System Informacji Finansowej

System Informacji Finansowej

Czytaj: 5 min

Przepisy V Dyrektywy AML 2018/843 („V Dyrektywa”) przewidują wdrożenie przez każde z państw członkowskich systemu centralnej rejestracji danych osób lub podmiotów posiadających lub kontrolujących rachunki bankowe, płatnicze oraz skrytki depozytowe w instytucjach kredytowych, w celu zwiększenia efektywności nadzoru w obszarze AML/CFT.

Projekt ustawy o Systemie Informacji Finansowej („Projekt SInF”), która ma implementować przepisy V Dyrektywy we wskazanym zakresie jest procedowany od 2020 r. (Projekt – rcl.gov.pl [1]) Zakończenie prac nad Projektem SInF wstępnie planowane było na III kwartał bieżącego roku, termin ten jednak został przesunięty i obecnie przyjmowane jest, że raportowanie informacji w opisanym powyżej zakresie rozpocznie się nie wcześniej niż w I kwartale 2023 r.

SInF – zakres przedmiotowy

Zgodnie z obecnym brzmieniem Projektu SInF, centralna rejestracja objąć ma dane nie tylko o posiadaczach i kontrolujących (zgodnie z V Dyrektywą) rachunki bankowe, rachunki w spółdzielczych kasach oszczędnościowo-kredytowych, rachunki płatnicze czy skrytki sejfowe (również, jeśli usługa ta jest oferowana przez podmiot inny niż bank krajowy czy instytucja kredytowa), ale również:

  • rachunki papierów wartościowych, rachunki derywatów, rachunki zbiorcze oraz
  •  rachunki pieniężne prowadzone przez firmy inwestycyjne.

Co więcej, obowiązki dotyczące zgłaszania danych o posiadaczach i kontrolujących rachunki mają mieć odpowiednie zastosowanie do przechowywania przedmiotów i papierów wartościowych, co w zamyśle projektodawcy oznacza objęcie centralną rejestracją danych również danych klientów podmiotu świadczącego usługę depozytową w zakresie materialnych papierów wartościowych (posiadających formę dokumentu).

Zgodnie z uzasadnieniem dla tak szerokiego ujęcia (wykraczającego poza V Dyrektywę) było założenie, że rachunki papierów wartościowych, rachunki zbiorcze oraz służące do ich obsługi rachunki pieniężne, a także fundusze inwestycyjne, mogą służyć ukrywaniu mienia pochodzącego z czynów zabronionych w analogicznym stopniu jak rachunki płatnicze, czy skrytki depozytowe.

Poza regulacją Projektu SInF natomiast pozostawiono rejestrację instrumentów finansowych, która dokonywana jest lub miałaby być w formie innej niż poprzez dematerializację na zasadach określonych w ustawie o obrocie instrumentami finansowymi (na rachunkach papierów wartościowych, rachunkach derywatów i rachunkach zbiorczych), co zwłaszcza w kontekście coraz bardziej powszechnie wykorzystywanej na rynkach finansowych technologii DLT, wydaje się podważać racjonalność tego rozwiązania.

Przesyłanie danych do SInF

Pomysł na działanie SInF polega na wykorzystaniu używanego już przez KAS systemu STIR (system teleinformatyczny izby rozliczeniowej), który służy do przekazywania danych, informacji i żądań pomiędzy Szefem KAS a bankami i spółdzielczymi kasami oszczędnościowo-kredytowymi.

W oparciu o Projekt SInF przekazywanie danych ma się odbywać w ten sposób, że instytucje obowiązane mają przekazywać dane do STIR (i te, których przekazanie jest już obecnie obowiązkowe na postawie Ordynacji podatkowej i te wymagane na postawie Projektu SInF), a pracownicy wyznaczeni przez Szefa KAS, będą wyodrębniać odpowiednie dane i przesyłać je do SInF. Ten schemat działania ma zapobiegać sytuacjom, w których instytucje zobowiązane musiałyby przekazywać te same dane do dwóch systemów – STIR i SInF.

Zakres danych przekazywanych do SInF

Zgodnie z art. 11 Projektu Ustawy o SInF do rejestru mają być przekazywane informacje o:

  • otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej,
  • zmianie informacji, oraz
  • zamknięciu rachunku albo zakończeniu obowiązywania umowy o udostępnienie skrytki sejfowej.

Projekt SInF określa szczegółowy zakres danych, jakie powinny być przekazane w ramach informacji o otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej. Zakres informacji objętych obowiązkiem zgłaszania do SInF jest znacząco szerszy niż przewidziany w V Dyrektywie i choć sama dyrektywa zawiera w tym zakresie tzw. opcję narodową (pozwala państwom członkowskim na pewne modyfikacje w uzasadnionych przypadkach), to jednak podejście proponowane w Projekcie SInF wydaje się być wciąż zbyt daleko idące. W szczególności, krytykowany w toku prac legislacyjnych przez Prezesa UODO i RCL, obowiązek przekazywania szczegółowych danych teleadresowych posiadacza rachunku (numeru telefonu i adresu poczty elektronicznej) budzi istotne zastrzeżenia co do swojej zasadności, zwłaszcza w kontekście dostępu do aktualnych danych tego typu przez instytucję zobowiązaną, co jednak po wejściu w życie projektowanych przepisów będzie musiało być zapewnione wobec zagrożenia karą pieniężną w maksymalnej wysokości 1.500.000 PLN (za nieprzekazanie informacji, przekazanie informacji nieaktualnych lub za brak aktualizacji).

