Atitiktis teisės aktų reikalavimams ir įmonės rizikų valdymas reikalauja nuolatinio tobulinimo proceso, sistemų ir įmonės lygmeniu. Nauji teisės aktai neretai lemia esančių procesų pakeitimą, naujų procesų įvedimą, vidaus teisės aktų peržiūrą, atnaujinimą, pasirengimą ir t.t. Energetika, fintech, sveikatos apsauga ir kitos smarkiai reguliuojamos pramonės šakos ypač yra po padidinamuoju priežiūros institucijų stiklu. Lietuvos bankas nuolat skiria baudas už Pinigų plovimo ir teroristų finansavimo prevencijos įstatymo pažeidimus, Konkurencijos taryba – už kartelinių susitarimų sudarymus. Taip pat Valstybinė duomenų apsaugos inspekcija jau yra paskyrusi vieną baudą už BDAR reikalavimų neužtikrinimą, o stebint tendencijas kitose valstybėse, kuriose asmens duomenų priežiūros institucijų paskirtų baudų skaičius yra gana didelis ir vis dar augantis, galima manyti, jog ateityje daugiau baudų bus pradėta skirti ir Lietuvoje. Skirtų baudų atvejai ir įmonių auditavimo praktika rodo žemą įmonių pasirengimo valdyti įmonės rizikas lygį ir nebrandų požiūrį į reputaciją bei tvarų verslą. Šioje publikacijoje analizuojame visa tai ir ieškome sprendimo, kaip būtų galima išvengti priežiūros institucijų baudų, ir apsaugoti įmonės reputaciją bei užsitikrinti tvarų verslą.
Netinkamas pinigų plovimo ir teroristų finansavimo rizikos vertinimas užtraukia baudas
Siekiant pradėti finansų įstaigos veiklą, yra itin svarbu imtis realių veiksmų, skirtų užtikrinti atitiktį teisės aktų reikalavimams: pagal savo veiklos specifiką įdiegti arba pritaikyti procesus, technines priemones ir pan. Tačiau praktikoje dažnu atveju tam neskiriamas pakankamas dėmesys, apsiribojama tuo, kad pasitelkiami šablonai, parengiami teisės aktų reikalaujami formalūs dokumentai, kuriais tikimasi užtikrinti rizikų išvengimą. Tačiau formaliai aprašytų politikų, procesų buvimas dar nereiškia, kad procesai bus įgyvendinami nuosekliai. Be nuoseklaus rizikos valdymo koordinavimo ir rezultatų vertinimo bei auditavimo, įmonės rizikos valdymas bus chaotiškas ir neapsaugos nuo reguliatoriaus sankcijų.
Kaip pavyzdį, kokiais atvejais yra skiriamos baudos, galime aptarti UAB „ConnectPay“ atvejį. Lietuvos banko Priežiūros tarnyba 2020m. gegužės mėn. atliko elektroninių pinigų įstaigos UAB „ConnectPay“ tikslinį inspektavimą ir jo metu nustatė Pinigų plovimo ir teroristų finansavimo prevencijos įstatymo pažeidimų. Už tai bendrovei skyrė piniginę baudą ir įpareigojo ištaisyti nurodytus pažeidimus. Inspektavimo metu fiksuota atvejų, kai bendrovė kliento, jo atstovo arba naudos gavėjo tapatybę nustatė netinkamai, neužtikrino tinkamo politiškai pažeidžiamų asmenų identifikavimo proceso, netinkamai įvertino klientų keliamą pinigų plovimo ir teroristų finansavimo riziką, o jų pažinimo informacija buvo neišsami ir neatskleisdavo dalykinių santykių tikslo ir pobūdžio. Įstaiga nebuvo atlikusi visos savo veiklos pinigų plovimo ir teroristų finansavimo rizikos vertinimo, nustatyta trūkumų, susijusių su vidaus kontrolės procedūromis, skirtomis tarptautinių finansinių sankcijų įgyvendinimui. Už šiuos pažeidimus Lietuvos bankas skyrė UAB „ConnectPay“ 110 tūkst. eurų baudą.
