• Leu / EUR4.9459
  • Leu / GBP5.7464
  • Leu / USD4.6730
Opinii

Ana Sebov, PwC România, şi Dan Dascălu, Partener D&B David şi Baias: România este pe cale să aprobe Directiva privind avertizorii de integritate. Cât de pregătite sunt companiile pentru noile reglementări?

Ana Sebov, PwC România, şi Dan Dascălu, Partener D&B David şi Baias:  România este pe cale să aprobe Directiva privind avertizorii de integritate. Cât de pregătite sunt companiile pentru noile reglementări?
17.05.2022, 10:30 158

Circa 42% dintre fraudele din companii au fost depistate în urma sesizărilor primite de la avertizori de integritate (i.e. persoane care raportează, într-un context profesional, fapte neetice, încălcări de legi, reguli sau proceduri), conform unui studiu al Asociaţiei Internaţionale a Examinatorilor de Fraudă.

Astfel de raportari ar trebui încurajate având în vedere că fraudele/criminalitatea economică produc atât pierderi financiare semnificative, cât şi reputaţionale, respectiv conduc la erodarea încrederii pe care publicul o are într-o instituţie/companie.

România, dar şi alte state europene, nu au încă o legislaţie clară în acest domeniu şi există o teamă de consecinţe negative pe care le pot suporta avertizorii de integritate ca urmare a raportărilor. În acest context, la data de 16 decembrie 2019 Uniunea Europeană a adoptat Directiva 2019/1937 privind protecţia persoanelor care raportează încălcări ale dreptului european, aceasta urmând a fi implementată în legislaţia tuturor statelor membre, inclusiv prin extinderea domeniului său de aplicare, la aspecte legate de încălcarea dreptului naţional.

Pe scurt, persoanele care raportează încălcări legislative (ex. acte frauduloase, dar nu numai), vor fi protejate de lege şi nu vor trebui să se teamă de consecinţe, iar companiile vor trebui să implementeze proceduri interne de tratare a acestor raportări.

În România, deşi termenul limită pentru transpunerea la nivel naţional a directivei  a expirat deja (i.e. decembrie 2021), legea ce ar urma să fie adoptată în acest sens se află încă în procedură legislativă în Parlament. În stadiul actual, se preia destul de fidel textul Directivei, fiind  incluse prevederi legale referitoare la răspunderea civilă, disciplinară, contravenţională sau penală, după caz, a celor ce încalcă reglementarea, dar şi sancţiuni corespunzătoare.

Anticipând nevoile care vor fi generate de noua legislaţie a avertizorilor de integritate, PwC a dezvoltat o platformă online care facilitează raportarea şi investigarea sesizărilor avertizorilor de integritate, identificând totodată prin implicarea unei echipei multidisciplinare PwC şi D&B printr-o analiză de tip forensic şi, respectiv, juridic (dreptul muncii şi protecţia datelor personale) şi aspectele cele mai importante pe care reprezentanţii companiilor ar trebui să le ia în considerare încă de acum, spre a nu fi ulterior luaţi prin surprindere la momentul când se vor aplica aceste norme ce conţin exigenţe extrem de ridicate şi sancţiuni aferente dure.

Ce prevede directiva?

Directiva stabileşte, printre altele, cadrul de protecţie a avertizorilor de integritate, aria de aplicabilitate, tipurile de canale de raportare, respectiv cine ar trebui sa le implementeze (ex. instituţii publice şi entităţi private cu mai mult de 50 de angajaţi) şi responsabilităţi (ex. atribuţii de primire şi investigare a sesizărilor primite).

Protecţia se plică atât angajaţilor actuali care raportează fapte sau suspiciuni de încălcare a legii, cât şi foştilor angajaţi, celor în proces de recrutare sau celor care doresc să îşi păstreze anonimatul. Legat de ultimul aspect, conform Directivei, raportarea poate fi făcută şi anonim, însă rămâne de văzut ce prevederi va avea legea din România cu privire la raportările anonime.

Canalele de raportare pot fi online, cutii poştale, linii telefonice dedicate, întâlniri  la solicitarea persoanei care efectuează raportarea. Indiferent de formă, canalele trebuie să permită protecţia identităţii avertizorului, iar datele cu caracter personal trebuie prelucrate conform prevederilor legale aplicabile.

Directiva mai prevede următoarele termene de informare: 1) avertizorul trebuie sa fie informat de primirea raportării în termen de cel mult şapte zile calendaristice de la primirea acesteia; 2) avertizorul trebuie sa fie informat asupra stadiului acţiunilor subsecvente raportării, în termen de trei luni de la data confirmării primirii sesizării.

Principalul canal de raportare este cel intern implementat de o companie, urmat de canalele externe de raportare implementate de autorităţi competente, şi de divulgarea în spaţiul public. Avertizorul poate decide să folosească direct canalul extern de raportare, dacă canalele interne nu există sau dacă consideră că aspectele sesizate nu pot fi remediate prin intermediul canalelor interne de raportare. În cazul în care raportarea pe canalele interne sau externe nu a dat rezultate sau dacă avertizorul nu a fost notificat cu privire la acţiunile subsecvente în termen de trei luni (sau şase luni în cazurile temeinic justificate), acesta poate alege ca o ultimă soluţie divulgarea în spaţiul public. Divulgarea publică poate fi utilizată şi în caz de pericol iminent sau evident pentru interesul public (ex. risc de prejudiciu ireversibil) sau dacă prin utilizarea raportării externe există un risc de represalii / ca încălcarea să nu fie remediată.

