Ilość obowiązujących przepisów prawnych dotyczących organizacji różnego typu w dzisiejszych czasach do których musza się one dostosować, ich ciągłe zmiany oraz sankcje w razie niezastosowania się do nich spowodowały silną potrzebę wprowadzenia systemu, który miałby temu sprostać. Tutaj pojawia się system compliance w rezultacie którego dochodzi do zminimalizowania ryzyka wystąpienia nieprawidłowości, które skutkowałyby sankcjami finansowymi, negatywnych wpływem na wizerunek firmy oraz jej kontakty z kontrahentami oraz klientami, za czym idzie obniżenie wartości firmy. Czym jest więc system, który pozwala zapobiegać problemom przed ich wystąpieniem? O tym poniżej.
Compliace – czym jest?
Compliance – to słowo pochodzące z języka angielskiego i oznaczające dosłownie „zgodność” w ujęciu wielopłaszczyznowym tj zgodność z obowiązującymi przepisami prawa („hard law”) oraz regulacjami (regulaminami, procedurami) wewnętrznymi w danej organizacji („soft law”). Ma ona swój przejaw w całokształcie działań podejmowanych przez organizację takich jak monitoring procesu wprowadzanie odpowiednich procedur oraz regulacji wymaganych przez obowiązujące przepisy prawa, zarządzanie ryzykiem, weryfikacja potencjalnych zagrożeń mających na celu zapobieganie ewentualnym ryzykom o charakterze prawnym, tak aby ich całokształt został w zrozumiały i przystępny sposób przyjęty i stosowany w organizacji. Owy całokształt procedur, regulacji oraz innych działań wdrożonych w organizacji zwany jest systemem compliance.
Poza zapewnieniem zgodności działalności oraz minimalizacją ryzyka prawnego compliance ma na celu zapobiegać stratom wizerunkowym, zwiększyć zaufanie do organizacji, zapobiegać odpowiedzialności karnej, karnoskarbowej czy też cywilnej oraz związanymi z tym stratami finansowymi.
Przykłady regulacji, które należy wziąć pod uwagę w procesie compliance dotyczą m.in. prawa pracy, ochrony danych osobowych (RODO), cyberbezpieczeństwo (dyrektywa NIS2), przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu (ustawa o AML), sygnalistów (whistleblowing), regulacje wewnętrzne danej organizacji, norm ISO, zasad i dobrych praktyk.
Główne zadania działu compliance:
- monitorowanie zmian w prawie;
- opracowywanie strategii zapewnienia zgodności działalności organizacji z prawem oraz przygotowanie planu i wdrożenie działań niezbędnych w tym celu;
- przygotowanie procedur pozwalających na minimalizację ryzyka niezgodności,
- przygotowanie procedur dotyczących zgłaszanych incydentów i naruszeń (w tym ochrona sygnalistów);
- prowadzenie audytów (w tym okresowych) w celu wykrycia potencjalnych naruszeń prawa i regulacji wewnętrznych firmy;
- przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu;
- nadzór nad właściwym postępowaniem z informacjami poufnymi;
- ochrona danych osobowych;
- podjęcie działań w celu uniknięcia potencjalnych konfliktów interesów;
- weryfikacja przestrzegania prawa w zakresie zawieranych umów;
- analizy i opinie prawne dotyczące wybranych regulacji prawnych,
- obowiązek przekazywania do wiadomości publicznej oraz do organów nadzoru przewidzianych prawem raportów na temat zdarzeń związanych z działalnością przedsiębiorstwa;
- doradztwo dla jednostek organizacyjnych w zakresie stosowania nowo wprowadzanych oraz obowiązujących przepisów prawa i standardów rynkowych;
- szkolenia i edukacja pracowników w zakresie obowiązujących wymogów i przepisów.
