Firma z Mazowsza wdraża nową politykę zakupową. Przy okazji audytu wewnętrznego okazuje się, że przez trzy lata nikt nie weryfikował, czy dostawcy figurują w rejestrach sankcyjnych, a procedury antykorupcyjne istnieją wyłącznie na papierze. Koszt naprawienia tej sytuacji – prawny, reputacyjny i operacyjny – wielokrotnie przewyższa koszt wdrożenia programu compliance od początku.

Antykorupcja w polskim porządku prawnym opiera się na kilku nakładających się warstwach regulacyjnych: Kodeksie karnym (przepisy o łapownictwie), ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML), ustawie o sygnalistach z 14 czerwca 2024 r. oraz unijnych wymogach ESG raportowania wynikających z dyrektywy CSRD. Obowiązek prowadzenia wewnętrznego kanału zgłoszeń wynika wprost z artykułu 8 ustawy o sygnalistach i dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników. Kary za naruszenia sięgają 1 080 000 PLN i do 3 lat pozbawienia wolności.

Poniżej omawiamy ramy prawne, instrumenty budowy programu compliance, typowe pułapki wdrożeniowe oraz aspekty transgraniczne – tak, aby Państwa firma mogła ocenić swoje ryzyko i podjąć konkretne działania.

Jakie przepisy tworzą ramy antykorupcyjne w Polsce?

Polski system antykorupcyjny nie jest jednorodny. Składa się z co najmniej czterech odrębnych reżimów prawnych, które wzajemnie się uzupełniają i nakładają. Dla przedsiębiorcy oznacza to, że brak compliance w jednym obszarze może uruchomić odpowiedzialność w innym.

Pierwsza warstwa to prawo karne. Kodeks karny penalizuje łapownictwo czynne i bierne (art. 228–230a k.k.), płatną protekcję oraz korupcję w sektorze prywatnym (art. 296a k.k.). Sankcje sięgają 12 lat pozbawienia wolności. Co istotne – odpowiedzialność ponosi nie tylko osoba fizyczna, lecz także podmiot zbiorowy na podstawie ustawy o odpowiedzialności podmiotów zbiorowych. Prokuratura i Centralne Biuro Antykorupcyjne (CBA) aktywnie korzystają z obu instrumentów.

Druga warstwa to regulacje AML. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu nakłada na instytucje obowiązane – w tym kancelarie prawne, doradców podatkowych i pośredników nieruchomości – obowiązek stosowania środków bezpieczeństwa finansowego, weryfikacji beneficjentów rzeczywistych w CRBR oraz zgłaszania transakcji podejrzanych do GIIF. Próg kwotowy dla transakcji gotówkowych to 10 000 EUR.

Trzecia warstwa to ochrona sygnalistów. Ustawa z 14 czerwca 2024 r., która weszła w życie 25 września 2024 r., wymaga od pracodawców z co najmniej 50 pracownikami wdrożenia wewnętrznego kanału zgłoszeń – co wynika wprost z art. 8 ustawy o sygnalistach. Brak kanału lub działania odwetowe wobec sygnalisty grożą karą do 1 080 000 PLN i do 3 lat pozbawienia wolności zgodnie z art. 54 tej ustawy.

Czwarta warstwa to ESG raportowanie. Dyrektywa CSRD (2022/2464) – transponowana do polskiego prawa ustawą o rachunkowości podpisaną 12 grudnia 2024 r. – wymaga ujawniania informacji o politykach antykorupcyjnych, ryzyku i wynikach. Dla podmiotów objętych Wave 2 (co najmniej 2 z 3 kryteriów: 110 mln PLN aktywów, 220 mln PLN przychodów, 250 pracowników) termin raportowania za rok 2025 jest przesunięty do 2028 r. zgodnie z propozycją Omnibus – ale przygotowania warto zacząć już teraz.

W praktyce – wiele firm o tym zapomina – wszystkie cztery warstwy mogą działać równolegle w jednej sprawie. Korupcja przetargowa uruchamia k.k., AML, CRBR i wymogi CSRD jednocześnie.

