Firma handlowa z Mazowsza traci kontrakt z zagranicznym partnerem – nie dlatego, że zaoferowała gorszy produkt, lecz dlatego, że nie była w stanie przedstawić dokumentacji programu antykorupcyjnego. Coraz częściej brak formalnych procedur zamyka drogę do przetargów publicznych, finansowania bankowego i współpracy z korporacjami z UE lub USA. To nie jest ryzyko abstrakcyjne – to utracone przychody i nieodwracalna utrata reputacji.

Program antykorupcyjny to udokumentowany system procedur, szkoleń i kontroli wewnętrznych, który chroni przedsiębiorstwo przed odpowiedzialnością karną i wyklucza je z grupy podmiotów wysokiego ryzyka. Podstawy prawne wynikają z ustawy o odpowiedzialności podmiotów zbiorowych, przepisów AML, dyrektywy CSRD (Dyrektywa UE 2022/2464) oraz ustawy o sygnalistach z 14 czerwca 2024 r. Wdrożenie pełnego programu zajmuje od 6 do 12 tygodni i kosztuje od kilku do kilkudziesięciu tysięcy złotych, w zależności od skali działalności.

Ten przewodnik opisuje ramy prawne, krok po kroku procedurę wdrożenia, typowe błędy i trzy scenariusze biznesowe. Znajdą tu Państwo również checklistę gotowości i odpowiedzi na najczęstsze pytania klientów.

Jakie przepisy tworzą ramy prawne antykorupcji w Polsce?

Polska regulacja antykorupcyjna nie wynika z jednej ustawy. To nakładające się na siebie warstwy prawa krajowego i unijnego, które razem tworzą obowiązek działania. Kluczową rolę odgrywa Centralne Biuro Antykorupcyjne (CBA), Agencja Bezpieczeństwa Wewnętrznego (ABW) oraz Prokuratura Krajowa. KAS prowadzi kontrole w zakresie prania pieniędzy, które często ujawniają ślady korupcji w łańcuchu dostaw.

Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary – w wersji po nowelizacjach – przewiduje kary finansowe do 30 mln zł oraz zakaz ubiegania się o zamówienia publiczne. Odpowiedzialność podmiotu zbiorowego może zostać stwierdzona bez uprzedniego skazania osoby fizycznej. To fundamentalna zmiana w stosunku do poprzedniego modelu.

Przepisy AML (ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu) nakładają obowiązek rejestracji beneficjentów rzeczywistych w CRBR. Brak aktualizacji danych w Centralnym Rejestrze Beneficjentów Rzeczywistych może prowadzić do kary do 1 mln zł. Rejestr ten jest bezpośrednio powiązany z oceną ryzyka korupcyjnego przez instytucje finansowe.

Dyrektywa CSRD (Dyrektywa UE 2022/2464) nakłada na duże spółki obowiązek raportowania ESG, obejmujący m.in. polityki antykorupcyjne. Polska implementacja – nowelizacja ustawy o rachunkowości, podpisana 12 grudnia 2024 r. – dotyczy podmiotów spełniających dwa z trzech kryteriów: 110 mln PLN aktywów, 220 mln PLN przychodów, 250 pracowników. Dla podmiotów objętych CSRD, brak programu antykorupcyjnego wprost wpłynie na ocenę ujawnień ESG raportowania.

Ustawa o sygnalistach z 14 czerwca 2024 r., która weszła w życie 25 września 2024 r., obowiązuje wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Na podstawie art. 8 ustawy o sygnalistach każdy taki pracodawca musi wdrożyć wewnętrzny kanał zgłoszeń. Kary za brak kanału lub za działania odwetowe wobec sygnalistów sięgają 1 080 000 zł i do 3 lat pozbawienia wolności zgodnie z art. 54 tej ustawy.

Jak zbudować program compliance krok po kroku?

Skuteczny program antykorupcyjny składa się z pięciu etapów. Każdy etap ma konkretne produkty i harmonogram. Pominięcie któregokolwiek z nich osłabia cały system – audytor zewnętrzny lub prokurator szybko to wykaże.

Etap 1 – ocena ryzyka (tygodnie 1–2). Identyfikacja obszarów wysokiego ryzyka: zakupy, sprzedaż, przetargi, relacje z urzędnikami, agenci pośredniczący. Mapa ryzyka powinna obejmować co najmniej trzy poziomy: ryzyko inherentne, kontrole istniejące, ryzyko rezydualne. Wynik oceny ryzyka stanowi podstawę dla dalszych etapów.

Etap 2 – polityki i procedury (tygodnie 3–5). Opracowanie kodeksu etyki, polityki prezentów i upominków (zazwyczaj limit 50–100 zł na osobę rocznie), polityki sponsoringu, procedury due diligence kontrahentów. W praktyce – wiele firm ogranicza się do jednego dokumentu nazwanego „polityką antykorupcyjną", który nie spełnia wymogów ani AML, ani CSRD.

