Compliance to przede wszystkim model zarządzania organizacją

Ze względu na drastycznie zmieniające się środowisko biznesowe niezbędne jest nowe podejście do zarządzania ryzykami związanymi z compliance, a także wszystkimi innymi rodzajami ryzyka; oparte na technologii podejście systemowe, który umożliwi kierownictwu firmy mierzenie, ustalanie priorytetów i obsługę zagrożeń w sposób efektywny i kompleksowy.

Kompleksowe zdefiniowanie i zakomunikowanie ryzyk w obszarze zgodności, na które narażona jest organizacja, należy w świecie VUCA zdefiniować jako priorytet nie tylko dla compliance oficera, ale dla całego kierownictwa firmy.

W wielu firmach compliance (zarządzanie ryzykiem) w całej firmie polega  na  monitorowaniu zmian jedynie w wybranych obszarach skoncentrowanym w rękach compliance oficera. Warto jednak przyjrzeć się podejściu obejmującemu wszystkie procesy całej organizacji, dającemu narzędzia do monitorowania i reagowania na zmiany na poziomie właścicieli poszczególnych procesów biznesowych, a nawet właścicieli poszczególnych procedur wewnętrznych.

Zintegrowane podejście do zarządzania ryzykiem zgodności

Skuteczne podejście do zarządzania zgodnością i ryzykiem łączy wszystkie działania we wszystkich jednostkach biznesowych.

Takie podejście zaczyna się od ustawienia i aktualizacji adekwatnego compliance universe, a następnie oceny ryzyka braku zgodności własnych procedur z jego poszczególnych elementami (ustawami, rozporządzeniami, wytycznymi) we wszystkich lub wybranych procesach w organizacji. Dynamiczne raportowanie i szereg widgetów pozwalają z kolei na natychmiastową wizualizację niezgodności i zarządzanie mitygacją ryzyka compliance w całej organizacji.

Wdrożenie systemu zaprojektowanego na Giełdzie Papierów Wartościowych, prowadzi do istotnego zwiększenia skuteczności i obniżenia kosztów funkcjonowanie komórki ds. zarządzania zgodnością oraz całego procesu w organizacji.

Compliance officer, czyli kto?

Szkolenia compliance to jedno ze szkoleń dostępnych w naszej ofercie. Dlatego dzisiaj przyjrzymy się stanowisku compliance officer tak, aby każdy mógł zrozumieć istotę tego stanowiska, a także o tym, jak należy wdrożyć compliance w przedsiębiorstwie.

Szkolenia z compliance a profil kandydata?

Czyli jakie preferencje są wymagane na stanowisko compliance oficer i jakie cechy musi mieć taka osoba, aby obejmował to stanowisko? Należy pamiętać, że szkolenia compliance mogą być narzędziem do rozpoczęcia kariery zawodowej lub do podniesienia kwalifikacji i umiejętności osoby, która takie stanowisko już obejmuje. Ponieważ zarządzanie zgodnością ma z reguły charakter wieloaspektowy i interdyscyplinarny, pretendent do objęcia funkcji compliance powinien cechować się udokumentowaną wiedzą i praktyką prawniczą. Pod uwagę brane są również aspekty takie jak znajomość audyty wewnętrznego, ekonomii, czy nowych technologii. Kluczowa jest również znajomość danej branży, w której będzie objęte stanowisko compliance officer. Wiele przedsiębiorstw poszukuje również specjalistów z dziedzin ekonomii i nowych technologii.

Jakie jeszcze cechy powinien mieć kandydat na stanowisko compliance? Przede wszystkim powinna być to osoba komunikatywna z zacięciem kierowniczym. Osoba godna zaufania i wzbudzająca zaufanie wśród innych. Najważniejszą zaletą jednak z punktu widzenia obejmowanego stanowiska jest znajomość specyfiki konkretnej firmy, co umożliwia sprawne zarządzanie i dostrzeganie występującego ryzyka.

Dlaczego funkcja compliance officer jest ważna?