Aby skalibrować ryzyko Państwa firmy w tym złożonym środowisku regulacyjnym, skontaktuj się z naszym zespołem: info@kordeckipartners.com.

Z czego składa się skuteczny program compliance antykorupcyjnego?

Program compliance to nie folder z politykami. To żywy system kontroli wewnętrznej, który musi działać na co dzień – od rekrutacji dostawców po zatwierdzanie wydatków reprezentacyjnych. Dobrze zbudowany program obniża ryzyko odpowiedzialności zarządu na podstawie art. 299 § 1 k.s.h. i art. 116 § 1 Ordynacji podatkowej.

Firma produkcyjna z Wielkopolski wdrożyła w jesieni 2024 r. pełny program antykorupcyjny w ciągu 90 dni. Kluczowym elementem było mapowanie ryzyka: zidentyfikowano 14 procesów wysokiego ryzyka, w tym zakupy od podwykonawców zagranicznych i wydatki na gości handlowych. Dzięki temu zarząd mógł skierować zasoby tam, gdzie rzeczywiście istniało ryzyko – a nie rozłożyć je równomiernie na cały podmiot.

Solidny program antykorupcyjny obejmuje pięć elementów:

  • Ocena ryzyka – identyfikacja procesów, geografii i kontrahentów wysokiego ryzyka, aktualizowana co 12 miesięcy
  • Polityki i procedury – kodeks etyki, polityka prezentów i rozrywki, procedura due diligence kontrahentów z weryfikacją w CRBR
  • Kanał zgłoszeń – wewnętrzny, anonimowy, zgodny z art. 8 ustawy o sygnalistach; regulamin przyjęty przez pracodawcę
  • Szkolenia – co najmniej raz w roku dla pracowników ryzyka, dokumentowane i archiwizowane przez 5 lat
  • Monitoring i audyt – regularne testy kontroli, analiza incydentów, raportowanie do zarządu i rady nadzorczej

W obszarze ESG raportowania program compliance dostarcza danych do ujawnień CSRD w zakresie wskaźników antykorupcyjnych (G1-3 w standardzie ESRS). Brak udokumentowanego programu oznacza lukę w raporcie niefinansowym – a to ryzyko reputacyjne i regulacyjne zarazem.

Uważamy, że bezpieczniejszym rozwiązaniem jest budowa programu opartego na ocenie ryzyka, a nie na kopiowaniu wzorcowych dokumentów. Każda branża ma inne punkty wrażliwości: sektor budowlany – korupcja przetargowa; farmaceutyczny – relacje z lekarzami; logistyczny – odprawy celne i inspekcje.

Jakie pułapki czekają na firmy przy wdrożeniu?

Wdrożenie programu compliance generuje własne ryzyka procesowe. Najpoważniejsze z nich to pozorna zgodność – sytuacja, w której dokumenty istnieją, ale kontrole nie działają. Organy ścigania i regulatorzy coraz częściej badają skuteczność programu, a nie tylko jego istnienie.

Spółka IT z Trójmiasta przekonała się o tym latem 2024 r. podczas kontroli KAS. Miała wdrożoną politykę antykorupcyjną, ale żaden pracownik działu zakupów nie wiedział o jej istnieniu. Szkolenia były prowadzone wyłącznie dla kadry zarządzającej. Brak dowodów na faktyczne stosowanie polityki spowodował, że organ traktował program jako dekoracyjny.

Najczęstsze pułapki wdrożeniowe to:

  • Brak aktualizacji oceny ryzyka – program opracowany raz i nigdy niezaktualizowany staje się bezużyteczny po pierwszej zmianie struktury biznesowej
  • Kanał zgłoszeń bez procedury obsługi – samo uruchomienie skrzynki mailowej nie spełnia wymogów art. 8 ustawy o sygnalistach; wymagany jest regulamin z terminami reakcji
  • Pominięcie podmiotów powiązanych – program obejmuje spółkę matkę, ale jej spółki zależne i joint ventures działają bez kontroli
  • Brak due diligence kontrahentów – weryfikacja w CRBR i na listach sankcyjnych powinna być procesem, nie jednorazową czynnością

Osobna kategoria ryzyka to konflikty interesów w organach spółki. Zgodnie z art. 210 § 1 k.s.h., w umowach między spółką a członkiem zarządu spółkę reprezentuje rada nadzorcza lub pełnomocnik powołany uchwałą zgromadzenia wspólników. Naruszenie tej zasady to nie tylko ryzyko nieważności czynności – to sygnał dla organów ścigania o potencjalnej korupcji wewnętrznej.