Wdrożenie SInF

Biorąc pod uwagę planowany termin wdrożenia planowanych rozwiązań oraz zakres ich stosowania (system ma objąć również rachunki prowadzone przez firmy inwestycyjne, ale wyłącznie w ramach systemu depozytowego papierów wartościowych), jak również krótkie terminy na przekazanie informacji co do rachunków prowadzonych w dniu wejścia w życie projektowanych obecnie przepisów, instytucje zobowiązane powinny już teraz przygotować się na wejście w życie projektowanej regulacji.

Przygotowanie instytucji zobowiązanej do spełnienia obowiązków wynikających z Projektu SInF będzie musiało łączyć działania w sferze operacyjnej, informatycznej, ale również może wymagać dostosowania pewnych regulacji wewnętrznych a nawet dokumentacji kontraktowej stosowanej w relacjach z klientami (na przyszłość) i uzupełnienia/aktualizacji danych o klientach, dla których prowadzone są obecnie rachunki.

Informacje o rachunkach otwartych po dacie wejścia w życie nowych przepisów

Banki będą musiały rozpocząć przekazywanie informacji po 2 miesiącach, nie później jednak niż 3 miesiące po wejściu w życie projektowanych przepisów o SInF (co daje maksymalnie 3,5 miesiąca uwzględniając 14 dniowe vacatio legis).

Firmy inwestycyjne oraz małe instytucje płatnicze będą musiały rozpocząć przekazywanie informacji po 7 miesiącach, nie później jednak niż 9 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.

Instytucje płatnicze (z wyłączeniem małej instytucji płatniczej) oraz instytucje pieniądza elektronicznego będą musiały rozpocząć przekazywanie informacji po 4 miesiącach, nie później jednak niż 6 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.

Po rozpoczęciu przekazywania. dane będą musiały być przekazywane w terminach określonych w Projekcie SInF, a więc w ciągu 3 dni od zdarzenia (zawarcia umowy, zmiany danych).

Informacje o rachunkach/umowach prowadzonych/zawartych przed dniem wejścia w życie nowych przepisów

Najtrudniejsze organizacyjnie będzie zrealizowanie obowiązku przekazania danych zgromadzonych przed wejściem w życie projektowanych przepisów. W szczególności trudność może dotyczyć tych danych, które mają formę uniemożliwiającą ich automatyczne przetwarzanie w systemach teleinformatycznych. Projekt SInF wprowadza zasadę, że jeśli dana informacja nie zmieści się w katalogu ustawowym (o czym mowa poniżej), to nawet jeśli jej przekazanie wymagałoby uprzedniej zmiany formy, to instytucja zobowiązana nie korzysta w tym zakresie z wydłużonego terminu i przekazanie powinno nastąpić w terminie 30 dni od dnia rozpoczęcia przekazywania danych przez instytucję.

Katalog informacji, co do których Projekt SInF przyznaje instytucjom zobowiązanym dłuższy termin na przekazanie – 6 miesięcy od rozpoczęcia przekazywania danych, obejmuje dane dotyczące umów w zakresie przechowywania papierów wartościowych w formie dokumentu oraz w pozostałym zakresie wyraźnie wskazane dane takie, jak m.in. dane identyfikacyjne pełnomocnika, adres korespondencyjny posiadacza rachunku i pełnomocnika a także ich numery telefonu i adresy e-mail.

Informacje o rachunkach otwartych po wejściu w życie nowych przepisów, ale przed rozpoczęciem raportowania

Informacje pozyskane w okresie od wejścia w życie nowych przepisów do dnia poprzedzającego dzień rozpoczęcia przekazywania informacji będą musiały być przekazane w terminie 30 dni od dnia rozpoczęcia przekazywania informacji.

Dostęp do informacji zgromadzonych w SInF

Informacje z SInF będą wykorzystywane na potrzeby realizacji zadań ustawowych sądów, prokuratury, właściwych służb – Policji, Centralnego Biura Antykorupcyjnego, Agencji Bezpieczeństwa Wewnętrznego, Agencji Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Żandarmerii Wojskowej, Straży Granicznej, Generalnego Inspektora Informacji Finansowej, Krajowej Administracji Skarbowej, Służby Ochrony Państwa, Inspektora Nadzoru Wewnętrznego, Krajowego Centrum Informacji Kryminalnych oraz Komisji Nadzoru Finansowego.

Znaczyć należy, że w ramach tych podmiotów upoważnieni do uzyskiwania informacji będą szefowie/komendanci/dyrektorzy, a dopiero te osoby udzielać będą dalszych upoważnień swoim pracownikom/funkcjonariuszom/żołnierzom. Ten schemat przyznawania dostępu do danych, a przy tym i upoważnienia do przetwarzania danych osobowych, budzi wątpliwości w zakresie jego zgodności z prawem. Szef KAS, jako administrator powinien wyrazić zgodę na przetwarzanie danych przez osoby, którym podmioty upoważnione udzieliły dalszych upoważnień na co zwracał uwagę Prezes UODO w toku procesu legislacyjnego. Pozostaje mieć nadzieję, że uwaga ta zostanie uwzględniona na dalszym etapie prac nad Projektem SInF.

Przypisy:

[1] Tytuł dokumentu to: „załącznik do protokołu projekt.docm”.

 

Napisz do autorów:

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Czytaj: 4 min

Zostało już niecałe 1,5 miesiąca na wdrożenie wytycznych Europejskiego Urzędu Nadzoru Bankowego (ang. European Banking Authority; „EBA”) dotyczących strategii i procedur zarządzania zgodnością z przepisami oraz roli i obowiązków pracownika ds. zgodności z przepisami AML/CFT („Wytyczne EBA”) – Wytyczne EBA (Guidelines on the role of AML/CFT compliance officers | European Banking Authority (europa.eu) zaczną obowiązywać od 1 grudnia 2022 r.