Kitas gana panaši situacija įvyko ir 2020 m. birželio mėn., kai Lietuvos banko Priežiūros tarnyba atliko elektroninių pinigų įstaigos Via Payments UAB tikslinį inspektavimą. Inspektavimo metu nustatyta, kad įstaigoje taikytos klientų rizikos vertinimo procedūros neleido užtikrinti tinkamo klientų skirstymo į rizikos grupes. Ne visais atvejais buvo tikrinama kliento naudos gavėjo informacija patikimuose ir nepriklausomuose šaltiniuose. Nustatyta atvejų, kai buvo negauta informacija apie kliento dalykinių santykių tikslą ir pobūdį. Be to, rasta procedūrų, kurios padėtų nustatyti, ar klientas yra politiškai pažeidžiamas (paveikiamas) asmuo, trūkumų. Įstaiga nesiėmė tinkamų priemonių aukštos rizikos klientų lėšų kilmės šaltiniui nustatyti. Trūkumų rasta ir atliekant privalomą nuolatinę dalykinių santykių ir operacijų stebėseną. Už šiuos pažeidimus Lietuvos bankas skyrė Via Payments UAB 120 tūkst. eurų baudą.
Gautų baudų UAB „ConnectPay“ bei Via Payments UAB galimai būtų pavykę išvengti, jeigu įmonėje būtų tinkamai įgyvendintos priemonės rizikų valdymui. Vertindami fintech įmonių pasirengimą valdyti įmonės rizikas esame ne kartą susidūrę su situacija, kad vidaus dokumentuose yra nustatomas labai abstraktus rizikų valdymas, pavyzdžiui, nurodoma, kad teisinės rizikos atveju bus kreipiamasi į teisininkus. Tačiau toks reaktyvus požiūris neturi nieko bendro su rizikų valdymu. Rizikas yra svarbu valdyti prieš joms kylant, t. y. pirmiausiai laiku nustatyti rizikas, po to jas įvertinti, apmokyti darbuotojus, kaip teisingai atlikti reikiamus veiksmus, įgyvendinti vidaus kontrolės procedūras. Nurodymas, kad bus kreipiamasi į teisininką, rodo, kad rizikos valdymo veiksmų bus imamasi tik jau iškilus problemai, o ne bandant suvaldyti riziką iš anksto.
Kita klaida, kurią aptinkame vertindami įmonių pasirengimą valdyti įmonės rizikas – nepakankamas darbuotojų parengimas nustatyti rizikas ir jas valdyti. Pernelyg pasitikima atskirų žmonių žiniomis arba tikimasi, kad audito metu bus pastebėti visi trūkumai bei taip pavyks rizikas suvaldyti. Šioje vietoje yra daroma klaida, kadangi yra atliekami tik privalomieji auditai, todėl iki kito audito veikla gali būti vykdoma nepastebint kylančių rizikų. Dėl šios priežasties yra naivu patikėti rizikų suvaldymą vidaus auditams. Į tai dėmesį atkreipė ir Europos Komisija ataskaitoje Europos Parlamentui ir Tarybai dėl naujausių įtariamų pinigų plovimo atvejų, susijusių su ES kredito įstaigomis vertinimo. Šioje ataskaitoje Europos Komisija pasakė: „Pačiais sunkiausiais atvejais pirmosios gynybos linijos (padalinių) praktiškai nebuvo, nes verslą pradėję darbuotojai nevykdė pagrindinių įpareigojimų pagal kovos su pinigų plovimu ir terorizmo finansavimu, sistemą, pavyzdžiui, atpažinti įtartinus klientus ir sandorius ar apie juos pranešti. Dažnai antroji gynybos linija (rizikos valdymas ir atitiktis) taip pat pasirodė esanti nepakankama, nes nebuvo teisingai vertinami ir mažinami „priešakinės linijos“ darbuotojų nustatyti trūkumai arba nebuvo pripažįstama, kad „priešakinės linijos“ darbuotojai pažeidė atitikties reikalavimus. Kai kuriais atvejais atrodė, kad trečiojoje linijoje (vidaus auditas) nebuvo tinkamai skiriama pirmenybė kovai su pinigų plovimu ir terorizmo finansavimu, ji nebuvo nepriklausoma nuo „priešakinės linijos“ arba vyresnioji vadovybė jai neskyrė pakankamai dėmesio“.
