zwolnienia z powodu wykonywania przez niego obowiązków oficera Compliance kwestia ta nie będzie stanowić przeszkody do łączenia tych dwóch funkcji.

Niestety, przy łączeniu stanowiska radcy prawnego i oficera Compliance istnieje potencjalne ryzyko konfliktu interesów w szczególności związane z potencjalnym naruszeniem zasad etyki zawodowej, w tym naruszenia tajemnicy zawodowej. Dlatego radca prawny, któremu powierzono jednocześnie funkcję oficera Compliance powinien odpowiednio wcześniej identyfikować te ryzyka i im zapobiegać.

W mojej ocenie, radcy prawni po uzyskaniu dodatkowych kwalifikacji mogą podejmować się pełnienia funkcji oficera Compliance. Z uwagi jednak na ryzyka związane z potencjalnym konfliktem interesów, w szczególności związane z potencjalnym naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz oficera Compliance sugeruję nie łączenia tych funkcji w ramach jednego podmiotu.

Czyli jak to często bywa, odpowiedź brzmi: Radca prawny, może jednocześnie pełnić funkcję oficera Compliance ale .................. :-)

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 9

Jak byłem mały (czyli jakoś w poprzednim tysiącleciu) mawiałem: "Nauka to do potęgi klucz, a kto ma dużo kluczy ten jest ...... woźnym" haha. Dobra żarty na bok.

Ostatnio dużo się dzieje w prawie i chyba czas reaktywować cykl "Ciekawostki z prawa handlowego i nie tylko".

A skoro o prawie handlowym, to na Stałym Komitecie Rady Ministrów pracują nad sporą nowelizacją Kodeksu Spółek Handlowych. Tu masz LINK do projektu. Tylko 339 stron :-) Oj będzie wesoło :-)

Na stronie RCL pojawił się projekt nowej ustawy Prawo Zamówień Publicznych, Tu masz LINK do projektu. Szykuje się mała rewolucja, a może nie taka mała.

Cały czas trwają prace na projektem nowelizacji ustawy o publicznym transporcie zbiorowym (tu masz LINK). A ja mam tylko pytanie, kiedy w końcu ta ustawa wejdzie w życie. Kiedy zamiast pojawiać się, zaczną znikać białe plamy (miejsca gdzie publicznego transportu zbiorowego brak).

Trwają cały czas prace nad ustawą w celu wdrożenia RODO w Polsce. Blisko 168 ustaw ma być zmienionych. Wiele luk, sprzeczności i wątpliwości może się rozstrzygnie.
W między czasie PUODO zaczęło toczyć spór kompetencyjny z Ministerstwem Cyfryzacji, który wkracza w kompetencje PUODO (LINK)

PUODO ogłosiło plan kontroli sektorowych na 2019 r. (LINK) w takich obszarach jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym itd.

W Sejmie rozpoczęły się też prace nad nową ustawą o odpowiedzialności zbiorowych.
Wraz z wejściem ww. ustawy w życie przedsiębiorców czeka spora rewolucja.

I tyle w telegraficznym skrócie.
Do usłyszenia, a raczej przeczytania

System Zgodności (Compliance) - na przykładzie systemów zgodności w Bankach

Kiedy na gruncie projektu ustawy o odpowiedzialności podmiotów zbiorowych dyskutuje się o wzorcach systemów zgodności, najczęściej wymienia się:

1. normę ISO 37001 Anti-Bribery Management Systems, która stanowi globalny standard kształtowania systemów przeciwdziałania korupcji,
2. normę ISO 19600 Compliance Management Systems,
3. Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A.

Często zapomina się o tym, że mamy przepisy dotyczące zarządzania ryzykiem braku zgodności, trybu anonimowego zgłaszania naruszeń prawa oraz obowiązujących w bankach procedur i standardów etycznych. A dokładniej piszę o Rozporządzeniu Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach z dnia 6 marca 2017 r. (Dz.U. z 2017 r. poz. 637).

