Czym jest compliance?

Jeśli zetknąłeś się kiedykolwiek z angielskim słowem compliance w kontekście prowadzenia i organizacji przedsiębiorstwa, na pewno warto wyjaśnić, czym ono jest.

Wbrew pozorom nie jest łatwo jednoznacznie odpowiedzieć na to pytanie, albowiem nie istnieje jedno powszechne podejście do rozumienia compliance, tak jak to miejsce na przykład w przypadku audytu wewnętrznego albo ryzyka operacyjnego. Dzieje się tak, ponieważ compliance jest pochodną różnych rozwiązań z pogranicza prawa, zarządzania, ryzyka oraz kontroli.

4 definicje

Wedle pierwszej wersji jest to zapewnianie zgodności z przepisami prawa powszechnie obowiązującego (tzw. hard law) oraz regulacjami wewnętrznymi i rozmaitymi standardami i normami (soft law).

Wedle tej koncepcji compliance:

• jest elementem systemu kontroli wewnętrznej i z tego systemu się wywodzi.
• pełni funkcją zapewniającą zgodność w całym przedsiębiorstwie poprzez zapobieganie i wykrywanie braków zgodności.
• rozumiane jest w sposób zero-jedynkowe (jestem zgodny albo jestem niezgodny).
• zapewnia zgodność poprzez mechanizmy kontrolne/zapewniające zaszyte przede wszystkim w procedurach wewnętrznych/systemach IT oraz monitorowanie przestrzegania tych mechanizmów i procedur/Systemów IT poprzez ich testowanie, kontrolowanie.

Ponadto:

• komórka organizacyjna compliance skupia się na tworzeniu mechanizmów kontrolnych (tzw. design) oraz na monitorowaniu skuteczności ich przestrzegania (tzw. monitoring performancu).
• główne modele bazujące na tym rozwiązaniu to model COSO, COSO-ERM, Rekomendacja H KNF część B, programy compliance (np. AML. antykorupcja)

Wedle drugiej koncepcji compliance rozumiane jest jako zarządzanie ryzykiem braku zgodności z przepisami prawa powszechnie obowiązującego (tzw. hard law) oraz regulacjami wewnętrznymi i rozmaitymi standardami i normami (soft law).

Zgodnie z tą koncepcją compliance:

• jest, o ile przepisy nie stanowią inaczej, elementem systemu zarządzania ryzykiem i wywodzi się z zarządzania ryzykiem operacyjnym.
• pełni funkcję ostrzegawczą i zarządczą poprzez identyfikowanie, ocenę i mitygowania ryzyka braku zgodności.
• rozumiane jest w myśl koncepcji ryzyka inherentnego i rezydualnego, a więc zwykle zawsze istnieje jakieś ryzyko braku zgodności.
• identyfikuje ryzyko braku zgodności, ocenia je za pomocą metod ilościowych lub jakościowych, a następnie proponuje sposób postępowania z ryzykiem (zwykle poprzez mitygację ryzyka).

Ponadto:

• organizacja skupia się na ocenie i sposobach obniżania zbyt wysokiego ryzyka braku zgodności.
• główne modele bazujące na tym rozwiązaniu to modele norm ISO, Rekomendacji H KNF część C, Zgodność i funkcja zapewniania zgodności w bankach Komitetu Bazylejskiego ds. Nadzoru bankowego

Istnieją jeszcze dwie, o wiele mniej skomplikowane koncepcje compliance, to jest doradztwo oraz audytowanie (tzw. zewnętrzne lub wewnętrzne audytu zgodności).

Powyższe koncepcje nie są wzajemnie sprzeczne, ale są względem siebie komplementarne. Nie mniej jednak, wybór każdej z nich niesie za sobą określone konsekwencje, w tym zarówno plusy jak i minusy konkretnych rozwiązań.

Kto za to odpowiada?

W dużych firmach, zwykle w organizacjach finansowych, takich jak np. banki, powstaje cały dział compliance, który każdego dnia czuwa nad przestrzeganiem prawa i zgodnością postępowania organizacji z przyjętymi normami, minimalizując ryzyko strat. W Polsce compliance officer to „wewnętrzny policjant” w organizacji, który bada, czy wszystkie zasady są przestrzegane. Często stanowisko to nazywa się inspektorem nadzoru. CCO dziś zatrudniają również firmy produkcyjne, farmaceutyczne czy producenci żywności – kwestia compliance w takich dziedzinach jest szczególnie ważna, gdyż istnieje w nich ryzyko naruszenia pewnych norm. Uporządkowanie, monitoring, kontrola i przewidywanie ryzyka to główne zadania, z jakimi zmierzy się compliance officer.

Jeśli interesuje Cię ten temat odwiedź stronę Stowarzyszenia Compliance Polska oraz sprawdź polecane lektury. Mamy nadzieję, że okażą się pomocne.

Chcesz dowiedzieć się więcej?