Firma handlowa z Mazowsza dowiaduje się podczas due diligence, że jej kontrahent figuruje w rejestrze CRBR z nieujawnionymi powiązaniami z osobami zajmującymi eksponowane stanowiska polityczne. Transakcja staje pod znakiem zapytania. Zarząd pyta: czy mamy program antykorupcyjny? Czy mamy kanał zgłoszeń? Czy w ogóle wiemy, jak wygląda nasze ryzyko korupcyjne? Odpowiedź na każde z tych pytań brzmi: nie.
Antykorupcja w polskim prawie opiera się na kilku równoległych filarach: przepisach Kodeksu karnego, ustawie o sygnalistach z 14 czerwca 2024 r., regulacjach AML, obowiązkach CRBR oraz – dla większych podmiotów – wymogach CSRD w zakresie ESG raportowania. Ustawa o sygnalistach weszła w życie 25 września 2024 r. i objęła wszystkich pracodawców zatrudniających co najmniej 50 osób. Kary za brak kanału zgłoszeń sięgają 1 080 000 zł, a za działania odwetowe grozi do 3 lat pozbawienia wolności.
Ten przewodnik pokazuje, jak zbudować program compliance krok po kroku. Omówię ramy prawne, typowe błędy, trzy scenariusze biznesowe i praktyczną checklistę. Compliance to proces – nie dokument wydrukowany i odłożony na półkę.
Jakie przepisy tworzą ramy antykorupcyjne w Polsce?
Podstawą jest Kodeks karny. Korupcja czynna i bierna w sektorze prywatnym (art. 296a k.k.) grozi karą do 8 lat pozbawienia wolności. Odpowiedzialność dotyczy zarówno osoby wręczającej, jak i przyjmującej korzyść majątkową. To punkt wyjścia każdego programu compliance.
Drugi filar to ustawa o sygnalistach z 14 czerwca 2024 r. Zgodnie z art. 8 tej ustawy każdy pracodawca zatrudniający 50 lub więcej pracowników musi wdrożyć wewnętrzny kanał zgłoszeń. Kanał musi gwarantować poufność tożsamości zgłaszającego. Brak wdrożenia naraża pracodawcę na grzywnę do 1 080 000 zł. Działania odwetowe wobec sygnalisty – na przykład zwolnienie lub degradacja – to przestępstwo zagrożone karą do 3 lat więzienia (art. 54 ustawy o sygnalistach).
Trzeci filar to przepisy AML, czyli ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Instytucje obowiązane – banki, kancelarie prawne, biura rachunkowe, pośrednicy nieruchomości – mają obowiązek weryfikacji tożsamości klienta i oceny ryzyka. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) jest tu kluczowym narzędziem: pozwala ustalić, kto faktycznie stoi za spółką lub fundacją. W praktyce – wiele firm o tym zapomina – weryfikacja CRBR powinna być elementem standardowego onboardingu kontrahenta.
Czwarty filar to CSRD (Dyrektywa UE 2022/2464). Dla podmiotów objętych obowiązkiem raportowania ESG antykorupcja jest wymaganym obszarem ujawnień w ramach standardów ESRS. Podmioty z Fali 1 raportują już za rok 2024. Podmioty z Fali 2 – spełniające dwa z trzech kryteriów: 110 mln zł aktywów, 220 mln zł przychodów lub 250 pracowników – mają termin przesunięty do 2028 r. zgodnie z propozycją Omnibus. Więcej o tym, kto musi raportować, znajdą Państwo w naszym opracowaniu o CSRD w Polsce.
Piąty filar to odpowiedzialność podmiotów zbiorowych. Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary pozwala ukarać spółkę jako całość – niezależnie od postępowania przeciwko konkretnej osobie. Grzywna może sięgnąć 5% przychodu osiągniętego w roku popełnienia czynu. To ryzyko, które zarządy często bagatelizują.
Jak zbudować program compliance krok po kroku?
