System Compliance

Standaryzacja compliance a compliance jako standard

29 kwietnia 2020 /

Istnieje wiele definicji pojęcia standardu. Począwszy od klasyfikowania standardu jako najlepszego sposobu wykonywania pracy, przez realizację zadań zgodnie z ustalonym wzorcem, aż po normę wypracowaną dla poszczególnych sekcji czy też działów, a nawet całej gospodarki, powstałej na podstawie wieloletnich obserwacji.

Jednakże cechą wspólną standardu, jak również podążającej za nim standaryzacji działań jest ustanowienie pewnego określonego wzorca, punktu odniesienia, do którego dążyć będą jednostki właściwe dla obszaru, w którym dany standard obowiązuje.

Compliance jako dziedzina o stosunkowo niedługiej historii, wciąż jest w trakcie formowania i kształtowania zarówno modelowego standardu jak również swojej roli wewnątrz organizacji. Niewątpliwie do tej pory pokonało długą drogę, nierozerwalnie związaną również ze zmianą pojmowania roli compliance w organizacji przez osoby ją tworzące, polegającą na transformacji tej funkcji, początkowo stanowiącej wymóg i obowiązek nakładany przez regulatora (np. sektor finansowy) określonym podmiotom, aż po jednostkę, której nadrzędnym zadaniem jest wspieranie rozwoju prowadzonej działalności przez dany podmiot w sposób zgodny z powszechnie obowiązującym prawem, najlepszymi praktykami rynkowymi, zasadami współżycia społecznego.

Ewolucja compliance odbywała się wielotorowo, w zależności od sektora, czy też branży z której wywodzi się i prowadzi swą działalność dana organizacja.

Compliance – made to measure

Dzieje się tak, ponieważ co jest wartym podkreślenia compliance z definicji jest pojęciem dalekim od uniwersalności. Specyfika funkcji compliance jako części większego podmiotu,  jakim jest organizacja (przedsiębiorstwo, kilkuosobowa firma, duża korporacja czy też organizacja pożytku publicznego) polega na tym, iż nie istnieje jeden uniwersalny system compliance, system zgodności, zarządzania ryzykiem prawnym, regulacyjnym czy też reputacji. Powodem tego jest fakt, iż na ryzyko prawne, reputacji czy też operacyjne, a w konsekwencji finansowe, wpływa szereg czynników zarówno wewnętrznych, jak również zewnętrznych, właściwych dla sektora gospodarki, w którym dana organizacja prowadzi działalność. W związku z powyższym, z uwagi na uwarunkowania i odmienną specyfikę różnych gałęzi gospodarki, wymagania i obostrzenia dedykowane podmiotom „uczestniczącym w rynku”, będą rozbieżne, skoncentrowane i ukierunkowane na odmienne aspekty.

Posługując się przykładem działalności reglamentowanej, odmiennie skonstruowany oraz kładący nacisk na inne aspekty działania organizacji, będzie system zarządzania ryzykiem braku zgodności w przypadku instytucji finansowej, a więc instytucji nadzorowanej przez Komisję Nadzoru Finansowego (dalej: KNF), a całkowicie odmienny dla organizacji wywodzącej się choćby z sektora telekomunikacyjnego. Oczywiście znajdziemy tutaj wspólny mianownik choćby w postaci wymogów nakładanych na obydwa podmioty na mocy Ustawy o ochronie konkurencji i konsumentów, jednakże wymagania względem dostawcy usług telekomunikacyjnych, specyfika jego działalności, procesów biznesowych, operacji wewnątrzorganizacyjnych będą odmienne aniżeli w przypadku instytucji finansowej. Ponadto, dostawca usług telekomunikacyjnych podlega nadzorowi Urzędu Komunikacji Elektronicznej, który z definicji, ze względu na odmienną charakterystykę prowadzenia działalności przez podmioty przez niego nadzorowane, w ramach realizowania funkcji nadzorczej, kładł będzie nacisk na zupełnie odmienne obszary aniżeli wspomniany KNF, pełniąc nadzór nad instytucjami finansowymi. Konkludując, system compliance musi zostać dopasowany do profilu działalności danej organizacji, czynników mających pośredni lub bezpośredni wpływ na działalność danego podmiotu, jego wewnętrzne procesy, uwarunkowania sektora czy też branży w której dany podmiot funkcjonuje, a także w przypadku działalności reglamentowanej na wymagania regulatora/ organu nadzoru.

