Compliance (pol. zgodność) wywodzące się z łacińskiego complere wciąż nie doczekało się jednolitej definicji w ramach polskiego systemu prawnego. Posiłkujemy się tymi przedstawionymi w ramach rozwoju sektora finansowego. Mnie osobiście najbliżej do tej przedstawionej w 2005 r. przez Komitet Bazylejski, która definiuje to pojęcie jako:
ryzyko sankcji prawnych bądź regulaminowych, materialnych strat finansowych lub utraty dobrej reputacji, na jakie narażona jest organizacja w wyniku niezastosowania się do ustaw, rozporządzeń, przepisów czy przyjętych przez siebie standardów i kodeksów postępowania mających zastosowanie w jej działalności.
Definicja ta wskazuje także w sposób pośredni gradację ryzyka, jak i hierarchizację zadań funkcji compliance w ramach organizacji, zgodną z podejściem, które niejednokrotnie podkreślał KNF choćby w Komunikacie w sprawie roli znaczenia realizacji przez zakłady ubezpieczeń i zakłady reasekuracji funkcji zgodności z przepisami z dnia 20 sierpnia 2018 r., w którym zwraca uwagę na fakt, iż:
„obserwuje się zjawisko, iż komórki realizujące funkcję compliance wykonują często nadal wyłącznie tradycyjne zadania, jak np. związane z implementacją i stosowaniem polityk grupowych, czy też wspieraniem reprezentowanych przez daną grupę kapitałową wartości.”
Zadania wynikające z uwarunkowań grupowych oraz stawianie ich na pierwszym miejscu w rankingu zadań funkcji zgodności względem obowiązków wynikających z przepisów prawa stoi w opozycji względem przytoczonej powyżej definicji compliance, ale wynika przede wszystkim z braku ugruntowanych podstaw prawnych na polskim rynku nawet pomimo tego, iż obserwacja poczyniona w komunikacie odnosi się do sektora ubezpieczeniowego, pozostającego pod nadzorem KNF, jak i objętego wytycznymi w zakresie zarządzania ryzykiem, w tym ryzykiem braku zgodności.
Niemniej jednak pomimo upływu lat, jak i rozwoju funkcji compliance, zarówno w sektorze finansowym, jak i w podmiotach będących częścią grup kapitałowych z kapitałem zagranicznym, w polskim systemie prawnym nie wypracowano definicji legalnej pojęcia compliance. Wynika to także z faktu braku ustawodawstwa normującego zasady zarządzania ryzykiem braku zgodności w sektorze przedsiębiorstw, zarówno w odniesieniu do bieżącej działalności, jak i przeciwdziałania korupcji i łapownictwu.
Na przestrzeni ostatnich miesięcy, a sięgając pamięcią nieco dalej w przeszłość, także i lat, w przestrzeni publicznej co rusz pojawiały się informacje o projektach legislacyjnych, które zgodnie z nadrzędną dewizą życiową Francisa Underwooda, miały (w pozytywnym tego powiedzenia znaczeniu), wywrócić stolik do góry nogami. Począwszy od słynnego i budzącego emocje projektu ustawy o jawności życia publicznego, powracającej niczym bumerang nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, aż po ustawę o ochronie osób zgłaszających naruszenia prawa. Niemniej wszelkie te inicjatywy skazane były na niepowodzenie lub przedłużające się procedowanie wewnątrzresortowe. Powodów dla takiego obrotu spraw możemy się wyłącznie domyślać, niemniej nie sposób nie odnieść wrażenia, iż jednym z czynników mających na to wpływ jest brak zrozumienia istoty i wagi tematyki zarządzania ryzykiem braku zgodności dla stabilności sektora przedsiębiorstw, efektywnej i sprawnej działalności administracji państwowej, jak i w efekcie budowania dojrzałości i odporności gospodarczej.
