VIII. Polsko-Niemieckie Forum Compliance
„Compliance w aktualnej praktyce“
28. września 2017
„Compliance w aktualnej praktyce“ stanowiło temat przewodni VIII. Polsko-Niemieckiego Forum Compliance, które odbyło się dn. 28.09.2017 w Warszawie. Konferencja była poświęcona trzem dużym i doniosłym tematom. Po pierwsze, omawiane były aktualne trendy rozwojowe compliance w wybranych krajach i w ujęciu globalnym. Po drugie, dyskutowano jak najefektywniej wykorzystywać narzędzia IT w działaniach compliance oraz jaka jest rola compliance w zapewnianiu bezpieczeństwa danych w organizacji. Po trzecie, omawiano założenia polskiego projektu ustawy dot. ochrony sygnalistów i analizowano dotychczasowe doświadczenia w tym zakresie. Forum zostało zorganizowane przez Viadrina Compliance Center przy Europejskim Uniwersytecie Viadrina we Frankfurcie nad Odrą, Wydział Prawa i Administracji Uniwersytetu Warszawskiego oraz Instytut Compliance. Patronat medialny nad konferencją objęło wydawnictwo Wolters Kluwer.
Otwarcie konferencji
Forum rozpoczęło się od uroczystego powitania zgromadzonych gości. Uroczystego otwarcia konferencji dokonali Prof. dr hab. Tomasz Giaro (Dziekan Wydziału Prawa i Administracji Uniwersytetu Warszawskiego), Rolf Nikiel (Ambasador Republiki Federalnej Niemiec w Polsce), Michał Cieciórski (Wiceprezes Zarządu Giełdy Papierów Wartościowych w Warszawie), Roland Fedorczyk (Dyrektor Generalny Polsko-Niemieckiej Izby Przemysłowo Handlowej) oraz Prof. Dr. Bartosz Makowicz (Kierownik Viadrina Compliance Center). W tej części konferencji wskazano na rozwój funkcji compliance w Polsce i w Niemczech oraz podkreślono doniosłość podtrzymywania i rozwijania relacji polsko-niemieckich w celu wypracowywania wspólnych rozwiązań.
Keynote 1
Pierwszy panel konferencji był poprzedzony wykładem honorowym Prof. dr hab. Michała Romanowskiego, (Kancelaria „Romanowski i Wspólnicy“), pt. „Twardość miękkiego prawa w kontekście odpowiedzialności za compliance in action w organizacji“. Prof. Romanowski zdefiniował miękkie prawo jako umowę środowiskową biznesu. Adresaci miękkiego prawa sami tworzą środowiskowy standard postępowania, aby był on przestrzegany. W opinii prelegenta każdy, kto aprzyjął miękkie prawo, sam narzucił sobie standard postępowania i związane z tym wymagania. Miękkie prawo oznacza „żyć własnym życiem“, natomiast życie uczy twardości, czyli odpowiedzialności. Tam, gdzie jest prawo, jest odpowiedzialność, a więc twardość. Compliance to jeden z najlepszych sposobów na eliminowanie nieprawidłowości w spółce, w związku z czym jego brak oznacza rzeczywiste straty.
1. Panel: Co w trawie piszczy, czyli aktualne trendy compliance w kraju i na świecie.
Pierwszy panel konferencji był poświęcony aktualnym trendom compliance w kraju i na świecie, który był moderowany przez Marcina Szczepańskiego, (Siemens Sp. z o.o.).
Pierwszy wykład wygłosił Michael Kayser (Idox Compliance). W swoim wystąpieniu opowiedział o normach ISO19600 oraz ISO37001. Z uwagi na dynamiczny rozwój gospodarczy pojawiła się potrzeba stworzenia międzynarodowych, uniwersalnych standardów dla systemów zarządzania compliance. Normy te stanowią wskazówki, jak ukształtować sprawnie działający system compliance i umożliwiają wdrożenie indywidualnych rozwiązań, dostosowanych do danej organizacji. Z uwagi na dużą elastyczność mogą być zastosowane zarówno przez małe i średnie przedsiębiorstwa, jak i koncerny.