Złożoność regulacyjna sprawia, że nawet dobrze zarządzane firmy popełniają błędy procesowe. Konkretna ocena luk w Państwa programie compliance jest możliwa po analizie dokumentacji i struktury organizacyjnej – napisz do nas: info@kordeckipartners.com.

Jak wygląda compliance antykorupcyjny w kontekście transgranicznym?

Dla inwestora zagranicznego wchodzącego na rynek polski antykorupcja ma dodatkowy wymiar: konieczność pogodzenia wymogów polskich z regulacjami kraju macierzystego. Niemiecka spółka matka podlega Lieferkettensorgfaltspflichtengesetz (LkSG), która wymaga due diligence w łańcuchu dostaw pod kątem korupcji. Jej polska spółka zależna musi jednocześnie spełniać wymogi polskiego k.k., ustawy o sygnalistach i CSRD.

Kancelaria obsługuje klientów w 30 jurysdykcjach, w tym poprzez praktykę ESG i compliance w Polsce, co pozwala nam koordynować programy compliance na poziomie grupy kapitałowej. Kluczowe pytanie dla grup międzynarodowych brzmi: czy program globalny jest skutecznie implementowany na poziomie lokalnym?

Trzy scenariusze transgraniczne wymagają szczególnej uwagi. Po pierwsze, przejęcia i M&A – due diligence antykorupcyjne przed transakcją jest standardem rynkowym. Brak weryfikacji przejmowanego podmiotu może oznaczać przejęcie odpowiedzialności za historyczne naruszenia. Warto zapoznać się z naszym przewodnikiem jak założyć firmę w Polsce, który omawia aspekty strukturyzacji działalności od początku.

Po drugie, agenci i pośrednicy – płatności na rzecz pośredników w krajach wysokiego ryzyka to klasyczny wektor korupcji. Polska ustawa o odpowiedzialności podmiotów zbiorowych może objąć spółkę odpowiedzialnością za działania jej agenta, nawet jeśli spółka formalnie nie wiedziała o korupcji.

Po trzecie, postępowania sankcyjne – polska ustawa z 15 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę nakłada obowiązki weryfikacji kontrahentów, które nakładają się na AML i compliance antykorupcyjny. Podmioty wpisane na listę sankcyjną są wykluczone z zamówień publicznych. Weryfikacja w CRBR powinna być zintegrowana z procesem onboardingu każdego kontrahenta.

W praktyce – dla grup kapitałowych z polską spółką zależną – rekomendujemy trójstopniowe podejście: (1) mapowanie wymogów wszystkich jurysdykcji, (2) identyfikacja najsurowszego standardu jako punktu odniesienia, (3) lokalna implementacja z dokumentacją w języku polskim dla potrzeb ewentualnej kontroli KAS lub postępowania prokuratorskiego.

Lista kontrolna: co przygotować przed audytem compliance?

Audyt compliance antykorupcyjnego – wewnętrzny lub zewnętrzny – wymaga zgromadzenia konkretnej dokumentacji. Brak któregokolwiek z poniższych elementów sygnalizuje lukę w programie i może być traktowany jako dowód pozornej zgodności.