Wytyczne EBA nie wprowadzają nowych obowiązków, ale konkretyzuję te płynące z obowiązujących już przepisów. Uszczegółowienia wprowadzone przez EBA dla instytucji zobowiązanych działających na rynku finansowym dość istotnie jednak modyfikują dotychczasowe rozumienie obowiązków i koniecznego zakresu normowania procedur w obszarze AML oraz zadań osób odpowiedzialnych za ten obszar.

W niektórych podmiotach wdrożenie Wytycznych EBA może oznaczać wyłącznie kosmetyczną aktualizację niektórych procedur, ale – patrząc na zakres i poziom szczegółowości wytycznych – wydaje się, że dla większości podmiotów ich wdrożenie, będzie wiązać się z czasochłonnymi pracami nad zmianą szeregu regulacji, w tym nie tylko tych, bezpośrednio związanych z procesami AML. Wytyczne EBA dotykają bowiem zadań wszystkich osób dotychczas odpowiedzialnych za obszar AML/CFT w organizacji, a dodatkowo jeszcze rozszerzają zadania podmiotu nadzorczego w tej dziedzinie.

Każdy podmiot będący adresatem Wytycznych EBA powinien rozpocząć proces wdrożeniowy od szczegółowej analizy obecnie posiadanych rozwiązań w kontekście ich zgodności z wytycznymi zawartymi w przedmiotowym dokumencie, w celu ustalenia zakresu ewentualnych prac.

Należy również pamiętać, że samo opracowanie nowych albo zmodyfikowanie już wdrożonych procedur może zostać ocenione jako niewystarczające do uznania procesu wdrożenia Wytycznych EBA za pełny i skuteczny. Aby bowiem wdrożone rozwiązania efektywnie działały w praktyce niezbędne jest zapoznanie się z nimi przez osoby zaangażowane w procesy AML/CFT, a więc w szczególności przeprowadzenie szkoleń w tym zakresie.

Dlatego też w naszej ocenie jest to ostatni moment, aby rozpocząć procesy wdrożeniowe w zakresie Wytycznych EBA.

Do kogo adresowane są Wytyczne EBA

Wytyczne EBA są adresowane do wszystkich podmiotów działających profesjonalnie na rynku finansowym, a więc do instytucji kredytowych oraz instytucji finansowych, czyli podmiotów mieszczących się w definicji tego pojęcia przyjętej na potrzeby dyrektywy 2015/849 – AML IV [1]. Definicja ta obejmuje w szczególności:

  1. domy maklerskie,
  2. fundusze inwestycyjne i alternatywne spółki inwestycyjne,
  3. towarzystwa funduszy inwestycyjnych i zarządzających ASI,
  4. instytucje płatnicze i instytucje pieniądza elektronicznego,
  5. zakłady ubezpieczeń wykonujące działalność z zakresu ubezpieczeń na życie,
  6. pośredników ubezpieczeniowych wykonujących czynności pośrednictwa ubezpieczeniowego w zakresie ubezpieczeń na życie.

 Co obejmują Wytyczne EBA

Wytyczne EBA obejmują obszarowo zakres funkcji:

  1. pracownika ds. zgodności z przepisami AML/CFT,
  2. organu zarządzającego (w warunkach polskich spółek kapitałowych będzie to zarząd),
  3. członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT (w warunkach polskich spółek kapitałowych będzie to członek zarządu wyznaczony jako odpowiedzialny za wdrażanie obowiązków AML/CFT),
  4. organu zarządzającego pełniącego funkcję nadzorczą (w warunkach polskich spółek kapitałowych, w których działa rada nadzorcza, będzie to ten organ)

– dalej łącznie jako: „Organy AML” oraz osoby wskazane w p. 1 i 3 dalej łącznie jako: „Osoby AML”.

Opisane w Wytycznych EBA szczegółowe obowiązki Organów AML, powinny zostać transponowane do dokumentacji wewnętrznej danej organizacji. To jednak może oznaczać zmiany również na poziomie regulacji dotyczących zasad funkcjonowania tych podmiotów, a szczególnie rady nadzorczej w danej instytucji. Wytyczne EBA przewidują bowiem dużo aktywniejszą rolę tego organu w obszarze AML/CFT niż dotychczasowy standard sprowadzający się, co do zasady, do corocznej weryfikacji sprawozdań z tego obszaru.

Wytyczne EBA kładą nacisk na dysponowanie przez Osoby AML odpowiednim czasem oraz zasobami na realizację zadań, jak również uprawnieniami, w tym przede wszystkim dostępem do informacji – te kwestie również powinny zostać uwzględnione w procedurach wewnętrznych.

Dodatkowo, Wytyczne EBA stawiają szereg wymagań o charakterze kompetencyjnym, które powinny spełnić Osoby AML. Jest to element Wytycznych EBA istotny na potrzeby przyszłych rekrutacji i wymuszający modyfikację stosownych polityk wewnętrznych (instytucje finansowe już obecnie posiadają polityki dotyczące weryfikacji i wyboru osób wchodzących w skład organów oraz kluczowych pracowników). EBA nie rozstrzyga przy tym, czy wymagania o charakterze kompetencyjnym należy wdrożyć i stosować wyłącznie na przyszłość, czy również w odniesieniu do Osób AML już obecnie pełniących stosowne obowiązki (czy należy przeprowadzić stosowną procedurę weryfikacyjną).

Wytyczne EBA zaostrzają zasady organizacji funkcji zgodności z przepisami AML/CFT, określając szczegółowe przesłanki i zasady podejmowania decyzji o łączeniu przedmiotowej funkcji z innymi funkcjami wewnętrznymi w ramach danej instytucji.