Następnie wykład wygłosił Anatoly Yakorev, (Center for Bussiness Ethics & Compliance na Międzynarodowym Uniwersytecie w Moskwie). W swoim wytąpieniu opowiedział o doświadczeniach compliance z rosyjskiej perspektywy. Przyznał, że etyczne kierownictwo i postępowanie zgodnie z zasadami są podstawą dla dobrze funkcjonującego compliance.
O ukształtowaniu systemu zarządzania compliance opowiedział kolejny prelegent, Tomasz Kruk (Vifor Pharma). W swoim wystąpieniu skoncetrował się na tym, jak powinnien wyglądać i kogo dotyczyć program compliance. W opinii prelegenta system zarządzania compliance powinnien być nieskomplikowany i niedrogi – zapewnie zgodności z prawem nie może być droższe od braku zgodności, forma programu powinna zależeć od skali i rodzaju prowadzonej działalności, powinnien zapewniać pełną ochronę i być zachętą dla sygnalistów działających w dobrej wierze. Istotnym elementem jest także sprawdzenie parnterów biznesowych i pracowników. Nie może również zabraknąć dotkliwych sankcji za naruszenia prawa bądź działania nieetyczne. Ponadto, zdaniem Kruka, nieznajomość różnic kulturowych szkodzi. W celu efektywnego wdrożenia programu compliance konieczne jest poznanie miejscowych zwyczajów i kultury.
Ostatni wykład w pierwszym panelu konferencji wygłosił Prof. Dr. Peter Fissenewert (Kancelaria Buse Heberer Fromm). Prof. Fissenewert podkreślił, że funkcja compliance coraz bardziej zyskuje na znaczeniu, również w małych i średnich przedsiębiorstwach. Powodem tego jest osobista odpowiedzialność jednostki za powstałe nieprawidłowości, ugruntowana przez niemieckie orzecznictwo. Zgodnie z wyrokiem Federalnego Trybunału Sprawiedłiwości [1] dobrze fukncjonujący system compliance może stanowić okoliczność łagodzącą w przypadku dokonania naruszenia prawa w przedsiębiorstwie przez pracownika. Brane pod uwagę bedą przy tym takie okoliczności jak to, czy i w jaki sposób przedsiębiorstwo optymalizuje słabe punkty systemu, które zidentyfikowało.
Keynote 2
O aktualnych kierunkach rozowioju norm ISO opowiedział Prof. Makowicz, (Kierownik Viadrina Compliance Center). Prof. Makowicz podkreślił, że system zarządzania compliance ma na celu wzprowadzenie organizacji z chaosu. Brak jest globalnego ustawodawcy ale istnieje zasadnicza potrzeba bezpiecznego obrotu gospodarczego. Przede wszystkim zauważalny jest wzrost znaczenia compliance i intergity oraz duża percepcja ISO. Z tego względu, aby sprostać potrzebą gospodarczym, trwaja obecnie pracę nad nowymi normami reguląjącymi „Governace of Organizations“ oraz „Whistleblowing“. Co więcej, zaktualizowane mają zostać również normy ISO 19600 oraz ISO 37001. Nowością będzie również możliwość certyfikacji według normy ISO 19600.
Panel 2: Prawo + IT = compliance? Bezpieczeństwo danych, zarządzanie procesem compliance, czyli jak efektywnie wykorzystywać narzędzia IT w działaniach compliance
Drugi panel dotyczył kwestii efektywnego wykorzystania narzędzi IT w działaniach compliance i moderowany był przez Andrzeja Bajora (Boehringer Ingelheim).
Jako pierwszy głos zabrał Richard Huber (Fraunhofer-Institut für Offene Kommunikationssysteme, FOKUS). W swoim przemówieniu zwrócił uwagę na to, iż świadome zarządzanie compliance oznacza nie tylko przestrzeganie prawa oraz stosowanie się do wewnętrznych regulaminów firmy, lecz także zapewnienie ochrony danych osobowych. Podkreślił, iż w dobie digitalizacji przedsiębiorstwa powinny kłaść szczególny nacisk na zagwarantowanie ochrony informacji oraz bezpieczny obrót danymi.
