Miały one zwiększyć stabilność sektora finansowego i zniechęcić zarządy firm do podejmowania ryzykownych i nieuczciwych działań, poprzez zwiększenie kar i odpowiedzialności. Jednak przypadki negatywnych skutków nieuczciwych i/lub niezgodnych z prawem działań firm nie są domeną sektora finansowego. Coraz częściej systemy prawodawcze poszczególnych krajów wprowadzają podobne obowiązki, w tym sankcje karne za ich nieprzestrzeganie w firmach spoza sektora finansowego. Przykładem jest projekt ustawy o odpowiedzialności podmiotów zbiorowych.
Ponadto, sami właściciele firm coraz częściej dostrzegają potrzebę wprowadzenia kompleksowych rozwiązań służących zapobieganiu nieprawidłowościom oraz umożliwiających wczesne ich wykrywanie i reagowanie. Rolę taką może pełnić funkcja Compliance i system zarządzania ryzykiem zgodności.
Czytaj także: System Compliance: jakie nieprawidłowości wykrywa w firmie
Jak pokazują wyniki badań przeprowadzonych przez Instytut Ponemon oraz Globalscape (The True Cost of Compliance with Data Protection Regulations, publikacja grudzień 2017), średni koszt braku zgodności wśród badanych firm wyniósł $14.82 milionów i odzwierciedla 45 procentowy wzrost w stosunku do roku 2011. Wyniki badań wskazują również, że skutki braku zgodności są 2,71 razy wyższe niż koszty zapewniania zgodności.
Kluczowe elementy
Organizacja sprawnie działającej jednostki Compliance i jej pracowników (ang. Compliance Officer), jest istotnym krokiem w stronę zapewniania zgodności w organizacji.
W praktyce rynkowej stosowane są następujące elementy składające się na organizację jednostki Compliance:
1. Wsparcie z góry (ang. tone at the top)
Osoby zarządzające firmą powinny mieć odpowiednią motywację do zapewniania zgodności. Z jednej strony taka motywacja jest związana z doborem kompetentnej i uczciwej kadry zarządzającej, a z drugiej strony z odpowiednim systemem zachęt, aby zgodność w firmie faktycznie wspierać i promować.
2. Polityki i procedury Compliance
Polityka Compliance jest dokumentem określającym ramy działania jednostki Compliance, jak również procesu zarządzania ryzykiem braku zgodności. Dodatkowe procedury operacyjne Compliance mogą definiować procesy wspierające zapewnianie zgodności, takie jak np. proces monitorowania zmian prawnych i regulacyjnych, organizacja szkoleń związanych z zapewnianiem zgodności.
3. Uprawnienia i niezależność jednostki Compliance
Jednym z głównych elementów sprzyjających skuteczności działania jednostki Compliance jest jej niezależność. Może być ona zapewniona z jednej strony przez odpowiednie linie raportowania, z drugiej poprzez zasoby adekwatne do profilu ryzyka firmy, jak również umożliwienie pełnego dostęp do informacji w firmie.
4. Rekrutacja i rozwój jednostki Compliance
Dobór kadry do zespołu Compliance, odpowiedniej pod kątem różnorodności doświadczeń, kompetencji oraz wysokiego poziomu etyki ma kluczowe znaczenie dla efektywności funkcji Compliance. Jednostka Compliance łączy w sobie funkcję doradczą i kontrolną i obejmuje różne obszary działania firmy. Stąd też istotne jest posiadanie w zespole osób zarówno z umiejętnościami technicznymi (zarządzanie ryzykiem, nowe technologie), jak i miękkimi (skuteczna komunikacja) oraz rozwój kompetencji pożądanych z punktu widzenia ryzyk, z jakimi będzie mierzyć się firma w najbliższej przyszłości.
5. Kultura organizacyjna
Nierzadko pracownicy jednostki Compliance z racji swojej roli doradczej oraz statusu w firmie stają się ambasadorami wartości deklarowanych przez organizacje. W przypadku wystąpienia zachowań nieetycznych w firmie, prowadzą lub uczestniczą w postępowaniach wewnętrznych, np. w związku z otrzymanymi anonimowymi zgłoszeniami (kanał whistleblowing).
