Czy na pewno wiem, za co odpowiadam? O tym, dlaczego warto znać hasło liability compliance. Natłok obowiązków i dynamicznie zmieniająca się rzeczywistość sprawiają, że coraz trudniej znaleźć czas na zagadnienia związane z odpowiedzialnością osobistą. To zresztą naturalne, że więcej czasu poświęcamy efektywnemu wykonaniu pracy, celom biznesowym czy własnej karierze niż zastanawianiu się nad ryzykiem wtrącenia do więzienia czy zapłaty odszkodowania. Hasło „ryzyko i odpowiedzialność” pracownikowi każdej nowoczesnej firmy przywodzi na myśl wielki, świecący na czerwono napis COMPLIANCE. Kojarzy się on różnie. Często - ze stosem wewnętrznych reguł i zasad, którego przestrzeganie nadzoruje „ktoś z działu prawnego”, czasem osobnego działu compliance. Pragnąc przybliżyć szefom zespołów IT zagadnienie compliance, niekiedy wykładane na język polski jako „zapewnienie zgodności prawnej” w serii artykułów spróbujemy wskazać najważniejsze i najbardziej praktyczne rodzaje ryzyka compliance, z którymi w swojej praktyce zawodowej może zmierzyć się CIO. Pomoże to w realizacji podejścia liability compliance, czyli zarządzania zgodnością, które skupia się na minimalizowaniu ryzyka odpowiedzialności osobistej. Punktem wyjścia jest poznanie ciążących na CIO obowiązków i rodzajów osobistego ryzyka prawnego. (Nie)abstrakcyjna odpowiedzialność Jeśli zapytać prawnika o to, jaka odpowiedzialność ciąży na menedżerze każdego zespołu, w tym na szefie departamentu IT, odpowie ogólnie o trzech jej rodzajach: cywilnej (np. obowiązek naprawienia szkody, czyli najczęściej po prostu – zapłaty odszkodowania), karnej (np. grzywna lub ograniczenie wolności) i administracyjnej (np. pieniężna kara administracyjna). Ryzyko poniesienia odpowiedzialności każdego z tych rodzajów nie jest abstrakcyjne. Warto jednak dobrze rozważyć potencjalne sytuacje, których konsekwencją mogłaby być odpowiedzialność osobista przypisana do stanowiska. Te najczęściej wynikają z braku znajomości właściwych przepisów. Zacznijmy więc od tego zagadnienia. W 2019 roku weszło w życie ponad 21 tysięcy stron nowych aktów prawnych. Czy wiesz na pewno, które z nich dotyczą Ciebie? Liczba tworzonych w Polsce przepisów jest najwyższa w całej Unii Europejskiej i z roku na rok rośnie. Badania pokazują, że przodujemy w niechlubnych rankingach krajów najbardziej zmiennego prawa i tym samym najbardziej niestabilnych warunków biznesowych. Wynika to także z tempa przyjmowanych regulacji – w zeszłym roku rekordowo krótko, bo średnio 69 dni trwały prace nad ustawą od wpływu do Sejmu do podpisu Prezydenta. Dodajmy do tego obecną pandemię koronawirusa, która przyniosła także bardzo szeroki wachlarz zmian prawnych i oto rysuje się sytuacja, w której łatwo o przeoczenie regulacji posiadającej znaczny wpływ na naszą pracę i odpowiedzialność. Tym samym nowego znaczenia nabiera dobrze prowadzony monitoring legislacyjny. Paradoksalnie, nie jest to zadanie wyłącznie dla działu prawnego. Warto osobiście zweryfikować, jak kwestie te uregulowano w organizacji i czy konsekwencje przeoczenia konkretnej nowej regulacji w obszarze IT nie zostaną (zostały?) scedowane na mnie. W wielu organizacjach odpowiedzialność za nadzorowanie regulacji prawnych właściwych dla danego obszaru spoczywa na kierujących pracami danego departamentu, zwłaszcza kiedy mowa o obszarze technicznym. Może to być bezpośrednio wpisane w obowiązki dyrektorów i kierowników działów, może też wynikać z innych źródeł – np. z regulaminu organizacyjnego, albo z poleceń przełożonych. I tu dochodzimy do kolejnego wyzwania. Czy wiem, za co odpowiadam? Punktem wyjścia powinny