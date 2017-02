O tym jak ważny dla organizacji jest efektywnie działający system Zarządzania Zgodnością, nie trzeba przekonywać naszych zachodnich sąsiadów. U nich bowiem, podobnie jak w Stanach Zjednoczonych, systemy i narzędzia służące Compliance funkcjonują już od wielu lat. Przez ten czas przedsiębiorstwa miały możliwość „sprawdzenia" i poddania modyfikacjom wdrażane u nich systemy w taki sposób, aby spełniały one swoją rolę w sposób najlepiej dostosowany do organizacji tzn. prewencyjną, doradczą oraz kontrolną. Polskie przedsiębiorstwa, które nie stanowią części międzynarodowych korporacji i tym samym nie mogą korzystać z doświadczeń podmiotów działających w grupie, mają jednak dużo trudniej. Zamiast bowiem wielu lat doświadczeń w obszarze Zarządzania Zgodnością, muszą sobie odpowiedzieć na szereg podstawowych pytań: czy system Compliance w firmie jest w ogóle potrzebny? Czy potrzebują komórki ds. Zarządzania Zgodnością? Jakie narzędzia są najbardziej efektywne? Od czego trzeba zacząć?

Problemy praktyczne związane z wdrażaniem systemów Zarządzania Zgodnością zauważyła Międzynarodowa Organizacja Standaryzacyjna (International Organization for Standardization; dalej „ISO"), która stworzyła uniwersalną normę nakreślającą ramy Zarządzania Zgodnością, bez względu na kraj prowadzenia działalności i wielkość przedsiębiorstwa. W roku 2014 udało się taki dokument opublikować i dzięki temu norma ISO 19600 Compliance management systems ujrzała światło dzienne.

Norma ISO 19600, powstała z inicjatywy Australii, która zaproponowała rozpoczęcie prac nad normą dotyczącą Compliance na podstawie australijskiego standardu „AS 8306 – Compliance Programs".

Norma ISO 19600 (dalej: Norma) zawiera zarówno wytyczne związane z Zarządzaniem Zgodnością, jak i Zarządzaniem Ryzykiem, opierając się jednocześnie na zasadzie dobrego rządzenia (good governance), proporcjonalności (proportionality), transparentności (transparency) i zrównoważonym rozwoju (sustainability).

Bez certyfikacji

Norma ma przede wszystkim służyć organizacjom w tworzeniu, rozwijaniu, ocenianiu, utrzymywaniu i polepszaniu systemu Zarządzania Zgodnością. Warto przy tym podkreślić, że jest ona normą typu „B", co oznacza, że nie podlega certyfikacji, ale zawiera jedynie wskazówki i rekomendowane praktyki w zakresie Zarządzania Zgodnością, które powinny być dostosowane do wielkości, sektora i aktywności podejmowanych przez przedsiębiorstwo. W jaki sposób należy zaimplementować wskazówki przedstawione w Normie, w dużej mierze zależy także od „dojrzałości" systemu Compliance w przedsiębiorstwie – im dłużej funkcjonujący w firmie system Zarządzania Zgodnością, tym łatwiej wprowadzić rozwiązania wskazane w Normie. Niemniej, w przypadku firm, w których jeszcze nie funkcjonuje system Zarządzania Zgodnością, Norma może być wprost zaadaptowana do organizacji jako pewnego rodzaju przewodnik.

System Zarządzania Zgodnością przedstawiany przez Międzynarodową Organizację Normalizacyjną opiera się na tzw. cyklu Deminga tj. schemacie ilustrującym podstawową zasadę ciągłego ulepszania, stworzoną przez amerykańskiego statystyka Williama Edwardsa Deminga. Zarządzanie Zgodnością w normie ISO 19600 zostało przedstawione w wersji PDCA, czyli PLAN-DO-CHECK-ACT, co oznacza ZAPLANUJ, WYKONAJ, SPRAWDŹ, POPRAW. Oznacza, to, że firma decydując się na wprowadzenie do organizacji Zarządzania Zgodnością, musi być przygotowana na ciągłe ulepszanie i dostosowywanie narzędzi compliancowych do sytuacji w jakiej obecnie znajduje się organizacja - nie wystarcza raz ustanowić system Zarządzania Zgodnością, ale należy ciągle pracować nad jego polepszeniem i jak najlepszym dostosowaniem do potrzeb organizacji.

Polityka Compliance

Norma przedstawia, jak krok po kroku zaprojektować kompleksowy system Zarządzania Zgodnością, rozpoczynając od wnikliwej analizy otoczenia przedsiębiorcy, zidentyfikowania interesów różnych grup interesariuszy, a kończąc na szeregu czynności mających na celu jego ciągłe doskonalenie m.in. poprzez przeprowadzanie audytów, monitoring wdrożonych rozwiązań, cykliczne raporty. Należy jednak pamiętać, że chociaż wytyczne zostały opisane na prawie trzydziestu stronach to jest to jedynie promil wiedzy jaką powinna posiadać osoba, której powierzono zadanie stworzenia systemu Zarządzania Zgodnością w przedsiębiorstwie.

