2021. december 17-én lép hatályba az EU uniós jogsértést bejelentő személyek védelméről szóló irányelve, amely kötelezi az érintett vállalatokat, hogy egy visszaélés bejelentő rendszert működtessenek. A jogi követelmények mellett az irányelv alkalmazásából adódó gyakorlati aspektusokat is érdemes megvizsgálni, úgy mint a vállalati kultúra felkészítése és a bejelentések vizsgálása.
Az Irányelv alapján a közszférában működő szervezetek, illetve a 250, avagy annál több főt foglalkoztató, magánszektorban működő vállalatoknak 2021. december 17-től kötelező lesz bevezetniük a visszaélés-bejelentő rendszert. A magánszektor legalább 50, legfeljebb 249 munkavállalót foglalkoztató cégeinek 2023. december 17. napjáig van idejük kialakítani az uniós jog megsértésének jelentésére szolgáló rendszert.
A jogszabály meghatározza az uniós jog azon területeit, amelyekkel kapcsolatban a vélt vagy valós jogsértéseket be kell jelenteni. Ezen jogterületek például a következők:
- közbeszerzés,
- pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése,
- termékbiztonság és termékmegfelelőség,
- közlekedésbiztonságkörnyezetvédelem,
- sugárvédelem és nukleáris biztonság,
- élelmiszer- és takarmánybiztonság, valamint állategészségügy és állatjólét,
- közegészségügy,
- fogyasztóvédelem,
- a magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága.
Az új szabályozás háromszintű bejelentési rendszer bevezetését teszi kötelezővé.
- Az uniós jogsértést a szervezet belső csatornáján keresztül lehet megtenni.
- Előfordulhat, hogy a bejelentő személy, tekintettel arra, hogy az érintett vállalaton belül dolgozik, szívesebben tenné meg bejelentését egy független, külső rendszeren keresztül. A belső jelentési rendszer használatát követően, avagy ahelyett a bejelentő igénybe veheti a külső csatornát, melyet a tagállamok által kijelölt hatóság[1] fog kezelni.
- A bejelentés nyilvánosságra hozható, amennyiben a belső és külső, avagy közvetlenül külső csatornán történt bejelentésre
– az előírt határidőn belül nem történt intézkedés,
– alapos okkal feltételezhető a jogsértés közvetlen vagy nyilvánvaló módon veszélyezteti a közérdeket, avagy
– külső bejelentés esetén az ügy sajátos körülményeiből fakadóan fennáll a megtorlás kockázata, illetve kicsi az esélye annak, hogy a jogsértést érdemben orvosolni fogják.
Az Irányelv lehetővé teszi továbbá az anonim bejelentést, a tagállamok hatáskörébe utalja azonban annak eldöntését, hogy a magánszektorban, avagy a közszférában működő szervezetek, valamint az illetékes hatóságok kötelesek-e elfogadni az anonim bejelentéseket és kötelesek-e nyomon követni azokat.[2]
Azon vállalatok számára is érdemes az Irányelv vizsgálata, akik már rendelkeznek visszaélés-bejelentő rendszerrel. Az ő esetükben gap-elemzés elvégzése ajánlott a meglévő rendszer Irányelvben foglalt követelményeivel szemben, és pótolni az esetleges hiányosságokat.
A bejelentési rendszer felállítását követően kihívást jelenthet a bejelentések hatékony és jogszerű kivizsgálás folyamatának biztosítása. Szükséges felmérni, hogy a vállalat rendelkezik-e olyan szakemberrel, avagy területtel, aki vagy amely biztosítani tudja a bejelentések független és kellő szakértelemmel történő kivizsgálását. A bejelentések kezeléséért felelős szervezeti egység kritikus tényezője a bejelentő rendszer működésének. Nem jó gyakorlat lehet, ha erre a szervezeti egységre a pénzügyi vagy gazdasági vezető közvetlen ráhatással van, és így nem tud a fentebb említett függetlenségi kritérium megvalósulni. A szakértői hiányosságok is előbukkanhatnak, olyan esetekben, ahol például a humán-erőforrás osztályhoz kerülnek a kivizsgálandó ügyek, de az osztály nem rendelkezik kivizsgálási kompetenciával csalás-gyanús ügyekben.
Több szempontot kell szem előtt tartani a bejelentő rendszer hatékonyan működése érdekében.
Nagyon fontos az időszerű, gyors reagálás. A kellően „friss” információra az érintettek könnyebben vissza tudnak emlékezni, illetve gyorsabban le lehet ellenőrizni azokat. A kivizsgálások nem megfelelő időben történő lefolytatásának másik kockázata az ügy nyilvánosságra kerülése. Amennyiben ugyanis nem történik érdemi intézkedés, úgy a bejelentő nyilvánosságra hozhatja az ügy részleteit, reputációs kárt okozva a vállalatnak.
