- Skuteczny kanał zgłoszeniowy – przedsiębiorca będzie musiał stworzyć poufny i bezpieczny dla zgłaszającego kanał zgłoszeniowy. Mało tego, kanał ten musi dawać możliwość komunikacji ze zgłaszającym. Jak już wspomnieliśmy, zgłaszający musi zostać poinformowany o przyjęciu zgłoszenia, a potem o wynikach postępowania wyjaśniającego. To istotna kwestia, jeżeli bowiem sygnalista uzna, że dany kanał nie jest bezpieczny, zgłosi sprawę do prokuratury lub od razu do mediów. To kreuje szereg ryzyk, w tym reputacyjne oraz związane z działalnością organów ścigania. Pamiętajmy również, że ww. projekt ustawy o odpowiedzialności podmiotów zbiorowych przewiduje wysokie kary finansowe w tym zakresie. Jak zatem rozwiązać ten problem? Najprostszym sposobem jest oczywiście stworzenie dedykowanej skrzynki pocztowej e-mail, na którą sygnaliści będą mogli wysyłać informacje. Jednak w ogólnym odczuciu nie jest to najbardziej bezpieczne rozwiązanie. Lepszym w tym zakresie, ale i nieco droższym, jest skorzystanie ze specjalnych platform zgłoszeniowych, oferowanych przez zewnętrzne firmy. Platformy te znajdują się na zewnętrznych serwerach, a dla większego bezpieczeństwa zgłoszenie może odbywać się poprzez sieć TOR (dzięki czemu ukrywany jest IP zgłaszającego).
- Wyznaczenie osób odpowiedzialnych za wyjaśnianie zgłoszeń – kim mają być te osoby? Będą odpowiedzialne za przeprowadzanie postępowań wyjaśniających, zatem muszą mieć dużą wiedzę z zakresu: finansów, prowadzenia dochodzeń, audytu, informatyki śledczej etc. Czy prawnik zajmujący się compliance w firmie może podołać tej roli? Raczej nie. Jeżeli firma nie posiada działu kontroli wewnętrznej, będzie musiała takie osoby zatrudnić lub zlecić prowadzenie wyjaśnień wyspecjalizowanej zewnętrznej firmie (na co wprost wskazuje dyrektywa).
- Procedura prowadzenia postępowań wyjaśniających – zgłoszenia będą musiały być wyjaśnianie z należytą starannością. Co to oznacza? Z wieloletniego doświadczenia audytora śledczego wiem, że tzw. anonimy zawierają wiele często trudnych do zweryfikowania informacji. Trzeba mieć dużą wiedzę, żeby ocenić, czy dane zgłoszenie jest możliwe do wyjaśnienia i w jakim zakresie. I znowu brak należytej staranności przy wyjaśnianiu zgłoszeń może spowodować to, że zgłaszający użyje zewnętrznych kanałów zgłoszeniowych. Prawdopodobne będą również wysokie sankcje finansowe. Należy zatem przy udziale specjalistów opracować wewnętrzną procedurę, określającą sposób prowadzenia postępowań wyjaśniających, która minimalizować będzie ww. ryzyka.
Nie wiadomo jeszcze, jak wysokie będą sankcje za brak zgodności z regulacjami. Jednak ich przedsmak mogliśmy poznać w ww. projekcie ustawy o odpowiedzialności podmiotów zbiorowych, gdzie sięgały one aż 60 milionów zł, co spowodowało szeroki sprzeciw organizacji gospodarczych. Czy można liczyć na ich złagodzenie? Być może, ale nie byłbym w tym zakresie zbytnim optymistą.
Autor jest audytorem śledczym z ponad 20-letnim stażem i prezesem firmy Fraud Control sp. z o.o. Pracował w firmach audytorskich tzw. Wielkiej Czwórki, prowadził audyty śledcze dla ONZ