Oczywiście stosowanie ww. rozporządzenie dotyczy tylko Banków ale myślę, że przez analogię może być zastosowane w projektowaniu, wdrażaniu i utrzymywaniu systemów zgodności również w innych podmiotach. W niniejszym artykule omówię jak powinien wyglądać system zarządzania zgodnością zbudowany na podstawie wzorca bankowego :-)

System zarządzania ryzykiem braku zgodności, procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedury i standardy etyczne funkcjonują na podstawie strategii zarządzania, strategii zarządzania ryzykiem, polityk, procedur i planów.

Każda organizacja powinna mieć spisaną strategię zarządzania, strategię zarządzania ryzykiem, polityki, procedury i plany. Oczywiście te dokumenty mogą nosić różne nazwy. Wszystko zależy od kultury organizacji. Powinny jednak być i funkcjonować. Same sporządzenie dokumentacji bez jej wdrożenia nie wystarczy.

System zarządzania zgodnością jest zorganizowany na trzech niezależnych poziomach

System zarządzania zgodnością powinien być zorganizowany w tzw. trzy linie obronne.

1. pierwszy poziom składa się zarządzanie ryzykiem w działalności operacyjnej,
2. drugi poziom składa się z działalności komórki do spraw zgodności.
3. trzeci poziom składa się działalność komórki audytu wewnętrznego

Zarząd odpowiada za system zarządzania zgodnością

Zarząd projektuje, wprowadza oraz zapewnia działanie systemu zarządzania ryzykiem, dokonuje przeglądów strategii i procedur oraz procedur anonimowego zgłaszania naruszeń prawa oraz obowiązujących procedur i standardów etycznych w szczególności przez:

1. zapewnienie struktury organizacyjnej dostosowanej do wielkości i profilu ponoszonego ryzyka i umożliwiającej skuteczne wykonywanie zadań;
2. opracowanie, przyjęcie i powiązanie strategii zarządzania podmiotem zbiorowym z systemem zarządzania ryzykiem i systemem kontroli wewnętrznej;
3. opracowanie, przyjęcie i wdrożenie strategii i polityk oraz zapewnienie wdrożenia systemu, zgodnie z przyjętymi zasadami legislacji wewnętrznej, oraz monitorowanie ich przestrzegania;
4. ustanowienie odpowiednich zasad raportowania, w tym zasad raportowania zarządu do rady nadzorczej;
5. zapewnienie przejrzystości działań podmiotu zbiorowego oraz przyjęcie i wprowadzenie zasad polityki informacyjnej;
6. wprowadzanie niezbędnych korekt i udoskonaleń systemu zarządzania w przypadku zmiany wielkości i profilu ryzyka w działalności podmiotu oraz czynników otoczenia gospodarczego lub wykrycia nieprawidłowości w funkcjonowaniu systemu zarządzania.

W ramach zapewniania przez system przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych:

1. zarząd odpowiada za efektywne zarządzanie ryzykiem braku zgodności, rozumianym jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych;
2. zarząd odpowiada za opracowanie polityki zgodności, zapewnienie jej przestrzegania i składanie radzie nadzorczej raportów (nie rzadziej niż raz do roku) w sprawie zarządzania ryzykiem braku zgodności;
3. polityka zgodności zawiera podstawowe zasady zapewniania zgodności działania podmiotu zbiorowego z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi przez wszystkich pracowników podmiotu, w tym podstawowe zasady zapewniania zgodności na wszystkich liniach obronnych, oraz wyjaśnia główne elementy procesu zarządzania ryzykiem braku zgodności;
4. w przypadku wykrycia nieprawidłowości w stosowaniu polityki zgodności zarząd podejmuje odpowiednie działania w celu usunięcia tych nieprawidłowości, w tym środki naprawcze lub dyscyplinujące.

Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem oraz ocenia adekwatność i skuteczność tego systemu

Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem oraz ocenia (co najmniej raz w roku) adekwatność i skuteczność tego systemu.

Co należy do obowiązków komórki Compliance?

