Firma logistyczna z Mazowsza odkrywa w październiku, że jeden z kierowników działu zakupów przyjmował korzyści majątkowe od dostawców przez co najmniej dwa lata. Zarząd wie, że musi działać – ale nie wie, od czego zacząć. Czy powiadomić organy ścigania od razu? Kogo objąć dochodzeniem? Jak zabezpieczyć dowody, nie niszcząc ich? To nie są pytania akademickie – to decyzje, które trzeba podjąć w ciągu pierwszych 48 godzin.
Dochodzenie wewnętrzne to sformalizowany proces weryfikacji potencjalnych naruszeń prawa lub polityk firmy, prowadzony przez spółkę lub na jej zlecenie, zanim lub równolegle z działaniami organów zewnętrznych. W polskich realiach obowiązek posiadania kanału zgłoszeniowego wynika wprost z artykułu 8 ustawy o sygnalistach z 14 czerwca 2024 roku. Sankcje za brak kanału sięgają PLN 1 080 000 grzywny i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.
Ten przewodnik opisuje metodologię krok po kroku – od momentu otrzymania sygnału, przez zabezpieczenie dowodów, rozmowy wyjaśniające, aż po raport końcowy i działania naprawcze. Omawiamy trzy scenariusze biznesowe, typowe błędy oraz koszty. Każdy etap ma przypisany termin i osobę odpowiedzialną.
Od czego zacząć – pierwsze 48 godzin dochodzenia?
Pierwsze dwie doby decydują o tym, czy dochodzenie zakończy się sukcesem. Zarząd lub wyznaczony komitet dochodzeniowy musi podjąć trzy decyzje: (1) kto prowadzi dochodzenie, (2) jakie dowody należy natychmiast zabezpieczyć, (3) czy i kiedy powiadomić organy zewnętrzne – KAS, prokuraturę lub KNF. Brak tych decyzji w ciągu 48 godzin zwiększa ryzyko zniszczenia materiału dowodowego.
Pierwszym krokiem jest powołanie zespołu dochodzeniowego. Powinien składać się z prawnika wewnętrznego lub zewnętrznego, przedstawiciela compliance oraz – jeśli sprawa dotyczy finansów – audytora. Kluczowa zasada: osoby potencjalnie zaangażowane w naruszenie nie mogą uczestniczyć w dochodzeniu. W praktyce – wiele firm o tym zapomina – menedżer przełożony podejrzanego często sam decyduje o zakresie badania.
Kolejny krok to tzw. legal hold – formalne wstrzymanie usuwania dokumentów, e-maili i danych systemowych. Należy to zrobić pisemnie, z potwierdzeniem odbioru przez działy IT i HR. Termin: maksymalnie 24 godziny od podjęcia decyzji o wszczęciu dochodzenia. Brak legal hold może skutkować zarzutem utrudniania postępowania.
Trzy instytucje, o których trzeba pamiętać już na tym etapie: KRS (weryfikacja struktury korporacyjnej), CRBR (identyfikacja beneficjentów rzeczywistych powiązanych podmiotów) oraz – w sprawach finansowych – KAS. Warto też sprawdzić, czy spółka podlega obowiązkom AML, co może wymagać odrębnego raportowania.
Jak zabezpieczyć dowody i przeprowadzić rozmowy wyjaśniające?
Zabezpieczenie dowodów to drugi etap – i najczęściej popełniane błędy dotyczą właśnie jego. Dowody cyfrowe (e-maile, logi systemowe, dane z komunikatorów) muszą być skopiowane w sposób umożliwiający późniejszą weryfikację ich autentyczności. Kopia musi mieć znacznik czasu i skrót kryptograficzny (hash). Termin zabezpieczenia: nie dłużej niż 72 godziny od wszczęcia dochodzenia.
Dokumenty papierowe należy zinwentaryzować i zdeponować w miejscu niedostępnym dla osób objętych dochodzeniem. Warto rozważyć zewnętrzne repozytorium. W sprawach dotyczących korupcji lub prania pieniędzy – AML – konieczne może być zachowanie łańcucha dowodowego zgodnego z wymogami procesowymi Kodeksu postępowania karnego.
Rozmowy wyjaśniające (tzw. interviews) prowadzi się w określonej kolejności. Najpierw świadkowie neutralni, potem osoby pośrednio zaangażowane, na końcu osoba podejrzana o naruszenie. Każda rozmowa powinna być poprzedzona poinformowaniem rozmówcy o celu spotkania i jego prawach – w tym o prawie do odmowy odpowiedzi w zakresie mogącym go obciążyć. W praktyce firmy często pomijają ten obowiązek, co może podważyć wartość dowodową zeznań.
Notatka z każdej rozmowy powinna być sporządzona w ciągu 24 godzin, podpisana przez prowadzącego i przechowywana w aktach sprawy. Łączny czas trwania fazy dowodowej to zazwyczaj od 2 do 6 tygodni – zależnie od skali sprawy.
