Compliance jest to systemem, który ma za zadanie przestrzegania zgodności działania organizacji. Nie ma jednego jasno zdefiniowanego wymogu dotyczącego znajomości branży, aby prowadzić dział compliance. Natłok wymagań, regulacji prawnych, norm, etyki, czy wszelkich działań marketingowych w pewnej chwili może niekoniecznie być spójny z założeniem firmy i drogą jaką dana firma chce zmierzać. Dlatego też coraz częściej stawia się w polskich firmach na zatrudnienie osób, które będą zajmowały stanowisko compliance officera. Prezes UOKIK przedstawia stanowisko compliance jako „etyczny wymiar prowadzenia biznesu”, stanowiący wyzwanie dla przedsiębiorców.
Bez wątpienia osoba, która takie stanowisko ma piastować powinna mieć wszechstronną wiedzę – w tym również prawną. Same kursy jak również szkolenia prawne nie wystarczą do tego, aby móc być compliance oficerem a jakość działań wykonywanych przez takie osoby czasami może tylko zaszkodzić firmie niż jej pomóc. Idealnym rozwiązaniem jest osoba posiadająca wykształcenie prawnicze z doświadczeniem biznesowym w danym sektorze, a najlepiej w dwóch innych sektorach dzięki czemu punkt widzenia na zagrożenia i przewidzenie ryzyk jest znacznie łatwiejsze. Ostatnio fenomenem są również studia podyplomowe, które trwają rok a osoby po nich już szczycą się znajomością prawną, mimo iż studiów prawnych nie ukończyły.
Wykształcenie prawnicze jest o tyle istotne, iż samo przeczytanie ustaw niekoniecznie może dać precyzyjne odpowiedzi na zadawane pytanie. Często bowiem jeden przepis jest uzależniony od drugiego i kolejnych, które mają istotne znaczenie w celu odpowiedniego logicznego wnioskowania. Tak samo wszechstronna wiedza z zakresu ciężaru dowodu oraz wszelkich działań procesowo – sądowych są na wagę złota. Wiedząc jakie zagrożenia mogą spowodować pewne działania, jesteśmy w stanie przygotować spółkę do minimalizacji. Podobnie z bezpieczeństwem IT. Wychodzi się z założenie, że atak cyberprzestępców nastąpi i nie zastanawiamy się czy w ogóle wystąpi, ale kiedy to się zdarzy. Dlatego też każda firma, spółka powinna w odpowiedni sposób zabezpieczać swoje systemy IT.
Każdy kto ukończył studia prawnicze zdaje sobie sprawę z tego, że nic nie jest takie jak się wydaje. Czasami przecinek może zmienić całkowicie punkt widzenia, a wszelkiego rodzaju odesłania mogą być inaczej interpretowane. Znajomość prawa spółek czy pobieżnych zmian nie wystarczy do tego, aby czuć się pewnie. Spółki to też prawo karne, prawo cywilne, wszelkie ustawy dodatkowe jak przeciwdziałanie praniu brudnych pieniędzy, RODO, czy przeciwdziałanie korupcji. Każdego dnia system prawny wprowadza nowe zmiany i compliance officer powinien być na nie gotowy. Powinien móc odnaleźć się w gąszczu zadań i wyzwań jakie stawia przed nim to stanowisko.
Życie pisze różne scenariusze i punkt widzenia jest bardzo istotny. Im bardziej horyzontalne i wertykalne spojrzenie na proces działania spółki tym lepiej dla wyników jakie spółka chce osiągnąć. Doświadczenie w zarządzaniu ryzykiem, budowaniu strategii, marketingu, bezpieczeństwie czy nawet w IT to doskonałe dodatki dla prawnika, który mając wykształcenie prawnicze chce się zająć praca na takim stanowisku.
Moje doświadczenie zawodowe w tych wszystkich dziedzinach wymienionych powyżej wskazuje mi nowe drogi rozwiązań na różnych płaszczyznach. Z perspektywy czasu widzę, że kierowanie swoją karierą dwutorowo a czasami trzytorowo wcale nie jest złe, wręcz przeciwnie ułatwia spojrzenie na zarządzanie ryzykiem i compliance. Nie zawsze to co się sprawdza np. w branży Telekomunikacyjnej będzie idealne w branży IT, ale zagrożenia związane z brakiem przestrzegania zgodności z wymogami są zbliżone a czasami takie same. Zarządzanie ryzykiem jest bardzo istotne, bo im bardziej rozwijają się nowe technologie tym bardziej wzrasta ryzyko łamania zasad bezpieczeństwa czy też wzrasta ryzyko operacyjne i strat.