Istota funkcji zarządzania zgodnością i jej znaczeniu w wewnętrznych strukturach firmy jest bardzo ważnym elementem, który powinien znaleźć się w każdej strukturze organizacji. Niezależnie od profilu i działalności firmy. Jeśli firma nie ma jeszcze compliance officera, to ma dwie drogi. Spośród kadry wybrać najlepszego kandydata do pełnienia tej funkcji i przygotować go poprzez udział w szkoleniach compliance lub zatrudnić osobę zewnętrzną poprzez zorganizowany proces rekrutacji. Co zyskuje firma wprowadzając compliance w przedsiębiorstwie?

  • Ochrona przed przed konsekwencjami np. sankcje finansowe dla członków organów zarządzających.
  • Ochrona przed utratą reputacji.
  • Ugruntowana kultura compliance to w perspektywie długofalowej umocnienie wizerunku przedsiębiorstwa na rynku i podwyższenie jego wartości.
  • Zysk w postaci lojalności partnerów biznesowych i pracowników.
  • Zwiększona sprzedaż.
  • Przewaga nad konkurencją.
  • Obniżenie możliwości wystąpienia ryzyka sankcji.

Jak wprowadzić compliance w firmie?

Należy zacząć od wyodrębnienia dwóch płaszczyzn; wewnętrznej i zewnętrznej. system compliance oparty na dwóch płaszczyznach gwarantuje osiągnięcie jak najlepszych korzyści. Do działań wewnętrznych zaliczymy zatem wszystkie dokumenty związane z regulacją obowiązków od stanowiska szeregowego pracownika przez kadrę kierowniczą, a na zarządzie kończąc. Oprócz regulaminu ważne jest również sporządzenie kodeksów postępowania, które z kolei zostaną zatwierdzone przez zarząd firmy.

Działania zewnętrzne natomiast, to działanie zgodnie z prawem i ze wszelkimi regulacjami dotyczącymi działalności przedsiębiorstwa. Jako działania zewnętrzne możemy również określić zachowanie firmy wobec klientów i kontrahentów tj. uczciwość, ochrona danych i zachowanie (jeśli jest konieczność) wszelkich tajemnic zawodowych. Compliance to również dbałość o etyczne działania, zapobiegania manipulacjom, mataczeniem i próbami manipulacji finansowych.

Whistleblowing – kolejne obowiązki czy szansa na zmianę kulturową?

Słowem wstępu warto najpierw krótko wyjaśnić genezę pojęcia whistleblowing. W dosłownym znaczeniu oznacza dmuchanie w gwizdek, a  pojęcie wywodzi się najprawdopodobniej od charakterystycznych gwizdków, stosowanych przez brytyjskich stróży prawa, którzy wykorzystywali je do sygnalizowania popełnienia przestępstwa w celu zaalarmowania innych funkcjonariuszy i wezwania pomocy.

Pierwsze regulacje wywodzą się z czasów wojny secesyjnej w USA, podczas której przyjęto ustawę dotyczą przemysłu zbrojeniowego, w celu walki z nielegalną produkcją i przemytem broni. Nieco bardziej współczesne normy prawne, formalizujące tę instytucję w tym kraju to Whistleblower Protection Act (1989), Sarbanes-Oxley Act (2002), Dodd-Frank Act (2010), a w Wielkiej Brytanii, uznawana za wzorcową tzw. PIDA (Public Interest Disclosure Act 1998) no i wreszcie kluczowa dla wspólnoty unijnej Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

nadużycia

W języku polskim zwrot whistleblower nie miał szczęścia do właściwych tłumaczeń.

Ze względu na różnice kulturowe i pewne nawyki społeczne dotyczące sprzeciwu wobec władzy i negatywnego patrzenia na osoby zgłaszające występujące nieprawidłowości do odpowiednich służb termin ten tłumaczono na początku, jako „donosiciel”, z intencjonalnym pejoratywnym wydźwiękiem.

Dopiero w miarę rozwoju instytucji i pojawieniu się kolejnych rozwiązań prawnych  w tym zakresie, rozpoczęto poszukiwania bardziej szczęśliwych określeń, a przez krótki czas taka osoba była określana jako „donosiciel w dobrej wierze”. Pokazuje to bardzo obrazowo jak bardzo zakorzeniony w polskiej kulturze był sprzeciw wobec instytucji whistleblowingu.