Do obowiązków komórki do spraw zgodności należy:

1. opracowanie regulaminu funkcjonowania komórki do spraw zgodności, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki do spraw zgodności;
2. identyfikowanie ryzyka braku zgodności, w szczególności przez analizę przepisów prawa, regulacji wewnętrznych , standardów rynkowych oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórkę do spraw zgodności;
3. ocena ryzyka braku zgodności przez pomiar lub szacowanie tego ryzyka;
4. projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności;
5. monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności;
6. okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do zarządu i rady nadzorczej,
7. wykonywanie ww. czynności na podstawie regulaminu funkcjonowania komórki do spraw zgodności oraz procedur i metodyk;
8. dokumentowanie ww. czynności.

Niezależność komórki Compliance, komunikacja itp.

Tak w punktach :-) :

• W podmiocie zbiorowym powinny funkcjonować mechanizmy zapewniające niezależność komórki audytu wewnętrznego oraz komórki do spraw zgodności.
• Regulamin funkcjonowania komórki do spraw zgodności powinien być zatwierdzony przez Zarząd i rada nadzorczą.
• Osoba komórką do spraw zgodności powinna mieć zapewniony bezpośredni kontakt z członkami zarządu i rady nadzorczej.
• Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach zarządu.
• Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach rady nadzorczej, w przypadku gdy przedmiotem posiedzenia są zagadnienia związane z zapewnianiem zgodności lub zarządzaniem ryzykiem.
• Powołanie i odwołanie osoby kierującej komórką do spraw zgodności powinno odbywać się za zgodą rady nadzorczej po uprzednim wysłuchaniu tej osoby przez radę nadzorczą.
• Wynagrodzeń pracowników zatrudnionych komórce do spraw zgodności powinno zapewniać niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiać zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach.
• W podmiocie powinny istnieć mechanizmy chroniące pracowników komórki do spraw zgodności przed nieuzasadnionym wypowiedzeniem umowy o pracę.
• Komórka do spraw zgodności nie powinna być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w podmiocie zbiorowym. Pracownicy tej komórki nie powinni wykonywać innych obowiązków niż wynikające z zadań tej komórki.
• Pracownicy komórki do spraw zgodności muszą posiadać kwalifikacje, doświadczenie i umiejętności w zakresie zarządzania ryzykiem braku zgodności występującym w działalności podmiotu oraz muszą mieć dostęp do wszelkich niezbędnych informacji.
• Zarząd jest odpowiedzialny za zapewnienie środków finansowych niezbędnych do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników komórki do spraw zgodności.

Procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych.

Procedury anonimowego zgłaszania naruszeń powinny wyglądać następująco:

• Podmiot zbiorowy powinien opracować i wdrożyć procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych. Przez obowiązujące procedury rozumie się wszelkie akty wewnętrzne, w tym regulaminy, instrukcje, systemy i rozwiązania przyjęte w danym podmiocie.
• Podmiot zbiorowy powinien zapewnić możliwość zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji.
• Procedury anonimowego zgłaszania przez pracowników naruszeń powinny określać co najmniej:

1. sposób odbierania zgłoszeń w sprawie naruszeń, zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez pracownika dokonującego zgłoszenia;
2. sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
3. sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
4. zasady zapewniające zachowanie poufności pracownikowi dokonującemu zgłoszenia, w przypadku gdy pracownik ten ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia;
5. wskazanie osób odpowiedzialnych za odbieranie zgłoszeń naruszeń, z uwzględnieniem, że w przypadku gdy zgłoszenie dotyczy członka zarządu, powinno być ono przyjęte przez radę nadzorczą;
6. sposób przekazywania członkowi zarządu, radzie nadzorczej oraz wyznaczonym pracownikom lub jednostkom organizacyjnym i informacji związanych ze zgłoszeniem naruszenia, niezbędnych do prawidłowej weryfikacji tego zgłoszenia, z uwzględnieniem ograniczenia zakresu przekazywanych informacji odpowiednio do celów realizowanych przez procedurę oraz treści zgłoszenia naruszenia;
7. rodzaj i charakter działań następczych podejmowanych na skutek:  a)  odebrania zgłoszenia naruszenia,  b)  weryfikacji zgłoszenia naruszenia - oraz sposób koordynacji tych działań; 8)  termin usunięcia przez podmiot danych osobowych zawartych w zgłoszeniach naruszeń;