EBA proponuje również doprecyzowanie zasad zorganizowania funkcji AML/CFT w podmiotach prowadzących działalność w kilku jurysdykcjach. Zgodnie z Wytycznymi EBA od tej pory możliwe będzie posiadanie jednego pracownika ds. zgodności z przepisami AML/CFT dla wszystkich jurysdykcji pod warunkiem zapewnienia mu realnej możliwości realizacji zadań w we wszystkich tych jurysdykcjach (nie tylko dostęp do informacji i systemów, ale również dyspozycyjność na potrzeby spotkań lokalnych).

EBA doprecyzowuje również zasady outsourcingu funkcji operacyjnych pracownika ds. zgodności z przepisami AML/CFT, w szczególności, w zakresie zapewnienia monitoringu, kontroli i sprawozdawczości insourcera.

Również podmioty, które outsourcują zadania z obszaru zgodności z przepisami AML/CFT na poziomie grupy powinny szczegółowo przeanalizować treść Wytycznych EBA – gdyż ten model został przez EBA uregulowany poprzez określenie odrębnych wymagań organizacyjnych na szczeblu grupy.

Podsumowanie

Bazując na posiadanej przez nas wiedzy wynikającej z pracy z Klientami, jesteśmy przekonani, że Wytyczne EBA, choć z założenia jedynie uszczegóławiają istniejące już obowiązki z obszaru AML/CFT, i choć oparte są o zasadę proporcjonalności, to jednak doprowadzą do sytuacji, w której, w przeważającej części instytucji rynku finansowego, procedury, które zostały dotychczas wdrożone, będą musiały ulec modyfikacji.

Ze względu natomiast na fakt, że regulacje objęte Wytycznymi EBA dotykają obszarów objętych różnymi procedurami a nawet relacji z podmiotami trzecimi (outsourcing) i mogą wiązać się z koniecznością dokonania pewnych istotnych zmian w organizacji danego podmiotu, niezbędne jest podjęcie działań nakierowanych na ustalenie zakresu i istoty tych zmian możliwie wcześnie w celu uniknięcia negatywnych skutków prawnych.

Przypisy:

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE.

 

Napisz do autorów:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Odpowiedzialność podmiotów zbiorowych – projekt zmiany ustawy

Odpowiedzialność podmiotów zbiorowych – projekt zmiany ustawy

Czytaj: 3 min

Pomimo tego, że prace nad projektem ustawy o sygnalistach nie zostały jeszcze zakończone, na tapet wzięto również nowelizację ustawy o odpowiedzialności podmiotów zbiorowych. W dniu 2 września 2022 r. na stronie RCL umieszczono projekt nowelizacji tej ustawy.

Brak konieczności uprzedniego skazania sprawcy za dany czyn, a nawet brak konieczności ustalenia sprawcy czynu to jedne ze zmian mających wpłynąć na częstsze stosowanie ustawy w praktyce. Jak wynika ze statystyk zawartych w uzasadnieniach ustawy, jej dotychczasowe stosowanie było rzadkością. W oparciu o obowiązujące przepisy, w latach 2016-2021 do sądów skierowano bowiem 54 wnioski o ukaranie podmiotu zbiorowego, z czego wydano 33 orzeczenia stwierdzające odpowiedzialność podmiotu zbiorowego. W 2021 r. wydano 9 takich orzeczeń, a kary w nich wymierzone to: w 6 sprawach – 1.000 zł, w 2 sprawach – 7.000 zł a w jednej sprawie 50.000 zł.

Na gruncie projektowanej ustawy dokonano modyfikacji definicji podmiotu zbiorowegozakres podmiotowy stosowania ustawy nie będzie obejmował mikro, małych i średnich przedsiębiorców. Równocześnie dokonano rozszerzenia zakresu przestępstw, za które podmiot zbiorowy będzie mógł ponosić odpowiedzialność, do wszystkich ściganych z oskarżenia publicznego przestępstw i przestępstw skarbowych z wyłączeniem czynów popełnionych przez opublikowanie materiału prasowego oraz innych naruszeń prawa związanych z przekazywaniem myśli ludzkiej, do których stosuje się przepisy o odpowiedzialności prawnej i postępowaniu w sprawach prasowych.

Projekt ustawy przewiduje odpowiedzialność podmiotu zbiorowego na dwóch materialnoprawnych podstawach. Podmiot zbiorowy będzie odpowiadał za swoje czyny – jeśli ich popełnienie wynika z działania albo zaniechania organu podmiotu. Drugą podstawą odpowiedzialności będzie odpowiedzialność za czyny członków organów, osób uprawnionych do reprezentowania podmiotu albo podejmowania w jego imieniu decyzji lub pracowników w związku ze świadczeniem przez nich pracy, jeśli czyn ten przyniósł lub mógł przynieść podmiotowi zbiorowemu korzyść, choćby niemajątkową.

To, co na aktualnym etapie istotne to uzależnienie odpowiedzialności podmiotu zbiorowego od zawinienie polegającego na: (i) co najmniej braku należytej staranności w wyborze osoby, która jest sprawcą przestępstwa, albo w nadzorze nad nią; (ii) takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego, chociaż inna organizacja działalności mogła zapobiec popełnieniu tego czynu.

Nieprawidłowość w organizacji podmiotu zbiorowego rozumiana jest jako brak należytej struktury organizacyjnej, pozwalającej na ustalenie zakresu odpowiedzialności poszczególnych komórek i osób, ale również sposobów sprawowania nadzoru nad nimi oraz osób odpowiedzialnych za przestrzeganie przepisów i zasad regulujących działalność podmiotu zbiorowego. W tym zakresie istotne są również posiadane przez podmiot zbiorowy zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego.