W drugiej kolejności wypowiedział się Piotr Welenc (Wolters Kluwer Polska S.A.), który zaprezentował OneSumX for Customer Due Diligence – internetowe narzędzie wspomagające zapewnienie zgodności z wymogami programów CIP, Customer Due Dilligence i Identity Theft. Rozwiązanie to umożliwia automatyzację procesu weryfikacji tożsamości, począwszy od otwarcia rachunku aż po archiwizację akt. Wystarczy jedno logowanie, aby ustalić tożsamość klientów, prześwietlić klientów o wysokim ryzyku a także ocenić ich potencjalne ryzyka.
Następnie przemawiał Wojciech Niezgodziński (EY), który porównał warunki pracy osób zatrudnionych w działach compliance kiedyś i dziś. Podstawowymi narzędziami pracy osób zatrudnionych w działach compliance zwykły być arkusze kalkulacyjne, statyczne wykresy i prezentacje. Informacje o dostawcach przechowywano w teczkach i segregatorach. Obecnie praca oficerów compliance może być ułatwiona poprzez zastosowanie nowoczesnych rozwiązań IT, takich jak: Compliance & Ethics Navigator – narzędzie ułatwiające diagnostykę kluczowych obszarów zainteresowań działów compliance czy też narzędzia do analizy i wizualizacji danych, takie jak Spotfire czy Power BI, które umożliwiają bieżące monitorowanie transakcji. Natomiast zwiększenie efektywności nadzoru nad łańcuchem dostaw zapewnia narzędzie do zarządzania ryzykami etycznymi, społecznymi i środowiskowymi w łańcuchu dostaw – telESCope – Ethical Supply Chain.
Ostatnim wystąpieniem drugiego panelu było przemówienie Helmuta Sauro (KrollDiscovery), który zwrócił uwagę na trudności, jakie wiążą się z przeprowadzaniem audytów compliance. Polegają one na konieczności przefiltrowania i oceny relewantnych/krytycznych informacji spośród ogromnej ilości zapisanych elektronicznie danych w możliwie krótkim czasie. Aby ograniczyć ten zbiór informacji i jednocześnie w wyniku audytu compliance uzyskać obraz możliwie wiernie oddający rzeczywistość, standardowo używa się słów-kluczy (keywords). Ta metoda jednak nie zawsze jest skuteczna, gdyż niejednokrotnie nie pozwala uzyskać takiego przeglądu danych, który może być w przewidywanym bądź określonym czasie przeszukany pod kątem relewantnych informacji. Ponadto metoda ta niesie za sobą ryzyko nieuwzględnienia takich dokumentów czy e-maili, które zawierają istotne informacje, ale w których nie występują słowa-klucze. Odpowiedzią na niedoskonałości filtrowania informacji za pomocą słów-kluczy jest Technology Assisted Review – program, który na polecenie człowieka samodzielnie dokonuje analizy treści dokumentów i na tej podstawie hierarchizuje je ze względu na ich relewantność. TAR samodzielnie wskazuje linie i treści komunikacyjne dokumentów. Ponadto program ten, na podstawie analizy treści, automatycznie proponuje pojęcia, które nie zostały określone jako słowa-klucze. Tak efektywne wykorzystanie technologii IT w postaci programu TAR umożliwia szybsze i mniej kosztowne wyszukiwanie relewantnych informacji, pozwala uzyskać pełniejszy obraz, złożony z poszlak i dowodów zgromadzonych w ramach wewnętrznej kontroli, a także umożliwia podjęcie decyzji w zakresie komercyjnych aspektów kontroli (czas trwania, koszty) już na początku audytu compliance.
