Firma produkcyjna z Mazowsza – spółka zależna zagranicznego właściciela – zatrudniała 180 osób i nie miała żadnego formalnego programu compliance. Audyt grupy ujawnił brak kanału zgłoszeń, niekompletną dokumentację AML i brak procedur ESG. Zarząd dostał 90 dni na wdrożenie. Czas naglił, a konsekwencje zaniechania były poważne.
Program compliance dla polskiej spółki zależnej obejmuje co najmniej trzy filary: kanał zgłoszeń wewnętrznych wymagany przez ustawę o sygnalistach, procedury AML dostosowane do branży oraz dokumentację ESG zgodną z dyrektywą CSRD. Ustawa z 14 czerwca 2024 roku objęła obowiązkiem wszystkich pracodawców zatrudniających 50 lub więcej pracowników. Kary za brak wdrożenia sięgają do PLN 1 080 000.
Poniższe studium przypadku opisuje, jak przeprowadziliśmy wdrożenie od zera w ciągu 12 tygodni. Omawiamy tło sprawy, przyjętą strategię, przebieg procesu i wnioski, które można przenieść na inne spółki zależne działające w Polsce.
Jakie luki compliance odkryto w spółce?
Spółka działała w sektorze produkcyjnym. Przychody roczne przekraczały PLN 220 milionów, co oznaczało, że spełniała jeden z progów CSRD dla podmiotów drugiej fali raportowania. Zatrudnienie na poziomie 180 osób przekraczało próg 50 pracowników z ustawy o sygnalistach. Mimo to żaden z tych obowiązków nie był formalnie wdrożony.
Audyt wewnętrzny grupy wskazał cztery obszary ryzyka. Po pierwsze – brak kanału zgłoszeń. Po drugie – niezaktualizowana od trzech lat polityka AML. Po trzecie – brak rejestru beneficjentów rzeczywistych zaktualizowanego w CRBR po zmianie struktury udziałowej. Po czwarte – żadnej dokumentacji dotyczącej śladu węglowego ani łańcucha dostaw.
W praktyce – wiele spółek zależnych o tym zapomina – to właśnie aktualizacja CRBR bywa pierwszym wykrytym naruszeniem podczas kontroli KAS lub prokuratury. Kara za brak aktualizacji wynosi do PLN 1 000 000. Spółka miała 30 dni na zgłoszenie zmiany, której nie dokonała przez ponad rok.
Zarząd spółki nie był świadomy pełnego zakresu obowiązków. Właściciel zagraniczny zakładał, że lokalna obsługa prawna śledzi zmiany regulacyjne. Tak się nie stało. To typowy scenariusz dla spółek zależnych, gdzie odpowiedzialność za compliance jest nieprzypisana.
Jaką strategię przyjęto przy wdrożeniu programu compliance?
Zdecydowaliśmy się na podejście warstwowe: najpierw usunięcie naruszeń aktywnych, potem budowa struktury długoterminowej. Termin 90 dni narzucał priorytety. Naruszenia z konkretnymi sankcjami szły pierwsze.
Pierwszy priorytet – CRBR. Aktualizacja rejestru beneficjentów rzeczywistych zajęła cztery dni robocze. Wpis do Centralnego Rejestru Beneficjentów Rzeczywistych jest obowiązkowy i podlega weryfikacji przez instytucje finansowe oraz organy ścigania. Brak aktualnych danych to ryzyko natychmiastowych konsekwencji operacyjnych – bank może odmówić otwarcia rachunku lub zablokować transakcje.
Drugi priorytet – kanał zgłoszeń. Zgodnie z art. 8 ustawy o sygnalistach spółka musiała wdrożyć wewnętrzny kanał przyjmowania zgłoszeń. Wybraliśmy rozwiązanie SaaS dostępne w języku polskim i angielskim. Regulamin kanału, politykę poufności i procedurę rozpatrywania zgłoszeń przygotowaliśmy w ciągu dwóch tygodni. Szkolenie dla zarządu i HR trwało trzy godziny.
Trzeci priorytet – AML. Zaktualizowana polityka przeciwdziałania praniu pieniędzy objęła identyfikację klientów, ocenę ryzyka transakcji i procedurę raportowania do GIIF. Spółka nie była instytucją obowiązaną w rozumieniu ustawy o AML, ale właściciel grupy wymagał standardu zgodnego z regulacjami sektora finansowego. Uważamy, że to rozsądne podejście – nawet bez formalnego obowiązku.
Czwarty priorytet – fundament ESG. Przygotowaliśmy matrycę istotności zgodną z wymogami dyrektywy CSRD (Dyrektywa UE 2022/2464). Zidentyfikowaliśmy 12 tematów istotnych dla spółki, w tym emisje zakresu 1 i 2, warunki pracy w łańcuchu dostaw i politykę różnorodności. Dokumentacja ta stała się podstawą do raportowania niefinansowego w kolejnym roku obrotowym.
Dla porównania – wdrożenia compliance dla spółek zależnych z Luksemburga w Polsce wymagały dodatkowej warstwy dotyczącej przepływów kapitałowych i wymogów FATCA. Tutaj struktura była prostsza, co skróciło czas realizacji.
Jak przebiegał proces wdrożenia w 12 tygodniach?
Tygodnie 1–2 poświęciliśmy na mapowanie luk i aktualizację CRBR. Tygodnie 3–5 – na wdrożenie kanału zgłoszeń i szkolenia. Tygodnie 6–9 – na aktualizację polityki AML i procedur wewnętrznych. Tygodnie 10–12 – na matrycę istotności ESG i raport dla właściciela.