Finalnie przyjętym, nieco bardziej szczęśliwym i jednocześnie oficjalnym tłumaczeniem zwrotu whistleblower, także na gruncie kluczowej w tym zakresie wskazanej powyżej dyrektywy UE, jest określenie sygnalista, zdefiniowane jako „osoba dokonująca zgłoszenia”, które „oznacza osobę fizyczną, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą” (art. 5 pkt 7 przedmiotowej dyrektywy).

Regulacja unijne obejmują obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń (w tym anonimowych) oraz odpowiednich procedur na potrzeby obsługi tych zgłoszeń oraz ochrony osób sygnalizujących za ich pośrednictwem nieprawidłowości. Wprowadzają one także zakaz działań odwetowych oraz środki wsparcia i ochrony przed działaniami odwetowymi dla tych osób.

Instytucję whistleblowingu należy wskazywać jako jeden z (kluczowych?) elementów systemu zarządzania ryzykiem braku zgodności, a procedury anonimowego zgłaszania nieprawidłowości, jako nie tylko obowiązek regulacyjny, angażujący zasoby i czas nie tylko osoby wykonujących zadania w ramach funkcji compliance, ale także zarządu i rady nadzorczej (w zależności od przedmiotu zgłoszenia), ale także jako szansę. Oczywiście tak postawiona teza tendencyjnie nasuwa od razu pytanie, szansę na co?

Regulacje unijne i polskie nie idą jeszcze tak daleko, jak rozwiązania w USA, aby wprowadzać obligatoryjne nagrody finansowe dla osób zgłaszających naruszenia. Jednakże kolejne przepisy co raz bardziej rozszerzają zakres odpowiedzialności podmiotu zbiorowego i jego organów zarządzających, za czyny zabronione i naruszenia obowiązków regulacyjnych ciążących na tych podmiotach. Nawet najbardziej rozbudowany system kontroli i zarządzania ryzykiem, a także zasoby ludzkie i informatyczne dedykowane do wykonywania tych zadań, nie będą w stanie być przy każdym pracowniku przez 100% czasu i zapewnić pokrycia efektywną kontrolą 100% wykonywanych czynności w organizacji.

Można więc postawić tezę, że tylko zbudowanie odpowiedniej kultury compliance w organizacji, dotyczącej nie tylko konieczności stosowania standardów i zasad postępowania, ale także obejmującej ochronę, szacunek i pochwałę wobec osób, które nie przechodzą obojętnie wobec nieprawidłowości, tylko zgłaszają je odpowiednimi kanałami w organizacji, jest w stanie w sposób w pełni efektywny ograniczyć ryzyko braku zgodności, sankcji regulacyjnych, a także osobistej odpowiedzialności członków zarządu lub rady nadzorczej. Przy osobie dopuszczającej się przestępstw lub innego rodzaju nadużyć najbliżej nie jest pracownik kontroli czy departamentu audytu, czy nawet bezpośredni przełożony.

To osoby z tego samego zespołu lub bezpośrednio współpracujące z osobą działającą w sposób niezgodny z prawem i etyką są w stanie najszybciej zwrócić uwagę na tego rodzaju sytuacje, a odpowiednie powiadomienie dedykowanych jednostek w organizacji (co do zasady funkcji compliance), połączone z obowiązkiem przeprowadzenia postępowania wyjaśniającego i ochroną zgłaszającego, jest w stanie doprowadzić do wykrycia nieprawidłowości już na wczesnym etapie i skutecznie zmitygować ryzyko wystąpienia sankcji regulacyjnych, w tym finansowych wobec podmiotu lub personalnej odpowiedzialności zarządu lub rady nadzorczej.

 

Compliance officer – zakres obowiązków

Praca compliance officera polega na minimalizowaniu ryzyka braku zgodności działań przedsiębiorstwa z regulacjami prawnymi, normami, bądź zestawami zaleceń, w celu zapobiegania stratom finansowym lub utracie reputacji. Początkowo compliance officer działał głównie w dużych organizacjach finansowych, takich jak np. banki.

Dziś compliance officer występuje również w wielu innych typach przedsiębiorstw gdyż współczesne organizacje działają w bardzo niepewnym otoczeniu biznesowym i potrzebują funkcji, która będzie stała na straży zgodności decyzji czy działań organizacji z prawem. Dlatego często w przedsiębiorstwach produkcyjnych, energetycznych, informatycznych, farmaceutycznych czy spożywczych (a z pewnością także w każdym innym sektorze poddanym regulacjom) tworzy się stanowisko, a często nawet cały dział compliance.