Etap 3 – kanał zgłoszeń (tygodnie 4–6). Wdrożenie kanału sygnalistów zgodnie z art. 8 ustawy o sygnalistach. Kanał może być obsługiwany przez podmiot zewnętrzny lub wewnętrznie. Ważne: regulamin kanału musi zostać skonsultowany z przedstawicielami pracowników lub związkami zawodowymi przed uruchomieniem – minimalny czas konsultacji to 5 dni.

Etap 4 – szkolenia i komunikacja (tygodnie 6–8). Szkolenie zarządu, kadry kierowniczej i pracowników ekspozycji (zakupy, finanse, sprzedaż). Szkolenie powinno być udokumentowane – lista obecności, testy wiedzy. Cykl szkoleń należy powtarzać co 12–24 miesiące.

Etap 5 – monitoring i przegląd (cyklicznie). Audyt wewnętrzny lub zewnętrzny co 12–18 miesięcy. Analiza incydentów zgłoszonych przez sygnalistów. Aktualizacja polityk po każdej zmianie struktury właścicielskiej (co wymaga też aktualizacji CRBR). Wyniki monitoringu powinny trafiać bezpośrednio do zarządu.

Trzy scenariusze biznesowe ilustrują różne podejścia:

  • Producent z Podkarpacia (250 pracowników): eksportuje do Niemiec i Francji – wymaga programu zgodnego z UK Bribery Act i Sapin II; wdrożenie zajęło 10 tygodni, koszt zewnętrznego doradztwa około 35 000 zł.
  • Spółka IT z Trójmiasta (80 pracowników): obsługuje klientów z sektora publicznego – priorytetem jest procedura due diligence kontrahentów i kanał sygnalistów; wdrożenie w 6 tygodni, koszt wewnętrzny plus zewnętrzna weryfikacja dokumentów.
  • Inwestor zagraniczny wchodzący na rynek polski: wymaga mapowania polskich przepisów antykorupcyjnych na standardy grupy (np. FCPA lub UK Bribery Act); kluczowe jest zrozumienie, że polska ustawa o podmiotach zbiorowych różni się istotnie od anglosaskich modeli strict liability.

Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie programu etapowo z zewnętrznym wsparciem prawnym, niż zakup gotowego szablonu i samodzielna adaptacja. Szablon nie uwzględnia specyfiki branży ani aktualnej linii interpretacyjnej KAS.

Konkretna sytuacja Państwa firmy wymaga oceny, które przepisy mają pierwszeństwo i jakie ryzyka są nieodwracalne. Brak kanału sygnalistów lub niezaktualizowane dane w CRBR mogą zablokować finansowanie lub wykluczyć z przetargu w ciągu kilku dni.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników lub planuje ekspansję zagraniczną – przeprowadzimy ocenę ryzyka, opracujemy dokumentację i wdrożymy kanał zgłoszeń: info@kordeckipartners.com.

Jakie błędy najczęściej dyskwalifikują program antykorupcyjny?

Audytorzy i prokuratorzy oceniają program nie po jego istnieniu, lecz po jego rzeczywistym funkcjonowaniu. Program „na papierze" – przyjęty uchwałą zarządu i odłożony na półkę – nie spełnia wymogów ani ustawy o podmiotach zbiorowych, ani CSRD. To jeden z najczęstszych błędów, który Compliance obserwuje u klientów przechodzących due diligence przed transakcją M&A.

Błąd pierwszy: brak oceny ryzyka. Firmy tworzą polityki bez uprzedniego zmapowania, gdzie faktycznie może dojść do korupcji. Polityka prezentów bez wiedzy o tym, że dział zakupów regularnie przyjmuje zaproszenia na wyjazdy od dostawców, jest bezwartościowa.

Błąd drugi: kanał sygnalistów bez anonimowości. Ustawa o sygnalistach wymaga zagwarantowania poufności tożsamości zgłaszającego. Kanał e-mailowy na adres HR nie spełnia tego wymogu – pracownik nie ma pewności, że jego tożsamość pozostanie nieujawniona.

Błąd trzeci: brak due diligence kontrahentów. Spółka z Dolnego Śląska straciła wiosną 2024 r. kontrakt z austriackim partnerem, ponieważ nie potrafiła wykazać, że jej pośrednik handlowy przeszedł weryfikację AML i antykorupcyjną. Screening sankcyjny i weryfikacja beneficjentów rzeczywistych to dziś standard, nie opcja – więcej o tym procesie znajdą Państwo w artykule o screeningu sankcyjnym dla polskich przedsiębiorstw.

Błąd czwarty: nieaktualne dane w CRBR. Zmiana struktury właścicielskiej bez aktualizacji wpisu w Centralnym Rejestrze Beneficjentów Rzeczywistych to naruszenie przepisów AML. Termin na aktualizację to 7 dni od zmiany. Kara może wynieść do 1 mln zł – i jest nakładana niezależnie od tego, czy doszło do faktycznego prania pieniędzy.

