Compliance najczęściej rozumiane jest jako działanie zgodne z normami prawnymi – zarówno prawa powszechnie obowiązującego, jak i normami wewnętrznymi oraz innymi standardami (np. normami ISO) bądź dobrymi praktykami, które chce respektować dany podmiot (np. Dobre Praktyki Spółek Notowanych na GPW). Skoro zaś compliance odnosi się do funkcjonowania całego podmiotu, oznacza to, że stanowi jednocześnie wyzwanie dla całego zespołu danej organizacji.
Mimo że zagadnienie jest stosunkowo świeżą instytucją na gruncie prawnym, warto rozprawić się z narosłymi wokół niej mitami.
Czytaj także:
Compliance - podpis pod kodeksem etyki firmy to zbyt mało
Po co? My działamy zgodnie z prawem!
Mając na uwadze zasadę dobrej wiary a także standardy etyczne funkcjonujące w stosunkach prawnych, podmioty w nie zaangażowane powinny działać zgodnie z literą prawa i przyjętymi standardami
pozaprawnymi. Uwzględniając stopień skomplikowania obowiązujących regulacji prawnych oraz tempo zmian legislacyjnych, coraz większa liczba podmiotów decyduje się na profesjonalną obsługę prawną dbającą o respektowanie obowiązujących norm. Im bardziej skomplikowana struktura podmiotu i rodzaj podejmowanych aktywności, tym większe ryzyko, że dojdzie do nieprawidłowości rozmaitej natury.
O ile na przykładzie rozbudowanych grup kapitałowych to zjawisko wydaje się dość oczywiste, o tyle w przypadku np. sieci handlowej prowadzącej sprzedaż w formie stacjonarnej i jednocześnie e-commerce bądź stowarzyszenia posiadającego liczne oddziały terenowe, ryzyko to nie jest tak wyraźnie uwypuklone.
W dbałości o minimalizację jego materializacji wdrażane są systemy zarządzania ryzykiem braku zgodności. To właśnie compliance i narzędzia, którymi dysponuje, powinny wspierać organizację tak, aby potencjalnie niewidoczne ryzyka działań i zaniechań, które stoją w konflikcie z prawem bądź standardami pozaprawnymi, zostały wykryte i wyeliminowane.
Można w tej materii wskazać choćby whistleblowing, czyli sygnalizowanie nieprawidłowości. Dzięki temu organizacja może odpowiednio wcześniej otrzymać informacje o zachodzących bądź planowanych naruszeniach norm prawnych i podjąć kroki w celu ich minimalizacji, a nawet im zapobieżeniu.
To dla dużych korporacji
Ryzyka działań niezgodnych z prawem stanowią bolączkę zarówno podmiotów z sektora prywatnego, jak i publicznego. Instrumentarium do minimalizacji zdefiniowanych w danym podmiocie ryzyk leży po stronie compliance.
Jednym z takich narzędzi są akty prawa wewnętrznego. Niektóre z przyjętych regulacji wewnętrznych jednocześnie pełnią rolę kompasów aksjologicznych, jak np. kodeksy etyki. Przykłady ich wdrożenia można odnaleźć wśród międzynarodowych korporacji, pośród rodzimych firm produkcyjnych, a także w instytucjach publicznych, jak np. szpitale czy szkoły, skończywszy na jednostkach samorządu terytorialnego.
Systemy zgłaszania nieprawidłowości czy też prowadzenie wewnętrznych postępowań wyjaśniających nie stanowi domeny transgranicznych gigantów z sektora handlowo-usługowego.
Przykładów wdrożenia compliance w sektorze prywatnym nie brakuje, także poza sektorem finansowym. Również w administracji publicznej ten temat jest coraz wyraźniej podnoszony, czego przykładem jest
powołanie Departamentu Compliance w Pionie Prawno-Regulacyjnym Urzędu Komisji Nadzoru Finansowego, a także wydanie przez CBA w 2020 r. „Wytycznych w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym".