Program antykorupcyjny to nie jednorazowy projekt. To system, który działa stale. Budowa zajmuje zwykle od 3 do 6 miesięcy, zależnie od wielkości firmy i złożoności struktury właścicielskiej.
Krok 1 – Ocena ryzyka. Pierwszym krokiem jest mapowanie ryzyka korupcyjnego. Należy zidentyfikować obszary narażone: zamówienia, relacje z urzędnikami, sprzedaż przez pośredników, płatności transgraniczne. Ocena ryzyka powinna być udokumentowana i aktualizowana co najmniej raz w roku. Dla firmy produkcyjnej z branży budowlanej ryzyko leży gdzie indziej niż dla spółki IT sprzedającej oprogramowanie sektorowi publicznemu.
Krok 2 – Polityki i procedury. Na podstawie oceny ryzyka tworzy się politykę antykorupcyjną, politykę prezentów i upominków oraz procedurę due diligence kontrahentów. Polityka prezentów powinna wskazywać konkretny próg – najczęściej 150–200 zł – powyżej którego wymagana jest zgoda przełożonego. Brak progu to najczęstszy błąd w polskich firmach.
Krok 3 – Kanał zgłoszeń. Wdrożenie kanału sygnalistów to obowiązek wynikający z art. 8 ustawy o sygnalistach. Kanał może być prowadzony wewnętrznie lub powierzony podmiotowi zewnętrznemu. Ważne: regulamin kanału musi być skonsultowany z przedstawicielstwem pracowników lub związkami zawodowymi – jeśli działają w firmie. Termin konsultacji wynosi 5 dni roboczych. Po ich upływie regulamin wchodzi w życie bez względu na wynik konsultacji.
Krok 4 – Szkolenia. Program bez szkoleń jest martwy. Szkolenia powinny obejmować zarząd, kadrę menedżerską i pracowników mających kontakt z klientami publicznymi lub dostawcami. Zalecana częstotliwość: raz w roku dla całej organizacji, po każdej zmianie przepisów – dla osób odpowiedzialnych za compliance.
Krok 5 – Monitorowanie i audyt. Program wymaga regularnego przeglądu. Skuteczny compliance officer weryfikuje, czy procedury są stosowane, a nie tylko opisane. Audyt wewnętrzny powinien obejmować próbkę transakcji wysokiego ryzyka co najmniej raz na 12 miesięcy.
Checklist – co przygotować na start:
- Ocena ryzyka korupcyjnego z dokumentacją metodologii
- Polityka antykorupcyjna zatwierdzona przez zarząd
- Regulamin kanału zgłoszeń skonsultowany z pracownikami
- Procedura weryfikacji kontrahentów z odniesieniem do CRBR i list sankcyjnych
- Plan szkoleń na najbliższe 12 miesięcy
Uważamy, że bezpieczniejszym rozwiązaniem jest powierzenie budowy programu zewnętrznemu doradcy na etapie projektowania, a następnie przeniesienie obsługi do wewnątrz. Koszty zewnętrznego wdrożenia dla średniej firmy (200–500 pracowników) wynoszą zwykle od 30 000 do 80 000 zł. To ułamek potencjalnej grzywny.
Kwestie związane z pełnomocnictwami i prokurą – istotne przy wdrażaniu procedur podpisywania umów i zatwierdzania wydatków – omówimy przy okazji lektury naszego opracowania o prokurze i pełnomocnictwie.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny ryzyka i doboru odpowiednich narzędzi. Brak udokumentowanego programu zamyka drogę do skutecznej obrony w postępowaniu karnym lub administracyjnym – i jest to konsekwencja nieodwracalna w momencie wszczęcia postępowania.
Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i nie posiada jeszcze kanału zgłoszeń ani pisemnej polityki antykorupcyjnej – przeprowadzimy ocenę ryzyka, zaprojektujemy procedury i wdrożymy regulamin sygnalistów: info@kordeckipartners.com.