być wiedza i świadomość. Na początek dotyczące tego, jakie ogólne regulacje wewnętrzne (polityki, procedury, regulaminy) wpływają na pracę CIO i obszaru, którym zarządza. Kluczowe jest zrozumienie rangi i charakteru każdej regulacji wewnętrznej i ich wzajemnych korelacji. W tym celu konieczne jest odnalezienie – czasami skrywanych w czeluściach HRu – zakresów odpowiedzialności dla mojego działu, dla mnie i dla podległych mi pracowników. Zdarza się, że o funkcjonowaniu takich dokumentów w organizacji nikt nie wie, choć istnieją one od lat. No właśnie, od lat. A warto po nie sięgać i regularnie sprawdzać, czy nie wymagają aktualizacji. W razie wystąpienia nieprawidłowości próba ustalenia winnych, gdy zakresy odpowiedzialności i obowiązków poszczególnych jednostek organizacyjnych i osób w organizacji nie są jasne, staje się niezwykle trudne i bolesne. A prędzej czy później takie ustalanie winnego się odbędzie. Posiadanie jasnych reguł w tym zakresie pomaga też na bieżąco rozwiązywać spory kompetencyjne czy decyzyjne. Dlatego warto regularnie sprawdzać, co w danej sytuacji z nich wynika, a jeśli brak dokumentów precyzujących podział odpowiedzialności w odniesieniu do funkcji, warto zainicjować ich stworzenie. Dodatkowa korzyść z precyzyjnie zakresów odpowiedzialności to możliwość porządkowania odpowiedzialności przypisanej poszczególnym członkom zespołu. To cechy dobrego systemu compliance. Przykłady odpowiedzialności CIO W każdym przypadku, obszary odpowiedzialności wynikają z odpowiedzi na pytanie: „jakie obowiązki przypisano CIO w organizacji”, a zatem – „gdzie może popełnić błąd?” Przyjrzyjmy się dwu przykładom. #1 CIO i RODO W wyniku niezgodnego ze sztuką wykonania obowiązków przez CIO dochodzi do nieprawidłowości w obszarze przetwarzania danych osobowych przez spółkę. Sytuacja zostaje wykryta podczas kontroli Urzędu Ochrony Danych Osobowych, który decyduje o nałożeniu kary. W takiej sytuacji kara administracyjna spółki może zostać uznana za jej szkodę wyrządzoną właśnie przez błędne decyzje CIO. Spółka mogłaby zatem wystąpić wobec CIO z tzw. roszczeniem regresowym – czyli po prostu domagać się od niego zapłaty odszkodowania. Jego wysokość – w dużym uproszczeniu – mogłaby odpowiadać nawet wartości kary, chyba że w grę wejdą wynikające z przepisów lub z umowy ograniczenia. Tytułem przykładu – w przypadku umowy o pracę górna granica odpowiedzialności pracownika, to trzykrotność jego wynagrodzenia (chyba, że szkodę wyrządził umyślnie). W przypadku umów B2B – takie ograniczenie nie wynika z przepisów i musiałoby się znaleźć w umowie. #2 CIO i dostawca IT CIO podjął decyzję o nawiązaniu współpracy z dostawcą sprzętu, kierując się jednak tym, że trzymał od niego korzyść (może to być wycieczka, mogą być pieniądze). Pominął przy tym inne, być może korzystniejsze oferty. Podczas wewnętrznego audytu to działanie zostaje mu udowodnione, co oznacza, że naruszył wewnętrzne zasady antykorupcyjne. Oprócz oczywistych wewnątrzorganizacyjnych, dyscyplinarnych konsekwencji (rozwiązanie umowy o pracę lub kontraktu B2B), w grę może wejść również obowiązek zapłaty spółce odszkodowania (zasady jak w pierwszym przykładzie), jeśli warunki oferowane przez nieuczciwie preferowanego kontrahenta byłyby mniej korzystne. O tym decyduje naturalnie sąd cywilny, ale samo postępowanie i konieczność obrony to nie jest niczym przyjemnym. W takiej sytuacji CIO może równolegle ponieść odpowiedzialność karną (w tym przypadku z karą pozbawienia wolności włącznie) na podstawie przepisów regulujących tzw. korupcję menedżerską oraz za tzw. przestępstwo nadużycia zaufania, czyli w uproszczeniu – wyrządzenia szkody spółce (w zależności od wartości tego uszczerbku). Przykłady można oczywiście mnożyć w nieskończoność. Każdy z wskazanych powyżej jest mocno uproszczony i w rzeczywistej sytuacji diabeł tkwi w szczegółach. Niemniej pokazują, gdzie jest istota odpowiedzialności CIO. Czy jestem ubezpieczony? W dyskusji o odpowiedzialności padają coraz częściej pytanie „Czy można się od tego wszystkiego ubezpieczyć?”