Błąd piąty: pomijanie wymiaru umownego. Klauzule antykorupcyjne w umowach z kontrahentami i partnerami handlowymi stają się standardem w relacjach B2B, szczególnie w umowach z podmiotami z UE i USA. Brak takich klauzul w umowach SaaS lub dystrybucyjnych może być interpretowany jako akceptacja ryzyka – o kluczowych klauzulach umownych piszemy szerzej w materiale dotyczącym umów SaaS na polskim rynku.

Co przygotować – checklist gotowości programu antykorupcyjnego?

Gotowość programu antykorupcyjnego można ocenić w oparciu o pięć kluczowych elementów. Brak któregokolwiek z nich stanowi lukę, którą zewnętrzny audytor lub kontrahent wskaże podczas due diligence. Weryfikacja powinna zajmować nie więcej niż 2–3 dni robocze.

  • Ocena ryzyka korupcyjnego – udokumentowana mapa ryzyk z datą przeprowadzenia i podpisem zarządu; powinna być aktualizowana co najmniej raz na 18 miesięcy lub po istotnej zmianie modelu biznesowego.
  • Polityki i procedury – kodeks etyki, polityka prezentów (z limitem kwotowym), procedura due diligence kontrahentów, polityka sponsoringu; każdy dokument powinien mieć datę zatwierdzenia i wskazanego właściciela.
  • Kanał zgłoszeń sygnalistów – zgodny z art. 8 ustawy o sygnalistach, zapewniający anonimowość; regulamin skonsultowany z pracownikami; wyznaczona osoba odpowiedzialna za obsługę zgłoszeń.
  • Dokumentacja szkoleń – listy obecności lub raporty z platform e-learningowych za ostatnie 24 miesiące; szkolenia dla zarządu, kadry kierowniczej i pracowników ekspozycji.
  • Aktualny wpis w CRBR – weryfikacja, czy dane beneficjentów rzeczywistych są zgodne z aktualną strukturą właścicielską; termin aktualizacji to 7 dni od każdej zmiany.

Firmy, które posiadają wszystkie pięć elementów, mogą wykazać program antykorupcyjny jako działający – nie tylko istniejący. To różnica, która decyduje o wyniku due diligence przed transakcją M&A lub audytem ESG raportowania.

Konkretna sytuacja Państwa firmy – szczególnie jeśli planują Państwo transakcję, ekspansję zagraniczną lub ubieganie się o zamówienie publiczne – wymaga weryfikacji, czy program jest rzeczywiście skuteczny. Luki wykryte przez kontrahenta lub audytora mogą nieodwracalnie zamknąć drogę do kontraktu lub finansowania.

Jeśli Państwa spółka przechodzi lub planuje due diligence, a dokumentacja programu antykorupcyjnego wymaga weryfikacji lub uzupełnienia – przeprowadzimy audyt luk, zaktualizujemy polityki i przygotujemy dokumentację gotową do przedstawienia partnerom: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe firmy – poniżej 50 pracowników – muszą wdrożyć program antykorupcyjny?

O: Obowiązek posiadania kanału sygnalistów wynikający z artykułu 8 ustawy o sygnalistach dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Mniejsze podmioty nie mają tego obowiązku ustawowego. Jednak ustawa o odpowiedzialności podmiotów zbiorowych oraz przepisy AML – w tym obowiązek wpisu do CRBR – dotyczą praktycznie każdej spółki bez względu na liczbę pracowników. Brak programu u małego podmiotu nie jest naruszeniem prawa, ale może być czynnikiem dyskwalifikującym w relacjach z większymi kontrahentami lub instytucjami finansowymi.

P: Ile czasu i pieniędzy zajmuje wdrożenie programu antykorupcyjnego od zera?

O: Dla średniej firmy (50–250 pracowników) realistyczny harmonogram to 6–12 tygodni, a koszt zewnętrznego doradztwa prawnego wynosi od 15 000 do 60 000 zł w zależności od złożoności struktury i liczby jurysdykcji. Firmy działające wyłącznie w Polsce i obsługujące rynek krajowy mieszczą się zazwyczaj w dolnym przedziale. Podmioty eksportujące do Niemiec, Francji lub USA muszą uwzględnić wymogi lokalne (Sapin II, UK Bribery Act, FCPA), co wydłuża harmonogram i zwiększa koszty. Wdrożenie platformy kanału sygnalistów to osobny koszt – zazwyczaj od 3 000 do 12 000 zł rocznie za zewnętrzną obsługę.

P: Czy program antykorupcyjny chroni zarząd przed osobistą odpowiedzialnością karną?

O: Działający program antykorupcyjny jest jednym z kluczowych argumentów obronnych w postępowaniu karnym lub postępowaniu wobec podmiotu zbiorowego – ale nie jest tarczą absolutną. Prokuratura ocenia, czy program był rzeczywiście wdrożony i stosowany, a nie tylko formalnie przyjęty. Jeśli zarząd wiedział o nieprawidłowościach i nie zareagował, istnienie dokumentów nie wyłącza odpowiedzialności. Dlatego audyt i monitoring programu muszą być cykliczne, a wyniki muszą trafiać bezpośrednio do zarządu z udokumentowaną reakcją.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.