Co wymagało najwięcej czasu? Nie dokumenty – ludzie. Przekonanie zarządu do roli „właściciela procesu compliance" zajęło trzy spotkania. Menedżerowie średniego szczebla traktowali nowe procedury jako dodatkową biurokrację. Zmiana nastawienia wymagała konkretnych przykładów – pokazaliśmy, ile kosztowały sprawy sądowe w podobnych spółkach w Polsce w 2023 roku.
Kluczowym momentem było szkolenie dla HR. Dział kadr nie wiedział, że naruszenie zakazu odwetu wobec sygnalisty grozi karą do 3 lat pozbawienia wolności na podstawie art. 54 ustawy o sygnalistach. Po tym szkoleniu zaangażowanie wzrosło radykalnie.
Checklist wdrożenia – co przygotowaliśmy dla spółki:
- Aktualizacja wpisu w CRBR i weryfikacja struktury beneficjentów rzeczywistych
- Regulamin kanału zgłoszeń wewnętrznych z procedurą rozpatrywania i ochrony sygnalisty
- Zaktualizowana polityka AML z oceną ryzyka i matrycą klientów
- Matryca istotności ESG zgodna z wymogami CSRD
- Protokół szkoleń dla zarządu, HR i kadry kierowniczej
Spółki zależne z innych jurysdykcji często napotykają podobne wyzwania. Warto porównać to wdrożenie z programem compliance dla spółek zależnych ze Szwajcarii działających w Polsce, gdzie dodatkowym elementem była koordynacja z wymogami FINMA.
Jakie wnioski można przenieść na inne spółki zależne?
Trzy lekcje z tego wdrożenia mają zastosowanie do każdej polskiej spółki zależnej zatrudniającej powyżej 50 pracowników. Są konkretne i możliwe do wdrożenia niezależnie od branży.
Pierwsza lekcja: compliance bez przypisanej odpowiedzialności nie istnieje. Spółka potrzebuje compliance officera – nawet w wymiarze 0,25 etatu. Może to być pracownik wewnętrzny lub zewnętrzny doradca pełniący tę funkcję. Brak formalnego przypisania roli oznacza, że nikt nie śledzi zmian regulacyjnych.
Druga lekcja: CRBR i kanał zgłoszeń to minimum, nie opcja. Oba obowiązki są aktywne, egzekwowalne i kontrolowane. Naruszenia w tych obszarach są najczęściej wykrywane jako pierwsze – przez banki, partnerów handlowych lub organy regulacyjne. Koszty naprawy po wykryciu są wielokrotnie wyższe niż koszty prewencji.
Trzecia lekcja: ESG to nie tylko raportowanie. Matryca istotności CSRD jest narzędziem zarządzania ryzykiem. Spółki, które wdrożyły ją wcześnie, mają przewagę w przetargach, negocjacjach z bankami i relacjach z właścicielem grupy. W sporach korporacyjnych – a prowadzimy takie sprawy regularnie, więcej na stronie praktyki sporów w Polsce – brak dokumentacji ESG bywa argumentem przeciwko zarządowi.
Spółka z Mazowsza zakończyła wdrożenie w 11 tygodniach. Audyt grupy przeprowadzony 6 miesięcy później nie wykazał żadnych naruszeń w obszarze compliance. Właściciel zagraniczny ocenił program jako wzorcowy dla pozostałych spółek portfelowych w Europie Środkowej.
Konkretna sytuacja Państwa spółki wymaga indywidualnej oceny. Brak wdrożonego programu compliance to ryzyko nieodwracalne – kary, odpowiedzialność zarządu i utrata kontraktów nie czekają na wygodny moment. Im dłużej trwa zaniechanie, tym wyższy koszt naprawy.
Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i nie ma formalnego programu compliance – przeprowadzimy audyt luk, wdrożymy kanał zgłoszeń, zaktualizujemy politykę AML i przygotujemy matrycę ESG: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała spółka zależna zatrudniająca 55 osób naprawdę musi wdrożyć kanał zgłoszeń?
O: Tak. Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów objęła obowiązkiem wszystkich pracodawców zatrudniających co najmniej 50 pracowników, bez wyjątków branżowych. Artykuł 8 ustawy wymaga ustanowienia wewnętrznego kanału przyjmowania zgłoszeń. Brak wdrożenia grozi karą grzywny, a za działania odwetowe wobec sygnalisty – karą do 3 lat pozbawienia wolności na podstawie artykułu 54 tej ustawy. Termin na wdrożenie minął 25 września 2024 roku.
P: Ile kosztuje wdrożenie podstawowego programu compliance dla spółki zależnej?
O: Koszt zależy od zakresu i stanu wyjściowego. Wdrożenie kanału zgłoszeń z regulaminem i szkoleniami to zazwyczaj kilka tygodni pracy prawnej plus koszt platformy SaaS – od kilkuset do kilku tysięcy złotych rocznie. Pełny program obejmujący AML, CRBR i matrycę ESG wymaga od 4 do 12 tygodni pracy doradczej. Koszt zaniechania – kary, spory, utrata kontraktów – jest wielokrotnie wyższy.
P: Czy zagraniczna spółka matka może narzucić własny program compliance i czy będzie on wystarczający w Polsce?
O: Globalny program grupy jest punktem wyjścia, nie gotowym rozwiązaniem. Polskie regulacje – ustawa o sygnalistach, ustawa AML, wymogi CRBR – mają specyficzne wymogi formalne, w tym język polski, konkretne procedury zgłoszeń i terminy aktualizacji rejestrów. Program grupy musi być zaadaptowany do polskiego prawa. Brak adaptacji nie zwalnia polskiej spółki zależnej z odpowiedzialności wobec polskich organów regulacyjnych, takich jak KAS czy GIIF.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.