Ze względu na charakter zadań możemy wyróżnić ich cztery podstawowe rodzaje:
- zapewnienie zgodności – wprowadzenie procedur mającym zapobiegać niezgodnością prawnym w organizacji,
- zarządzanie ryzykiem braku zgodności – stałe monitorowanie i analizowanie ryzyka oraz opracowywanie rozważań mających na celu obniżenie jego poziomu,
- kontrola – przeprowadzanie audytów w celu wykrycia i przeciwdziałaniu niezgodności,
- wsparcie – rozumiane, jako doradztwo prawne w celu podjęcia działań zgodnie z obowiązującym prawem.
Kto podlega systemowi compliance?
Zalecane jest aby każda firma wdrożyła u siebie system comliance, który, aby mógł prawidłowo funkcjonować potrzebuje obejmować całą organizację, zatem kontroli oraz zobowiązaniu do przestrzegania regulacji wewnętrznych podlegać powinni:
- Zarząd,
- Rada Nadzorcza,
- osoby na stanowiskach kierowniczych,
- wszyscy pracownicy,
- partnerzy biznesowi,
- działy compliance.
Dział compliance – stanowiska
Wzorcowy model wewnętrznego działu compliance składa się z osoby zarządzającej w osobie Compliance Officer’a (menedżera ds. zgodności,) współpracującego z Chief Risk Manager (CRM – dyrektor działu zarządzania ryzykiem) oraz Chief Internal Auditor (CIA) audytu wewnętrznego. Compliance Officer podlegać będą pozostali pracownicy działu (Junior/ Senior Compliance specialist). Osoba ta powinna wykazywać się odpowiednimi kompetencjami, doświadczeniem oraz wiedzą. Preferowane są osoby z wykształceniem prawniczym. Znaczenie ma również wiedza i wykształcenie ekonomiczne i biznesowe umożliwiające lepsze zrozumienie aspektów finansowych oraz charakterystykę działania danej organizacji. Pod uwagę należy również wziąć kompetencję miękkie oraz organizacyjne pozwalające na sprawne zarządzanie otoczeniem oraz odporność na stres związany z tym stanowiskiem.
Compliance Officer odpowiada za realizacje zadań działu compliance.
Co do zasady podlega on bezpośrednio Zarządowi lub osobom uprawnionym do kierowania działalnością danej organizacji.
W przypadku osób rozpoczynających swoją karierę z compliance pod uwagę brane są podobne kryteria: wykształcenie prawnicze, wiedza ekonomiczna i biznesowa, kompetencje miękkie w zakresie relacji interpersonalnych (komunikacji z pracownikami innych działów). Szczególnie ceniona jest też wiedza specjalistyczna dotycząca konkretnych dziedzin jak np.: ochrony praw konsumentów, ochrony danych osobowych, AML.
Kto musi powołać Compliance Officer?
Instytucje rynku finansowego jak banki są obowiązane zatrudniać Compliance Officer – z ustawy o prawie bankowym oraz przepisów dotyczące biur maklerskich czy też funduszy inwestycyjnych wynika obowiązek istnienia systemu zarządzania ryzykiem prawnym. Obecnie coraz więcej firm (średnich i dużych) dobrowolnie dokonuje utworzenia tego rodzaju stanowiska, aby przeciwdziałać ryzyku potencjalnym naruszeniom.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (o ochronie sygnalistów) zobowiązuje podmioty prywatne zatrudniające powyżej 249 osób do wdrożenia postanowienia dyrektywy najpóźniej do 17 grudnia 2023r. – co do zasady jako osobę nadzorującą implementację i przestrzeganie postanowień dyrektywy, compliance w ochronie sygnalistów wskazano Compliance Office.
Jak wdrożyć compliance?