Żeby było jasne nie jest to przypadłość wyłącznie polskiej rzeczywistości. Przecież ustawodawstwo właściwe dla przeciwdziałania korupcji, odpowiedzialności przedsiębiorstw, jak i zarządzaniu ryzykiem stanowi raczej chlubny wyjątek od reguły aniżeli powszechnie przyjętą, dobrze funkcjonującą praktykę. Niemniej jednak zważywszy na systematyczny wzrost wymagań nakładanych na przedsiębiorców prowadzących działalność nieregulowaną, a także ekspansję zagraniczną i nawiązywanie relacji handlowych z podmiotami spoza granic RP oraz nieustanny wzrost inwestycji kapitału zagranicznego na terytorium RP, zarządzanie ryzykiem braku zgodności poprzez wdrożenie odpowiednich mechanizmów kontrolnych, dobrych praktyk, jak i standardów oraz regulacji wewnętrznych w ramach tego sektora stanowi nieuniknioną konsekwencję rozwoju.
Niemniej jednak ów rozwój, jak i zwiększenie udziału kapitału zagranicznego nie może stanowić wyłącznej determinanty dla wdrożenia zasad zarzadzania ryzykiem (ang. enterprise risk management) czy też w węższym ujęciu ryzykiem braku zgodności. Istotną rolę ma tu do odegrania państwo, które musi dostrzec, jeśli nie korzyści wynikające z właściwego zarządzania ryzykiem, to potencjalne negatywne konsekwencje, zarówno dla budżetu Skarbu Państwa, rynku pracy, a w konsekwencji stabilności gospodarki w przypadku dalszego obowiązywania status quo.
Nie zmierzam w kierunku nałożenia na przedsiębiorców obowiązków analogicznych jak np. te funkcjonujące w sektorze bankowym gdzie mówimy o wyspecjalizowanej komórce ds. zgodności, jej miejscu w strukturze organizacyjnej, zasadach raportowania oraz odpowiedzialności. Choć istotne z punktu widzenia obiektywności i efektywności zarządzania ryzykiem braku zgodności, to są to przymioty właściwe dla ukształtowanych, posiadających odpowiednie zasoby i środki, podmiotów.
Punktem wyjścia powinno być opracowanie planu legislacyjnego dla przyjęcia aktów prawnych rzutujących na przyjęcie w ramach sektora przedsiębiorstw, podejścia zarządczego opartego o ryzyko, tj. w szczególności;
- Nowelizacja ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary alternatywnie włączenie do nowelizacji zakresu właściwego dla pkt 3 poniżej.
- Uchwalenie ustawy o ochronie osób zgłaszających naruszenia prawa,
- Uchwalenie rzetelnej i kompleksowej ustawy antykorupcyjnej, regulującej także kwestię odpowiedzialności z tytułu przekupstwa zagranicznego, na którego brak od lat w raportach podsumowujących ewaluację polskiego systemu prawnego, wskazuje OECD.
Warto zastanowić się także nad wyznaczaniem organu administracji (nie tworzeniem lecz rozszerzeniem obowiązków jednego z istniejących) odpowiedzialnego za nadzór nad przestrzeganiem wymogów właściwych w tym zakresie. W uzasadnieniu do projektu ustawy o ochronie osób zgłaszających naruszenia prawa czytamy, iż utworzenie dedykowanego organu stanowiłoby nadmierny koszt do poniesienia przez państwo. Niemniej jednak podejmując decyzję kierunkową o rozwoju podejścia zarządczego opartego o zasadę ryzyka, nie można pozostawić przedsiębiorców samych sobie, zarówno w zakresie nadzoru realizacji obowiązków, jak i funkcji doradczej lub interpretacyjnej. Nałożenie obowiązków musi iść w parze z partnerskim podejściem administracji względem sektora prywatnego. Minimalizowanie ryzyka nieprawidłowości leży bowiem w interesie, zarówno jednej, jak i drugiej strony.
Odpowiednio skrojone na miarę i potrzeby polskiego rynku ustawodawstwo stanowić powinno podstawę funkcjonowania systemów zarządzania ryzykiem braku zgodności. Obecny status quo prowadził będzie nieuchronnie ku rozczłonkowaniu obowiązków związanych z zarządzaniem ryzykiem braku zgodności, uzależnionym od wewnątrzorganizacyjnych lub grupowych standardów danego podmiotu. Unifikacja pojęcia zarządzania ryzykiem braku zgodności oraz włożenie go w pewne ramy skutkować będzie redefinicją priorytetów również w zakresie realizowania zadań, odwołując się bowiem po raz kolejny do stanowiska nadzoru w przywołanym komunikacie:
"funkcja zgodności jest obowiązana przede wszystkim koncentrować się na tych aktywnościach, które wynikają z przepisów prawa".