Uważamy, że bezpieczniejszym rozwiązaniem jest angażowanie zewnętrznego pełnomocnika już od pierwszego dnia. Korespondencja prowadzona przez adwokata lub radcę prawnego korzysta z przywileju ochrony tajemnicy zawodowej – co może mieć znaczenie, jeśli sprawa trafi do organów ścigania lub do WSA.
Projektowanie programu compliance dla spółek zależnych w Polsce – więcej o strukturze wewnętrznych procedur zgodności, które skracają czas reakcji na sygnały o naruszeniach.
Co przygotować przed rozmową wyjaśniającą – lista kontrolna:
- Zebrane i zabezpieczone dokumenty źródłowe dotyczące rozmówcy
- Przygotowana lista pytań pogrupowana tematycznie
- Informacja dla rozmówcy o celu i charakterze spotkania
- Protokół lub szablon notatki z rozmowy
- Wyznaczony protokolant – oddzielny od prowadzącego rozmowę
Po zakończeniu fazy dowodowej zespół dochodzeniowy powinien sporządzić wstępny raport faktyczny – bez ocen prawnych – i przedstawić go zarządowi lub komitetowi audytu. Na tym etapie decyduje się, czy sprawa wymaga powiadomienia organów zewnętrznych.
Trzy scenariusze biznesowe – jak wygląda dochodzenie w praktyce?
Metodologia dochodzenia różni się w zależności od charakteru sprawy i branży. Poniżej trzy scenariusze, które najczęściej pojawiają się w polskich spółkach.
Scenariusz pierwszy: producent przemysłowy. Spółka produkcyjna z Dolnego Śląska wykrywa jesienią, że pracownicy działu jakości fałszowali wyniki testów materiałów wejściowych. Sprawa dotyczy potencjalnej odpowiedzialności produktowej i kontraktowej wobec odbiorców z Niemiec i Czech. Dochodzenie musi uwzględnić wątek transgraniczny – dokumentacja w trzech językach, możliwe postępowania równoległe w kilku jurysdykcjach. Czas trwania: od 6 do 10 tygodni. Koszty zewnętrzne: od PLN 80 000 do PLN 200 000.
Scenariusz drugi: spółka IT. Startup technologiczny z Warszawy otrzymuje anonimowe zgłoszenie przez kanał whistleblowerowy – wymagany na podstawie artykułu 8 ustawy o sygnalistach – o możliwym wycieku danych osobowych do konkurencji. Sprawa łączy dochodzenie wewnętrzne z obowiązkami RODO wobec UODO i potencjalnym postępowaniem karnogospodarczym. Kluczowe jest ustalenie, czy naruszenie podlega obowiązkowi zgłoszenia do UODO w ciągu 72 godzin od jego stwierdzenia. Czas trwania: od 3 do 5 tygodni.
Scenariusz trzeci: inwestor zagraniczny. Dla niemieckiego inwestora wchodzącego na rynek polski przez przejęcie spółki z Małopolski dochodzenie wewnętrzne może być elementem due diligence po transakcji. Ujawnienie nieprawidłowości po zamknięciu transakcji uruchamia odpowiedzialność sprzedającego z tytułu rękojmi i gwarancji. Warto sprawdzić wpisy w CRBR i KRS już przed finalizacją umowy. Czas reakcji po ujawnieniu: nie dłużej niż 30 dni.
W każdym z tych scenariuszy kluczowe jest przestrzeganie obowiązków ESG reporting – w tym wymogów CSRD (Dyrektywa UE 2022/2464), które od 2025 roku wymagają ujawniania informacji o mechanizmach zgłaszania naruszeń i wynikach dochodzeń w raportach zrównoważonego rozwoju. Spółki objęte CSRD Poland muszą uwzględnić wyniki dochodzeń w raportowaniu niefinansowym.
Compliance dla spółek szwajcarskich w Polsce – praktyczne zestawienie wymogów dla podmiotów zagranicznych prowadzących działalność w Polsce, w tym w zakresie dochodzeń wewnętrznych.
Micro-case: spółka handlowa z Pomorza przeprowadziła latem dochodzenie dotyczące konfliktu interesów w dziale sprzedaży. Sprawa zakończyła się rozwiązaniem umów z trzema pracownikami i zmianą polityki zakupowej. Łączny koszt dochodzenia: około PLN 55 000. Alternatywny koszt zaniechania – szacowane roszczenia kontrahentów – wynosił wielokrotność tej kwoty.
Micro-case: firma doradcza z Krakowa jesienią ubiegłego roku ujawniła nieprawidłowości w rozliczaniu kosztów projektów. Dochodzenie trwało 4 tygodnie i zakończyło się raportem przekazanym do rady nadzorczej. Zarząd uniknął odpowiedzialności z art. 293 § 1 k.s.h., ponieważ działał niezwłocznie po otrzymaniu sygnału.
Jakie błędy najczęściej niszczą dochodzenie wewnętrzne?
Compliance to proces, nie dokument. Najczęstsze błędy w dochodzeniach wewnętrznych wynikają nie z braku wiedzy, lecz z presji czasu i hierarchii organizacyjnej. Można je podzielić na trzy kategorie: błędy proceduralne, błędy dowodowe i błędy komunikacyjne.