Gynybos linijos funkcionuotų, jeigu įmonėje būtų įdiegta įmonės rizikų valdymo sistema arba atitikties vadybos sistema, aiškiai nustatytos su organizacijos tikslais suderintos atsakomybės priežiūros funkcijoms, vadovybei ir vidaus auditui, užtikrinamas reguliarus bei efektyvus koordinavimas, komunikavimas ir bendradarbiavimas. Taip pat įgyvendinama kovos su pinigų plovimu ir terorizmo finansavimu programa bei periodiškai organizuojami atitikties mokymai. Mokymų metu organizacijos darbuotojai supažindinami su teisės aktų reikalavimais ir veiksmais, kaip šią atitiktį reikėtų užtikrinti, apmokomi praktiškai aptikti „raudonas vėliavas“ ir užbėgti problemoms už akių.
Tikėtina, kad tuo atveju, jeigu aukščiau išvardinti veiksmai būtų nuosekliai įgyvendinami, aptarta UAB „ConnectPay“ ir Via Payments UAB galimai būtų išvengusios paskirtų baudų.
Taip pat svarbu atkreipti dėmesį, kad verslo tęstinumo užtikrinimui trukdo ne tik netinkamas rizikų valdymo procesų įgyvendinimas, bet ir galimų grėsmių nenustatymas laiku. Tokią situaciją iliustruoja 2020 m. balandžio mėn. Lietuvos banko valdyba fintech įmonei Bruc Bond, UAB panaikino turėtą mokėjimo įstaigos licenciją. Lietuvos banko Priežiūros tarnybai atlikus Bruc Bond, UAB, tikslinį pinigų plovimo ir teroristų finansavimo prevencijos srities inspektavimą, buvo nustatyti šiurkštūs ir sistemingi Lietuvos Respublikos pinigų plovimo ir teroristų finansavimo prevencijos įstatymo pažeidimai, susiję su pinigų plovimo ir teroristų finansavimo rizikų vertinimu, kliento ir kliento atstovo tapatybės nustatymu, tarptautinių finansinių sankcijų įgyvendinimu, darbuotojų tinkamu supažindinimu su pinigų plovimo ir teroristų finansavimo prevencijos reikalavimais. Inspektavimo metu taip pat buvo nustatyta, kad įstaigos taikomos kliento dalykinių santykių ir operacijų stebėsenos priemonės buvo formalios, neveiksmingos ir nepakankamos siekiant užtikrinti, kad laiku būtų pastebėtos įtartinos kliento operacijos ir (arba) veikla, įstaiga nevaldė rizikos, kad ja nėra ar nebus pasinaudota pinigų plovimo ir teroristų finansavimo tikslais. Dabar, po licencijos panaikinimo ši fintech įmonė nebegalės vykdyti veiklos, kuriai reikalinga panaikinta licencija. Taigi tai parodo, kad yra itin svarbu iš anksto numatyti grėsmes.
