Autori: Andreea Simion, Manager, Forensic & Integrity Services, EY România,
Anca Atanasiu, Avocat, Senior Managing Associate, Băncilă, Diaconu şi Asociaţii
Dacă anul trecut, în luna decembrie, intra în vigoare Legea 361/2022 privind protecția avertizorilor în interes public, fiind stabilit cadrul general cu privire la protecția persoanei care sesizează încălcări ale legii (avertizorul în interes public), doar pentru instituțiile publice şi companiile private cu mai mult de 249 de angajaţi, începând din acest an (17 decembrie, mai exact), prevederile vor fi aplicabile și persoanelor juridice private care au între 50 și 249 de angajați.
Legea defineşte cadrul, necesar şi obligatoriu, de transparenţă şi corectitudine prin care se poate crea şi menţine o bună cultură a integrităţii organizaţionale de către companiile româneşti şi entităţile publice deopotrivă.
În virtutea acestei legi, aidoma instituţiilor şi companiilor care au intrat sub umbrela prevederilor încă de anul trecut, şi companiile mici şi medii (ca număr de angajaţi) vor avea câteva obligaţii foarte clar stipulate în lege. Este vorba în primul rând despre obligaţia de a stabili canale de raportare, cu îndeplinirea câtorva criterii: confidențiale, interne (accesibile și terților), care să fie concepute, stabilite și utilizate într-un mod sigur, astfel încât să permită menținerea comunicării cu avertizorul. Se adaugă obligația de informare, care înseamnă confirmarea de primire a raportului către avertizor în termen de şapte zile și feedback în termen de trei luni. La fel de importantă este realizarea investigaţiilor interne în urma sesizării avertizorului, prin care se verifică şi se soluţionează aspectele raportate ca fiind în neregulă. De asemenea, companiile au obligaţia de a asigura protecţia identităţii (confidenţialitatea), protecția avertizorilor de integritate împotriva represaliilor, la care se adaugă aceea de a furniza informații clare și accesibile privind procedurile de raportare externă. De altfel, pentru faptul că nu au asigurat prin proceduri clare de lucru confidenţialitatea avertizorilor, legea prevede pentru companii cea mai drastică sancţiune, respectiv 40.000 lei (circa 8.000 euro echivalent).
Cei cinci paşi esenţiali pentru conformitate
- Înţelegerea organizaţiei şi stabilirea obiectivelor, în funcţie de dimensiunea, cultura, tipul de activitate şi guvernanţa corporativă.
Primul şi cel mai important pas este definirea obiectivelor pe care compania doreşte să le îndeplinească aplicând legea avertizorului, iar răspunsul poate fi de la simplu (doar conformitate, pentru că aşa cere legea) la complex, caz în care compania vizează mai mult de atât, respectiv, crearea unei culturi de integritate.
- Întocmirea unui plan de acţiune şi stabilirea responsabilităţilor
Este importantă stabilirea responsabililor şi completarea cadrului procedural cu un ofiţer de etică, responsabil să primească rapoartele şi să administreze canalul de raportare convenit intern. Acest responsabil poate fi o persoană sau o echipă, internă sau externă. În cazul alegerii variantei interne, aceasta poate fi formată din angajaţi ai departamentului juridic, HR, compliance etc., pentru că sunt angajaţii care se ocupă, prin natura atribuţiilor, şi de partea de integritate a salariaţilor şi a companiei. Varianta externalizării este de luat în calcul, cel puţin din punct de vedere al eficienţei, rapidităţii şi independenţei în rezolvarea raportărilor. În plus, să nu uităm de nivelul ridicat de specializare al unui potenţial responsabil extern, care se va ocupa de preluarea, trierea şi rezolvarea sesizărilor. De asemenea, în implementarea planului de acţiune privind aplicarea legii trebuie avut în vedere, ca pas esenţial, stabilirea canalului/ canalelor de raportare.
