W poprzednim artykule na temat compliance w małych i średnich firmach (LINK) wyjaśniliśmy na czym polega compliance i wskazaliśmy argumenty przemawiające za skorzystaniem z tego instrumentu. Tym razem piszemy o tym, które obszary działalności firmy warto objąć compliance.

Nie istnieje katalog procedur czy polityk, które muszą, czy nawet powinny, być wdrożone w ramach CMS. Norma ISO 19600 ma charakter ogólny, co pozwala korzystać z niej przy budowaniu CMS w różnych przedsiębiorstwach, działających na różnych polach biznesowych. Nie jest zatem możliwe stworzenie uniwersalnego kompletu polityk czy procedur compliance. Najistotniejsze jest zdefiniowanie ryzyk, które mogą wiązać się z zakresem działalności danego przedsiębiorcy i dopasowanie tworzonego systemu zarządzania zgodnością do jego indywidualnych potrzeb. Jako przykładowe obszary, które mogą generować ryzyko odpowiedzialności (karnej, cywilnej, lub administracyjnej), a przez to powinny być objęte systemem compliance można wskazać:

• prawo pracy – w tym zakresie jest bardzo wiele regulacji nakładających liczne obowiązki na pracodawcę. Ich niewypełnienie, czy choćby brak należytej staranności w relacjach z pracownikiem, może skutkować poważnymi konsekwencjami dla przedsiębiorcy. Odpowiedzialność po stronie pracodawcy może rodzić choćby zawarcie niewłaściwej umowy (np. umowy cywilnoprawnej tam, gdzie powinna być umowa o pracę), niezgodne z prawem rozwiązanie umowy, nieprzestrzeganie zasad organizacji i czasu pracy, czy brak wymaganej dokumentacji pracowniczej. Obszar ten obejmuje również kwestie odpowiedzialności za zachowanie zasad BHP i realizację obowiązku przeprowadzania odpowiednich szkoleń, szczególnie istotne jeśli istnieje poważniejsze ryzyko wypadku przy pracy;
• ochrona danych osobowych – wraz z wejściem w życie RODO i nowej ustawy o ochronie danych osobowych istotnie wzrosło ryzyko związane z nieprzestrzeganiem przepisów dotyczących ochrony danych osobowych, a to z uwagi na wprowadzenie możliwości nakładania przez Urząd Ochrony Danych Osobowych kar na podmioty dopuszczające się naruszeń w tym zakresie;
• prowadzenie ksiąg i rachunkowość oraz prawo podatkowe – nieprowadzenie ksiąg, podawanie nierzetelnych danych, nieskładanie wymaganych prawem deklaracji lub sprawozdań, czy wreszcie nieuiszczanie należnych podatków może rodzić odpowiedzialność finansową i karnoskarbową. Także zmiany w zakresie prawa podatkowego i niejednolite interpretacje przepisów wymagają szczególnej staranności w tym zakresie, a także stałego monitoringu zmian prawnych;
• wypełnianie wymogów wynikających z prawa spółek – prowadzenie spraw spółki wiąże się z ryzykiem niedopełnienia obowiązków wynikających z kodeksu prawa handlowego, czy ustawy o krajowym rejestrze sądowym. Prawo spółek przewiduje szereg obowiązków, jak na przykład złożenie listy wspólników do sądu rejestrowego, zgłaszanie do rejestru dokonywanych zmian w terminie, prowadzenie księgi udziałów, których niespełnienie może wiązać się z odpowiedzialnością karną. Pewne działania czy zaniechania mogą też warunkować odpowiedzialność cywilną – odpowiedzialność odszkodowawczą mogą ponosić np. członkowie zarządu, jeśli nie złożą w terminie wniosku o ogłoszenie upadłości;
• prawo konkurencji – działając na rynku i konkurując z innymi przedsiębiorcami należy pamiętać, że nie wszystkie chwyty są dozwolone. Niektóre działania mogą stanowić czyny nieuczciwej konkurencji i narażać przedsiębiorcę na odpowiedzialność cywilną, inne zaś być przedmiotem zainteresowania Urzędu Ochrony Konkurencji i Konsumentów jako niedozwolone porozumienia ograniczające konkurencję. Nie można też zapominać o tym, że na szczególną uwagę zasługują prawa konsumentów i wyeliminowanie ze swojej praktyki działań mogących naruszać ich interes;
• ochrona środowiska – prawo ochrony środowiska to szeroki zestaw aktów prawnych, które należy stosować, a niełatwo się w nich poruszać. Niedopełnienie obowiązków, brak odpowiednich zezwoleń czy zgłoszeń do rejestru może skutkować poważnymi karami;
• regulacje sektorowe – każdej z branż, jak choćby farmaceutycznej, telekomunikacyjnej czy przewozowej, dotyczą szczególne regulacje, związane z pozyskiwaniem pozwoleń, spełnianiem szczególnych wymogów bieżącej działalności, oraz aktów organów regulujących dany rynek. Przepisy te bardzo często przewidują poważne konsekwencje niewypełniania wymogów prawnych ciążących na przedsiębiorcach, zarówno w postaci kar administracyjnych, jak i odpowiedzialności karnej;
• relacje z kontrahentami – weryfikacja wiarygodności kontrahenta przekłada się obecnie nie tylko na bezpieczeństwo transakcji, ale może też wiązać się z innymi konsekwencjami, np. pominięcie sprawdzenia, czy kontrahent znajduje się na tzw. „białej liście” może rodzić skutki podatkowe i finansowe dla przedsiębiorcy;
• odpowiedzialność związana z korupcją, zagraniczne przepisy antykorupcyjne – ta dziedzina jest przedmiotem szczególnego zainteresowania CMS. Chodzi o ochronę przed wszelkimi działaniami mogącymi budzić podejrzenia nieuprawnionego wpływania na urzędników, a niekiedy nawet kontrahentów. Stąd polityki antykorupcyjne i polityki prezentowe są nieodłącznym elementem CMS.

Powyższe wyliczenie jest przykładowe. Każdy przedsiębiorca, decydując się na wdrożenie CMS, powinien przeprowadzić własną analizę ryzyka i ocenić, biorąc pod uwagę branżę w jakiej działa, wielkość i specyfikę organizacji, na jakich polach narażony jest na największe zagrożenie nieprawidłowościami. Te zakresy działalności, gdzie ryzyko jest największe, powinny być włączone do CMS.

Anna Gąsecka, adwokat w Kancelarii Brzezińska Narolski Adwokaci. Specjalizuje się w prawie telekomunikacyjnym, prowadzi obsługę korporacyjną firm z branży telekomunikacyjnej, farmaceutycznej, dystrybucyjnej i usługowej, posiada certyfikat Approved Compliance Officer (ACO).