W ubiegłym tygodniu pisałem o procesie rekrutacji compliance officera. Zanim zainwestujemy czas i
pieniądze ustalmy w pierwszej kolejności, jaka ma być formuła compliance w
naszej organizacji. Możemy posiłkować się m.in. ISO 19600, niedawno przyjętymi
Dobrymi Praktykami Spółek Notowanych na GPW lub innymi, w zależności od branży, potrzeb, interesariuszy itp. Jednak żaden z
tych dokumentów jako sam z siebie nie da nam odpowiedzi, jak ma dokładnie
wyglądać compliance u nas. Nie ma wzorcowego systemu compliance do skopiowania.
Naprawdę jest wiele czynników do
uwzględnienia. Jeżeli prowadzimy małe przedsiębiorstwo warto samemu wybrać się
na szkolenie compliance, które wprowadzi w temat. Pozwoli też poznać osoby w podobnej
sytuacji i potem wymieniać się doświadczeniami. Niestety jest problem ze
szkoleniami o odpowiedniej jakości na rynku. To temat na osobny wpis, ale
jednak warto porównać ofertę i dowiedzieć się, kto szkoli. Jeżeli nie reprezentujemy
banku, funduszu inwestycyjnego, czy zakładu ubezpieczeniowego, większość
szkoleń dostępnych na rynku będzie dla nas bezużyteczna. Fajnie oczywiście
posłuchać, że są rekomendacje KNF i standardy dotyczące prania brudnych pieniędzy
obowiązujące banki, ale jak rozmawiam z odbiorcami tych szkoleń, którzy
trafiają do mnie, to ta wiedza mało w praktyce przybliża do stworzenia
compliance w innej spółce.
Trzeba bowiem pamiętać, że jest compliance i tzw.
compliance regulacyjne. To drugie w zasadzie dotyczy wyłącznie ww. podmiotów i
jest na tyle specyficzne, że nie ma zastosowania do szerszego grona odbiorców
profesjonalnych. Co zatem robić, gdy czujemy, musimy, albo po prostu wiemy, żechcemy wdrożyć u siebie system compliance?
Można, co osobiście rekomenduję,
skonsultować się z ekspertem compliance, najlepiej poleconymi przez
zaprzyjaźnione podmioty (polecony znaczy się sprawdzony w praktycznym zadaniu),
a jeżeli nie mamy takich- zapraszam do kontaktu, pomogę znaleźć kompetentne
osoby lub sam doradzę.
Wracając do ogólnych regulacji,
na których możemy się oprzeć, gdy już wiemy, czego chcemy. Zgodnie z normą
międzynarodową ISO 19600 Compliance Managament Systems - Guidelines,
organizacja powinna ustanowić, opracowywać, wdrażać,
oceniać, utrzymywać i nieustannie doskonalić system zarządzania compliance, w tym
również niezbędne procesy i ich wzajemne oddziaływania, z uwzględnieniem
następujących zasad nadzoru:
1) bezpośredni
dostęp funkcji compliance do organu nadzoru;
2)
niezależność funkcji compliance;
3) właściwy
organ oraz odpowiednie środki przeznaczone na funkcję compliance”.
System
zarządzania compliance powinien odzwierciedlać wartości organizacji, jej cele,
strategię i ryzyka w zakresie compliance. Tyle i aż tyle. Oczywiście norma ISO
ma znacznie więcej wytycznych, jednak jest napisana techniczno regulacyjnym
językiem. Trzeba ją wykupić (ok. 720 zł) i ewentualnie przetłumaczyć na język
polski. To kosztuje, tak czas, jak i pieniądze, a efekt może nie być
powalający.
Z kolei w
Dobrych Praktykach Spółek Notowanych na GPW czytamy, że „Spółka wyodrębnia w
swojej strukturze jednostki odpowiedzialne za realizację zadań w poszczególnych
systemach lub funkcjach, chyba że wyodrębnienie jednostek organizacyjnych nie
jest uzasadnione z uwagi na rozmiar lub rodzaj działalności prowadzonej przez
spółkę.” I dalej: „(...)osoby odpowiedzialne za zarządzanie ryzykiem, audyt
wewnętrzny i compliance podlegają bezpośrednio prezesowi lub innemu członkowi
zarządu, a także mają zapewnioną możliwość raportowania bezpośrednio do rady
nadzorczej lub komitetu audytu.”.