Kartelinių ar kitokių antikonkurencinių susitarimų geriau nesudarinėti
Pasitaiko situacijų, kai praktikoje tarp įmonių yra sudaromi karteliniai ar kitokie antikonkurenciniai susitarimai. Tikėtina, kad įmonių vadovai, sudarydami tokius susitarimus, suvokia tokio susitarimo neteisėtumą, tačiau tikisi, kad pavyks išvengti neigiamų pasekmių arba iš tokio susitarimo gauta nauda bus didesnė, negu galinti kilti atsakomybė. Žinoma, gali pasitaikyti ir tokių situacijų, kai yra sudaromi susitarimai ir nesuprantant tokio susitarimo neteisėtumo.
Konkurencijos tarybos skiriamos baudos yra gana didelės. Pavyzdžiui, š.m. vasarą Lietuvos vyriausiasis administracinis teismas (LVAT) nutartimi patvirtino dar 2017 m. Konkurencijos tarybos skirtas milijonines baudas už kartelinį susitarimą jungtinės veiklos pagrindu dviem gerai žinomoms statybos įmonėms dalyvaujant viešuosiuose pirkimuose. AB „Panevėžio statybos trestas“ skirta 8 mln. Eurų bauda, o UAB „Active construction management“ (anksčiau – UAB „Irdaiva“) – 3 mln. Eurų bauda. Kiek anksčiau, 2018 m. Konkurencijos taryba buvo nustačiusi kartelį tarp IAE radioaktyvaus metalo laužo pardavimo aukciono dalyvių – bendrovių „Novesta“ ir „Sypra“ – ir skyrė joms sankcijas – atitinkamai 27 500 eurų ir 27 100 eurų baudas.
Kitas svarbus žinoti dalykas – už kartelinius ar kitokius antikonkurencinius susitarimus įmonių vadovams gali būti pritaikoma ir asmeninė atsakomybė. Pasak Konkurencijos Tarybos, teismų praktika tokio pobūdžio bylose vis dar formuojasi, tačiau teismai jau yra konstatavę, kad įmonių vadovams yra taikomi aukštesni veiklos ir atsakomybės standartai nei eiliniam bendrovės darbuotojui – jie turėjo ir galėjo tikėtis iš daromo konkurencijos teisės pažeidimo kilsiančių neigiamų teisinių padarinių. Tokią situaciją, kai vadovams gresia atsakomybė, puikiai iliustruoja Konkurencijos tarybos nustatyti karteliai tarp 26 vairavimo mokyklų bei Lietuvos vairuotojų mokymo ir kvalifikacijos kėlimo mokyklų asociacijos. Vilniaus apygardos administracinis teismas taip pat nagrinėja bylas ir dėl 5 vadovų, asmeninės atsakomybės.
Dėl minėtų priežasčių prieš sudarant susitarimus, kuriuose yra aptariamas konkuravimas, yra svarbu įvertinti galinčias kilti grėsmes, pasikonsultuoti su įmonės teisininku.
Netinkamas asmens duomenų tvarkymas ir BDAR reikalavimų nesilaikymas taip pat baudžiamas
2019 metais buvo paskirta pirmoji bauda už BDAR pažeidimus Lietuvoje. Tą kartą buvo nustatyta, kad UAB „MisterTango“ rinko daugiau asmens duomenų, negu buvo būtina, ne mažiau kaip dvi dienas buvo viešai prieinami įmonės tvarkomi asmens duomenys bei apie įvykusį asmens duomenų saugumo pažeidimą nebuvo pranešta Valstybinei duomenų apsaugos inspekcijai. Tą kartą UAB „MisterTango“ buvo paskirta 61 500 EUR dydžio bauda.
