Zarządzanie zgodnością w przedsiębiorstwach przeżywa istny boom implementacyjny wśród polskich przedsiębiorców. Do niedawna compliance było znanym pojęciem jedynie dla spółek będących podmiotami związanymi z zagranicznymi spółkami – matkami. Dziś, ze względu na postępującą globalizację, silny wzrost gospodarczy i regularne wdrażanie rozwiązań międzynarodowych do polskiego porządku prawnego compliance już nie jest „nice to have”, ale po prostu „must have”, co skutkuje również pojawieniem się nowego zawodu prawniczego, jakim jest stanowisko Compliance Officera.

Pojęcie compliance

Compliance, czyli zarządzanie zgodnością, to materia intra- i interdyscyplinarna, która wymaga stosowania różnych dziedzin nauk, w szczególności: prawa, zarządzania przedsiębiorstwem, informatyki oraz zarządzania projektami. Osoby zatrudnione w dziale compliance odpowiedzialne są za koordynowanie działań danej organizacji w sposób zgodny z obowiązującym prawem krajowym jak i międzynarodowym. Immanentnym elementem skutecznej kontroli wewnętrznej w zakresie zgodności z prawem jest Compliance Management System. Jest to system zarządzania zgodnością opracowany na potrzeby danej organizacji, biorąc pod uwagę charakter prowadzonej działalności, strukturę organizacyjną, zasoby pieniężne i osobowe. W bardzo dużym uproszczeniu oparty jest na znanym z zarządzania projektami cyklu Deminga: „Plan-Do-Check-Act” (zaplanuj, działaj, sprawdź, reaguj). Ma na celu zagwarantowanie ciągłego ulepszania procesu monitorowania zgodności z prawem działania przedsiębiorstwa. Konkretne przykłady elementów, jakie są pod kontrolą „CMS” są płynne, jednak najbardziej powszechne to na np.: weryfikacja partnerów biznesowych, zgodność z prawem konkurencji i konsumentów, przeciwdziałanie korupcji, HR compliance (zarządzanie zgodnością w dziale kadr: przeciwdziałanie dyskryminacji, mobbingowi, weryfikacja współpracy z agencjami pracy tymczasowej etc.), przetwarzanie danych osobowych czy zgodność podatkowa przedsiębiorstwa (tax compliance). Warto również wspomnieć o regulacjach będącymi „dobrymi praktykami” (soft law), które nie są regulowane na poziomie ustawodawczym. Są to w szczególności międzynarodowe normy Międzynarodowej Organizacji ds. Standaryzacji (ISO), Dobre Praktyki Spółek notowanych na Giełdzie Papierów Wartościowych 2021, wytyczne Centralnego Biura Antykorupcyjnego dla sektora publicznego i sektora przedsiębiorców. Na szczególną uwagę zasługują normy ISO, które nie tylko skutecznie pomagają w poprawnej konstrukcji danych procedur, ale również (po uzyskaniu certyfikacji) stanowią świadectwo zgodności procesów z prawem dla kontrahentów biznesowych. 

Oprócz formuły kontrolnej i audytowej, funkcja compliance może przyjmować formułę doradczą dla działań biznesowych. W znacznej większości przedsiębiorstw tak faktycznie się dzieje, szczególnie gdy dział prawny połączony jest z działem compliance osobowo. Nowoczesny CMS powinien pełnić rolę nie tylko mitygującą i wskazującą zagrożenia, ale również musi wspomagać aktywnie biznes i ułatwiać działania komercyjne. Skuteczny CMS nie powinien jedynie pokazywać zagrożenia i polaryzować rekomendacje dla zarządu danej spółki, ale przedstawiać rozwiązania prowadzące do jak największego zmniejszenia prawdopodobieństwa wystąpienia danego zagrożenia oraz jego skutków. A zagrożeń jest wiele. Oprócz ryzyk pieniężnych (odszkodowania, zadośćuczynienia, kary administracyjne), wizerunkowych (ryzyko utraty partnerów biznesowych, którzy coraz częściej wymagają od swoich partnerów wprowadzenia zasad etycznych), istnieje również ryzyko w postaci odpowiedzialności karnej członków zarządów i innych osób decyzyjnych w danej spółce. Warto jednak zaznaczyć, że specyfika prawa karnego powoduje, że nie można mówić o zapewnieniu zgodności działalności gospodarczej z prawem karnym, ponieważ rozproszenie przepisów szczególnych niektórych ustaw (znanych w poszczególnych ustawach jako „przepisy karne”) szczególnie utrudnia ograniczenia wystąpienia danego ryzyka. Przestępstwa gospodarcze są zawarte w rozdziale XXXVI kodeksu karnego. Przykładowo można wyliczyć najczęstsze dla compliance typy czynów zagrożonych: karalna niegospodarność (art. 296 § 1-4 k.k.), czynne i bierne łapownictwo menedżerskie (art. 296a § 1-4 k.k.), oszustwo finansowe (art. 297 § 1 k.k.), pranie pieniędzy (art. 299 § 1, 2 oraz 5-6a k.k.) czy udaremnienie zaspokojenia wierzyciela (art. 300 § 1-3 k.k. oraz art. 301 k.k.). Warte podkreślenia jest również, że większość przepisów związanych z przestępstwami w obrocie gospodarczym ma charakter umyślny: w zamiarze ewentualnym lub pośrednim. Towarzyszy im zatem przewidywanie zaistnienia określonych następstw, na które sprawca się godzi. Przestępstwami stypizowanymi w ustawach szczególnych są np. art. 156 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowania terroryzmu (przestępstwa związane z niedopełnieniem obowiązków ustawowych) czy art. 586 kodeksu spółek handlowych (niezgłoszenie upadłości). 