Projekt przewiduje, że podmiot zbiorowy nie ponosi odpowiedzialności karnej w oparciu o stwierdzone nieprawidłowości w organizacji, jeżeli wszystkie organy i osoby uprawnione do działania w jego imieniu lub interesie zachowały należytą staranność wymaganą w danych okolicznościach w organizacji działalności tego podmiotu oraz w nadzorze nad tą działalnością. W zakresie rozumienia należytej staranności należy oprzeć się na definicji zawartej w art. 355 § 2 kodeksu cywilnego, który przewiduje, że w ocenie należy uwzględnić zawodowy charakter tej działalności.

Wobec podmiotów zbiorowych będzie można orzekać m.in. karę pieniężną w wysokości od 10 tys. do 30 mln zł.

Powyższe regulacje oznaczają, że kluczowe jest opracowanie struktury organizacyjnej podmiotu, ze szczegółowym uwzględnieniem zakresu obowiązków, schematu raportowania i zasad nadzoru. W uzasadnieniu projektu wprost wskazano, że „z istoty rzeczy ten rodzaj odpowiedzialności nakierowany winien być na działania podmiotów dużych, w tym dużych przedsiębiorstw zdolnych do wdrożenia wewnętrznych procedur zgodności (compliance).” Ten fragment uzasadnienia wprost w wskazuje, że to właśnie sprawnie działający system compliance może okazać się kluczowy dla podmiotów spełniających kryteria podmiotowe dla stosowania ustawy.

Zgodnie z aktualnym brzmieniem projektu zmiana ustawy miałaby wejść w życie 3 miesiące od jej opublikowania. Czas, żeby podmioty, które nie mają jeszcze wdrożonego systemu compliance podjęły działania w tym zakresie będzie zatem ograniczony, co powinno skłaniać je do rozpoczęcia prac w tym obszarze jeszcze przed finalizacją prac legislacyjnych.

 

Napisz do autora:

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Forma ma znaczenie – jak wpłynąć na przystępność systemu compliance

Forma ma znaczenie – jak wpłynąć na przystępność systemu compliance

Czytaj: 5 min

Jednym z wyzwań przy wdrażaniu systemu compliance jest udzielenie odpowiedzi na pytanie jak sprawić, żeby procedury, na których opiera się funkcjonowanie systemu były zrozumiałe i przystępne dla użytkowników. Konieczność zachowania precyzji pojęć jest często trudna do pogodzenia z oczekiwaniem, aby tekst był jasny i łatwy w odbiorze. Samo posiadanie procedur compliance nie wystarczy, aby system compliance zrealizował swoją funkcję w przedsiębiorstwie. Kluczowe jest, aby pracownicy rzeczywiście z niego korzystali.

Jedną z metod na poprawienie przystępności procedur jest przeprowadzanie szkoleń w tym zakresie. Jeśli jednak procedury pozostaną nadmiernie skomplikowane, a szkolenia zbyt schematyczne i jednorodne, to szansa na efektywne wdrożenie lub optymalizację systemu compliance będę niskie.

Co zatem należy zrobić w przypadku, w którym posiadamy system compliance, a jednocześnie mamy poczucie, że pracownicy niechętnie sięgają do tekstów procedur? Należy popracować nad formą – zarówno procedur jak i szkoleń.

Forma procedur

Bardzo często procedury wewnętrzne – choć są doskonałe merytorycznie – posiadają formę, która jest trudna w odbiorze. Przypominają one tekst ustawy albo skomplikowanej umowy, a użytkownik, żeby odnaleźć zagadnienie, z którym się mierzy, musi przebrnąć przez tekst całego dokumentu. Taka forma zniechęca pracowników do sięgania do procedur i trudno im się dziwić.

Warto zatem podjąć działania, które mogą korzystnie wpłynąć na przejrzystość i dostępność tekstów procedur i dzięki temu ułatwić pracownikom korzystanie z nich.

W tym celu należy zwrócić uwagę na następujące elementy:

  1. Język – powinien być przystępny dla odbiorców. Nie wynika to z faktu niedoceniania kompetencji poznawczych pracowników – jeśli nawet odbiorca jest w stanie zrozumieć skomplikowany tekst pisany specjalistycznym językiem, to i tak warto jest postawić na łatwość odbioru treści – wtedy sięganie do procedury będzie bardziej instynktowne.
  2. Układ graficzny tekstu – nie powinien zniechęcać już na pierwszy rzut oka, a warto żeby zachęcał. Dlatego też formatowanie procedur w sposób podobny do umów albo aktów prawnych (szczególnie przy dłuższych tekstach) najczęściej nie zdaje egzaminu. Tam, gdzie jest taka możliwość należy popracować nad przejrzystością tekstu i ograniczeniem jego objętości. W odnajdywaniu poszczególnych zagadnień pomogą słowa kluczowe i wyróżnienia. Uzupełnienie procedur o znaki graficzne, zdjęcia lub ikony również pozytywnie wpłynie na łatwość jego odbioru.
  3. Możliwość stworzenia wyciągu z procedury dostosowanego do poszczególnych adresatów – w przypadku długich procedur, które zawierają w sobie treści adresowane do różnych grup wewnętrznych adresatów (pracownicy, dział compliance, zarząd, dział prawny) warto rozważyć stworzenie ich skrótu np. w postaci wyciągu z danej procedury, który będzie zawierał elementy istotne dla danej grupy adresatów. Dzięki temu pracownicy będą mogli w łatwiejszy sposób z niej korzystać, a nie wpłynie to negatywnie na spójność tekstu i kompletność regulacji danego zagadnienia.
  4. Przykłady praktyczne – jeśli zostaną zawarte w tekście procedury, pomogą użytkownikom zrozumieć mechanizmy w niej zawarte i zasady, które dana regulacja ustanawia, jak również sprawią, że tekst będzie lżejszy w odbiorze.

