Stanowisko compliance officera znane jeszcze nie tak dawno głównie z praktyki biznesowej spółek-córek zagranicznych koncernów, obecnie – dzięki nowemu kształtowi ustawy o odpowiedzialności podmiotów zbiorowych - zyskało na znaczeniu. Zanim jednak firma zdecyduje się zatrudnić specjalistę z zakresu zarządzania ryzykiem braku zgodności, powinna w pierwszej kolejności określić, w jaki sposób jej wewnętrzny system compliance (zgodności) będzie zorganizowany oraz jakimi cechami charakteryzować się powinny osoby za niego odpowiedzialne.
Czytaj również: Rząd chce surowiej karać spółki za przestępstwa >>
Na początku stycznia Rada Ministrów przyjęła projekt ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, który 11 stycznia wpłynął już do Sejmu. Zakłada on surowe sankcje za taką organizację firmy, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.Przedsiębiorca poniesie odpowiedzialność m.in. jeśli nie wyznaczył osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów i zasad regulujących jego działalność czy też nie określił zasad postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności. W praktyce powyższe zapisy projektu oznaczają wymóg stworzenia wewnętrznego systemu compliance oraz przypisanie w strukturze danej firmy odpowiedzialności za zarządzanie nim. Powstaje jednak pytanie, jakie kroki należy podjąć, żeby zastosowane rozwiązanie współgrało ze specyfiką prowadzonego biznesu, skalą wykonywanej przez przedsiębiorcę działalności oraz funkcjonującymi już mechanizmami ograniczającymi wystąpienie ryzyka braku zgodności. Czy najlepszym rozwiązaniem byłoby powołanie jednoosobowej funkcji compliance officera, czy też może stworzenie odrębnego działu dedykowanego temu obszarowi, a może (z wyłączeniem sektora bankowego) przypisanie obowiązków istniejącemu już departamentowi np. prawnemu?
Projekt nie udziela jednoznacznej odpowiedzi. Zresztą niemożliwym zdaje się nakreślenie ogólnych wytycznych, które będą stosowalne do wszystkich podmiotów działających na rynku. Każdorazowo bowiem ostatecznie podejmowane kroki determinowane są przez wiele różnych czynników. Inne podejście rekomendowane będzie dla dużej spółki notowanej od wielu lat na giełdzie, inne zaś dla rodzinnego przedsiębiorstwa działającego lokalnie. Kluczowe jest ustalenie potrzeb danej firmy oraz poziomu jej dojrzałości organizacyjnej, a następnie określenie mechanizmów, które w zakrojonym na miarę zakresie pozwolą wypełnić ustawowe wymogi oraz w efektywny sposób zarządzać ryzykiem braku zgodności. Ważne, by podejmowane działania były skuteczne, a system compliance wspierał prowadzoną działalność, nie zaś ją hamował czy też ograniczał.
Funkcja zarządzania zgodnością w przedsiębiorstwie
W pierwszej kolejności przedsiębiorca powinien zweryfikować swoją strukturę organizacyjną celem zidentyfikowania komórek i obszarów, w których realizuje już zadania wpisujące się w założenia systemu compliance oraz ustalić istniejące podległości i powiązania, aby nie dopuścić do powstania konfliktu interesów oraz zagwarantować funkcji zarządzania zgodnością najszerszą możliwą niezależność, w tym również w zakresie linii raportowania. Na tej podstawie, jak również w odniesieniu do rodzaju i skali prowadzonej działalności, będzie mógł ocenić czy decyduje się na powołanie samodzielnego stanowiska compliance officera czy też wyodrębnia komórkę organizacyjną, nadzorującą przestrzeganie przepisów i zasad regulujących działalność spółki.
Nie sposób jednoznacznie rozstrzygnąć, które z tych rozwiązań jest bardziej korzystne. Bo chociaż w myśl opublikowanych w październiku 2018 r. „Standardów rekomendowanych dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych” zaleca się, aby realizacja procedur antykorupcyjnych (czyli obecnie jednego z kluczowych obowiązków funkcji compliance) była nadzorowana przez osobę zajmującą stanowisko compliance officera, nie oznacza to tym samym, że zarządzanie ryzykiem braku zgodności i ryzykiem korupcji nie może być wypełniane np. przez dyrektora departamentu prawnego, dział kadr czy też komórkę zajmującą się oceną ryzyka. Co więcej, funkcja ta może zostać również przekazana do realizacji podmiotowi zewnętrznemu, posiadającemu szerokie doświadczenie w omawianej materii. Należy przy tym pamiętać, że specjalista wyłoniony spoza struktur organizacji z jednej strony może być gwarantem większej niezależności, z drugiej zaś nieznajomość specyfiki jej działania danego potrafi w znacznym stopniu ograniczać realizację powierzonych mu zadań, w tym w szczególności kontakt z jednostkami biznesowymi.
