Pojęcie compliance bywa różnie rozumiane w polskiej praktyce biznesowej. Problem jaki widzę dzisiaj  w polskiej praktyce w obszarze compliance polega na tym, że pojęcie to próbuje się interpretować zbyt wąsko, jako zgodność działalności z przepisami prawa. Tym samym funkcję tzw. compliance officera przypisuje się radcom prawnym, a przedmiot działalności oddaje departamentom prawnym. 

W praktyce krajów anglosaskich compliance jest powiązane z działalnością operacyjną firmy czy instytucji, a więc z każdą forma jej aktywności, która może być narażona na nieprawidłowości czy to ze strony pracowników, czy kontrahentów, a przede wszystkim konkurentów. Compliance w systemie anglosaskim oznacza zapobieganie i przeciwdziałanie nieprawidłowościom albo sytuacjom krytycznym, zarówno tym rzeczywistym, jak i potencjalnym, które mogą wystąpić zarówno wewnątrz, jak i w otoczeniu zewnętrznym firmy, a więc sprowadza się do zarządzania ryzykiem. Łatwo można wysnuć z tego wniosek, że compliance, jako obszar działalności wywodzi się z finansów, ponieważ  straty finansowe są zwykle najbardziej odczuwalne dla każdej firmy, a potrzeba zapobiegania wystąpieniu deficytu generuje nowe pomysły i rozwiązania. 

Ryzyko związane z niestabilnością uregulowań prawnych lub ich wprowadzenia z potrzeby chwili (ad hoc) przez ustawodawcę nie jest dla mnie obszarem zarządzania zmianą, a antycypacją zmian, ponieważ do Regulatora możemy się jedynie dostosować. Wyjątkiem jest lobbing, ale to już temat wykraczający poza compliance. 

Wydaje się, że najlepszą definicja compliance jest kreowanie dobrych praktyk zarówno w sferze publicznej, jak i prywatnej, a właściwie ich wzajemne udostępnianie przez firmy na zasadzie modelu działania na wypadek sytuacji krytycznej. Punktem wyjścia do kreowania dobrych praktyk jest myślenie w kategoriach scenariuszy zagrożeń. Scenariusz zagrożenia jest opisem hipotetycznej sytuacji, która może spowodować negatywne skutki dla działalności lub wizerunku firmy. Dobre praktyki nie wyczerpują oczywiście całego katalogu scenariuszy zagrożeń, które mogą się wydarzyć w działalności biznesowej firmy lub wewnątrz niej, ale pozwalają przygotować środki i zasoby na wypadek kryzysu. 

Dzielenie się dobrymi praktykami wywodzi się z amerykańskiego kultu sukcesu, ponieważ pokazuje przede wszystkim, jak firma poradziła sobie z zagrożeniem i co by było, gdyby sobie nie poradziła, na przykładzie gorzej zorganizowanych (często już nieistniejących) konkurentów na rynku. Teoretycznym wsparciem dobrych praktyk jest model tzw. „sera szwajcarskiego” Jamesa Reasona. W tym modelu zagrożenie, które możemy nazwać materializującym się ryzykiem to wektor, który przechodzi bez zatrzymania przez poszczególne elementy systemu kontroli organizacji: system zarządzania, nadzór, weryfikację. W okolicznościach sprzyjających podejmowaniu błędnych decyzji, czyli wtedy kiedy organizacja nie ustanowiła systemu kontroli wewnętrznej, wektor ten przebije organizację, jak nóż – na wylot - nie napotykając na żaden opór,  co doprowadzi do katastrofy. Ustanowienie sprawnego systemu kontroli wewnętrznej to zbudowanie zapór i przeszkód dla tej siły, w celu uniknięcia zmaterializowania się ryzyka.

Czytaj: Bez komunikacji nie ma compliance>>>

Teoria Reasona daje się zastosować w analizie procesu leczenia pacjenta i zarządzania ryzkiem na przykład zdarzeń niepożądanych. Niestety, tak, jak budowa murów obronnych wokół miasta,  tak i budowa systemu kontroli wewnętrznej na przykład w szpitalu kosztują. Warren Buffet mawiał: cena jest tym, co płacisz; wartość – tym, co dostajesz w zamian. Parafrazując tę myśl w odniesieniu do sektora ochrony zdrowia ceną za zmaterializowanie się ryzyka w szpitalach może być utrata kontraktów z NFZ albo wysokie odszkodowania dla pacjenta, a wartością jest efektywny system zarządzania. Elementem compliance jest również społeczna odpowiedzialność biznesu, ponieważ to pacjent jest najwyższym dobrem.