. W przypadku odpowiedzialności cywilnej – oczywiście tak. Będzie to mieć zastosowanie np. w sytuacji, gdy spółka wystąpi przeciwko CIO z regresem roszczeń po zapłaceniu dużej kary umownej wskutek niedopatrzeń szefa IT, odpowiedzialnego za dany projekt. Na rynku oferta ubezpieczeń komercyjnych dla stanowisk kierowniczych jest spora i warto się z nią zapoznać. Czasami to sama organizacja posiada już wykupione ubezpieczenia dla kadry menadżerskiej. Sprawdź koniecznie, czy takie obejmują również ciebie. Mniej oczywista, jednak szalenie pomocna, może okazać się inna metoda „ubezpieczenia się” na przyszłość. Najczęściej w procesie wyjaśniania nieprawidłowości lub nadużycia organizacja samodzielnie w postępowaniu wewnętrznym czy organy ściągania w postępowaniu karnym podejmują próbę „prześledzenia” proces decyzyjnego. Tu na naszą korzyść działają precyzyjnie opracowane procedury postępowania, ale także skrupulatne dokumentowanie decyzji zarządczych. Zdarza się, że pytania o przebieg danego zdarzenia pojawiają się wiele lat od jego wystąpienia. Wtedy tym trudniej jest wykazać, że dochowano należytej staranności i postępowano zgodnie z dobrymi praktykami. Ryzyko poniesienia odpowiedzialności osobistej znacząco zmniejsza wówczas nie tylko powołanie się na obowiązujące procedury, ale też sięgnięcie do archiwum, które pozwoli wykazać, że decyzje podjęte w danych okolicznościach opierały się o konkretny zbiór informacji i danych dostarczonych wewnętrznie przez konkretnych pracowników czy zewnętrznie, np. przez kontrahenta w ramach współpracy. Zasady prowadzenia takiej dokumentacji może określać odpowiednia procedura, przyjęta choćby na potrzeby konkretnego departamentu, jeśli nie obowiązuje w całej organizacji. Opisane działania należą do podstawowego kanonu liability compliance. Wiele programów compliance w firmach uwzględnia ten wątek, ale nie zawsze na tyle skutecznie, by zdjąć z pracowników ciężar konieczności zadbania o to samemu. Globalny trend legislacyjny, który obejmuje również nasz kraj, pokazuje, że przepisy i sankcje są coraz bardziej surowe, a jednocześnie wymagają od menedżerów samodzielnego zastanowienia się, gdzie mamy ryzyka i jak powinniśmy im przeciwdziałać. Julia Besz, Associate DZP W ramach Zespołu DZP Compliance doradza w usprawnianiu systemów zarządzania zgodnością oraz tworzeniu procedur wewnętrznych dla zapobiegania nadużyciom gospodarczym i korupcji w przedsiębiorstwach wg międzynarodowych standardów, w tym wytycznych normy ISO 19600 CMS oraz ISO 37001 Anti-bribery Management System. Zajmuje się ochroną sygnalistów korporacyjnych i wdrażaniem systemów whistleblowing. Salwador Milczanowski, Counsel DZP Adwokat, Counsel w zespole Compliance kancelarii DZP. Ekspert w zakresie compliance i business crime. Od wielu lat doradza w aspektach zarządzania zgodnością i ryzykiem oraz wdrażania systemów i procedur compliance oraz zagadnieniach dotyczących odpowiedzialności osobistej kadry zarządzającej. Ma bogate doświadczenie w projektowaniu narzędzi przeciwdziałania wewnętrznym nadużyciom. Artykuł ukazał się na łamach Magazynu ITwiz nr. 10/2020. Zamów poniżej: https://itwiz.pl/produkt/magazyn-itwiz-10-2020/