Raport Specjalny: Bezpieczeństwo Banków – Co proponowane zmiany oznaczają dla banków?
Jarosław Grzegorz Associate Partner, EY Forensic & Integrity Services
Małgorzata Chruściak of Counsel, adwokat, EY Law
Najistotniejsze zmiany
Fundamentalną zmianą będzie usunięcie wymogu skazania osoby fizycznej prawomocnym wyrokiem, jako warunku pociągnięcia do odpowiedzialności podmiotu zbiorowego. Po wprowadzeniu proponowanych zmian, postępowania zarówno przeciwko osobie, jak i firmie będą mogły się toczyć równolegle, a firmy będą także mogły być pociągnięte do odpowiedzialności w przypadku braku możliwości wykrycia sprawcy.
Rozszerzeniu ulegnie również podstawa odpowiedzialności, tzn. planowane jest, że katalog czynów zabronionych będzie otwarty, zatem bank będzie odpowiadać za każde przestępstwo oraz przestępstwo skarbowe popełnione przez swoich pracowników. Ale nie tylko nich. Wzrośnie również odpowiedzialność za działania partnerów biznesowych. Nowym obowiązkiem będzie konieczność aktywnego wdrażania rozwiązań o charakterze prewencyjnym. Odpowiedzialności nie będą ponosić tylko te podmioty, które będą w stanie wykazać należytą staranność.
Podmioty zbiorowe zobowiązane będą do przyjmowania zgłoszeń od sygnalistów o możliwych nieprawidłowościach, przeprowadzania wewnętrznych postępowań wyjaśniających oraz usuwania potwierdzonych przypadków nieprawidłowości. A sami sygnaliści mają się znaleźć pod ochroną prawną. Przy czym dla banków nie oznacza to konieczności radykalnych zmian, a jedynie dostosowania istniejących rozwiązań – o czym poniżej.
Kolejną istotną zmianą będzie możliwość dobrowolnego poddania się odpowiedzialności, czyli rozwiązanie dobrze znane w krajach anglosaskich. Warunkiem skorzystania będzie m.in. ujawnienie sprawcy i istotnych okoliczność przestępstwa, wpłata kwoty stanowiącej równowartość szkody oraz równowartości pieniężnej grożącej za czyn zabroniony (maksymalnie 3 mln zł). W zamian bank uniknie długiego i kosztownego postępowania, prawomocny wyrok nie zostanie wpisany do Krajowego Rejestru Sądowego, a sąd nie będzie mógł nałożyć dodatkowych sankcji.
Restrykcyjne sankcje
Zacznijmy od sankcji finansowych. Kary pieniężne zostaną podwyższone, sięgną od 30 tys. do 30 mln zł. W przypadku zignorowania informacji pochodzących od sygnalisty limit może zostać podwojony (do 60 mln zł), co oznacza 12-krotne zwiększenie górnego wymiaru sankcji finansowych w stosunku do obecnie istniejących regulacji.
Na tym planowane kary się nie kończą, tzn.: jedną z nich jest rozwiązanie podmiotu zbiorowego, zarezerwowane dla najcięższych przestępstw i sytuacji kiedy inne sankcje byłyby nieskuteczne. Obok tak radykalnej opcji znalazło się również miejsce dla innych, również dotkliwych z punktu widzenia prowadzenia biznesu, a mianowicie: zakaz prowadzenia działalności gospodarczej określonego rodzaju, stałe lub czasowe zamknięcie oddziału, zakaz promocji i reklamy prowadzonej działalności czy zakaz ubiegania się o zamówienia publiczne. Dodatkowo, na podmiot zbiorowy może zostać nałożony zakaz korzystania ze wsparcia ze środków publicznych, obowiązek zwrotu już otrzymanych funduszy, a wyrok może zostać podany do publicznej wiadomości.
W projekcie ustawy wprowadzono możliwość zastosowania środków zapobiegawczych, i to zarówno na etapie postępowania przygotowawczego, jak i po wniesieniu aktu oskarżenia. Katalog środków pokrywa się w dużym stopniu z wymienionymi sankcjami i obejmuje m.in.: zakaz prowadzenia działalności określonego rodzaju, zakaz promocji i reklamy, zakaz ubiegania się o zamówienia publiczne. Niemniej pojawiają się także nowe środki, takie jak: zakaz zawierania umów określonego rodzaju, wstrzymanie wypłaty wsparcia finansowego ze środków publicznych czy zakaz obciążania i zbywania majątku bez zgody sądu. W skrajnym przypadku do banku może zostać wprowadzony zarząd przymusowy.
Projektowane przepisy a działalność podmiotów bankowych
Projektowana ustawa powinna skłonić podmioty działające w sektorze bankowym do przeprowadzenia uważnej analizy wdrożonych w swoich organizacjach procedur compliance. Wyzwaniem nie będzie stworzenie wymaganych procedur od podstaw, lecz raczej przeprowadzenie dokładnej analizy luki w celu identyfikacji obszarów, które wymagałyby uregulowania lub dostosowania do projektowanych wymogów prawnych. Proces ten – wbrew pozorom, może stanowić duże wyzwanie, szczególnie biorąc pod uwagę skalę na jaką sektor bankowy korzysta w swej działalności z outsourcingu.