Keynote 3:
Wykład poprzedzający trzeci panel wygłosił Dr. Werner Grebe (Deutsches Institut für Compliance e.V., DICO), który poruszył problem umiejętnego posługiwania się informacjami pochodzącymi od sygnalistów. Dr. Grebe podkreślił konieczność stworzenia takich systemów, które pozwalają na anonimowe zgłaszanie nieprawidłowości, 24 godziny na dobę i w dowolnym języku. Informacje mogą być przekazywane do odpowiedniej komórki przedsiębiorstwa przykładowo za pośrednictwem działu compliance, zewnętrznych kancelarii, elektronicznego systemu zgłaszania nieprawidłowości. Wiarygodność działu zajmującego się przetwarzaniem informacji pochodzących od sygnalistów powinny gwarantować: przejrzysta komunikacja na poziomie otrzymywania zgłoszeń i ich przetwarzania, stabilne procesy zarządzania informacjami i ich opracowywania oraz ochrona dóbr osobistych (m.in. ochrona danych osobowych) sygnalistów i osób trzecich zaangażowanych w sprawę.
Panel 3: Idziemy za dobrym przykładem – czego możemy nauczyć się od branży regulowanej w kontekście postulowanej w Polsce ustawowej ochrony sygnalistów
Trzeci i ostatni panel został poświęcony tematyce ochrony sygnalistów w świetle projektowanej w tym zakresie ustawy w Polsce. Panel był moderowany przez Annę Hlebicką-Józefowicz (Domański Zakrzewski Palinka).
Pani Anna Hlebicka-Józefowicz w ramach wprowadzenia do dyskusji zaprezentowała założenia projektu ustawy o ochronie sygnalistów. Przedstawiła zakres regulacji (obejmujący w sensie podmiotowym sygnalistów, a w sensie przedmiotowym działalność sygnalizacyjną), przesłanki udzielenia ochrony (interes publiczny, dobra wiara, subsydiarność ujawnienia zewnętrznego, proporcja szkód i korzyści), szczególny reżim ochronny (działania odwetowe, ochrona tożsamości sygnalisty, ciężar dowodu, odpowiedzialność karna i cywilna), tryb ujawniania nieprawidłowości (pierwszeństwo informowania wewnętrznego, ustawowy minimalny standard wewnętrznych systemów informowania o nieprawidłowościach) oraz system zachęt do wprowadzania systemów whistleblowingowych (obowiązek skorzystania z procedury wewnętrznej, złagodzenie sankcji).
W dyskusji uczestniczyli: Małgorzata Salitra (Urząd Ochrony Konkurencji i Konsumentów), Marcin Gomoła (T-Mobile Polska S.A.), Jacek Zdziarstek (Raiffeisen Polbank S.A.) oraz Marcin Waszak (Fundacja Batorego). Jedna z wielu poruszonych przez prelegentów kwestii dotyczyła niezwykle aktualnego i kontrowersyjnego pomysłu wynagradzania sygnalistów. Zagadnienie to wzbudziło żywe zainteresowanie nie tylko samych panelistów, ale także publiczności. Zdania były podzielone, jednakże zdawał się przeważać pogląd, zgodnie z którym informowanie odpowiednich osób o nieprawidłowościach zachodzących w przedsiębiorstwie oraz naruszeniach prawa jest obowiązkiem a nie jedynie dowolnym uznaniem każdego, kto posiada wiedzę na temat takiego naruszenia. W związku z tym każdy pracownik, który jest świadkiem naruszania prawa w przedsiębiorstwie, i który zachowanie to przemilczy, powinien być traktowany jako osoba współodpowiedzialna za to naruszenie.
Słowo na zakończenie:
VIII. edycję Polsko-Niemieckiego Forum Compliance podsumował i zakończył Dr. Bartosz Jagura (Instytut Compliance), który serdecznie podziękował prelegentom, gościom, sponsorom, tłumaczom oraz organizatorom za udział i zaangażowanie w tegoroczną edycję Forum i zaprosił na kolejną, IX. już edycję konferencji, która odbędzie się w przyszłym roku.
Agata Adamowicz, LL.M.
Klaudia Ostrowska, LL.B.