Jakie błędy popełniają firmy najczęściej?
Błąd pierwszy: program compliance „na papierze". Polityki istnieją, ale nikt ich nie czyta, nikt nie jest przeszkolony, a zarząd nie wie, co w nich stoi. W razie postępowania prokuratury taki program nie daje żadnej ochrony. Sąd patrzy na dowody rzeczywistego stosowania procedur – nie na wydruk z szuflady.
Błąd drugi: brak weryfikacji pośredników. Spółka z Małopolski zawarła w jesieni 2023 r. umowę z agentem sprzedaży obsługującym rynki wschodnioeuropejskie. Agent nie był zweryfikowany ani w CRBR, ani pod kątem list sankcyjnych. Gdy okazało się, że faktycznym beneficjentem agenta jest osoba objęta sankcjami UE, spółka stanęła przed ryzykiem odpowiedzialności karnej i utraty kontraktów z odbiorcami zachodnimi. Weryfikacja kosztuje kilkaset złotych. Zaniechanie – nieporównywalnie więcej.
Błąd trzeci: mylenie AML z antykorupcją. To dwa różne reżimy. AML dotyczy instytucji obowiązanych i skupia się na przepływach pieniężnych. Antykorupcja jest szersza – obejmuje wszystkich uczestników obrotu gospodarczego. Firma, która „ma AML", niekoniecznie „ma compliance antykorupcyjny".
Błąd czwarty: ignorowanie CSRD w kontekście antykorupcji. Firmy skupiają się na raportowaniu środowiskowym i społecznym, pomijając obszar ładu korporacyjnego (G). Tymczasem standardy ESRS wymagają ujawnień dotyczących polityk antykorupcyjnych, zdarzeń korupcyjnych i działań naprawczych. Brak tych ujawnień przy jednoczesnym obowiązku raportowania to ryzyko naruszenia dyrektywy.
Błąd piąty: kanał zgłoszeń bez gwarancji poufności. Część firm wdrożyła kanały, w których zgłoszenie de facto trafia bezpośrednio do przełożonego sygnalisty. To nie tylko naruszenie ustawy – to aktywne zniechęcanie do zgłoszeń. Skuteczny kanał wymaga organizacyjnego oddzielenia osoby przyjmującej zgłoszenia od linii zarządzania objętej zgłoszeniem.
Spółka technologiczna z Trójmiasta przeprowadziła latem 2024 r. audyt swojego programu compliance przed wejściem w życie ustawy o sygnalistach. Audyt ujawnił trzy luki: brak polityki prezentów, brak procedury due diligence dostawców i kanał zgłoszeń prowadzony przez HR bez separacji od zarządu. Wdrożenie poprawek zajęło 6 tygodni i kosztowało około 25 000 zł. Koszt potencjalnych sankcji byłby wielokrotnie wyższy.
Trzy scenariusze biznesowe – jak wygląda compliance w praktyce?
Compliance to nie teoria. Jego zastosowanie różni się w zależności od branży, struktury właścicielskiej i rynków, na których działa firma. Poniżej trzy scenariusze ilustrujące różne punkty ciężkości.
Scenariusz 1 – Firma produkcyjna. Producent komponentów przemysłowych z 300 pracownikami działa na rynku zamówień publicznych. Ryzyko korupcyjne koncentruje się w obszarze relacji z zamawiającymi i pośrednikami przetargowymi. Program compliance powinien obejmować: procedurę zatwierdzania upominków i hospitality, zakaz płatności na rzecz osób trzecich bez udokumentowanego uzasadnienia oraz obowiązkową weryfikację wszystkich pośredników w CRBR. Dodatkowym elementem jest szkolenie dla działu handlowego z zakresu przepisów o korupcji prywatnej i publicznej – przynajmniej raz w roku.
