Na papierze program antykorupcyjny wygląda jak zbiór procedur do szuflady. W praktyce – wiele firm o tym zapomina – brak wdrożonego systemu compliance oznacza dziś odpowiedzialność karną zarządu, wykluczenie z przetargów publicznych i realne ryzyko sankcji unijnych. Trzy nakładające się na siebie reżimy prawne: ustawa o sygnalistach, dyrektywa CSRD i przepisy AML, tworzą sieć obowiązków, której złożoność rośnie z każdym kwartałem.

Antykorupcja w polskim prawie to nie jeden akt, lecz system wzajemnie powiązanych regulacji. Obejmuje ustawę o odpowiedzialności podmiotów zbiorowych, przepisy Kodeksu karnego dotyczące łapownictwa, obowiązki z ustawy o sygnalistach z 14 czerwca 2024 r. oraz wymogi raportowania ESG wynikające z dyrektywy CSRD. Każdy z tych filarów nakłada konkretne terminy i progi – ignorowanie choćby jednego zamyka drogę do publicznych kontraktów i naraża spółkę na kary sięgające milionów złotych.

Poniżej omawiamy trzy obszary wymagające natychmiastowej reakcji: aktualny stan regulacji, krąg podmiotów objętych obowiązkami oraz listę działań, które zarząd powinien podjąć bez zwłoki.

Co się zmieniło w przepisach antykorupcyjnych?

Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. i objęła wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Zgodnie z art. 8 ustawy o sygnalistach każdy taki pracodawca musi wdrożyć wewnętrzny kanał zgłoszeń. Termin minął – firmy, które jeszcze nie działają, są już w zwłoce.

Równolegle działa dyrektywa CSRD (Dyrektywa UE 2022/2464), której polska implementacja nastąpiła przez nowelizację ustawy o rachunkowości podpisaną 12 grudnia 2024 r. CSRD wymaga ujawniania informacji o ryzykach korupcyjnych i działaniach antykorupcyjnych w ramach raportowania ESG. Dla podmiotów Fali 1 – tych, które podlegały wcześniej dyrektywie NFRD – obowiązek raportowania za rok 2024 jest już aktywny.

Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) pozostaje trzecim filarem. Obowiązek aktualizacji danych w CRBR spoczywa na spółkach na bieżąco – każda zmiana beneficjenta musi być zgłoszona w ciągu 7 dni. KAS i organy AML korzystają z CRBR przy weryfikacji struktury własnościowej w postępowaniach antykorupcyjnych. Brak aktualnych danych w rejestrze to sygnał ostrzegawczy dla każdego audytora compliance.

Warto też odnotować zmiany w ustawie o odpowiedzialności podmiotów zbiorowych. Projekt nowelizacji zakłada rozszerzenie katalogu przestępstw bazowych i obniżenie progu odpowiedzialności spółki – bez konieczności uprzedniego skazania osoby fizycznej. To nieodwracalna zmiana modelu odpowiedzialności korporacyjnej w Polsce.

Kogo dotyczą obowiązki i jakie progi je uruchamiają?

Próg 50 pracowników z ustawy o sygnalistach to minimum. Firmy z sektora finansowego, regulowanego przez KNF, podlegają dodatkowym wymogom AML niezależnie od liczby zatrudnionych. Instytucje obowiązane – banki, biura rachunkowe, notariusze, doradcy podatkowi – muszą stosować procedury należytej staranności wobec klientów i weryfikować ich w CRBR przy każdej transakcji powyżej 10 000 EUR.

Spółka z Mazowsza obsługująca kontrakty publiczne przekroczyła w 2024 r. próg przychodów 220 mln PLN. Automatycznie weszła w zakres Fali 2 CSRD – choć raportowanie za rok 2025 zostało odroczone do 2028 r. w ramach pakietu Omnibus, spółka już teraz musi zbierać dane o ryzykach korupcyjnych, bo retrospektywne uzupełnienie jest nieodwracalnie trudniejsze niż bieżące dokumentowanie.

Dla inwestorów zagranicznych wchodzących na rynek polski przez struktury holdingowe kluczowe jest powiązanie wymogów CRBR z regulacjami macierzystymi – UK Bribery Act, FCPA czy niemieckim Lieferkettensorgfaltspflichtengesetz. Polska spółka córka może podlegać jednocześnie polskim przepisom AML i zagranicznym regulacjom antykorupcyjnym grupy. Brak skoordynowanego programu compliance w takiej strukturze to ryzyko podwójnej odpowiedzialności.