Ce pot şi trebuie să facă încă de acum societăţile pentru a se conforma cerinţelor legislative aplicabile după transpunerea Directivei în lege şi intrarea acesteia din urmă în vigoare?

Modalitatea de implementare a prevederilor viitoarei legi pentru companii este foarte importantă, mai ales în contextul impactului pe care un asemenea act normativ l-ar putea avea asupra afacerii. Să nu uităm că, de exemplu, nerespectarea reglementărilor în materia protecţiei datelor cu caracter personal poate conduce la aplicarea unor sancţiuni pecuniare semnificative (ex. de până la 4% din cifra de afaceri globală) sau ca anumite companii pot fi atrase în scandaluri media cu efecte financiare şi reputationale de nedorit.

În aceste condiţii, ţinând cont şi de complexitatea şi tehnicitatea problemelor în discuţie, ar trebui ca entităţile private să aibă în vedere încă de dinaintea intrării în vigoare a viitoarei legi ce transpune Directiva, respectiv:

  • Revizuirea şi actualizarea politicilor de conformitate pentru a răspunde cerinţelor viitoarei legi care va transpune Directiva.
  • Aspectele relevante privind protecţia datelor cu caracter personal, cum ar fi adaptarea politicilor de protecţia datelor, redactarea sau revizuirea notelor de informare aferente acestor noi activităţi de prelucrare.
  • În măsura în care nu există deja, implementarea unor canale interne specifice de raportare. Dacă astfel de canale de raportare sunt deja implementate, analizarea necesităţii unor actualizări, precum şi evaluarea accesibilităţii şi a gradului de uşurinţă cu care acestea pot fi folosite.
  • (Re)informarea şi încurajarea angajaţilor cu privire la posibilităţile de raportare, dar şi modificarea corespunzătoare a reglementărilor interne aplicabile (i.e. regulament intern, politici specifice aplicabile în diferite situaţii în detalierea acestuia etc.).
  • Desemnarea şi instruirea unei / unor persoane imparţiale cu atribuţii de primire şi investigare a sesizărilor primite. De avut în vedere că persoana care primeşte sesizarea nu trebuie să fie şi cea care efectuează investigaţia. De altfel, formarea unei echipe de investigaţie şi selectarea procedurilor de investigaţie sunt aspecte foarte importante şi poate afecta rezultatul investigaţiei. Echipa de investigaţie trebuie să fie formată din oameni care au experienţa, cunoştinţele şi abilităţile necesare pentru a efectua investigaţia, iar metodele selectate (interviuri, analiza de documente, computer forensic, etc) trebuie sa asigure identificarea faptelor relevante. De exemplu investigaţia unei raportări financiare frauduloase presupune ca în echipa să fie o persoană cu cunoştinţe economice. Surse importante de informaţii în investigaţii sunt interviurile şi echipamentele IT. Prin urmare, în echipă trebuie să fie un investigator experimentat care ştie ce să întrebe şi când să întrebe, respectiv o persona experimentată in computer forensic. Cadrul legal este de asemenea vital de observat în orice investigaţie.
  • Evaluarea resurselor necesare implementării şi gestionării canalelelor interne de raportare şi, în funcţie de nevoie, luarea în considerare a posibilităţii de a contracta serviciile unor furnizori existenţi în piaţa de servicii de tip forensic, care pot oferi suport şi consultanţă integrată 1) cu implementarea şi evaluarea canalelor de raportare; 2) cu investigarea sesizărilor primite, mai ales atunci când cazurile sunt complexe şi riscante pentru o companie (ex. investigaţii de sesizări de acte de corupţie, spălare de bani, hărţuire, scheme complexe de frauda, cazuri de hărţuire,  etc).

Chiar dacă momentul în care se va aplica noua lege este încă incert, este de aşteptat ca acest proces să fie accelerat de riscul inerent al unei proceduri de infringement iniţiate de către Comisia Europeană, aşa cum s-a mai întâmplat în alte cazuri când România a ratat termenele de transpune a actelor europene.

Ar fi deci doar o iluzie pentru cei vizaţi de normele mai sus-descrise să creadă că ar mai fi ceva timp pentru a se pregăti în vederea unei aplicări corespunzătoare a acestora când, în realitate este deja destul de târziu. Astfel, companiile ar trebui să înceapă încă de acum să acţioneze în sensul pregătirii implementării prevederilor, pentru a nu avea ulterior dificultăţi şi surprize neplăcute.

Ana Sebov, Liderul Departamentului de Forensic Services PwC România

Dan Dascălu, Partener D&B David şi Baias

 
AFACERI DE LA ZERO
Principalele valute BNR - ieri, 13:15
EUR
USD
GBP
CHF
Azi: 4.9459
Diferență: -0,0243
Ieri: 4.9471
Azi: 4.6730
Diferență: -0,3731
Ieri: 4.6905
Azi: 5.7464
Diferență: -0,4073
Ieri: 5.7699
Azi: 4.8803
Diferență: -0,3492
Ieri: 4.8974