Compliance officer, czyli kto
Ponieważ zarządzanie zgodnością ma ze swej natury charakter wieloaspektowy i interdyscyplinarny, wykonywanie funkcji compliance powinno zostać powierzone osobom spełniającym określone wymogi. Preferowane jest legitymowanie się przez kandydatów do pełnienia omawianych zadań wiedzą i praktyką prawniczą, bądź z obszaru audytu wewnętrznego. Poszukiwani są również specjaliści z zakresu ekonomii, nowych technologii oraz branży, w której funkcjonuje dany przedsiębiorca.
Znajomość otoczenia biznesowego oraz specyfiki konkretnej firmy pozwala na sprawne dostrzeganie i zarządzanie występującymi tam ryzykami. Aby jak najefektywniej realizować powyższy cel, osoby odpowiedzialne za zarządzanie zgodnością powinny z łatwością budować relacje, zwłaszcza w aspekcie kooperacji z jednostkami biznesowymi i wypracować sobie odpowiednio silną pozycję w organizacji, zarówno za sprawą wszechstronnego rozeznania w bieżącej działalności firmy oraz łatwości w szybkim rozumieniu przebiegu procesów, jak i dzięki zdolnościom kierowniczym, obiektywizmowi oraz gruntowaniu zaufania do wykonywanej przez nie pracy.
Przedstawiony profil zdaje się być trudny do spełnienia przez wielu z aplikujących kandydatów. Pamiętać jednak należy o istotności funkcji zarządzania zgodnością i jej znaczeniu w wewnętrznych strukturach firmy. Działalność tej komórki może uchronić firmę przed tak poważnymi konsekwencjami jak sankcje finansowe, karne dla członków organów zarządzających, utrata reputacji, brak zaufania klientów, kontrahentów i inwestorów. Dojrzała i ugruntowana kultura compliance to z kolei długofalowe korzyści związane z umacnianiem wizerunku przedsiębiorstwa na rynku, podwyższaniem jego wartości i cyklicznych wyników, lojalnością partnerów biznesowych i pracowników, zwiększeniem wolumenu zamówień, konkurencyjnością, jak również obniżeniem możliwości wystąpienia ryzyka sankcji.
Jak skutecznie wdrożyć compliance w firmie
Przedsiębiorca wdrażający compliance powinien też pamiętać o zagwarantowaniu odpowiednich warunków funkcjonowania tej jednostki tak, by mogła ona działać w sposób niezależny i skuteczny. Na realizację tego celu składa się kilka czynników, które od 2017 r. jako zestaw wytycznych stanowią wymóg w działalności bankowej, a dla przedstawicieli pozostałych branż mogą stanowić cenną wskazówkę.
Zgodnie z ich założeniami funkcja compliance powinna mieć przede wszystkim odpowiednie umocowanie w strukturach firmy, gwarantujące jej niezależność i możliwość bezpośredniego raportowania do zarządu czy też rady nadzorczej. Istotne jest, aby starać się nie dopuszczać do powstania konfliktu interesów polegającego na przypisaniu jej podległości służbowej temu samemu członkowi zarządu co komórkom biznesowym najbardziej narażonym na możliwość wystąpienia potencjalnej nieprawidłowości, czyli m.in. zakupom lub działowi sprzedaży.
Kolejną istotną przesłanką niezależności jest wynagrodzenie, adekwatne do posiadanego wykształcenia i doświadczenia osób odpowiedzialnych za zarządzanie zgodnością oraz odpowiednie zasoby kadrowe, zarówno jeśli chodzi o dostosowaną do potrzeb i specyfiki danej firmy liczbę pracowników, jak i ich kwalifikacje.
Funkcjonariusze compliance powinni mieć zapewnione środki na własne szkolenia kierunkowe oraz budżet umożliwiający systematyczne i rzetelne edukowanie pozostałych pracowników. Skuteczność ich pracy zależna będzie również od postawy kadry managerskiej firmy zgodnej z duchem „tone from the top”, uwrażliwieniem kierownictwa komórek biznesowych na konieczność współpracy i płynnej wymiany informacji oraz zaimplementowaniem mechanizmów zabezpieczających przed nieuzasadnionym zwolnieniem osób zapewniających zgodne działanie.
Chociaż w myśl projektu vacatio legis wydłużone zostało do 6 miesięcy, przygotowania do skutecznej implementacji wewnętrznego compliance warto rozpocząć już teraz, ponieważ jest to proces niezwykle złożony i czasochłonny.
Agata Kowalczyk-Borek jest ekspertem w zespole usług śledczych i zarządzania ryzykiem nadużyć w PwC.
Marcin Klimczak jest partnerem w PwC, liderem zespołu usług śledczych i zarządzania ryzykiem nadużyć.
