W bankach będą działać systemy zgłaszania naruszeń i ochrona sygnalistów
1 maja 2017 r. wejdzie w życie rozporządzenie zobowiązujące banki do wdrożenia kompleksowego systemu zgłaszania naruszeń, a także do zapewnienia skutecznej ochrony sygnalistom – osobom zgłaszającym nieprawidłowości.
Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (Dz. U. z 2017 r. poz. 637) zostało ogłoszone 24 marca br. Jest to pierwszy tego typu akt prawny, w szczegółowy sposób regulujący zagadnienie whistleblowingu i ochrony osób zgłaszających nieprawidłowości.
Rozporządzenie określa szczegółowy sposób funkcjonowania w bankach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, w tym tryb anonimowego zgłaszania wskazanemu członkowi zarządu lub rady nadzorczej naruszeń prawa oraz obowiązujących w banku procedur i standardów etycznych, a także szczegółowy zakres polityki wynagrodzeń i sposób jej ustalania, sposób szacowania kapitału wewnętrznego i dokonywania przez bank przeglądów strategii i procedur szacowania oraz stałego utrzymywania kapitału wewnętrznego.
Zagadnieniu anonimowego zgłaszania naruszeń oraz obowiązujących procedur i standardów etycznych poświęcony został Rozdział 5 – Procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w banku procedur i standardów etycznych.
Zgłaszanie naruszeń w bankach i ochrona sygnalistów
Na mocy Rozporządzenia banki zobowiązane będą w szczególności do:
– opracowania i wdrożenia procedur anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w banku procedur i standardów etycznych,
– zapewnienia możliwości zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji.
Wymogi dotyczące procedur anonimowego zgłaszania naruszeń
W Rozporządzeniu określono wymogi dotyczące procedur anonimowego zgłaszania naruszeń przez pracowników. Zgodnie z § 45 ust. 4 procedury te muszą określać co najmniej:
1) sposób odbierania zgłoszeń w sprawie naruszeń, zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez pracownika dokonującego zgłoszenia;
2) sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
3) sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami ustawy o ochronie danych osobowych;
4) zasady zapewniające zachowanie poufności pracownikowi dokonującemu zgłoszenia, w przypadku gdy pracownik ten ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia;
5) wskazanie osób odpowiedzialnych za odbieranie zgłoszeń naruszeń, z uwzględnieniem, że w przypadku gdy zgłoszenie dotyczy członka zarządu, powinno być ono przyjęte przez radę nadzorczą;
6) sposób przekazywania wyznaczonemu członkowi zarządu lub radzie nadzorczej oraz pracownikom, jednostkom organizacyjnym i wyznaczonym komórkom organizacyjnym informacji związanych ze zgłoszeniem naruszenia;
7) rodzaj i charakter działań następczych podejmowanych na skutek odebrania i weryfikacji zgłoszenia naruszenia oraz sposób koordynacji tych działań;
8) termin usunięcia przez bank danych osobowych zawartych w zgłoszeniach naruszeń;
9) w przypadku pozytywnej weryfikacji zasadności zgłoszenia naruszenia, termin powiadomienia osoby, której zarzuca się dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia.
Inne zobowiązania banku
Rozporządzenie zobowiązuje zarząd do ustalenia zatwierdzanego przez radę nadzorczą wewnętrznego podziału kompetencji, wskazującego członka zarządu, do którego zgłaszane są nieprawidłowości, a także odpowiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń.
Określa także, iż to zarząd odpowiada za adekwatność i skuteczność procedur anonimowego zgłaszania naruszeń. Nakłada również na członka zarządu, do którego zgłaszane są nieprawidłowości, obowiązek sprawozdawczy wypełniany nie rzadziej niż raz na pół roku, dotyczący informacji o otrzymanych istotnych zgłoszeniach naruszeń.
Z kolei rada nadzorcza, nie rzadziej niż raz w roku zobowiązana jest oceniać adekwatność i skuteczność procedury anonimowego zgłaszania naruszeń.
Banki zostały także zobowiązane do przeprowadzania wstępnych i regularnych szkoleń pracowników w zakresie zgłaszania naruszeń, w szczególności w zakresie obowiązujących procedur.
Rozporządzenie wchodzi w życie z dniem 1 maja 2017 r., z wyjątkiem § 36 ust. 3 pkt 2, dotyczącego jednej z form zapewnienia dokumentacji funkcji kontroli przez Bank, który wchodzi w życie z dniem 1 lipca 2017 r.
Źródło: Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (Dz. U. z 2017 r. poz. 637)
Opublikowano w dniu 20.04.2017 r.
przez Wydział Informacji i Edukacji Antykorupcyjnej GSz CBA