W strukturze organizacji

Norma podkreśla w szczególności wagę zasady dobrego rządzenia (good governance), wskazując, że osoba pełniąca funkcje Compliance powinna mieć bezpośredni dostęp do członków organu zarządzającego spółką, przy jednoczesnym zapewnieniu jej niezależności. Chodzi o takie umiejscowienie Compliance Officera (lub też innej osoby skupiającej w swoim ręku więcej funkcji, w tym też Compliance np. Dyrektora Działu Prawnego i Compliance) w strukturze organizacyjnej firmy, aby nie był on narażony na naciski ze strony innych osób w organizacji i raportował bezpośrednio do Członków Zarządu, Rady Nadzorczej, Prezesa lub właściciela firmy.

Norma przypisuje szczególne znaczenie także zasadzie elastyczności i proporcjonalności, które powinny być rozumiane jako dostosowywanie systemu Zarządzania Zgodnością do konkretnego przedsiębiorstwa – z uwagi na jego wielkość, strukturę i stosunek organizacji do ryzyka zarówno w danym momencie, jak i w przyszłości – ze względu na planowane zmiany. Oznacza to, iż rozwiązania z zakresu Zarządzania Zgodnością, które sprawdziły się w jednej organizacji, prawdopodobnie będą mniej skuteczne w innej. Nie ma dwóch takich samym organizacji i dlatego też nie powinno się powielać konkretnego systemu Compliance, ale dostosowywać system do danej organizacji. Taki system powinien być jednocześnie uniwersalny – co oznacza, że te same zasady dotyczą wszystkich pracowników – zarówno pracowników fizycznych, jaki i członków zarządu.

Transparentność i długofalowość

Wśród innych zasad Compliance, równie istotnych przy tworzeniu systemu, znalazły się także: zasada transparentności oraz zasada długofalowości. Pierwsza z nich, powinna przejawiać się przede wszystkim poprzez procedury i narzędzia powiązane z systemem Compliance w firmie – poprzez ich przejrzystość i przewidywalność. Pracownicy powinni rozumieć sens wdrożenia takich procedur, jak i wiedzieć, co z takich procedur dla nich samych wynika (choćby jakie konsekwencje są przewidziane w przypadku złamania procedury). Zasada długofalowości odnosi się zaś przede wszystkim do cyklu Deminga – system Compliance jest bowiem ciągłym procesem, który przejawia się w działaniach długofalowych i wzajemnie się uzupełniających – nie jest to pojedyncze działanie, ale cykl działań opierający się na planowaniu, tworzeniu polityk i procedur, monitorowaniu funkcjonalności systemu oraz jego ulepszaniu. Wprowadzane rozwiązania mają działać i przynosić efekty w dłuższej perspektywie czasu.

W Normie szczególnie zaznaczona jest także kwestia ustanowienia polityki Compliance (compliance policy) przez organ zarządzający i wyższą kadrę menedżerską po uprzednich konsultacjach z pracownikami. Taka polityka powinna zostać sporządzana w formie pisemnego dokumentu, dostępnego dla wszystkich pracowników i przetłumaczonego na języki, którymi posługują się pracownicy, aktualizowanego w miarę wystąpienia takiej potrzeby. Sama polityka Compliance powinna określać m.in. zakres systemu Zarządzania Zgodnością, stopień niezależności oraz umiejscowienie osoby pełniącej funkcje Compliance, jak również odpowiedzialność i zobowiązania związane z polityką Compliance wyższej kadry zarządzającej, menedżerów oraz pozostałych pracowników. Polityka Compliance powinna także zawierać konsekwencje działania niezgodnego z przepisami lub polityką firmy.

Zdaniem autorek

Joanna Stolarek, lider Praktyki Compliance w Kancelarii Ożóg Tomczykowski, Certyfikowany Compliance Officer

Izabella Sosnowska, Associate w Zespole Compliance w Kancelarii Ożóg Tomczykowski

Należy podkreślić, że samo istnienie odpowiednich procedur nie jest wystarczające. Kluczowym bowiem elementem przesadzającym o sukcesie Zarządzania Zgodnością w organizacji jest stworzenie kultury Compliance, której istnienie jest możliwe tylko dzięki zaangażowaniu organów zarządzających i wyższej kardy menedżerskiej. Osoby takie powinny bowiem dawać przykład etycznego zachowania pracownikom niższego szczebla, co często w literaturze określane jest mianem „tone from the top" (tzn. przykład idący z góry).

Dodatkowo, Norma skupia się na działaniach związanych z doskonaleniem systemu Zarządzania Zgodnością, wskazując jednocześnie jakie działania należy podjąć w przypadku wystąpienia naruszenia (np. przeprowadzenie analizy, czy mogły lub wystąpiły inne, podobne przypadki naruszeń). Norma jasno wymienia także działania, które należy podjąć po przeprowadzeniu postępowania wyjaśniającego, które w przyszłości mogą ustrzec firmę przed wystąpieniem podobnych nieprawidłowości. Należą do nich w szczególności: szkolenia pracowników, okresowa weryfikacja i modyfikacja procedur oraz, ponowna ocena ryzyka.

Chociaż wprowadzenie normy ISO 19600 nie jest certyfikowane, warto się z nią zapoznać i implementować choć część wytycznych w niej zawartych, traktują normę jako swoisty dobry standard Zarządzania Zgodnością. Norma ma szczególne znaczenie dla polskich przedsiębiorców, którzy ze względu na brak licznych regulacji związanych z Zarządzaniem Zgodnością (nie licząc banków i firm ubezpieczeniowych), do 2014 roku nie mieli możliwości zweryfikowania poprawności i kompleksowości swoich systemów Zarządzania Zgodnością.