6. Technologia wspierająca zapewnianie zgodności
Zarządzający globalnymi spółkami w sektorze finansowym zdają sobie sprawę, że zapewnienie zgodności jedynie przez zwiększanie zasobów nie jest już wystarczające. W związku z czym wiele globalnych firm planuje wzrost inwestycji w technologie wspierające zapewnianie zgodności.
Powyższa lista nie jest wyczerpująca i określenie elementów specyficznych dla danej organizacji wymaga szczegółowej analizy jej procesów, oceny profilu ryzyka oraz możliwości.
Zarządzanie ryzykiem braku zgodności
Kolejnym krokiem w stronę zapewniania zgodności jest zbudowanie i wdrożenie efektywnego procesu zarządzania tym ryzykiem.
Klasyczny proces zarządzania ryzykiem obrazuje metodologia opracowana przez Committee of Sponsoring Organisations of the Treadway Commission – COSO (Enterprise Risk Management - ERM, 2017). COSO wskazuje na następujące elementy zarządzania ryzykiem:
1. Kultura i ład organizacyjny.
2. Strategia i ustalanie celów, w tym apetytu na ryzyko.
3. Realizacja, w tym: identyfikacja ryzyka, ocena ryzyka, priorytyzacja ryzyka, wdrożenie odpowiedzi na ryzyko, ocena profilu ryzyka.
4. Przegląd efektów realizacji i wprowadzanie niezbędnych korekt.
5. Informacja, komunikacja i raportowanie.
Wszystkie wymienione elementy są wzajemnie powiązane, a ich efektywna realizacja we wskazanej kolejności umożliwia otrzymanie pełnego obrazu zarządzania danym ryzykiem. Oznacza to także, że organizacja rozumie ryzyko i podejmuje działania nakierowane na zarządzenie ryzykiem wynikającym z przyjętej strategii oraz ustalonych celów.
Również z perspektywy zarządzania ryzykiem braku zgodności wszystkie wskazane powyżej elementy są kluczowe. Zarządzanie tego typu ryzykiem często jest utożsamiane wyłącznie z następującymi pięcioma krokami:
? identyfikacja ryzyka braku zgodności,
? ocena ryzyka,
? kontrola ryzyka,
? monitorowanie ryzyka,
? raportowanie.
Takie podejście nie jest jednak kompletne z perspektywy efektywności zarządzania ryzykiem braku zgodności. Przykładem brakującego elementu w podejściu pięciu kroków jest kwestia kultury zgodności, której słabości przyczyniły się między innymi do globalnego kryzysu finansowego.
Tworzenie i realizacja planu
Jednostka Compliance pełni dwie uzupełniające się funkcje: doradczą oraz kontrolną.
W związku z realizacją funkcji kontrolnej najistotniejsze są te elementy, które służą ocenie ryzyka braku zgodności i zbudowaniu na jej podstawie planu Compliance. Elementy te obejmują:
? identyfikację i ocenę ryzyka inherentnego, czyli nieodłącznego, związanego z samym faktem realizacji przez firmę określonego celu biznesowego,
? identyfikację i ocenę efektywności mechanizmów kontrolnych służących minimalizacji ryzyka inherentnego,
? ocenę ryzyka rezydualnego, czyli ryzyka uwzględniającego fakt istnienia i oraz efektywności działania mechanizmów kontrolnych,
? priorytyzację zadań jednostki Compliance na podstawie wyników oceny ryzyka rezydualnego,
? opracowanie planu Compliance, czyli planu monitoringów realizowanych przez jednostkę Compliance, obejmujących m.in. kompleksowe przeglądy obszarów/procesów w organizacji, testowanie pojedynczych kontroli, jak również obszarów wymagających częstszych (bieżących) czynności kontrolnych ze strony jednostki Compliance.
Plany Compliance mogą mieć zarówno charakter średnioterminowy (roczny), jak i długoterminowy (plany wieloletnie), jak również obejmować działania ad-hoc.
Niezależnie od przyjętego podejścia, niezbędna jest okresowa aktualizacja planów uwzględniająca pojawiające się nowe ryzyka oraz czynniki wpływające na zmianę w ocenie ryzyka. Coraz częściej zmiany biznesowe, w tym technologiczne stają się główny czynnikiem modyfikacji w planach, co z kolei wymaga elastyczności w działaniu po stronie zespołów Compliance.