Elengedhetetlen, hogy a bejelentés kivizsgálása bizalmas legyen, az a bejelentőt a hátrányos következményektől védő módon folyjon, mivel az esetleges információ-szivárogtatás nem csak hátráltathatja a kivizsgálást, de sértheti a bejelentő érdekeit, mely jogszabálysértést valósíthat meg, és így károsan hathat akár a vállalat hírnevére.
A kivizsgálás kezdetekor a bekérendő dokumentumok listájának szűkítése és adatelemzési módszerek alkalmazása is történhet célirányosan. Például egy készletlopás gyanúja esetén más dokumentumokat kell bekérni és más analitikai gyakorlatokat kell elvégezni, mint ha a bejelentés tárgya egy szállítóval kapcsolatos összeférhetetlenségi vád. A személyes beszámolók során különösen óvatosan kell eljárni, mivel ezen a ponton könnyen kicsúszhat az irányítás a kivizsgáló kezei közül, illetve szem előtt kell tartani a vállalatnál lévő belső szabályzatokat és munkatörvényi kötöttségeket. Ha esetleg a bejelentővel szükséges egy információegyeztetés, akkor ügyelni kell a kapcsolatfelvétel módjára és mikéntjére. Például ha a bejelentő a felettese ellen tett panaszt, akkor gondoskodni kell arról, hogy a kivizsgáló a felettes kikerülésével is tudjon kapcsolatot teremteni a bejelentővel. A másik végletről nézve pedig fontos, hogy a gyanúsított személy kihallgatásánál milyen kérdések hangzanak el (nem mindegy milyen sorrendben), milyen bizonyítékok kerülnek prezentálásra, illetve elsődleges, hogy a kivizsgáló tárgyilagos és független hozzáállással rendelkezzen. A fentiekben leírt példák mellett természetesen még sok változó és nem várt esemény adódhat, amely megköveteli, hogy a kivizsgáló rugalmasan reagáljon a felmerülő kihívásokra.
A kivizsgálás hatékony lefolytatása kritikus hatással van a bejelentő rendszer működésére és természetesen a vállalatra. A kivizsgálás során elkövetett hiba vagy mulasztás rendkívüli károkat is okozhat a forródrót rendszerre, mivel ha ez a hiba hátrányosan érinti a bejelentőt, úgy olyan bizalomveszteséget generálhat, hogy esély se lesz arra, hogy jövőbeli bejelentéseket kapjon a vállalat. Annak a veszélyét sem szabad elfelejteni, hogy a bejelentő a hatóságokhoz, vagy a nyilvánossághoz fordul, így a vállalat bejelentő rendszerének megfelelő működése mellett a vállalat hírneve is veszélybe kerülhet. Pedig a nemzetközi tanulmányok és gyakorlat arra mutat, hogy a belső jelentő rendszereken keresztül tett bejelentések az elsőszámú forrásai a vállalati csalások 43 százalékának felfedésében[3], így a bejelentő rendszer fontos eleme minden vállalatnak, amely meg szeretné előzni a csalásokat és minimalizálni kívánja az esetleges reputációs kockázatokat, nem kívánatos hatósági vagy egyéb vizsgálatokat.
A vállalat felkészítése a bejelentő rendszerre egy komplex kérdés. A törvényi megfelelés mellett figyelembe kell venni a vállalati kultúrát, munkavállalók viselkedését és vezetői kommunikációt is. Javasolt felkészülési pontok lehetnek a felkészítő tréningek, illetve a vállalati kultúra felülvizsgálata. Érdemes felkészülni, mivel a felsoroltakon túl számos más kérdést is meg kell vizsgálni: A vállaltnál van-e kompetencia az ügyek kivizsgálására? Jönnek-e majd rosszhiszemű, hamis bejelentések? Felkészültek a munkavállalók a bejelentő rendszer használatára?
A KPMG csapata a visszaélés bejelentés rendszer kérdéseire és kihívásaira, ügyfélre-szabott, komplex megoldással válaszol, amiben jogi, compliance, belső ellenőrzés és forensic szakértői és modern informatikai megoldásai nyújtanak segítséget.
[1] A cikk írásának időpontjában nincsen az Irányelvet a hazai jogba ültető jogszabály, és így a külső jelentési rendszert kezelő hatóság még nem ismert.
[2] A cikk írásának időpontjában nincsen az Irányelvet a hazai jogba ültető jogszabály, így nem ismert, hogy a hatóságok kötelesek-e elfogadni az anonim bejelentéseket.
[3] ACFE – Report to the Nations 2020