• Zarząd powinien ustalić wewnętrzny podział kompetencji wskazujący członka zarządu, do którego są zgłaszane naruszenia oraz odpowiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń.
• Członek zarządu, o którym mowa powyżej lub rada nadzorcza, po otrzymaniu zgłoszenia, wyznacza pracowników, jednostki organizacyjne lub komórki organizacyjne odpowiedzialne za podejmowanie i koordynowanie weryfikacji zgłoszenia naruszenia oraz podejmowanie działań następczych.
• Zarząd jest odpowiedzialny za adekwatność i skuteczność procedur anonimowego zgłaszania przez pracowników naruszeń.
• W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia i oddalenia podejrzeń w nim zawartych członek zarządu albo rada nadzorcza, gdy zgłoszenie dotyczy członka zarządu, niezwłocznie powiadamiają osobę, której zarzucono dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, z zastrzeżeniem zachowania poufności.
• Rada nadzorcza powinna, w zależności od potrzeb, nie rzadziej jednak niż raz w roku, oceniać adekwatność i skuteczność procedury anonimowego zgłaszania przez pracowników naruszeń.
• Podmiot powinien przeprowadzać wstępne i regularne szkolenia pracowników w zakresie zgłaszania naruszeń, w szczególności obowiązujących w tym zakresie procedur.

Czy każdy system Compliance powinien tak wyglądać i czy to wszystko?

Odpowiedź brzmi: NIE i NIE

System Compliance powinien być dostosowany do danego podmiotu i jego specyfiki.

Compliance to tylko cześć układanki. Trzeba jeszcze pamiętać np.. o: audycie, w tym audycie śledczym, nadzorze wewnętrznym, antyfraudzie, zarządzaniu ryzykiem, ładzie korporacyjnym.

Czy członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance?

W wersji projektu ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary z dnia 5 grudnia 2018 r. pojawiła się propozycja wprowadzenia odpowiedzialności karnej członków Rad Nadzorczych, jeżeli w wyniku niedopełnienia obowiązków, choćby nieumyślnie stworzyli warunki do popełnienia przestępstwa z art. 296 kk § 1-4. 

W następnej wersji projektu ww. zapis zniknął równie nagle jak się pojawił. 

Pojawiły się głosy, że Radom Nadzorczym nic nie grozi. 

W niniejszym artykule postaram się w związku z powyższym odpowiedzieć na pytanie: Czy członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance?

Zacznijmy od początku. Do czego zobowiązany jest, w skrócie, Zarząd, a do czego zobowiązana jest Rada Nadzorcza?

Zarząd zobowiązany jest do prowadzenia spraw Spółki i jej reprezentacji.

Rada Nadzorcza zobowiązana jest do stałego nadzoru nad działalnością spółki we wszystkich dziedzinach jej działalności. Często też Rady Nadzorcze powołują, odwołują lub zawieszają członków Zarządu, udzielają tzw. zgód korporacyjnych itp.

Nowy projekt ustawy o odpowiedzialności podmiotów zbiorowych nakłada na Spółki m.in. obowiązek posiadania skutecznych systemów Compliance. Projekt ten, przewiduje też m.in. sankcje do 60 mln zł.

Pojawia się więc pytanie:

"Czy za brak wdrożenia i utrzymywania skutecznego systemu Compliance członkom Zarządu lub Rady Nadzorczej będzie grozić odpowiedzialność karna?"

Art. 296 Kodeksu Karnego mówi, że popełnia czyn zabroniony osoba, która:

1. jest obowiązana na podstawie ustawy, decyzji właściwego organu lub umowy do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej,
2. przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku,
3. wyrządza jej znaczną szkodę majątkową lub sprowadza bezpośrednie niebezpieczeństwo wyrządzenia znacznej szkody majątkowej,
4. za wyrządzenie znacznej szkody majątkowej odpowiada też osoba działająca nieumyślnie. Ale nie ma już w kodeksie karnym odpowiedzialności za nieumyślne sprowadzenie bezpośredniego niebezpieczeństwa wyrządzenia znacznej szkody majątkowej.