Zakres obowiązków takiej osoby to przede wszystkim – w dużym uproszczeniu – uporządkowanie, monitoring, kontrola i przewidywanie ryzyka w firmie.

Praca compliance officera ma swoje początki w audycie, kontrolingu oraz zarządzaniu ryzykiem, obecnie pełni dla tych obszarów funkcję wparcia.

Compliance officer – zakres obowiązków

Jeśli zastanawiasz się nad pracą jako compliance officer, zakres obowiązków na pewno będzie dla Ciebie istotnym tematem. Dział compliance ma ogromne znaczenie w funkcjonowaniu każdej szanowanej organizacji, a zakres jego działań jest ściśle związany ze specyfiką organizacji.

Możemy jednak wyróżnić podstawowy zakres obowiązków compliance officera, który nakreśli nam to, na czym polega jego praca.

A zatem compliance officer:

  • dba o ochronę danych osobowych,
  • troszczy się o unikanie konfliktu interesów,
  • dba o właściwe postępowanie z informacjami poufnymi,
  • przeciwdziała praniu pieniędzy i finansowaniu terroryzmu,
  • weryfikuje przestrzeganie prawa w zakresie zawieranych umów,
  • stanowi nadzór nad zgodnością z prawem działalności maklerskiej i powierniczej,
  • pełni doradztwo w zakresie stosowania nowo wprowadzanych oraz obowiązujących przepisów prawa i standardów rynkowych dla jednostek organizacyjnych,
  • współpracuje z kancelariami prawnymi, które oferują instytucjom finansowym audyt prawny,
  • ma obowiązek przekazywania do wiadomości publicznej oraz do organów nadzoru przewidzianych prawem
  • raportów na temat zdarzeń związanych z działalnością przedsiębiorstwa,
  • przestrzega zasad wręczania i przyjmowania prezentów przez członków władz i pracowników

Praca compliance – czy to praca dla mnie?

Aby rozpocząć karierę na stanowisku compliance officer należy mieć ukończone studia prawnicze oraz wiedzę biznesową. Pożądane jest również wykształcenie ekonomiczne, gdyż duże znaczenie ma także rozumienie aspektów finansowych działalności.

Wiedza i umiejętności analityczne to nie wszystko – praca compliance officera wymaga także odpowiednich kompetencji miękkich, które można nabyć podczas szkoleń. Compliance officer będzie zajmował się w firmie przygotowaniem i wprowadzeniem polityki compliance, nadzorowaniem przepływu informacji, przeprowadzaniem wewnętrznych kontroli, sporządzaniem raportów z zakresu ryzyka, planowaniem szkoleń oraz współpracą z organami nadzoru.

W zależności od stopnia samodzielności i doświadczenia, najczęściej mówi się o stanowiskach:

  • compliance officer
  • senior compliance officer
  • manager obszaru compliance

Zajmując którekolwiek z tych stanowisk, zgodnie z wytycznymi KNF należy legitymować się odpowiednim poziomem kwalifikacji. Stowarzyszenie Compliance Polska opracowało odpowiedni system kształcenia i certyfikacji, odpowiednio dla wszystkich poziomów:

Ważne jest także nieustanne uzupełnianie kwalifikacji, np. w zakresie nowych rekomendacji KNF i innych.

Zajrzyj na stronę szkoleń z obszaru aml/compliance aby zobaczyć najbliższe szkolenia z tej tematyki.

Compliance – definicja

Czym jest compliance?

Jeśli zetknąłeś się kiedykolwiek z angielskim słowem compliance w kontekście prowadzenia i organizacji przedsiębiorstwa, na pewno warto wyjaśnić, czym ono jest.

Wbrew pozorom nie jest łatwo jednoznacznie odpowiedzieć na to pytanie, albowiem nie istnieje jedno powszechne podejście do rozumienia compliance, tak jak to miejsce na przykład w przypadku audytu wewnętrznego albo ryzyka operacyjnego. Dzieje się tak, ponieważ compliance jest pochodną różnych rozwiązań z pogranicza prawa, zarządzania, ryzyka oraz kontroli.