Nors Lietuvoje bauda už BDAR reikalavimų nesilaikymą buvo paskirta tik vieną kartą, tai nereiškia, kad baudų ateityje nebus paskirta ir daugiau. Dėl šios priežasties yra itin svarbu imtis veiksmų suvaldyti rizikoms šioje srityje, kadangi kitose valstybėse už BDAR pažeidimus baudos yra skiriamos gana aktyviai, o baudos yra itin didelės. Pavyzdžiui, vien Jungtinėje Karalystėje trijų paskirtų baudų suma sudaro 315 310 200 EUR. Siekiant baudų išvengti, pravartu konsultuotis su duomenų apsaugos ekspertu ar duomenų apsaugos pareigūnu, kuris nebūtinai būtų įdarbintas organizacijoje, tačiau visada būtų „po ranka” pasiekiamas. Siekiant išvengti neigiamų pasekmių, taip pat yra svarbu rengti atitikties mokymus, konkrečiai, BDAR mokymus. Tik žinodami savo pareigas ir nuolatos tobulindami kompetencijas įmonės darbuotojai gali tinkamai jas įgyvendinti. Ypač, kai atitikties ir rizikų valdymo mokymai galimi ir nuotoliniu būdu.
Atitiktis teisės aktų reikalavimams ir įmonės rizikų valdymas įsidiegiant pranešimų sistemą
Kita galima priemonė, kaip gali būti užtikrinama atitiktis teisės aktų reikalavimams ir įmonės rizikų valdymas – įsidiegti įmonėje ar įstaigoje pranešimų sistemą. Pagal Lietuvos Respublikos pranešėjų apsaugos įstatymą, valstybės ir savivaldybės įstaigose, valstybės ir savivaldybės valdomose organizacijose bei kitose organizacijose, kuriose dirba daugiau kaip 50 darbuotojų yra privaloma būti įvedus vidinį pranešimų teikimo kanalą. Tačiau niekas nedraudžia tokį pranešimų kanalą įsidiegti ir nedidelei fintech įmonei. Jis galėtų padėti suvaldyti įmonei kylančias rizikas. Svarbu atkreipti dėmesį, kad tam, jog šis vidinis pranešimų kanalas tinkamai veiktų, nepakanką tik formalaus jo įvedimo. Darbuotojai turi būti apmokomi, kokius pažeidimus galima šiuo kanalu pranešti, kokių veiksmų bus imamasi pranešusio darbuotojo apsaugai bei kaip bus vykdomas pranešimo tyrimas.
Įdiegus vidinį pranešimų apie pažeidimus teikimo kanalą, įmonės darbuotojai ar kiti su įmone sutartiniais santykiais susiję asmenys turi galimybę telefonu, el. paštu ar kitokiu įmonės nustatytu būdu pranešti apie jiems žinomus pažeidimus. Kai darbuotojai bus tinkamai apmokyti, kaip ir kada gali pateikti pranešimą vidiniu pranešimų teikimo kanalu, problemą, dėl kurios teikiamas pranešimas, bus galima išspręsti įmonės viduje, ir tokiu būdu išvengti galimos baudos. Apie įmonėje netinkamai veikiančius procesus ar daromus kitokius pažeidimus atsakingi asmenys sužinotų anksčiau, negu audito ar patikrinimo metu, todėl būtų galima imtis veiksmų šių pažeidimų sustabdymui
Išvados
Įmonėse yra būtina imtis kompleksinių veiksmų, siekiant užtikrinti teisinę atitiktį ir suvaldyti rizikas. Atitiktis teisės aktų reikalavimams ir įmonės rizikų valdymas turi būti realiai veikiantys. Vien formalus procesų aprašymas nebus naudingas – organizacijoje turi būti aiškiai nustatytos su organizacijos tikslais suderintos atsakomybės, tarp visų funkcijų užtikrinamas reguliarus ir efektyvus koordinavimas, komunikavimas bei bendradarbiavimas. Įdiegta, palaikoma ir nuolatos tobulinama atitikties vadybos sistema. Periodiškai sekami teisės aktų pakeitimai, organizuojami atitikties mokymai. Tik tada, imantis visų įmanomų ir nuolatos tobulinamų priemonių rizikoms suvaldyti, pavyks išvengti gresiančių baudų bei kitų atsakomybės rūšių.
Įmonės rizikų valdymo sistemų diegimas