Błędy proceduralne to przede wszystkim brak formalnego powołania zespołu dochodzeniowego i brak pisemnego zakresu mandatu. Bez jasno określonego zakresu dochodzenie rozszerza się niekontrolowanie lub – odwrotnie – pomija kluczowe wątki. Inny częsty błąd: zbyt wczesne powiadomienie organów ścigania, zanim spółka zdążyła zabezpieczyć własne interesy i ocenić zakres naruszeń.
Błędy dowodowe obejmują: brak legal hold, prowadzenie rozmów bez protokołu, kopiowanie danych bez zachowania integralności technicznej. Szczególnie kosztowny jest dostęp do dowodów przez osoby objęte dochodzeniem – co w praktyce zdarza się, gdy dochodzenie prowadzi bezpośredni przełożony podejrzanego.
Błędy komunikacyjne to przedwczesne informowanie pracowników o zakresie dochodzenia, co prowadzi do uzgadniania zeznań. Równie groźne jest nieodpowiednie informowanie rady nadzorczej – organ nadzorczy powinien wiedzieć o dochodzeniu, ale nie powinien otrzymywać informacji, które mogłyby go narazić na zarzut naruszenia obowiązków.
Termin na sporządzenie raportu końcowego: nie dłużej niż 14 dni od zakończenia fazy dowodowej. Raport powinien zawierać opis stanu faktycznego, ocenę prawną, wnioski dotyczące odpowiedzialności oraz plan działań naprawczych z terminami. Brak raportu lub jego nadmierne opóźnienie może być interpretowane jako zaniechanie przez zarząd – z konsekwencjami z art. 293 § 1 k.s.h.
Umowy o unikaniu podwójnego opodatkowania – kluczowe postanowienia – istotne w sprawach, w których dochodzenie ujawnia transgraniczne przepływy finansowe wymagające analizy podatkowej.
Compliance lawyer Warsaw – zewnętrzny pełnomocnik specjalizujący się w compliance i dochodzeniach wewnętrznych może pełnić rolę niezależnego prowadzącego dochodzenie. Jest to szczególnie rekomendowane w sprawach o dużej ekspozycji medialnej lub gdy naruszenie dotyczy członka zarządu.
Często zadawane pytania
P: Jak długo trwa dochodzenie wewnętrzne i ile kosztuje?
O: Czas trwania zależy od skali sprawy. Proste dochodzenia jednoinstancyjne zamykają się w 3–4 tygodniach. Sprawy złożone, wielowątkowe lub transgraniczne mogą trwać 3–6 miesięcy. Koszty zewnętrzne (prawnik, audytor, forensics IT) wynoszą zazwyczaj od PLN 30 000 dla spraw prostych do PLN 300 000 i więcej dla spraw dużych. Koszt zaniechania – roszczenia, kary, utrata reputacji – jest zwykle wielokrotnie wyższy.
P: Czy firma ma obowiązek zgłaszać wyniki dochodzenia organom zewnętrznym?
O: Nie ma ogólnego obowiązku automatycznego zgłaszania wyników dochodzenia wewnętrznego prokuraturze lub KAS. Obowiązek zgłoszenia powstaje w określonych przypadkach: naruszenie RODO wymaga powiadomienia UODO w ciągu 72 godzin od stwierdzenia naruszenia danych osobowych; naruszenia AML mogą wymagać raportowania do GIIF; podejrzenie przestępstwa może być zgłoszone, ale nie musi – choć zaniechanie może mieć znaczenie dla oceny dobrej wiary zarządu. Decyzję powinien podjąć pełnomocnik zewnętrzny po analizie konkretnej sytuacji.
P: Czy wyniki dochodzenia wewnętrznego mogą być użyte przeciwko spółce w postępowaniu karnym?
O: To częste nieporozumienie. Raport z dochodzenia wewnętrznego nie jest automatycznie chroniony tajemnicą adwokacką – chyba że został sporządzony przez adwokata lub radcę prawnego działającego w charakterze pełnomocnika. Jeśli dochodzenie prowadził pracownik działu compliance lub zewnętrzna firma audytorska bez umocowania prawnego, raport może zostać zajęty przez organy ścigania. Dlatego angażowanie external counsel od pierwszego dnia ma znaczenie praktyczne, nie tylko wizerunkowe.
O KANCELARII: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, dochodzeń wewnętrznych i ESG. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Data publikacji: 19.04.2026
Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejące procedury compliance są wystarczające, by przeprowadzić dochodzenie wewnętrzne bez ryzyka nieodwracalnej utraty materiału dowodowego lub naruszenia praw pracowniczych. Brak formalnej metodologii zamyka drogę do skutecznej obrony przed roszczeniami organów zewnętrznych.
Jeśli Państwa spółka stoi przed koniecznością przeprowadzenia dochodzenia wewnętrznego lub chce wdrożyć procedury zapobiegawcze – przeprowadzimy ocenę ryzyka, opracujemy mandat dochodzeniowy i zapewnimy prowadzenie dochodzenia przez external counsel z ochroną tajemnicy zawodowej: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.