Poniższa lista kontrolna obejmuje minimum dokumentacyjne dla spółki zatrudniającej powyżej 50 pracowników, działającej w sektorach o podwyższonym ryzyku korupcji (budownictwo, zamówienia publiczne, farmacja, logistyka):

  • Aktualna ocena ryzyka antykorupcyjnego – datowana, podpisana przez zarząd, obejmująca procesy, kontrahentów i geografię; aktualizacja nie rzadziej niż co 12 miesięcy
  • Regulamin kanału zgłoszeń – zgodny z art. 8 ustawy o sygnalistach, z określonymi terminami reakcji (potwierdzenie przyjęcia zgłoszenia: 7 dni; informacja zwrotna: 3 miesiące)
  • Dokumentacja szkoleń – lista uczestników, data, zakres tematyczny; archiwizowana przez co najmniej 5 lat
  • Raporty z due diligence kontrahentów – weryfikacja w CRBR, listach sankcyjnych i rejestrach KRS dla co najmniej kontrahentów wysokiego ryzyka
  • Rejestr incydentów i zgłoszeń – dokumentacja każdego zgłoszenia, podjętych działań i ich wyniku; podstawa do raportowania CSRD w zakresie wskaźnika G1-3

Firmy, które przeszły audyt zewnętrzny compliance w 2024 r., najczęściej wskazywały na dwie luki: brak aktualnej oceny ryzyka i brak dokumentacji szkoleń. Oba braki są stosunkowo łatwe do usunięcia – ale tylko jeśli zostaną zidentyfikowane przed, a nie w trakcie kontroli.

Konkretna sytuacja Państwa firmy wymaga oceny, która uwzględnia branżę, strukturę własnościową i historię incydentów. Brak wdrożonego programu compliance w momencie wszczęcia postępowania zamyka drogę do skutecznej obrony i może prowadzić do nieodwracalnych konsekwencji reputacyjnych i prawnych.

Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i nie posiada udokumentowanego programu antykorupcyjnego – przeprowadzimy ocenę luk, zaprojektujemy kanał zgłoszeń i przygotujemy dokumentację gotową na audyt: info@kordeckipartners.com.

Często zadawane pytania

P: Czy program compliance antykorupcyjnego jest obowiązkowy dla każdej spółki?

O: Żaden przepis nie nakłada wprost obowiązku posiadania kompleksowego programu antykorupcyjnego na wszystkich przedsiębiorców. Jednak obowiązek prowadzenia wewnętrznego kanału zgłoszeń wynika z artykułu 8 ustawy o sygnalistach i dotyczy każdego pracodawcy z co najmniej 50 pracownikami. Dodatkowo ustawa o odpowiedzialności podmiotów zbiorowych przewiduje, że brak procedur wewnętrznych może stanowić podstawę odpowiedzialności spółki za przestępstwa korupcyjne popełnione przez jej pracowników. Dla podmiotów objętych CSRD wymóg ujawnień antykorupcyjnych jest bezpośredni.

P: Ile kosztuje wdrożenie programu compliance i jak długo trwa?

O: Czas wdrożenia zależy od wielkości i złożoności organizacji. Dla spółki zatrudniającej 50–200 pracowników realistyczny termin to 60–90 dni od przeprowadzenia oceny ryzyka. Koszty obejmują pracę prawników i konsultantów compliance, ewentualne oprogramowanie do kanału zgłoszeń oraz szkolenia. Koszt wdrożenia jest zawsze niższy niż koszt postępowania karnego lub sankcji administracyjnej sięgającej 1 080 000 PLN. Warto pamiętać, że dobrze udokumentowany program może stanowić okoliczność łagodzącą w postępowaniu prokuratorskim.

P: Czy program compliance opracowany dla spółki matki za granicą wystarczy dla polskiej spółki zależnej?

O: Nie – przynajmniej nie bez lokalnej adaptacji. Polski pracodawca musi posiadać regulamin kanału zgłoszeń zgodny z ustawą o sygnalistach, sporządzony w języku polskim, przyjęty w procedurze wymaganej przez tę ustawę. Globalny program compliance może stanowić podstawę merytoryczną, ale wymaga implementacji uwzględniającej specyfikę polskiego prawa karnego, AML i wymogów CRBR. Brak polskojęzycznej dokumentacji w trakcie kontroli Krajowej Administracji Skarbowej lub postępowania prokuratorskiego jest traktowany jako brak programu.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG raportowania i programów antykorupcyjnych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.