Pracując nad poprawą dostępności tekstów procedur należy jednak pamiętać, że procedury wewnętrzne mają swoją rolę merytoryczną. Dlatego też poprawiając łatwość odbioru tekstu należy wystrzegać się działań mogących doprowadzić do infantylizacji lub utraty jakości jego warstwy merytorycznej.

Forma szkoleń

Jednym z podstawowych sposobów zapoznawania pracowników z procedurami jest przeprowadzanie szkoleń. Dla wszystkich jasne jest, że powinny one się odbywać cyklicznie, być dostosowane treścią dla ustalonej grupy adresatów jak również odbywać się w atrakcyjnej formie. Co jednak, jeśli pomimo spełnienia tych warunków szkolenia nie wywołują oczekiwanych rezultatów w postaci stosowania procedur, pomimo tego, że ich uczestnicy w ankietach ewaluacyjnych oceniają szkolenia pozytywnie?

Efektywność przekazu szkolenia to kwestia bardzo subiektywna. Niektóre osoby potrzebują po prostu usłyszeć daną treść wielokrotnie i dopiero wtedy będą w stanie ją przyswoić.

Można natomiast zastanowić się nad cykliczną zmianą osób prowadzących szkolenie. Pozwoli to zwiększyć szansę, że każdy uczestnik szkolenia otrzyma przekaz merytoryczny podany w sposób dla niego najatrakcyjniejszy do przyswojenia. Można bowiem przygotować najlepsze szkolenie, zgodne ze wszystkimi „zasadami prowadzenia dobrych szkoleń”, jednak czasem to pora szkolenia, ton głosu osoby szkolącej albo miejsce szkolenia mogą stanowić czynnik decydujący o tym, że przekaz szkolenia trafi do jego adresata. Dlatego też różnorodność formy przekazu jest walorem samym w sobie, niezależnie od atrakcyjności przedstawienia kwestii merytorycznych.

Nie bez znaczenia pozostaje też kwestia możliwości zaangażowania uczestników w szkolenie. Uproszczone, a nawet niekiedy humorystyczne case study umożliwiają interakcję uczestników i osób szkolących. Podczas tego rodzaju zajęć najczęściej wywiązuje się dialog pozwalający nie tylko na ożywienie szkolenia, ale obrazujący różnice kultur i poglądów w ocenie sytuacji, z którymi na co dzień mierzy się compliance. Dobrym pomysłem jest zakończenie szkolenia choćby prostym testem na temat podstawowych informacji przekazanych w jego trakcie. Daje to szansę na utrwalenie kluczowych kwestii, a także umożliwia wystawienie uczestnikom stosownych certyfikatów potwierdzających uczestnictwo w szkoleniu.

Forma wdrożenia procedur opracowanych na poziomie międzynarodowym

W niektórych organizacjach procedury compliance opracowywane są na szczeblu międzynarodowym, a od podmiotów w poszczególnych krajach oczekiwane jest, aby dokonały tłumaczenia tekstów i wdrożyły je w sposób możliwie wiernie odzwierciedlający założenia tekstu źródłowego. W takich przypadkach wydaje się, że praca działu compliance jest bardzo ograniczona i wiele nie można zrobić. Nic bardziej mylnego. Praca nad procedurą otrzymaną „z góry” nie powinna ograniczać się do jej przetłumaczenia i przyjęcia. Konieczne jest również jej przełożenie na lokalne uwarunkowania prawne, a także kulturowe.

Przykładem konieczności podejmowania analizy prawnej procedur na poziomie lokalnym  mogą być tzw. facility payments stanowiące drobne płatności na rzecz funkcjonariuszy publicznych mające na celu szybsze rozpatrzenie przez nich spraw. Takie płatności są na przykład dopuszczalne (jeśli spełniają określone warunki) zgodnie z amerykańską regulacją FCPA [1], podczas gdy zgodnie z prawem polskim nie ma przewidzianych dopuszczanych gratyfikacji na rzecz funkcjonariuszy publicznych. Polski kodeks karny stanowi, że wszelkie gratyfikacje mające usprawnić rozpoznanie sprawy przez funkcjonariusza publicznego będą stanowiły przestępstwo [2]. W takim przypadku ograniczenie się do przetłumaczenia na język polski procedury zawierającej dopuszczalne formy facility payments będzie działaniem niewłaściwym a wręcz bardzo ryzykownym.

Poza aktualizacją procedur w sferze prawnej, konieczne będzie również zwrócenie uwagi na adekwatność przykładów w nich zawartych. Jak wynika z badania przeprowadzonego przez King’s College London oraz Ipsos w 2020 r. [3] – poziom akceptacji społecznej na przejawy działań mogących zostać ocenionych jako molestowanie seksualne lub mobbing jest w Stanach Zjednoczonych na zupełnie innym poziomie niż w Polsce. Odpowiadając na pytanie o to, czy akceptowalne jest opowiadanie historii lub żartów o podtekście seksualnym, jedynie 10% ankietowanych z US odpowiedziało, że jest to akceptowalne a 86% że nieakceptowalne. Ankietowani pochodzący z Polski mieli inne zdanie – 27% uznało że takie zachowania są akceptowalne a jedynie 58%, że nieakceptowalne. Równie istotne różnice widoczne były w odpowiedziach na pytanie, czy respondent czułby się pewnie reagując na seksistowski komentarz współpracownika [4].