Firmy IT z Małopolski świadczące usługi dla sektora publicznego odkrywają, że zamawiający coraz częściej wymagają przedstawienia polityki antykorupcyjnej już na etapie składania oferty. Brak dokumentu – nawet przy spełnieniu wszystkich wymogów ustawowych – skutkuje odrzuceniem oferty. Program compliance przestał być opcją, stał się warunkiem uczestnictwa w rynku.

Szczegółowe wymagania techniczne i prawne dotyczące kanału zgłoszeń opisujemy w osobnym materiale: kanał sygnalistów – wymagania techniczne i prawne. Warto zapoznać się z nim przed wdrożeniem systemu.

Jakie działania podjąć natychmiast?

Złożoność regulacyjna nie zwalnia z obowiązku działania. Zarząd, który odkłada wdrożenie programu antykorupcyjnego, ryzykuje odpowiedzialnością osobistą – zarówno na gruncie ustawy o sygnalistach (art. 54: kara do 3 lat pozbawienia wolności za działania odwetowe), jak i przepisów Kodeksu karnego dotyczących korupcji. Każdy tydzień zwłoki zwiększa ekspozycję na ryzyko nieodwracalne.

Konkretna sytuacja Państwa firmy wymaga oceny, które z poniższych działań są pilne, a które można zaplanować w horyzoncie 90 dni. Pominięcie choćby jednego elementu może zamknąć drogę do kontraktów publicznych lub narazić zarząd na osobistą odpowiedzialność karną.

Lista działań do natychmiastowego wdrożenia:

  • Kanał zgłoszeń sygnalistów – wdrożyć lub zweryfikować zgodność z ustawą z 14 czerwca 2024 r.; termin wdrożenia minął 25 września 2024 r.
  • Aktualizacja CRBR – sprawdzić, czy dane beneficjentów rzeczywistych są aktualne; każda zmiana wymaga zgłoszenia w ciągu 7 dni.
  • Mapa ryzyk korupcyjnych – sporządzić lub zaktualizować na potrzeby raportowania CSRD i audytów AML.
  • Polityka antykorupcyjna – uchwalić jako dokument zarządczy i powiązać z procedurami due diligence kontrahentów.
  • Szkolenie zarządu i kluczowych pracowników – udokumentować przeprowadzenie w ciągu 30 dni od przyjęcia polityki.

Przy strukturach holdingowych lub fundacjach rodzinnych dodatkowym elementem jest koordynacja polityki antykorupcyjnej na poziomie grupy. Więcej o wyborze struktury własnościowej znajdą Państwo w materiale: fundacja rodzinna czy holding – która struktura pasuje.

Jeśli Państwa spółka zatrudnia ponad 50 pracowników lub obsługuje kontrakty publiczne – przeprowadzimy przegląd istniejących procedur, zidentyfikujemy luki i przygotujemy dokumentację zgodną z wymogami ustawy o sygnalistach, CSRD i AML: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma zatrudniająca 30 osób musi wdrożyć program antykorupcyjny?

O: Ustawa o sygnalistach nakłada obowiązek wdrożenia kanału zgłoszeń dopiero od progu 50 pracowników. Jednak przepisy Kodeksu karnego dotyczące łapownictwa i odpowiedzialności podmiotów zbiorowych obowiązują niezależnie od wielkości firmy. Przedsiębiorstwo uczestniczące w przetargach publicznych lub współpracujące z instytucjami finansowymi powinno posiadać podstawową politykę antykorupcyjną niezależnie od liczby zatrudnionych.

P: Ile kosztuje i jak długo trwa wdrożenie programu compliance?

O: Czas wdrożenia zależy od skali organizacji – dla spółki zatrudniającej 50–200 pracowników realistyczny horyzont to 6–10 tygodni. Obejmuje to opracowanie polityki antykorupcyjnej, wdrożenie kanału zgłoszeń, mapę ryzyk i szkolenia. Koszt zewnętrznego wsparcia prawnego jest wielokrotnie niższy niż potencjalne kary: artykuł 54 ustawy o sygnalistach przewiduje do 3 lat pozbawienia wolności za działania odwetowe, a kary pieniężne mogą sięgać 1 080 000 PLN.

P: Czy CSRD wymaga osobnego raportu antykorupcyjnego?

O: Dyrektywa CSRD nie wymaga odrębnego dokumentu, lecz ujawnienia informacji o ryzykach korupcyjnych i działaniach zaradczych w ramach raportu zrównoważonego rozwoju (ESG raportowanie). Standardy ESRS – w szczególności ESRS G1 dotyczący ładu korporacyjnego – precyzują zakres wymaganych ujawnień. Firmy Fali 1 raportują już za rok 2024; podmioty Fali 2 powinny zbierać dane od teraz, mimo że raportowanie za rok 2025 zostało odroczone do 2028 roku.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.