Jak mierzyć skuteczność
Pojęcie funkcji Compliance, poza działalnością jednostki Compliance (działem lub stanowiskiem Compliance Oficera), obejmuje również operacyjne zarządzanie ryzykiem braku zgodności przez biznes, często utożsamiany z działem sprzedaży (tzw. pierwsza linia obrony). To właśnie jednostki biznesowe są odpowiedzialne za realizację strategii biznesowej poprzez realizację wyznaczonych celów. Realizacja celów jest nierozerwalnie związana z występowaniem ryzyk, którymi jednostki biznesowe powinny na co dzień zarządzać.
Poza jednostką Compliance, należącą do tzw. drugiej linii obrony, istotną funkcję w procesie zarządzania ryzykiem pełni jednostka audytu wewnętrznego. Główna rola tej jednostki polega na niezależnej ocenie skuteczności zarządzania ryzykiem braku zgodności oraz efektywności kontroli nad tym ryzykiem.
Wszystkie trzy funkcje tworzą system trzech linii obrony i stanowią kompleksowe narzędzie wsparcia zarządu w zarządzaniu ryzykiem braku zgodności. Słabości organizacyjne, technologiczne czy też związane ze sposobem działania jednej z wymienionych jednostek mają wpływ na ocenę efektywności całej funkcji Compliance.
Pomocnicze czynniki
Oto przykłady, które wskazują na czynniki, które mogą sprzyjać efektywności lub też ograniczać efektywność działania funkcji Compliance.
1.
Zaangażowanie, komunikacja, decyzje i działania podejmowane przez członków Zarządu – świadomość, spójność podejmowanych decyzji i działań, pozycjonowanie w komunikacji, dawanie przykładu.
2.
Kultura organizacyjna – spójność wartości etycznych, dopasowanie kulturowe podczas rekrutacji, uwzględnienie elementów kultury (w tym kultury ryzyka) w systemach wynagradzania i premiowania oraz zasadach awansów.
3.
Odpowiedzialność za ryzyko – jasny podział odpowiedzialności i obowiązków, ale też zasady współpracy i komunikacji.
4.
Polityki i procedury – jasne, zrozumiałe, krótkie, zawierające ścieżkę eskalacji.
5.
Kompetencje osób zaangażowanych w zarządzanie ryzykiem – standardy etyczne, rozumienie biznesu i ryzyka, kompetencje miękkie vs. kompetencje techniczne.
6.
Technologie – stosowanie kompleksowych narzędzi do oceny, monitorowania i raportowania ryzyka.
7.
Informacje i dane – dostęp, jakość i format danych stosowanych do oceny, monitorowania i raportowania ryzyka.
8.
Podejście do zarządzania zmianą – szybkość i sposób reakcji na zmiany w otoczeniu regulacyjnym i biznesowym.
Pomiar efektywności funkcji Compliance powinien obejmować wszystkie elementy wymienione w COSO ERM, jak również uwzględniać czynniki wpływające na jakość tych elementów, jak na przykład wymienione powyżej.
Monika Wolska- Hertman menedżer w zespole Forensic, Deloitte
Za ocenę efektywności funkcji Compliance powinna być odpowiedzialna rada nadzorcza, która na podstawie bieżących raportów z wszystkich linii obrony dysponuje kompleksową oceną jakości zarządzania ryzykiem braku zgodności. Niezależnie od tego, raz w roku powinna samodzielnie dokonać oceny efektywności funkcji Compliance, na przykład na podstawie zdefiniowanych mierzalnych kryteriów (ang. Key Performance Indicators – KPIs) wpartych przez elementy o charakterze jakościowym. W celu zwiększenia obiektywizmu oceny oraz usystematyzowania podejścia, Rada Nadzorcza może zdecydować się na zaangażowanie w tym celu zewnętrznego konsultanta.
Niezależnie od przyjętego przez firmę podejścia do pomiaru efektywności funkcji Compliance, proces ten jest również kluczowy w celu upewnienia się, że koszty, jakie firma ponosi w celu zapewniania zgodności rekompensują potencjalne koszty braku zgodności.