W moim odczuciu to stanowisko daje perspektywę jak to nazwałam „stojąc na drabinie”. Kiedy pracowałam w jednym z wiodących banków w Polsce w departamencie Zarządzania Ryzykiem Nadużyć w zespole budowania strategii, spojrzałam na „komórki” banku czyli wszystkie inne departamenty z góry, zobaczyłam jakie są, jak funkcjonują, jak są od siebie zależne, jak są zarządzane. Osobne części, które łączy pewna nić w sposób idealny. Wszystko w harmonii idealnie funkcjonowało jak w organizmie. Taki w mojej ocenie również powinien być compliance officer. Osoba taka powinna znać każdy departament, móc widzieć słabe i mocne strony takiego departamentu, widzieć zagrożenia i pracować nad tym aby minimalizować je, przestrzegać procedur i zgodności prawnej. Z perspektywy branży IT powinna to być osobą, która ma zdolność jak ja to nazywam „request-response” czyli umiejętność szybkiego łączenia faktów i postawienia pytania i znalezienia odpowiedzi jakie zagrożenie może wystąpić w połączeniu danych sytuacji, czy też czynności jakie zamierza się wykonać, lub jakie zostały wykonane.
Samo przygotowanie procedur i weryfikacja zgodności to jedno, istotnym elementem jest również kontrola nad ich przestrzeganiem. Co z tego, że procedury są napisane, mają swoje umiejscowienie w folderze na dysku, który jest dostępny dla każdego pracownika, skoro pracownicy ich nie czytają albo robią to pobieżnie. Życie weryfikuje, że czasami niechęć przestrzegania procedur wynika z ich niewiedzy lub nie rozumienia ich znaczenia. Nie można za to winić pracowników, bo człowiek jest człowiekiem i ma prawo czegoś nie rozumieć. Dlatego istotne są również wszelkie rozwiązania związane z kontrolą i weryfikacją świadomości korporacyjnej takie jak e-learning, szkolenia, w branży IT idealnym rozwiązaniem jest Agile – metodyka SCRUM, dzięki której codzienne spotkania i szybka komunikacja dają wymierne korzyści. Szybkie reagowanie na zmiany, elastyczne podejście doskonale się sprawdza już nie tylko w branży IT, ale również w innych branżach. Nawet jeżeli jedna osoba nie chce przestrzegać procedur to inni to robią i jej praca blokuje innych, a co za tym idzie z czasem i tak zaczyna je przestrzegać – czasami nawet nieświadomie. Wydaje się, że to wszystko jest takie proste – nie jest – ale wymaga pracy małymi krokami i chęci zmian. Pracując w banku na metodyce Agile uświadomiłam sobie, że jest to idealne rozwiązanie do zarządzania i co ważne – pozytywnie wpływające na usystematyzowanie odpowiedzialności, bezpieczeństwa oraz przestrzegania procedur.
Żyjemy w XXI wieku, gdzie techniki Waterfall-owe wychodzą małymi krokami z obiegu na korzyść właśnie technik Agilowych. Rynek zmienia się tak szybko, potrzeby każdego dnia rosną a zadaniem technologii jest wyprzedzanie potrzeb. Również compliance powinien wyprzedzać ryzyko, które może nastąpić. Dlatego też, w mojej ocenie łączenie tego wszystkiego i wprowadzeni w spółce czy przedsiębiorstwie harmonii może przynieść znaczne korzyści na wielu płaszczyznach. Nie tylko związanych z zarządzaniem, ale również świadomością kosztów, przestrzeganiem zgodności prawnej. Nie dotyczy to tylko towarzystw ubezpieczeniowych, ale dobre praktyki wskazywałyby również, aby spółki, które prowadzą działalność agencyjną je stosowały.
Ekspozycja na ryzyko jakie jest przewidywane dla branży ubezpieczeniowej nie tylko może wpływać na ekonomiczne aspekty spółki, ale również na reputację, dlatego tak bardzo istotne jest wprowadzenie w ramach dobrych praktyk przedsiębiorców, którzy prowadzą agencje adekwatnego systemu zarządzania, który został omówiony w komunikacie Komisji Nadzoru finansowego.