Ustawowa standaryzacja

Uniwersalność i swego rodzaju unikatowość pojęcia compliance jako takiego stanowi nie lada wyzwanie dla ustawodawcy oraz regulatora z punktu widzenia właściwej standaryzacji wymagań nakładanych na podmioty prywatne w zakresie obowiązku ustanowienia wewnętrznych jednostek compliance.

Odwołując się do kwestii standaryzacji modelu zarządzania zgodnością, nie sposób nie odnieść się do normy ISO: 19600 stanowiącej jak dotąd (prace nad rewizją normy trwają) jedyne strukturyzowane i holistyczne podejście do kwestii wdrożenia i zarządzania systemem zgodności wewnątrz organizacji. Jednakże sama metodologia, elementy składowe i sposób implementacji systemu zgodności jest pochodną, następstwem. Warunkiem sine qua non dla rozpoczęcia procesu wdrożenia systemów zgodności na szeroką skalę jest

a) zmiana percepcji i świadomości organizacyjnej, również wśród osób decyzyjnych,

bądź

b) wymóg ustawowy.

Dotychczas zarówno na kontynencie europejskim, jak również na naszym krajowym podwórku obserwujemy rozkwit tej drugiej tendencji. Czy to w odniesieniu do sektora reglamentowanego (rekomendacje wydawane przez organ nadzoru względem sektora finansowego) czy też w odniesieniu do sektora prywatnego jako ogółu.

Przed wyzwaniem, o którym mowa powyżej, wciąż stoi polski ustawodawca. Kwestia właściwej implementacji compliance do polskiego systemu prawnego w sposób homogeniczny i kompleksowy, a jednocześnie na tyle uniwersalny, aby mógł być skutecznym w różnych sektorach gospodarki stanowi przedmiot zainteresowania nie tylko praktyków compliance, ale także przedsiębiorców, wobec których stosowny wymóg zostanie zaadresowany.

Do trzech razy sztuka

Na przestrzeni kilku ostatnich lat, byliśmy świadkami dwóch prób ustawodawcy zmierzających do usystematyzowania, a co za tym idzie standaryzacji modelu compliance w organizacji zgodnie z koncepcją wymogu ustawowego. W tym również w zakresie podstawowego elementu składowego, efektywnego modelu compliance: systemów zgłaszania nieprawidłowości. Nasz rodzimy ustawodawca w projekcie Ustawy o jawności życia publicznego z 2017 r. przewidywał wprowadzenie szeregu rozwiązań odnoszących się do drugiej z powyżej wymienionych możliwości dokonania zgłoszenia. Wśród zaproponowanych przez ustawodawcę rozwiązań było m.in. wprowadzenie rozwiązania polegającego na nadaniu statusu sygnalisty przez prokuratora, na mocy postanowienia. Sygnalista ten wraz z chwilą otrzymania rzeczonego statusu zyskiwał ochronę prawną do czasu umorzenia postępowania albo do czasu wydania prawomocnego wyroku w sprawie.

Powyżej opisany projekt miał zarówno swoich entuzjastów, jak również przeciwników. Jednym z minusów zapewne było tak silne uzależnienie instytucji sygnalisty de facto od postanowienia prokuratora prowadzącego sprawę, a także uwarunkowanie nadania statusu sygnalisty jedynie w odniesieniu do zawiadomienia dotyczącego enumeratywnie wskazanego katalogu przestępstw. Ponadto metodyka ochrony sygnalisty również pozostawia wiele dylematów i wątpliwości natury interpretacyjnej oraz systemowej. Chociażby w odniesieniu do dyspozycji artykułu 65 ust. 7 projektu, który wskazuje, iż prokurator, każdorazowo informuje pracodawcę lub podmiot, którego dotyczy zgłoszenie o nadaniu zgłaszającemu statusu sygnalisty. Jednakże to czy wprowadzenie statusu sygnalisty na mocy postanowienia prokuratora było/jest rozwiązaniem właściwym, to temat na odrębną dyskusję. Biorąc pod uwagę fakt, iż od początku 2018 r. prace legislacyjne nad tym projektem uległy zawieszeniu, można twierdzić, iż projekt ten nie będzie dalej procedowany. W szczególności zważywszy na fakt, iż pozostałe postulaty omawianego projektu (oświadczenia majątkowe parlamentarzystów, transparentność i jawność wynagrodzeń) uwzględnione zostały w projekcie ustawy o zmianie ustawy o wykonywaniu mandatu posła i senatora oraz niektórych innych ustaw.