Scenariusz 2 – Spółka IT. Firma programistyczna z 80 pracownikami sprzedaje oprogramowanie klientom z sektora finansowego i publicznego. Ryzyko korupcyjne jest tu niższe niż w budownictwie, ale nie zerowe. Kluczowe obszary to: umowy z partnerami sprzedażowymi (czy prowizja nie jest ukrytą łapówką?), relacje z audytorami i certyfikatorami oraz polityka prezentów wobec pracowników klientów. Kanał sygnalistów jest obowiązkowy – firma zatrudnia ponad 50 osób. Koszt utrzymania zewnętrznego kanału to zwykle 3 000–8 000 zł rocznie.
Scenariusz 3 – Inwestor zagraniczny. Dla inwestora z Niemiec wchodzącego na rynek polski kluczowe jest dostosowanie globalnego programu compliance do lokalnych wymogów. Standardy grupy (np. zgodność z Gesetz zur Bekämpfung der Korruption) muszą być uzupełnione o polskie obowiązki: kanał sygnalistów zgodny z ustawą z 14 czerwca 2024 r., rejestracja w CRBR (jeśli spółka jest instytucją obowiązaną AML) oraz ujawnienia CSRD dla podmiotów objętych Falą 1 lub 2. Wdrożenie zajmuje zwykle 2–4 miesiące od rejestracji spółki w KRS.
Często zadawane pytania
P: Czy małe firmy – poniżej 50 pracowników – mają jakiekolwiek obowiązki antykorupcyjne?
O: Obowiązek wdrożenia kanału zgłoszeń na podstawie artykułu 8 ustawy o sygnalistach dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Mniejsze firmy są z niego zwolnione. Nie są jednak zwolnione z przepisów Kodeksu karnego dotyczących korupcji ani z przepisów AML, jeśli prowadzą działalność instytucji obowiązanej. Dla firm poniżej 50 pracowników zalecamy wdrożenie co najmniej pisemnej polityki antykorupcyjnej i procedury weryfikacji kontrahentów – nawet bez formalnego kanału zgłoszeń.
P: Ile kosztuje wdrożenie programu compliance i jak długo trwa?
O: Koszt zewnętrznego wdrożenia zależy od wielkości firmy i złożoności struktury. Dla firmy zatrudniającej 50–200 pracowników typowy koszt wynosi od 20 000 do 50 000 zł. Dla większych podmiotów – od 50 000 do 150 000 zł. Czas wdrożenia to zwykle 8–16 tygodni. Utrzymanie programu (aktualizacje, szkolenia, audyt roczny) to kolejne 10 000–30 000 zł rocznie. Koszt sankcji za brak programu – grzywna do 1 080 000 zł lub 5% przychodu – sprawia, że inwestycja jest ekonomicznie uzasadniona.
P: Czy posiadanie programu compliance chroni spółkę przed odpowiedzialnością karną?
O: Posiadanie udokumentowanego i rzeczywiście stosowanego programu compliance jest okolicznością łagodzącą w postępowaniu karnym i może stanowić podstawę do ograniczenia odpowiedzialności podmiotu zbiorowego. Ustawa o odpowiedzialności podmiotów zbiorowych przewiduje, że sąd bierze pod uwagę, czy podmiot wdrożył odpowiednie środki zapobiegawcze. Ważne: program musi być realnie stosowany. Dokument bez dowodów szkolenia, audytów i reagowania na zgłoszenia nie daje skutecznej ochrony. To częste nieporozumienie – sam fakt posiadania polityki nie wystarczy.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i antykorupcji. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Konkretna sytuacja Państwa firmy wymaga oceny, która uwzględnia strukturę właścicielską, sektory działalności i istniejące procedury. Brak udokumentowanego programu antykorupcyjnego w momencie wszczęcia postępowania jest konsekwencją nieodwracalną.
Jeśli Państwa spółka stoi przed wdrożeniem lub aktualizacją programu compliance – przeprowadzimy ocenę ryzyka, zaprojektujemy polityki i wdrożymy kanał sygnalistów zgodny z ustawą z 14 czerwca 2024 r.: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.