„Zakład ubezpieczeń/reasekuracji powinien zapewnić i dostosowywać do zachodzących zmian oraz ekspozycji na ryzyko, adekwatny system zarządzania, którego elementem jest funkcja zgodności. Z kolei system efektywny kontroli wewnętrznej, weryfikowany przez audyt wewnętrzny, wraz ze stanowiącą jego część funkcją zgodności, ma poprzez jej odpowiednie organizacyjne usytuowanie zapewnić przestrzeganie przez zakład ubezpieczeń/reasekuracji powszechnie obowiązujących przepisów prawa, regulacji wewnętrznych oraz rekomendacji nadzorczych. Organ zarządzający jest zobowiązany zapewnić takie organizacyjne usytuowanie funkcji zgodności, aby unikać potencjalnego. konfliktu interesów i gwarantować realne możliwości wykonywania przez nią powierzonych jej zadań. Funkcja zgodności i związana z nią ścieżka raportowania winna być zorganizowana przez zakład ubezpieczeń/reasekuracji, w ramach jego struktury organizacyjnej, w taki sposób, aby zapewnić brak jakichkolwiek wpływów, które mogłyby zakłócić zdolność tej funkcji do wypełniania obowiązków w sposób obiektywny, uczciwy i niezależny. Nie idzie tu przy tym jedynie o autonomię ustrojową, ale przede wszystkim praktyczne funkcjonowanie compliance w strukturze organizacji. Środowisko działania funkcji kontrolnych, co dotyczy też funkcji zgodności, w tym sposób wykonywania pracy przez pracowników realizujących omawianą funkcję, powinno wykluczać występowanie sytuacji wywierania wpływu, naruszania niezależności, czy kreowania sytuacji konfliktu interesów. Odpowiednie pisemne zasady przyjęte w zakładzie ubezpieczeń/reasekuracji powinny jednoznacznie regulować te kwestie, umożliwiając realizowanie w sposób niezakłócony funkcji zgodności.”
Celem jest należyta staranność przedsiębiorcy i działanie w granicach dopuszczalnego ryzyka? Systemy informatyczne których celem jest zarządzanie zgodnością i poprawiający ład korporacyjny. Technicyzacja staje się koniecznością do funkcjonowania w przypadku podmiotów zbiorowych.
„Należy pamiętać, że rola funkcji zgodności nie może być sprowadzona do wyrażania zgody, czy też akceptacji na potrzeby procesów decyzyjnych po stronie kadry menedżerskiej lub zarządu, czy wręcz do akceptowania ryzyka niezgodności przez funkcję zgodności. Niedopuszczalne jest nadto wywieranie presji, budowanie formalnych lub nieformalnych mechanizmów wywierania wpływu, czy też tolerowanie sytuacji faktycznego wywierania przez podległy im personel wpływu na funkcje kontrolne, w tym funkcje zgodności.”
„Należy wskazać, że obszar działalności funkcji kontrolnych, w tym funkcji zgodności, jest w obszarze zainteresowania działań nadzorczych organu nadzoru, w tym wizyt nadzorczych i kontroli w siedzibie zakładów ubezpieczeń/reasekuracji. Organ nadzoru zwraca przy tym uwagę, że nieprawidłowe działanie funkcji zgodności rodzi nie tylko odpowiedzialność osoby nadzorującej wypełnianie funkcji kluczowej, ale również prezesa zarządu i pozostałych członków zarządu, szczególnie, kiedy nieprawidłowość w działaniu funkcji jest pochodną niewłaściwej struktury organizacyjnej, niewłaściwego zorganizowania systemu zarządzania, błędnej kultury organizacyjnej i kultury zarządzania ryzykiem, wadliwych postaw osób wchodzących w skład kadry kierowniczej, czy wreszcie braku zapewnienia niezależności i obiektywizmu w działaniu.”
Wytyczne o jakich wspomina Komisja Nadzoru Finansowego nie muszą być wcale skierowane wyłącznie do zainteresowanych podmiotów. Dobra praktyka również wskazywałaby, aby każda firma, której zależy na odpowiednim stosunku do odbiorców, transparentności oraz dobrym wizerunku i działaniem zgodnym z prawem stosowała powyższe wytyczne jako swego rodzaju kierunkowskaz.
Art. Charlotta Lendzion, Prawnik
cytaty: Komunikat Komisji Nadzoru Finansowego z dnia 20 sierpnia 2018r.
Artykuł nie jest poradą prawną, a jedynie subiektynym przemyśleniem. Jeżeli potrzebujesz porady prawnej skontaktuj się z Adwokatem lub Radcą Prawnym.
Bądź pierwszy, który skomentuje ten wpis