Po pewnym czasie jednak problematyka unormowania instytucji sygnalisty w ramach polskiego systemu prawnego, powróciła w trakcie prac nad nowelizacją Ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Projekt ten ma za zadanie nowelizację dotychczas obowiązującej ustawy, jednocześnie wprowadzając szereg usprawnień i nowych wymogów, które nie tylko mają za zadanie bardziej klarowną wykładnię przepisów ustawy, ale przede wszystkim realne możliwości dla egzekwowania odpowiedzialności za działania niezgodne z prawem, wobec podmiotów zbiorowych.
Jednym z elementów, mających na celu zwiększenie efektywności nowelizowanej ustawy jest wprowadzenie systemu zgłaszania nieprawidłowości wewnątrz organizacji. Nie bez znaczenia pozostaje fakt obligatoryjności posiadania takiego systemu wewnątrz podmiotu zbiorowego. Przedstawiony w maju 2018 r., projekt przewiduje obowiązek ustanowienia jednostek odpowiedzialnych za “przestrzeganie zasad i przepisów regulujących działalność podmiotu”, które to jednostki mają być obowiązane do przeprowadzenia postępowania wyjaśniającego w związku z informacjami o możliwych nieprawidłowościach. Co kluczowe, przepis art. 12 ust. 1 projektu nowelizacji ustawy stanowi o możliwości wymierzenia kary przez sąd “do górnej granicy zwiększonej dwukrotnie”, a więc do 60 mln zł. Jak widać kwestia ustanowienia i wdrożenia efektywnego systemu zgłaszania naruszeń, a także wyposażenie jednostki odpowiedzialnej za “przestrzeganie zasad i przepisów regulujących działalność podmiotu” w atrybuty i przymioty niezbędne do właściwego przeprowadzenia postępowania wyjaśniającego, stanowić będzie wyzwanie zarówno organizacyjne, jak i kompetencyjne dla podmiotów obowiązanych.

Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary jest w trakcie procesu legislacyjnego. Ostatnia informacja traktująca o tym projekcie na stronach sejmu wskazuje, iż projekt jest opiniowany przez Biuro Legislacyjne Sejmu RP. Biorąc pod uwagę fakt uchwalenia dyrektywy sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii, a w związku z tym obowiązek transpozycji jej postanowień na grunt polskiego systemu prawnego, pod dużym znakiem zapytania stają dalsze prace legislacyjne nad tym projektem.

Europejska praktyka

Niemniej jednak nowelizacja ustawy o odpowiedzialności podmiotów zbiorowych stanowi interesujący punkt odniesienia dla dyskusji nad kwestią standardów compliance w innych państwach Starego Kontynentu.

Czechy:

Republika Czeska wprowadziła do swojego systemu prawnego ustawę traktującą o odpowiedzialności podmiotów prawnych / zbiorowych w 2011 r. Sama ustawa nie definuje, jak również nie wyznacza sztywnych ram dla wdrożenia systemów zgodności wewnątrz organizacji ani nie nakłada takiego obowiązku na osoby prawne, jednakże wskazuje katalog środków ostrożności.Jednym z wielu wymogów dla ustalenia odpowiedzialności osoby prawnej jest udowodnienie, iż dany podmiot nie podjął wystarczających środków ostrożności, które powinny zostać zrealizowane lub które mogłyby być wymagane na mocy powszechnie obowiązującego prawa. Pośród wspomnianych środków wymienionych w treści ustawy, identyfikujemy pewne cechy właściwe dla systemów zgodności. Jedną z nich jest niewątpliwie „działanie mające na celu minimalizowanie ryzyka wystąpienia nadużyć i/lub skutków nadużyć”. Wdrożenie efektywnego systemu zarządzania ryzykiem i prewencji nadużyć uznawane jest za przesłankę do uniknięcia odpowiedzialności osoby prawnej na gruncie wspomnianej ustawy.