Głównym zadaniem compliance jest wprowadzenie przejrzystości w działaniu zarówno w odniesieniu do klientów wewnętrznych, jak i zewnętrznych. Ta transparentność w działaniu skutkuje tym, że compliance utożsamia się często z przeciwdziałaniem korupcji lub defraudacjom.  

W ochronie zdrowia compliance dotyczy przede wszystkim relacji lekarzy i pracowników szpitali z branżą farmaceutyczną, badań klinicznych oraz dokumentacji medycznej. Branża farmaceutyczna należy do sektora regulowanego, którego rygoryzm wynika z przedmiotu regulacji, jakim jest ludzkie życie i zdrowie oraz konstytucyjne gwarancje prawa do opieki medycznej, a co za tym idzie do jej finansowania, które nie ogranicza się do prawa do świadczeń medycznych, ale obejmuje również leki i produkty lecznicze, jako refundowane w części lub w całości przez państwo. Te zagadnienia zostaną omówione w osobnym artykule. 

Compliance w odniesieniu do dokumentacji medycznej to obszar najbardziej zbliżony do pierwotnego rozumienia tego pojęcia, bo regulowany rozporządzeniami ministra zdrowia – obszar zgodności z przepisami prawa. Ostatnie rozporządzenie z 9 listopada 2015 roku (Dz. U. z 2015 r., Poz. 2069), wprowadziło odpowiednie regulacje w odniesieniu do dokumentacji elektronicznej. Przede wszystkim dokumentacja medyczna dzieli się z punktu widzenia podmiotu udzielającego świadczenia na wewnętrzną (tegoż podmiotu)  i zewnętrzną (innych podmiotów, kierujących na badania, konsultujących, leczących specjalistycznie). Z punktu widzenia pacjenta dokumentacja dzieli się na tę towarzysząca przyjęciu do szpitala, hospitalizacji oraz wypisowi ze szpitala. W przypadkach szczególnych – rozpoznania onkologicznego – karta leczenia onkologicznego stanowi odrębny zestaw dokumentów.

Badanie zgodności dokumentacji medycznej z przepisami rozporządzenia nie ma charakteru formalno-prawnego, a merytoryczny, dlatego musi być przeprowadzane wspólnie z lekarzem. Istotne jest oczywiście nie to, czy wypełniono rubrykę, ale co wpisano. Dokumentacja musi być spójna i kompletna, precyzyjna, a strony ponumerowane. 

Rzetelnie prowadzona dokumentacja medyczna może stanowić tarczę lekarza i szpitala na wypadek ewentualnych pozwów czy wniosków odszkodowawczych, jednak jej obszerność  i szczegółowość budzi różne emocje. Lekarze ubolewają, że coraz więcej czasu są zmuszeni poświęcać dokumentacji, a nie pacjentowi. Nie jest to tylko polski problem. Szczególnie obecnie, kiedy większość szpitali prowadzi już częściowo dokumentację medyczną w formie elektronicznej, a częściowo w formie papierowej, poważnym problemem organizacyjnym jest zebranie tej dokumentacji w jednym miejscu i jej rzetelne opracowanie.

Compliance jest dzisiaj rodzajem systemem kontroli wewnętrznej, którego zadaniem jest budowa pozytywnego wizerunku instytucji czy organizacji. Można powiedzieć, że jest to system zarządzania w oparciu o ustanowione standardy etyczne - standardy bardzo wysokie dla lekarzy, ponieważ ich wiedza medyczna i umiejętności specjalistyczne znacznie przewyższają wiedzę pacjenta. W tym kontekście ochrona życia i zdrowia jawi się nie tylko jako realizacja usług medycznych, ale przede wszystkim jako obszar alternatywnych rozwiązań w zakresie leczenia czy postepowania z pacjentem, których słuszność może zostać zakwestionowana na podstawie kryteriów etycznych.

Joanna Mrowicka ukończyła studia Master of Bussiness Administration (MBA) Akademii im. Leona Koźmińskiego w Warszawie oraz studia prawnicze na Uniwersytecie Jagiellońskim, ma uprawnienia samodzielnego księgowego. Od wielu lat pracuje jako audytor wewnętrzny. Posiada kwalifikacje audytorskie polskie oraz międzynarodowe The Institute of Internal Auditors w zakresie audytu – CGAP oraz  w zakresie zarządzania ryzkiem – CRMA. Prowadzi szkolenia z zakresu zarządzania finansami, kontroli zarządczej i corporate goverance; jest wykładowcą Uniwersytetu Ekonomicznego w Poznaniu. Od wielu lat przeprowadza audyty zwłaszcza zapewniające i doradcze w obszarze zgodności (compliance) bieżących działań organizacji z regulacjami prawnymi i efektywnością ekonomiczną. Audytuje również kwalifikowalność wydatków w projektach realizowanych przez jednostki sektora finansów publicznych.