To zadanie dla zarządu
Zapewnienie działania zgodnego z prawem to wyzwanie, przed którym staje cała organizacja. Oznacza to, że zarówno działania pracowników operacyjnych, często tych na pierwszej linii kontaktu z klientem bądź kontrahentem, są równie istotne, jak kroki podejmowane przez osoby zarządzające. Niezależnie od tego, czy do nieprawidłowości dojdzie na szczeblu organów zarządzających, czy też pracowników odpowiedzialnych za pierwszy kontakt z klientem, zmaterializowane ryzyko rzutuje na cały podmiot.
Mając na uwadze fakt, iż nieprawidłowości w organizacji mogą pojawić się na wszystkich szczeblach, warto zawczasu rozważyć wdrożenie systemu zarządzania ryzykiem braku zgodności. Dedykowane do tego narzędzia wpisane w kalendarze działań compliance mogą stanowić efektywny sposób zidentyfikowania słabych punktów (np. działania struktur nieformalnych) i podjęcia odpowiednich działań naprawczych.
Jednocześnie tzw. tone from the top (ang. przykład idzie z góry) to wyzwanie, przed którym staną zarządzający organizacją. Działania kierownictwa, które jasno komunikują transparentne zachowania oparte o normy prawne, stanowią silny motywator dla pozostałych pracowników do podobnego zachowania.
To kosztochłonne działania
Wdrożenie systemu zarządzania ryzykiem braku zgodności przywodzi na myśl długotrwały i kosztowny proces, którego wymierne efekty często są w krótkim czasie słabo
widoczne. Kroki poczynione w dbałości o zgodne z prawem działania nie muszą jednak stanowić wydatków ponad możliwości finansowe podmiotu.
Zgodnie z zasadą „zacznij tu gdzie jesteś", podjęcie kroków w tym kierunku może stanowić audyt regulacji wewnętrznych pod kątem ich spójności oraz zgodności z aktualnym stanem prawnym.
Kolejne elementy compliance, wprowadzane we współpracy z doświadczonymi specjalistami, stanowią zaś system przypominający wieloletnią polisę ubezpieczeniową na życie organizacji. Pomimo kosztów startowych, z którymi może wiązać się np. obsługa prawna w zakresie opracowania wewnętrznych polityk i regulaminów (np. polityka zgłaszania nieprawidłowości czy procedura prowadzenia wewnętrznych postępowań wyjaśniających) lub zakup odpowiedniego oprogramowania do obsługi kanałów zgłoszeń whistleblowingowych. Stanowią one swoiste ubezpieczenie dla organizacji, dzięki którym wewnętrzne wykrycie działań niezgodnych z prawem może zminimalizować ich skutki.
Zgodnie z badaniami Report to the Nations 2020, przeprowadzonymi przez Association of Certified Fraud Examiners, w podmiotach, które nie wdrożyły systemów whistleblowingowych, mediana strat wywołanych fraudem była dwukrotnie większa niż tam, gdzie działały systemy dla sygnalistów.
To dla branży finansowej
Szeroko rozumianą działalność związaną z przepływami finansowymi, obejmującą nie tylko stricte pojmowaną bankowość, ale też usługi maklerskie czy rozmaite fintechy i firmy ubezpieczeniowe, stanowią sektory ściśle regulowane, a jednocześnie wyeksponowane na liczne ryzyka. Te obszary stanowią kolebkę compliance, która jednocześnie
wypracowuje dobre praktyki i standardy. Współczesne rozumienie zarządzania ryzykiem braku zgodności, know-how oraz korzyści płynące z jego wdrożenia dla organizacji spoza sektorów objętych obligatoryjnym wdrożeniem działań o charakterze zgodnościowym stanowią podwaliny pod jego implementację w innych obszarach. Podmioty działające w obszarach niezwiązanych z branżą finansową również są narażone na ryzyko braku zgodności choćby w zakresie ochrony danych osobowych, prawa pracy czy też ochrony środowiska. Właściwie implementowany compliance stanowi nie tylko długofalowe zabezpieczenie wdrażającego go podmiotu, lecz może także przyczynić się do budowania kultury organizacyjnej.
dr Beata Baran - radca prawny, partner w BKB Baran Książek Bigaj