Dlatego też przykłady pochodzące z procedur opracowanych w innych porządkach prawnych powinny na gruncie polskim zostać zmienione i odpowiednio dostosowane tak, aby odzwierciedlały realne wątpliwości ich użytkowników. W Polsce bowiem wciąż zbyt często przejawy molestowania seksualnego tłumaczone są jako „nieszkodliwy, sprośny żart”. 

Podsumowanie

Projektując system compliance należy podjąć starania, aby każdy pracownik zachowywał się w sposób prawidłowy, zgodny z oczekiwaniami pracodawcy, wynikającymi m.in. w procedur wewnętrznych – tak właśnie działa kultura compliance. Ten schemat działania pracowników pomoże zapobiec nieprawidłowościom albo ujawnić te, które już wystąpiły i podjąć wobec nich środki zaradcze. O tym, czy kultura compliance wpisze się w codzienne zachowania pracowników, z dużym prawdopodobieństwem zadecyduje nie kompleksowość procedury i jej wyczerpująca merytorycznie treść, ale właśnie jej łatwość w odbiorze i użytkowaniu.

Jeśli zatem pracodawca posiada już kompleksowe regulacje compliance a jednocześnie ma poczucie, że budowanie kultury compliance wciąż wymaga pracy, warto sięgnąć po opisane wyżej narzędzia, które – angażując stosunkowo mały nakład pracy – mogą przynieść wymierne efekty.

Przypisy:

[1] Foreign Corrupt Practices Act.

[2] Art. 229 § 1 Kodeksu karnego.

[3] international-womens-day-2020.pdf (squarespace.com)

[4]
US – gdy seksisowski komentarz pochodzi od współpracownika na wyższym szczeblu, 53% procent respondentów czułaby się pewnie reagując na niego, a w przypadku, gdy pochodzi od współpracownika na niższym szczeblu 65%.
PL – gdy seksisowski komentarz pochodzi od współpracownika na wyższym szczeblu, 32% procent respondentów czułaby się pewnie reagując na niego, a w przypadku, gdy pochodzi od współpracownika na niższym szczeblu 36%.

 

Napisz do autora:

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Fakultatywne elementy wewnętrznego systemu zgłaszania naruszeń

Fakultatywne elementy wewnętrznego systemu zgłaszania naruszeń

Czytaj: 4 min

Zgodnie z opublikowanym w lipcu 2022 r. projektem ustawy o ochronie osób zgłaszających naruszenia prawa (dalej: „projekt ustawy”), podmioty prywatne na których rzecz wykonuje lub świadczy pracę więcej niż 50 osób będą miały obowiązek wdrożenia wewnętrznej procedury zgłaszania naruszeń. Wdrażając wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych, podmiot wdrażający ma możliwość uwzględnienia w niej pewnych elementów fakultatywnych.

Swoboda decyzyjna pozostawiona podmiotom wdrażającym determinuje konieczność przeprowadzenia analizy, które z możliwych elementów fakultatywnych będą miały korzystny wpływ na funkcjonowanie systemu zgłaszania nadużyć. W zależności od kultury organizacyjnej oraz ostatecznego kształtu stosowanych rozwiązań mogą one zaważyć na funkcjonowaniu wewnętrznego kanału zgłoszeń (zgłoszenia anonimowe), a także wpłynąć korzystnie na budowanie kultury compliance w organizacji i wspierać działanie przedsiębiorstwa (możliwość zgłoszenia naruszenia procedur wewnętrznych i standardów etycznych).

Dlatego też przy wdrażaniu poszczególnych rozwiązań wynikających z projektu ustawy, nie warto ograniczać się do wypełnienia „wariantu minimum”.

Możliwość zgłoszenia naruszenia procedur wewnętrznych

Projekt ustawy przewiduje katalog naruszeń prawa, które pracownik powinien móc zgłosić poprzez wewnętrzny system. W zbiorze określonym w art. 3 ust. 1 projektu ustawy umieszczono takie dziedziny prawa jak m.in. zamówienia publiczne, ochrona konsumentów, ochrona środowiska i ochrona prywatności i danych osobowych [1].

Na podstawie art. 3 ust. 2 projektu ustawy – tworząc wewnętrzny system zgłaszania naruszeń prawa – podmiot wdrażający może rozszerzyć zakres jego stosowania o możliwość zgłaszania naruszeń dotyczących regulacji wewnętrznych lub obowiązujących standardów etycznych [2].

Pomimo tego, że wprowadzenie możliwości zgłaszania naruszeń regulacji wewnętrznych jest fakultatywne, w mojej ocenie warto dokonać takiego rozszerzenia.

Po pierwsze bowiem, dla budowania kultury compliance w przedsiębiorstwie niezwykle istotne jest, aby nadać regulacjom wewnętrznym odpowiednią doniosłość i pokazać, że ich przestrzeganie jest ważne. Umożliwienie pracownikom zgłaszania naruszeń procedur wewnętrznych realizuje to założenie. W zakresie raportowania nieprawidłowości, takie rozwiązanie stawia regulacje wewnętrzne na jednym poziomie z przepisami powszechnie obowiązującego prawa. Pozostawienie procedur wewnętrznych poza zakresem potencjalnych zgłoszeń daje natomiast sygnał, że ich przestrzeganie jest dla przedsiębiorcy mniej istotne.