To lakoniczne streszczenie istoty compliance oraz CMS ma na celu wskazanie ekstraordynaryjnej charakterystyki tego zagadnienia i udowodnienie potrzeby jego posiadania w każdym przedsiębiorstwie, ponieważ może pomóc w udowodnieniu dochowania należytej staranności. Osobą, która koordynuje i zarządza całym tym procesem jest Compliance Officer, który bardzo często wykonuje swoje zadania we współpracy z prawnikiem in house.

Compliance Officer

Funkcja oficera compliance nie została prawnie uregulowana. Zakres obowiązków osoby na tym stanowisku ustalany jest umownie biorąc pod uwagę charakter działalności danego przedsiębiorstwa oraz bieżące potrzeby. W praktyce, compliance officerem jest często osoba wykonująca zadania prawnika in house, a nawet inspektora danych osobowych. Warto wskazać, że połączenie roli compliance oficera i inspektora danych osobowych nie znajduje aprobaty wśród przedstawicieli tych zawodów (zbyt duży zakres obowiązków, niedający się połączyć w „jednym etacie”) oraz organów administracji publicznej krajów członkowskich UE (Belgijski Urząd Ochrony Danych Osobowych 28 kwietnia 2020 r. nałożył grzywnę w wysokości 50.000,00 EUR na spółkę, w której łączono te dwa stanowiska). Należy jednak pamiętać, że zakres obowiązków oficera compliance zależny jest od profilu działalności danej spółki. Compliance Officer nie tylko powinien posiadać odpowiednią wiedzę z wielu dziedzin prawa, ale również rozwinięte umiejętności miękkie, analityczne, zdolności przywódcze i inne (np. umiejętność wzbudzania zaufania, otwartość i zdolności komunikacyjne). Nierozerwalnym kompanem oficera compliance jest również stres i naciski ze strony np. zarządu, który może nie podzielać licznych obaw przedstawianych w wyniku przeprowadzonego audytu danej dziedziny CMS. Znaczna większość oficerów compliance ma wykształcenie prawnicze i są przyporządkowani organizacyjnie prezesowi zarządu i wskazanemu członkowi zarządu. W zakresie umiejscowienia pozycji Compliance Officera należy wskazać, że powinien być on w pełni niezależny (podobny wymóg jest wskazany w RODO, dotyczący funkcji Inspektora Ochrony Danych). Aby mógł w sposób rzeczywisty wywiązywać się ze swoich obowiązków, oficer compliance powinien mieć szereg uprawnień, w szczególności: mieć bezpośredni kontakt z członkami zarządu i rady nadzorczej, wstęp na posiedzenia zarządu i rady nadzorczej, dostęp do istotnych dokumentów, jak i mieć dokładnie określone uprawnienia kontrolne nienaruszające właściwości innych działów przedsiębiorstwa. 

Compliance Officer
– ciekawa alternatywa

Praca w roli compliance officera może być intratną drogą po ukończeniu studiów prawniczych, a nawet szansą na przebranżowienie. Z roku na rok zauważany jest postęp w rozwoju sektora zarządzania zgodnością z przepisami w przedsiębiorstwach. W 2018 roku 20% mniej ankietowanych oficerów compliance wskazywało wykształcenie prawnicze niż w 2021 roku, co sugeruje coraz większe zainteresowanie tym zawodem wśród absolwentów studiów prawniczych. Nie można odmówić tematyce compliance multizadaniowości, wymagających zadań i ciekawych codziennych obowiązków. Pewnym jest, że z biegiem czasu zawód Compliance Officera będzie coraz bardziej doceniany i pożądany. •