- Identificarea canalului de raportare adecvat
Legea nu face menţiuni speciale şi, practic, acest aspect este lăsat la aprecierea fiecărei companii şi a persoanei responsabile din companie. De asemenea, nu este obligatoriu să existe un canal de raportare anonimă, dar trebuie asigurată maxima confidenţialitate a raportărilor. Canalul de raportare trebuie astfel conceput, încât să protejeze confidențialitatea (sau chiar anonimitatea) avertizorilor, ușor accesibil, în mod ideal cu mai multe opțiuni de raportare (de ex. e-mail, telefon, website sau aplicație mobilă), protecția împotriva represaliilor, dar şi imparțialitatea, prin gestionarea clară a proceselor şi independenţa persoanei desemnate.
Pe de altă parte, acesta trebuie să fie clar şi fiabil, să permită colectarea de informații suficiente pentru a iniţia o investigație. Importantă este şi persoana desemnată, care va trebui să fie instruită permanent pentru a primi rapoarte, a înțelege diferitele tipuri de activități frauduloase, astfel încât să aplice cu acurateţe politicile și procedurile stabilite.
- Implementarea procesului de raportare, redactarea și implementarea procedurilor
Procedura de gestionare a cazurilor este la fel sau chiar mai importantă ca politica privind avertizările în interes public, pentru că ajută în gestionarea rapidă a unor cazuri sensibile. Prin urmare, această procedură trebuie să fie bine gândită, creată în acord cu realitatea companiei şi implementată prin instruiri periodice pentru a le reaminti persoanelor responsabile cum ar trebui să acţioneze şi ce anume trebuie să facă pentru a atinge obiectivele stabilite prin Politica de Whistleblowing. Companiile pot opta pentru o politică de raportare integrată în regulamentul intern existent sau să creeze un regulament separat (varianta recomandată).
- Campania de comunicare și instruirea personalului relevant
În opinia noastră, ar trebui create două categorii de traininguri pentru a asigura o bună implementare a legii, respectiv una pentru angajaţi şi una pentru echipa de preluare şi răspuns. În acest din urmă caz, sunt obligatorii detalii despre forma şi variantele de raportare – către autorităţi sau divulgare publică (cu risc reputaţional asociat), în afara celui intern.
Am recomandat companiilor cărora le asigurăm asistenţă pe zona de instruire a personalului pe implementarea Legii Whistleblowing să trateze distinct cele două categorii de personal, întrucât în sarcina echipei de preluare şi răspuns intră mai multe atribuţii.
Important de menţionat este faptul că planul de acţiune are implicaţii pe zona de consultare cu reprezentanţii salariaţilor/ sindicatul. Astfel că, devine obligaţie legală pentru companie de a-i informa pe aceştia cu privire la intenţia de a implementa o astfel de politică. Cu alte cuvinte, să aibă loc o consultare, anterior implementării, pentru a vedea dacă modul în care a fost conceput canalul de raportare este conform, ca metode de asigurare a securităţii datelor, modul de acces şi temeiul legal al prelucrării.
Sancțiunile prevăzute de Legea 361/2022
La o primă vedere, pare că legiuitorul a prevăzut sancţiuni relativ mici sau, în orice caz, nu atât de drastice, încât companiile româneşti să fie îngrijorate în caz că vor fi găsite cu lipsuri în aplicarea legii. Pentru cele trei mari obligaţii, sumele variază între 3.000 şi 40.000 lei care, în funcţie de dimensiunea companiei şi a cifrei de afaceri, poate avea (sau nu) un impact semnificativ. Dincolo de riscul unor măsuri punitive financiare, vorbim despre un risc mult mai mare, respectiv riscul reputaţional al companiei despre care se află că a încălcat prevederile legale în ceea ce priveşte integritatea companiei şi a angajaţilor săi.
Este fără îndoială faptul că un mecanism de raportare sigur și confidențial, creat şi oferit angajaților unei companii, va spori încrederea în cadrul organizațiilor. Acest lucru are ca rezultat un mediu de lucru mai deschis, transparent, promovează şi ajută la crearea unei culturi a integrității. Un raport de avertizare întocmit și transmis corespunzător poate oferi dovezile necesare, atunci când se efectuează investigații privind practicile frauduloase sau alte comportamente neetice.
Asigurarea conformității cu legea privind protecția avertizorilor de integritate nu numai că asigură respectarea obligațiilor legale impuse organizaţiilor, ci demonstrează și beneficiile unei culturi a integrității pentru angajați, clienți, investitori și alte părți interesate.