Po drugie, pracownicy nie zawsze będą w stanie rozpoznać, czy dane naruszenie, które zaobserwowali, stanowi naruszenie przepisów prawa, czy wyłącznie procedury wewnętrznej. W interesie pracodawcy natomiast jest, aby nie musieli się oni zastanawiać nad rozróżnieniem tych kwestii i odpowiednim zakwalifikowaniem danego zachowania. Dla zapewnienia efektywności funkcjonowania systemu zgłoszeń pracownicy powinni mieć możliwość zgłoszenia wszelkich sytuacji, w których upatrują „nieprawidłowość”. Natomiast jej zaszeregowanie do kategorii naruszeń prawa lub naruszeń procedur wewnętrznych powinno być zastrzeżone dla osób posiadających odpowiednie kompetencje. Co istotne, niekiedy naruszenie procedur wewnętrznych może bowiem wygenerować dla przedsiębiorcy ryzyka większe niż naruszenia prawa – szczególnie w obszarach reputacyjnych.

Po trzecie, sygnalizowany powyżej potencjalny brak wiedzy jak zaszeregować dane zdarzenie może odstraszać potencjalnych sygnalistów. Jeśli bowiem system zgłaszania nieprawidłowości będzie dotyczył (a przy tym i chronił) wyłącznie zgłaszających naruszenia prawa, to część z potencjalnych sygnalistów może nie zdecydować się na dokonanie zgłoszenia w obawie przed błędnym zaszeregowaniem zgłoszenia, a co za tym idzie, nieobjęciem zgłaszającego ochroną. W konsekwencji, zarówno po stronie osób zgłaszających, jak i organizacji takie rozwiązanie zwiększa efektywność funkcjonowania systemu zgłoszeń. Osoba raportująca jest bowiem zwolniona z obowiązku dokonywania wstępnej analizy rodzaju zgłoszenia, natomiast organizacja zwiększa zakres przedmiotowy kwestii objętych funkcją nadzorczą realizowaną przez system compliance.

Z tych względów, tworząc wewnętrzne procedury i system zgłaszania naruszeń, warto przewidzieć w nich możliwość zgłaszania naruszeń regulacji wewnętrznych i przyznać zgłaszającym takie naruszenia ochronę tożsamą do tej, która udzielana jest w przypadku zgłoszeń naruszenia prawa.

Zgłoszenia anonimowe

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „Dyrektywa”), której implementacją ma być projekt ustawy przewiduje swobodę państw członkowskich w podjęciu decyzji, czy podmioty będą miały obowiązek przyjmowania zgłoszeń anonimowych [3].

Anonimowość należy odróżnić od poufności zgłoszenia. O ile poufność stanowi w zasadzie standard funkcjonowania współczesnych systemów compliance i dotyczy ograniczenia kręgu osób, które mają dostęp do informacji na temat osoby dokonującej zgłoszenia, o tyle anonimowość zakłada całkowity brak możliwości identyfikacji osoby dokonującej zgłoszenie. W konsekwencji, umożliwienie dokonywania zgłoszeń anonimowych wymusza wdrożenie odpowiednich narzędzi w zakresie kanałów komunikacji (np. zastosowanie oprogramowania szyfrującego i usuwającego wszelkie dane, umożliwiające zidentyfikowanie osoby raportującej).

W projekcie ustawy, polski ustawodawca nie zdecydował się na zobowiązanie podmiotów do przyjmowania zgłoszeń anonimowych, a jedynie zapewnił, że osoby, które dokonają zgłoszenia anonimowego a następnie ujawnią swoją tożsamość (albo zostaną zidentyfikowane) będą podlegać ochronie wynikającej z projektowanej ustawy.

Takie rozwiązanie, choć spełniające wymogi Dyrektywy, powoduje, że w rzeczywistości bardzo duża część naruszeń może nigdy nie zostać zgłoszona. Z danych dostępnych w raportach na temat funkcjonowania systemów compliance w organizacjach wynika bowiem, że prawie 75% zgłoszeń, to zgłoszenia anonimowe [4]. Statystyka ta wynika głównie z faktu, że obawa przed działaniami odwetowymi może być dla pracowników paraliżująca.

Z tych względów, projektując procedurę zgłaszania naruszeń prawa i działań następczych, warto przewidzieć możliwość dokonywania anonimowych zgłoszeń i zapewnić odpowiednie narzędzia techniczne, które będą umożliwiały dokonywanie takich zgłoszeń. Projekt ustawy nie ogranicza takiej możliwości.

Należy bowiem mieć na względzie, że w toku postępowania wyjaśniającego anonimowy zgłaszający będzie mógł – w oparciu o zbudowane zaufanie – ujawnić swoją tożsamość. Można natomiast mieć pewność, że dla części zgłaszających podjęcie już na wstępie decyzji o ujawnieniu nieprawidłowości połączonym z ujawnieniem swojej tożsamości będzie stanowiło barierę nie do przejścia.

Przypisy:

[1] W katalogu tym nie znalazły się naruszenia z zakresu prawa pracy ani bezpieczeństwa i higieny pracy, przy czym należy mieć nadzieję, że ta kwestia zostanie zmieniona w toku dalszych prac nad projektem ustawy.

[2] W przypadku takiego rozszerzenia zakresu przedmiotowego dokonywanych zgłoszeń, nie będą miały do niego zastosowania rozdziały projektu ustawy dotyczące zgłoszeń zewnętrznych i ujawnienia publicznego.

[3] W zakresie, w którym taki obowiązek nie wynika z już obowiązujących przepisów tj. przepisów AML, prawa bankowego i ustawy o ofercie publicznej, które wprowadzają obowiązek ustanowienia anonimowych kanałów zgłaszania naruszeń.

[4] Dane za PwC: https://www.pwc.pl/pl/pdf/sygnalista-po-polsku-poradnik-pwc.pdf

 

Napisz do autora:

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Pin It on Pinterest