Doskonały przykład takiej konieczności dostosowania aktualnie istniejących w bankach procedur stanowi przepis projektowanej ustawy, nakładający obowiązek implementacji do struktury każdego podmiotu zbiorowego procedury anonimowego zgłaszania naruszeń (tzw. Whistleblowing). W pewnym zakresie ciąży on już aktualnie na bankach. Jako przykład można wskazać obowiązek przyjęcia procedury Whistleblowing w zakresie zgłoszeń dotyczących naruszeń przepisów z zakresu AML lub wprowadzenia procedur zgłaszania naruszeń prawa oraz obowiązujących w banku procedur i standardów etycznych. Wydaje się jednak, że funkcjonujące już w bankach procedury nie będą wystarczające do zapewnienia zgodności z projektowaną ustawą. Zdefiniowany w projekcie zakres informacji, mających być przedmiotem zgłoszeń sygnalistów, jest znacznie szerszy i obejmuje dodatkowo zgłoszenia informujące m.in. o niezachowaniu należytej staranności wymaganej w danych okolicznościach, czy też wskazujące na nieprawidłowości w organizacji działalności podmiotu zbiorowego, które mogłyby prowadzić do popełnienia czynu zabronionego.
Co więcej, kwestię zapewnienia compliance przez banki komplikuje fakt, iż na gruncie przepisów projektowanej ustawy, podmioty zbiorowe będą ponosić odpowiedzialność prawną również za czyny zabronione popełnione przez osoby upoważnione do działania w ich interesie lub na ich rzecz.
Oznacza to, że w przypadku outsourcingu usług do podmiotów trzecich, bank ponosić będzie ryzyko odpowiedzialności karnej za ewentualne przestępstwa popełnione przez np. pracowników zatrudnionych u przedsiębiorcy, któremu bank powierzył wykonywanie pewnych czynności, jeżeli – chociażby pośrednio – osiągnął z tego tytułu korzyść majątkową.
W tym kontekście należy zwrócić szczególną uwagę na to, że warunkiem odpowiedzialności podmiotu zbiorowego jest m.in. brak należytej staranności w wyborze lub nadzorze, względnie taka nieprawidłowość w organizacji działalności podmiotu zbiorowego, która co najmniej ułatwiła popełnienie czynu zabronionego, chociaż inna organizacja działalności mogłaby temu zapobiec. Nieprawidłowość taka polegać będzie w szczególności na nieokreśleniu zasad postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności.
O ile bowiem działalność banku – co do zasady – oparta jest na bardzo szczegółowych procedurach, powstaje pytanie, czy analogiczna zasada znajduje zastosowanie we wszystkich podmiotach, za pośrednictwem których świadczy on swoje usługi. Rozważając kwestię ryzyka wynikającego z projektowanej regulacji, należy także pamiętać o standardowo większej niż w banku rotacji pracowników zatrudnionych w podmiotach współpracujących z nim, co może przekładać się na mniejszą świadomość wymogów prawnych i obowiązujących procedur oraz zasad. W tym kontekście można wskazać np. na zwiększone ryzyko popełnienia przestępstwa fałszerstwa dokumentów przez osobę, która pośredniczy przy zawieraniu umowy kredytu lub ułatwienia jego popełnienia przez ubiegającego się o kredyt, przestępstwo wyłudzenia kredytu ze względu na brak nadzoru nad prawidłowością stosowania procedur lub też przestępstwo ujawnienia informacji objętych tajemnicą bankową.
Analiza luki powinna obejmować całą działalność banku – także w zakresie, w jakim regulacje wewnętrzne dotyczą obszaru, który nie jest bezpośrednio związany z działalnością bankową (np. zakupu lub księgowości). W odniesieniu do czynności księgowych, które często powierza się podmiotom zewnętrznym, należy wskazać na ryzyko popełnienia przez pracowników przestępstw związanych z nierzetelnością faktur (fałszerstwo materialne faktur).
Reasumując – każdy przypadek wykrycia czynu zabronionego popełnionego przez pracownika banku lub osobę, która wykonuje czynności w jego interesie lub na jego rzecz, jeżeli przestępstwo będzie źródłem chociażby pośredniej korzyści dla banku, będzie powodowało ryzyko pociągnięcia instytucji do odpowiedzialności na gruncie projektowanej ustawy. To na banku będzie ciążył obowiązek udowodnienia, że nie zachodzą przewidziane w ustawie warunki takiej odpowiedzialności. Biorąc pod uwagę bardzo szeroki katalog przestępstw, których ryzyko popełnienia może wiązać się z działalnością banku (przewidzianych zarówno w Kodeksie karnym, jak i ustawach szczególnych. np. Prawo bankowe, ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, ustawa o obrocie instrumentami finansowymi) instytucje te w żadnym wypadku nie powinny lekceważyć nowych regulacji.
Banki powinny przeprowadzić szeroki audyt zgodności procedur obowiązujących zarówno w nich samych, jak również w podmiotach świadczących na ich rzecz usługi. Audytem takim należy także objąć regulacje określające zasady wyboru podmiotów, z którymi bank współpracuje – zarówno w odniesieniu do czynności objętych outsourcingiem bankowym, jak i wspierających go w zakresie niezwiązanym bezpośrednio z przedmiotem działalności banku. Przegląd powinien zostać przeprowadzony w sposób profesjonalny i szczegółowy, gdyż potencjalne sankcje w przypadku zidentyfikowania uchybienia podmiotu zbiorowego – zarówno w przypadku skazania, jak i możliwe do zastosowania w trakcie postępowania środki zabezpieczające, są potencjalnie bardzo dotkliwe.