ad 1) Kluczowe znaczenie ma wykładnia "zajmowanie się sprawami majątkowymi" lub "zajmowanie się działalnością gospodarczą". Osoba "zajmująca się", wykonuje czynności władcze. Musi mieć samodzielność decyzyjną. Choć nie muszą to być decyzje jednoosobowe. Musi taka osoba posiadać uprawnienia decyzyjne w obrębie danej organizacji. Eliminuje to z kręgu osób, które mogą popełnić te przestępstwo np. pracowników, którym powierzono funkcję oficera Compliance, a którzy nie są równocześnie członkiem Zarządu. Wykonują bowiem oni tylko polecenia lub pełnią funkcję doradczą. Niewątpliwie "zajmowanie się" oznacza m.in. prowadzenie spraw Spółki - czyli przez osoby "zajmujące się" należy rozumieć członków Zarządów. W mojej ocenie wykonywanie czynności stałego nadzoru, powoływanie, odwoływanie lub zawieszanie członków Zarządu, udzielają tzw. zgód korporacyjnych itp. przez Rady Nadzorcze oznacza "zajmowanie się". Czyli przez osoby "zajmujące się" należy rozumieć również członków Rady Nadzorczej.

ad 2) Jeżeli członek Zarządu lub Rady Nadzorczej nadużywa uprawnienia lub nie dopełnia ciążących na nim obowiązków, to spełnia tą przesłankę. Przypominam, że Zarząd ma obowiązek wdrożyć i utrzymywać system Compliance, a Rada Nadzorcza sprawuje nad tym nadzór.

ad 3) Znaczna szkoda majątkowa - ponad 200 tysięcy złotych. Natomiast sprowadzenie bezpośredniego niebezpieczeństwa oznacza, że w wyniku działania lub zaniechania zaistniało wysokie prawdopodobieństwo zaistnienia konkretnej szkody. Niewątpliwie, jeżeli w wyniku działań lub zaniechań członków Zarządu lub Rady Nadzorczej Spółka poniesie odpowiedzialność na podstawie nowej ustawy o odpowiedzialności podmiotów zbiorowych to szkoda może przekroczyć 200 tysięcy zło.

ad 4) Czyn zabroniony popełniony jest nieumyślnie, jeżeli sprawca nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć.

Reasumując, jeżeli:

1. członkowie Zarządu i Rady Nadzorczej mimo ciążącego nad nimi obowiązku nie wdrożą i nie będą utrzymywać skutecznego systemy Compliance,
2. w wyniku powyższego Spółka poniesie znaczną szkodę wartości np. zapłaci karę 30 mln zł. na podstawie nowej ustawy o odpowiedzialności podmiotów zbiorowych,

to członkom Zarządu lub Rady Nadzorczej będzie grozić odpowiedzialność karna za brak skutecznego systemu Compliance.

Nadmienię tylko, że odpowiedzialność dyscyplinarna i cywilna członków Zarządów i Rad Nadzorczych to już osobna kwestia :-)

Na zakończenie, słyszałem już mity, że powołanie osoby odpowiedzialnej za system Compliance zwalnia Zarząd lub Radę Nadzorczą z odpowiedzialności. Nie zwalnia. Wdrożenie i utrzymanie systemy Compliance to obowiązek Zarządu. Nadzór nad tym to obowiązek Rady Nadzorczej. 

Powołanie odpowiedniej osoby odpowiedzialnej za system Compliance jest tylko JEDNYM z kilku elementów wykonywania tego obowiązku przez Zarząd i Radę Nadzorczą. Przy czym oficer Compliance, co do zasady, wykonuje tylko polecenia Zarządu lub Rady Nadzorczej i doradza.

Tak więc:

Członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance

Kolejna wersja projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych

No i mamy kolejną wersję projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych. Zniknął artykuł, który do kodeksu karnego wprowadzał odpowiedzialność karną członków Rad Nadzorczych. Czy to dobra zmiana?

TU macie link do mojej publikacji na ten temat na LI i projektu ustawy w pdf.

TU macie link do posta o szkoleniu, które będę współprowadził m.in. na temat przedmiotowej ustawy w dniu 5 lutego br. Oczywiście serdecznie zapraszam :-)