4 definicje

Wedle pierwszej wersji jest to zapewnianie zgodności z przepisami prawa powszechnie obowiązującego (tzw. hard law) oraz regulacjami wewnętrznymi i rozmaitymi standardami i normami (soft law).

Wedle tej koncepcji compliance:

  • jest elementem systemu kontroli wewnętrznej i z tego systemu się wywodzi.
  • pełni funkcją zapewniającą zgodność w całym przedsiębiorstwie poprzez zapobieganie i wykrywanie braków zgodności.
  • rozumiane jest w sposób zero-jedynkowe (jestem zgodny albo jestem niezgodny).
  • zapewnia zgodność poprzez mechanizmy kontrolne/zapewniające zaszyte przede wszystkim w procedurach wewnętrznych/systemach IT oraz monitorowanie przestrzegania tych mechanizmów i procedur/Systemów IT poprzez ich testowanie, kontrolowanie.

Ponadto:

  • komórka organizacyjna compliance skupia się na tworzeniu mechanizmów kontrolnych (tzw. design) oraz na monitorowaniu skuteczności ich przestrzegania (tzw. monitoring performancu).
  • główne modele bazujące na tym rozwiązaniu to model COSO, COSO-ERM, Rekomendacja H KNF część B, programy compliance (np. AML. antykorupcja)

Wedle drugiej koncepcji compliance rozumiane jest jako zarządzanie ryzykiem braku zgodności z przepisami prawa powszechnie obowiązującego (tzw. hard law) oraz regulacjami wewnętrznymi i rozmaitymi standardami i normami (soft law).

Zgodnie z tą koncepcją compliance:

  • jest, o ile przepisy nie stanowią inaczej, elementem systemu zarządzania ryzykiem i wywodzi się z zarządzania ryzykiem operacyjnym.
  • pełni funkcję ostrzegawczą i zarządczą poprzez identyfikowanie, ocenę i mitygowania ryzyka braku zgodności.
  • rozumiane jest w myśl koncepcji ryzyka inherentnego i rezydualnego, a więc zwykle zawsze istnieje jakieś ryzyko braku zgodności.
  • identyfikuje ryzyko braku zgodności, ocenia je za pomocą metod ilościowych lub jakościowych, a następnie proponuje sposób postępowania z ryzykiem (zwykle poprzez mitygację ryzyka).

Ponadto:

  • organizacja skupia się na ocenie i sposobach obniżania zbyt wysokiego ryzyka braku zgodności.
  • główne modele bazujące na tym rozwiązaniu to modele norm ISO, Rekomendacji H KNF część C, Zgodność i funkcja zapewniania zgodności w bankach Komitetu Bazylejskiego ds. Nadzoru bankowego

zakres compliance

 

Istnieją jeszcze dwie, o wiele mniej skomplikowane koncepcje compliance, to jest doradztwo oraz audytowanie (tzw. zewnętrzne lub wewnętrzne audytu zgodności).

Powyższe koncepcje nie są wzajemnie sprzeczne, ale są względem siebie komplementarne. Nie mniej jednak, wybór każdej z nich niesie za sobą określone konsekwencje, w tym zarówno plusy jak i minusy konkretnych rozwiązań.

Kto za to odpowiada?

W dużych firmach, zwykle w organizacjach finansowych, takich jak np. banki, powstaje cały dział compliance, który każdego dnia czuwa nad przestrzeganiem prawa i zgodnością postępowania organizacji z przyjętymi normami, minimalizując ryzyko strat. W Polsce compliance officer to „wewnętrzny policjant” w organizacji, który bada, czy wszystkie zasady są przestrzegane. Często stanowisko to nazywa się inspektorem nadzoru. CCO dziś zatrudniają również firmy produkcyjne, farmaceutyczne czy producenci żywności – kwestia compliance w takich dziedzinach jest szczególnie ważna, gdyż istnieje w nich ryzyko naruszenia pewnych norm. Uporządkowanie, monitoring, kontrola i przewidywanie ryzyka to główne zadania, z jakimi zmierzy się compliance officer.

 

Jeśli interesuje Cię ten temat odwiedź stronę Stowarzyszenia Compliance Polska oraz sprawdź polecane lektury. Mamy nadzieję, że okażą się pomocne.