Hiszpania:

Drogą zbliżoną do naszych południowych sąsiadów podążyło Królestwo Hiszpanii, w którym to w 2015 r. weszła w życie nowelizacja kodeksu karnego, wprowadzająca do tamtejszego systemu prawnego odpowiedzialność karną osób prawnych. Na przestrzeni ostatnich pięciu lat, od dnia wejścia w życie wspomnianej ustawy, zidentyfikowano pewną zmianę postrzegania jednostek compliance wewnątrz większych organizacji, kluczową z perspektywy obrony danego podmiotu przed działaniami niepożądanymi, mogącymi narazić daną firmę na ryzyko sankcji. Wedle statystyk, już blisko 78% przedsiębiorstw zatrudniających powyżej 5 tys. pracowników, posiada wyodrębnione jednostki compliance. Natomiast wśród mniejszych przedsiębiorstw, procent ten wynosi ok 38% wszystkich podmiotów w tym przedziale.
Jak dowodzi ostatnie badanie przeprowadzone przez jeden z ośrodków badawczych, w szczególności pośród przedstawicieli mniejszych organizacji, tj. takich zatrudniających poniżej 500 pracowników, brak świadomości dotyczącej wymiernych korzyści wynikających z posiadania jednostki compliance wciąż utrzymuje się na wysokim poziomie. Jak donosi firma Grant Thorton aż 45% przedstawicieli firm w przedziale 50-500 pracowników nie zdaje sobie sprawy, iż brak posiadania systemu compliance, wiąże się ze zwiększonym ryzykiem poniesienia odpowiedzialności zarówno przez osoby prawne, jak również kadrę zarządzającą. Jak wskazano w przeprowadzonym badaniu, aż 1/3 postępowań prowadzonych wobec przedstawicieli szeroko rozumianej kadry zarządzającej związana jest z brakiem zgodności z prawem, zarządzanej organizacji. Co dobitnie wskazuje na brak efektywnego systemu wykrywania naruszeń i zarządzania zgodnością.

Compliance jako standard

Niewątpliwie wprowadzenie wymogów prawnych, nakładających dodatkowe obowiązki i wymogi w odniesieniu do podmiotów sektora prywatnego, niejako stymuluje i wpływa w sposób pozytywny na zmianę percepcji przedsiębiorców co do kwestii posiadania jednostki compliance/kontroli wewnętrznej wewnątrz organizacji. Niemniej jednak największą wartość dodaną w sposób bezpośredni kontrubuującą do zmiany pojmowania jednostki compliance jest zmiana percepcji tej funkcji przez przedsiębiorców. Unaoczenienie faktu, iż posiadanie jednostki compliance ma za zadanie działanie na ich korzyść organizacji, minimalizowanie działań niepożądanych, eliminowanie ich we wczesnym stadium, tak aby ustrzec organizację od potencjalnych sankcji. To właśnie zmiana percepcji i świadomości organizacyjnej, działająca na rzecz zobrazowania korzyści wynikających ze wdrożenia systemu zgodności wewnątrz organizacji, stanowi kluczowy element w projekcie, którego produktem końcowym jest nie tylko standaryzacja modelu compliance, ale przede wszystkim compliance jako standard.

Budowanie zaufania do jednostki compliance, przede wszystkim osób ją tworzących to żmudny i długotrwały proces, który ma szansę powodzenia w sytuacji woli współpracy obydwu stron, zarówno compliance, jak i szeroko rozumianego biznesu. Niemniej jednak, kluczowym jest fakt, iż compliance musi pamiętać o tym, że bez biznesu nie będzie compliance, natomiast biznes musi zaakceptować fakt, iż bez compliance narażony jest na występowanie zdarzeń, które są zwyczajnie nieopłacalne.

 

fb-share-icon
Tweet
Facebook
Twitter
LinkedIn
LinkedIn
Share
Instagram
error: