W prowadzonej działalności gospodarczej przedsiębiorcy skupiają się na jakości i efektywności biznesu. Oprócz tego w celu ograniczenia ryzyka prawnego powinni się zająć zapewnieniem zgodności z prawem oraz przyjętymi standardami i normami etycznymi (compliance).
Niniejszy artykuł odpowiada na pytania: Co to jest compliance? Co to jest compliance przedsiębiorstw? Jakie są funkcje compliance w przedsiębiorstwie? Jak realizować compliance przedsiębiorstw? Co to jest system zarządzania zgodnością (compliance management system; CMS)? Co powinien zrobić przedsiębiorca, aby zapewnić zgodność działalności z prawem?
Biznes a zgodność
Ustalmy naczelną zasadę: celem prowadzonej działalności jest biznes sam w sobie. Wiąże się z tym osiąganie przychodów, pozyskiwanie klientów, rozwój infrastruktury, zdobywanie przewagi konkurencyjnej, satysfakcji pracowników i wszystko inne, co uznasz za swoje dążenia na rynku. Osiągnięcie tych celów będzie możliwe przy przyjęciu strategii i praktyk, które mogą przekraczać granice wyznaczone przez prawo. Dodatkowo ciągle rozwijane regulacje mogą nakładać na Twoją firmę różne obowiązki, o których mogłeś nawet nie słyszeć — co nikogo nie będzie interesowało, gdy nałożona zostanie na Ciebie kara pieniężna lub inna sankcja.
Dla funkcjonowania w granicach prawa i wypełnieniu obowiązków prawnych musisz zapewnić zgodność. Dopiero gdy Twoja firma będzie działała w granicach prawa, możesz realizować swoje biznesowe cele. W przeciwnym razie iluzja sukcesu i szczęścia może zniknąć z hukiem, który pogrąży całą Twoją karierę.
Czy tego od siebie oczekujesz? Krótkotrwałej satysfakcji opartej na ryzyku, która kilka lat później runie razem ze wszystkim, co od dawna budowałeś? Poczytaj historie sławnych i bogatych ludzi, którzy stracili wszystko: nie tylko karierę i biznes, ale również rodziny, przyjaciół, jakiekolwiek poważanie. Historia zapamięta cały Twój życiorys, nie tylko najpiękniejsze chwile.
W tym wszystkim pojawia się zagadnienie compliance przedsiębiorstw, czyli zapewnianie zgodności z prawem i ładem korporacyjnym. Ja określam to szerzej: zapewnianie zgodności z prawem, przyjętymi standardami i zasadami etyki (etyki biznesowej oraz życiowej). Compliance jest pojęciem ujmującym bardzo szeroko wszystko to, od czego zależy takie funkcjonowanie organizacji, które jest oparte na minimalizacji ryzyka. Mówimy tu o ryzyku prawnym, ale przyjęty charakter compliance pozwala również minimalizować ryzyko biznesowe.
Prof. B. Makowicz specjalizujący się w tematyce compliance definiuje compliance jako „taką organizację przedsiębiorstwa, poprzez stworzenie odpowiedniej struktury i stosowanie środków compliance, która zredukuje do możliwego minimum ryzyko wystąpienia w przedsiębiorstwie wszelkich nieprawidłowości, które mogłyby powstać wskutek działania przynależnych do niego osób lub partnerów handlowych, a polegających na złamaniu obowiązujących regulacji prawnych i ogólnych zasadach prawa, regulacji dobrowolnie przyjętych przez przedsiębiorstwo lub na działaniu niezgodnym z ogólnie przyjętymi standardami etyczno-moralnymi danego środowiska”.
— B. Makowicz, Compliance w przedsiębiorstwie, Warszawa 2011, s. 16-17.
Rola compliance w przedsiębiorstwie
Compliance oznacza stan zgodności istniejący oraz postulowany. To także sposób patrzenia na działalność, z którym wiąże się zapewnienie zgodności. Compliance pełni bardzo ważną rolę w przedsiębiorstwie, stanowiąc tzw. drugą linię obrony. Rozpatrując funkcje compliance w organizacji, należy wskazać dwie zasadnicze:
1) prewencyjna,
2) represyjna.
Compliance w przedsiębiorstwie jest niczym strażnik strzegący firmę przed działaniami (praktykami, decyzjami, zachowaniami) mogącymi stanowić nieprawidłowość. Nieprawidłowość może stanowić zachowanie lub zaniechanie niezgodne z prawem, złamanie zasad etyki, przekroczenie przyjętego standardu czy norm. Takim czynem może być korupcja, zignorowanie zjawiska prania pieniędzy, naruszenie ochrony danych osobowych, ujawnienie informacji poufnej, mobbing pracownika, określenie pracy niezgodnie z przepisami prawa pracy, naruszenie zasad BHP, niedochowanie obowiązku prawnego itp. Rolą compliance jest zabezpieczenie firmy przed zaistnieniem takich zjawisk, niedopuszczenie do tego, by kiedykolwiek doszło do urealnienia zagrożenia prawnego wskutek istniejącego ryzyka. Compliance mówi: „stop nieprawidłowościom”.
Rola represyjna compliance przejawia się w podejmowaniu czynności wykrywających oraz ustalających istniejące nieprawidłowości. Dokonane przez kadrę kierowniczą i pracowniczą działania mogły już doprowadzić do powstania niezgodności, które jednak nie doprowadziły do tzw. worst-case, czyli najgorszego scenariusza w danym przypadku, którego konsekwencją może być skandal, sankcje organów państwowych, odpowiedzialność odszkodowawcza wobec osób fizycznych lub partnerów handlowych, utrata wizerunku i inne negatywne skutki. Compliance występuje tu jako wewnętrzny kontroler, w większych firmach współpracujący bądź przejmujący część zadań audytu wewnętrznego.
Do funkcji represyjnej często zalicza się działania następcze po wykryciu nieprawidłowości. Moim zdaniem nie sposób wówczas mówić o represji, a bardziej o podjęciu czynności naprawczych, które pozwalają firmie uniknąć przeistoczenia zaistniałej niezgodności w skandal czy zjawisko, w którym nieuniknione będzie poniesienie odpowiedzialności i związane z tym negatywne skutki. Również przy wystąpieniu takiego zjawiska compliance pełni istotną rolę, bowiem może złagodzić skutki określonego zdarzenia oraz inne negatywne konsekwencje, niejednokrotnie chroniąc firmę przed upadłością.
W pościgu za pieniądzem narażamy się nie tylko na ryzyko, ale również pokusy. Bądź ostrożny. Nie chodzi bowiem o to, że jeden błąd może się skończyć totalną katastrofą (worst-case), lecz aby zarządzać ryzykiem i nie narażać się na żadne błędy.
Oczywiście można wytypować inne funkcje compliance, ale dla Ciebie i Twojej firmy najważniejsze jest to, abyś postrzegał compliance przede wszystkim jako:
- zapobieganie nieprawidłowościom w firmie,
- doprowadzenie działalności do stanu zgodnego z prawem,
- monitorowanie zmian w prawie i określanie obowiązków prawnych ciążących na firmach,
- kontrolę wykonania ciążących na przedsiębiorcy obowiązków prawnych,
- kontrolę działalności firmy pod kątem przestrzegania obowiązujących przepisów prawa,
- wykrywanie nieprawidłowości,
- kontrolowanie ryzyka prawnego, jak również ryzyka biznesowego,
- łagodzenie skutków występujących po wystąpieniu nieprawidłowości.
Jak realizować compliance przedsiębiorstw?
Można obrać dwie drogi realizowania compliance przedsiębiorstw.
Pierwsza polega na wdrożeniu systemu zarządzania zgodnością (CMS, z ang. Compliance Management System). Choć słowo „system” kojarzy nam się najczęściej z systemem informatycznym, w tym kontekście za system należy uznać strukturę oraz organizację środków mających realizować określone cele.
CMS stanowi więc zbiór wdrożonych regulacji wewnętrznych oraz stosowanych praktyk, które mają na celu ustanowienie celów, zasad oraz właściwych procedur w zakresie zapewnienia zgodności działalności organizacji (np. przedsiębiorstwa) z przepisami prawa oraz normami etycznymi i przyjętymi standardami (np. w ramach grupy kapitałowej), włączenie praktyk compliance do procesów biznesowych, utworzenie i rozwijanie kultury compliance, monitorowanie działań organizacji pod kątem zapewnienia zgodności oraz prawidłowego funkcjonowania działań compliance, a także podjęcie działań naprawczych w przypadku wystąpienia incydentu bezpieczeństwa czy tzw. non-compliance (braku zgodności).
Dowiedz się więcej o CMS w Strefie Compliance
O Compliance Management System możesz się dowiedzieć więcej w Strefie Compliance. Zebrałem tam dla Ciebie najpotrzebniejszą wiedzę.
Nie będę ukrywał, że CMS powinien być celem każdej organizacji, która chce praktykować compliance. Tylko przy wdrożeniu i prawidłowym funkcjonowaniu CMS możliwe jest realizowanie funkcji compliance i rzeczywiste bezpieczeństwo firmy. Dokonanie tego nie jest jednak proste, szybkie ani tanie. Do wdrożenia CMS niezbędny jest zestaw dokumentów, określenie strategii compliance, przeprowadzenie wielu rozmów z kadrą kierowniczą i pracownikami, poznanie wszystkich procesów w firmie, szkolenia i wiele innych elementów. Nie można także zapomnieć o tym, że wdrożenie systemu CMS to jedno, a dalsze kroki polegaja na zapewnieniu rzeczywistego funkcjonowania CMS oraz jego udoskonalenie, w myśl cyklu Deminga: zaplanuj, wykonaj, sprawdzaj, ulepszaj.
Inna droga realizacji compliance przedsiębiorstwa opiera się na kontrolowaniu: procesów, pracowników i zdarzeń, które stanowią ryzyko dla firmy. To także kontrola obowiązków prawnych ciążących na firmie oraz naprawa popełnionych błędów. Kolokwialnie mówiąc, to trochę „kulawy CMS”, który praktykowany jest tam, gdzie nie ma zasobów (środków, narzędzi, ludzi etc.) na kompleksowe wdrożenie i funkcjonowanie systemu zarządzania zgodnością. Nie jestem zwolennikiem takiej drogi, ale lepszy rydz niż nic. Jeśli takie działania podejmowane przez przedsiębiorcę zapewnią realizację funkcji compliance, to ok — najważniejsze, aby ograniczać ryzyko i nie dopuszczać do sytuacji mogących przerodzić się w non-compliance. To rozwiązanie jest z pewnością tańsze, nie angażuje wielu zasobów, a przede wszystkim stanowi szybką i konkretną odpowiedź na określone zagrożenie. Wielu obsługiwanych przeze mnie przedsiębiorców decyduje się na to rozwiązanie również z tego względu, że system CMS nieco ich przeraża czy też stanowi jakąś niepewność, podczas gdy konkretne działanie compliance w konkretnej kwestii (np. antykorupcja czy ochrona własności intelektualnej) pozwala uzyskać wymierne rezultaty i zabezpieczyć określony obszar ryzyka. To rozwiązanie ma swoje wady i pewnie niedługo poświęcę temu wątkowi nieco więcej uwagi.
Co powinieneś zrobić?
Przede wszystkim: myśl jak profesjonalista. Jeśli prowadzisz biznes i wiążesz z nim dalsze plany, rozwój, penetrację nowych rynków, nowe produkty czy usługi albo zmiany organizacyjne, zapewne wiesz, że czeka Cię podjęcie wielu decyzji, ustanowienie wielu zasad i posługiwanie się wieloma osobami, nad którymi nie będziesz w stanie sprawować pełnej kontroli. To dobry moment, aby zainteresować się compliance i sprawić, aby Twój biznes stał się… (i tutaj Cię zaskoczę) bardziej efektywny.
Compliance to nie tylko ograniczanie ryzyk, prewencja, represja i działania naprawcze. Efektem wdrożenia compliance jest rozwój firmy na płaszczyźnie „okołobiznesowej”, prawnej, a nawet stricte biznesowej. Nie wierzysz w to? Zobacz, ile spośród dużych firm, mających znaczną przewagę konkurencyjną na danym rynku, posiada kodeksy etyczne, które niejednokrotnie dołącza do swoich umów, chcąc nimi związać kontrahentów. Przekonaj się, ilu przedsiębiorców wie, czym jest compliance i jak reaguje na to pojęcie w rozmowie. Poznaj organizację innych firm, które przyjmują od swoich spółek-matek różnego rodzaju procedury, standardy i zasady prowadzenia działalności. Jeśli chcesz być równorzędnym partnerem handlowym dla tych firm, to czy brak wiedzy, brak standardów, brak zgodności w pewnych kluczowych obszarach przedsiębiorstwa poprawia Twoją pozycję negocjacyjną. Nie wspomnę już o tym, że prowadzenie biznesu z częścią ważnych firm u naszych zachodnich sąsiadów możliwe jest wyłącznie, jeśli Twoja firma posiada CMS, jego namiastkę albo chociaż jest w stanie wykazać, że dąży do zapewnienia zgodności z prawem. To nie są czasy Dzikiego Zachodu. Compliance powinien istnieć każdego dnia, na każdym kroku, a pracownicy powinni przyjąć go w swoich wewnętrznych przekonaniach i standardach, co prowadzi do powstania kultury compliance oraz sukcesu w małych obszarach firmy, które napędzają spiralę dobrych działań i prawdziwych sukcesów biznesowych.
Z kolei jeśli zaczynasz prowadzenie działalności, nie traktuj compliance jako kolejnej bariery ani problemu, z którym musisz sobie poradzić. Nie myśl też o tym jako o temacie dla dużych przedsiębiorstw. W mniejszej organizacji prościej jest realizować funkcje compliance, a tym samym łatwiej wbudować w strukturę firmy podstawowe wartości i standardy. Zrób to raz, a potem rozwijaj swoją działalność, podtrzymując te wartości i standardy, wdrażaj w nie nowych pracowników i kontrahentów. Jeśli pominiesz to teraz, później, gdy wrócisz do tematu compliance za kilka lat (a gwarantuję Ci, że wrócisz), będzie tylko trudniej i z całą pewnością drożej. A jeśli nie masz pewności co do potrzeby CMS w Twojej firmie, zacznij od compliance na gruncie, który jest dla Ciebie niezbędny: przy umowach handlowych, ochronie danych osobowych i informacji niejawnych czy zatrudnieniu pracowników. Pomoże Ci to lepiej zacząć: od poziomu profesjonalnej firmy, zamiast biznesowego nowicjusza.
Potrzebna szczegółowa porada?
Jeśli potrzebujesz szczegółowego omówienia jakiegoś tematu, skontaktuj się ze mną. Wyślij wiadomość poprzez formularz kontaktowy w zakładce Kontakt i zajmiemy się Twoją sprawą.
O compliance przedsiębiorstw można napisać wiele i chciałbym to zrobić w jednym wpisie, ale to chyba niewykonalne. Na Blogu Compliance znajdziesz więcej artykułów, w których przyjrzę się bardziej szczegółowym tematom. Ten wpis potraktujmy jako ogólny wstęp. Trochę długi, ale mam nadzieję, że dostrzeżesz w compliance coś potrzebnego, ważnego i naprawdę przydatnego. Zapoznaj się z innymi artykułami, dołącz do subskrypcji Newslettera i śledź Bloga Compliance na Facebooku oraz LinkedIn, a w razie pytań — skontaktuj się ze mną poprzez formularz kontaktowy w zakładce Kontakt. Pozostań na dłużej z Blogiem Compliance!