Wnioski? Wciąż możemy elastycznie
rozważyć przyjęcie kształtu funkcji, jaka ma nam służyć. Do tego celu proponuję
odpowiedzieć na następujące pytania:
1) Czemu
ma u nas służyć compliance i skąd
pomysł, żeby je wprowadzić?
2) Czy
mieliśmy stwierdzone nadużycia ze strony pracowników lub klientów?
3) Jakie
przepisy regulują naszą działalność. Czy są inne wymogi- np. organizacji, do
których należymy, lub posiadanych/planowanych certyfikatów?
4) Kto obecnie odpowiada za zgodność i co przez nią rozumiemy?
5) Czy
i jak komunikujemy i egzekwujemy oczekiwania i postawy etyczne wobec
pracowników, dostawców, kontrahentów?
Zacznijmy od nazewnictwa;
prezentuję w uproszczeniu poniżej opis stanowisk compliance ze wskazaniem sytuacji,
w której nazwa ta jest zasadna. Pomoże nam to także właściwie zinterpretować CV
kandydata, bo compliance compliance nierówne, ale też prawidłowo zformułować ogłoszenie
o pracę, by trafili do nas kandydaci, jakich naprawdę oczekujemy.
Chief (Group) Compliance Officer (CCO)/ Compliance Manager/ Head of
Compliance – mamy rozpoznaną w
organizacji potrzebę wdrożenia funkcji compliance i wyodrębniliśmy w strukturze
osobną komórkę compliance. CCO/ CM/ HC zarządza zespołem compliance. Wybierzmy
dobrze te osobę; funkcja compliance absorbuje sporą wiedzę o organizacji.
Dobrze, gdy może mieć zapewnioną niezależność od zarządu i odpowiednie środki,
by zbudować profesjonalny zespół. Warto postawić na doświadczenie.
Compliance officer, specjalista ds. compliance, ds. zgodności itp. –
specjalista, który będzie wykonywał zadania compliance, czasami też je kreował. Uwaga: w niektorych organizajach to może być jendnoosobowa funkcja i osoba ta bedzie miała doświadczenie w zakresie compliance Chief Compliance Officera, ale być może bez doświadczenia w zarządzaniu zespołem- trzeba dopytać.
Kontroler zgodności, inspektor zgodności- zazwyczaj wydzielona
funkcja w bankach zajmująca się kontrolą przestrzegania przez bank obowiązków
zakresie realizacji ustawy o obrocie instrumentami finansowymi.
Specjalista AML/ KYC – pracownik przeszkolony w zakresie
zapobieganiu prania brudnych pieniędzy i finansowania terroryzmu. Raczej ukierunkowany
na banki, to wąska specjalizacja, jeszcze przed tą osobą daleka droga do
zostania specjalistą compliance.
ABI – Administrator Bezpieczeństwa Informacji, funkcja związana z
ochroną danych osobowych- zazwyczaj osoba ta nie ma pojęcia, czym jest
compliance, to wąska specjalizacja.
A może warto spróbować zbudować
compliance w oparciu o własne zasoby? W mniejszych przedsiębiorstwach to
zazwyczaj rekomendowane rozwiązanie. Można posiłkować się np. prawnikiem Nie ma jednak jednego i jedynie słusznego rozwiązania.
Jeżeli decydujemy się na tę drogę, naprawdę nie warto oszczędzać na
konsultacjach i szkoleniach dla tych osób. Inaczej zafundujemy sobie papierowe
compliance i tak naprawdę miraż poczucia bezpieczeństwa, być może niezwykle
kosztowny.
Źródło grafiki: www.cyprusjobsnetwork.com
Brak komentarzy:
Prześlij komentarz
Dziękuję za komentarz. Wszelkie reklamowe odnośniki wklejone bez uzgodnienia z autorem Bloga o compliance nie zostaną opublikowane. Podobnie z treściami nieodpowiednimi. Za treść komentarzy odpowiadają wyłącznie ich autorzy.