Wdrożenie compliance powinno wiązać się z wysiłkiem i zaangażowaniem całej organizacji i wszystkich jej pracowników. Prawidłowe wdrożenie systemu compliance powinno obejmować dwie płaszczyzny:
- wewnętrza – zarówno regulaminy, procedury i inne regulacje, którym podlegają wszyscy pracownicy, jak również ich edukacja dotycząca ich obowiązków i praw, aby byli świadomi odpowiedzialności oraz skutków swoich decyzji,
- zewnętrzną – uczciwość i dobre praktyki wobec organów państwowych oraz kontrahentów. Mowa tutaj o ochronie danych osobowych, zachowaniu tajemnicy zawodowej, zapobieganie manipulacjom finansowym lub działaniom nieetycznym (przestrzeganie lojalności kontraktowej).
Samo wdrożenie powinno zostać podzielone na etapy. Zacząć należy od dokładnej analizy działalności danej organizacji w tym celu należy wykonać audyt za pomocą którego zidentyfikowane i ocenione zostaną potencjalne ryzyka, na które narażona jest firma. Audyt powinien obejmować takie okoliczności jak uregulowania prawne oraz ich oddziaływanie na działalność organizacji, wewnętrzne regulacje (regulaminy, procedury, polityki, ład korporacyjny) jak i kontekst społeczny i kulturowy.
Następnie należy przejść do działań mających przeciwdziałać i zapobiegać wykrytym ryzykom – zaprojektowanie systemu compliance poprzez podjęcie odpowiednich dla danej organizacji działań jak dostosowanie, opracowanie i wdrożenie odpowiednich procedur i regulaminów, powołanie Compliance Officer’a, regulacja kwestii dokonywania bezpiecznych zgłoszeń wykrytych nieprawidłowości w organizacji, wprowadzanie rozwiązań kontrolnych, monitorowanie zmian w przepisach, szkolenie kadry zarządzającej jak i pracowników jak również wprowadzenie odpowiednich rozwiązań technicznych z tym związanych oraz zapewnienie odpowiednich zasobów w tym celu. Zwrócić uwagę należy, iż compliance to nie sama dokumentacja, a zmianą w sposobie i filozofii działania organizacji.
Kolejnym etapem jest implementacja opracowanych rozwiązań, ich testowanie w praktyce oraz wdrożenie ewentualnych zmian w razie wykrycia nieprawidłowości lub zaistnienia potrzeby z innego powodu.
Warto wspomnieć, iż nie istnieje jeden uniwersalny wzór systemu compliance, który można zastosować do każdej organizacji, ponieważ firmy między sobą różnią się diametralnie poczynając od zakresu i charakteru działalności po osoby w nich zatrudnione. Z powodu skomplikowania całego procesu warto skorzystać z pomocy profesjonalistów (wyspecjalizowanych kancelarii), którzy pomogą w przeprowadzeniu audytu wewnętrznego oraz stworzeniu spójnego systemu compliance który ułatwi czysto biznesową działalność. Wsparcie takiego podmiotu obejmuje takie kwestie jak zarządzenie ryzykiem, zapewnieni zgodności z obowiązującym prawem, dopasowaniu najlepszej struktury systemu do profilu działalności firmy, a ich doświadczenie oraz wyspecjalizowana kadra umożliwi najefektowniejsze i najszybsze prawidłowe prowadzeni compliance w życie firmy.
Podsumowanie
Compliance jako zapewnienie zgodności działań podejmowanych przez daną organizację z obowiązującym prawem, regulacjami wewnętrznymi, zaleceniami i dobrymi praktykami pozwala na osiągnięcie wielu korzyści czy to w postaci niedopuszczenia do strat wizerunkowych, zapobiegnięcia stratom finansowym, uniknięcia odpowiedzialności karnej zarządu, zapobiegnięciu nadużyciom czy też pomocy w jak najszybszej identyfikacji i przeciwdziałaniu przyszłym zagrożeniom w myśl zasady „lepiej zapobiegać niż leczyć”. Dodatkowo również firma zyska na reputacji oraz zaufaniu do niej, co będzie miało bezpośredni wpływ na jej wartość.
Kuba Kościuch
Radca prawny