MiFID III – Nowe regulacje na rynkach finansowych: Przegląd przepisów i zmiany względem MiFID II Dyrektywa MiFID (Markets in Financial Instruments Directive) stanowi główny filar systemu regulowania rynków finansowych Unii Europejskiej. W 2018 roku MiFID II, będąca rozwiniętą wersją pie... Przeczytaj →
Od ostatnich 15 lat nieustannie rośnie rola compliance w funkcjonowaniu przedsiębiorstw. Początkowo departamenty funkcjonowały w sektorze finansowym oraz farmaceutycznym, dziś są obecne niemal w każdym dużym przedsiębiorstwie. O tym jaką wartość wygeneruje compliance dla firmy decyduje zarówno pozycja w strukturze organizacyjnej, nadane uprawnienia jak również podejście zarządu.
Rola compliance polega na niedopuszczeniu do uszczuplenia biznesu
Managerowie niejednokrotnie postrzegają compliance jako złego policjanta, który rzuca kłody biznesowi, zajmuje się wyszukiwaniem teoretycznych ryzyk, a w efekcie jedynie spowalnia procesy decyzyjne. Zdarza się również, że samo compliance daje podstawy właśnie do takiego postrzegania w ramach organizacji, wykonując kontrole, które usilnie muszą wykazać wystąpienie nieprawidłowości, niekiedy o pomijalnej istotności. Jednak takie podejście do funkcji compliance jest anachroniczne i nie odpowiada ani potrzebom, ani realiom dzisiejszego biznesu.
Każda firma działa w coraz bardziej skomplikowanym otoczeniu regulacyjnym, a sankcje związane z działaniem niezgodnym z prawem na przestrzeni ostatnich lat drastycznie wzrosły. O ile jeszcze kilka lat temu potencjalne kary można było wkalkulować w ryzyko biznesowe, o tyle dziś sankcje są na tyle drastyczne, że mogą doprowadzić do upadłości firmy. Ryzyko kar w wielu biznesach stało się więc ryzykiem o fundamentalnym znaczeniu.
W tych okolicznościach rola compliance nie powinna polegać na studiowaniu przecinków w procedurach wewnętrznych i wykonywaniu kontroli przestrzegania polityki „czystych biurek”, a zasadnicze znaczenie powinno mieć podejście na zasadzie oceny ryzyka związanego z funkcjonowaniem organizacji. To nic innego jak wyznaczenie celów jakie compliance ma realizować w ramach firmy. Celem i sensem działalności compliance w firmie powinno być niedopuszczenie do uszczuplenia biznesu, rozumiane zarówno jako podejmowanie wszelkich działań zmierzających do uniknięcia kar, ale w taki sposób aby nie dopuścić do odpływu klientów, a w rezultacie zmniejszenia przychodów.
Punktem wyjścia dla określenia celów jest analiza otoczenia regulacyjnego, w którym funkcjonuje przedsiębiorstwo, a następnie stworzenia katalogu grożących kar i uporządkowania go od najwyższej do najniższej. Katalog ten powinien obejmować zarówno regulacje szczególne dla danej branży, jak również przepisy wspólne wszystkim przedsiębiorcom takie jak przykładowo Kodeks Pracy, Ustawa o ochronie konkurencji i konsumentów, czy przepisy prawa podatkowego. Takie ćwiczenie pozwoli na określenie w jakich obszarach compliance powinno być najbardziej aktywne, oraz jak dostosować procesy biznesowe, aby uniknąć a przynajmniej zminimalizować ryzyko kar.
Umieszczenie compliance w strukturze organizacyjnej
Odpowiednie umieszczenie compliance w strukturze organizacyjnej będzie miało fundamentalne znaczenie w efektywności jego działalności. W przypadku umiejscowienia funkcji compliance jako komórki organizacyjnej innego departamentu – np. prawnego czy ryzyka, przyniesie taki skutek, że zidentyfikowane nieprawidłowości będą musiały przejść kolejne szczeble w strukturze organizacyjnej zanim dotrą do kierownictwa wyższego szczebla lub zarządu, o ile po drodze nie zostaną zignorowane lub pominięte.
Przyjmuje się, że funkcja compliance powinna być umiejscowiona wysoko w strukturze organizacyjnej przedsiębiorstwa i powinna podlegać bezpośrednio pod zarząd. W sektorze finansowym jest to wręcz wymóg określony w rekomendacjach Komisji Nadzoru Finansowego. Przyczyną dla której compliance powinno być wysoko umieszczone w strukturze organizacyjnej jest zarówno kwestia szybkości dotarcia informacji do kierownictwa wyższego szczebla, jak również czynnik psychologiczny. Ten ostatni polega na tym, że raportowanie o stwierdzonych nieprawidłowościach dotyczących osób, które w strukturze organizacyjnej są kilka szczebli wyżej z jednej strony mnie jest sytuacją komfortową, a z drugiej może rodzić obawy odwetu – dość oczywistym jest, że dyrektor departamentu ma większe możliwości wpływu niż kierownik działu umiejscowionego dwa szczeble niżej.
Jasno trzeba również powiedzieć, że outsourcowanie funkcji compliance do innego podmiotu, czy kancelarii prawnej będzie z uszczerbkiem dla efektywności i skuteczności samego compliance. Podmiot zewnętrzny będzie bowiem analizował tylko te informacje, które otrzyma od firmy, podczas gdy obecność w strukturze organizacyjnej i na miejscu, pozwala uczestniczyć w procesach biznesowych, co przekłada się na ich lepsze zrozumienie oraz wychwycenia na czas potencjalnych nieprawidłowości. Rolą kancelarii prawnych może być udział w projektowaniu, czy audytowaniu funkcji compliance lub wsparcie wewnętrznego compliance w rozwiązywaniu poszczególnych problemów, nigdy zaś nie powinno to być całkowite wykonywanie funkcji compliance jako podmiot zewnętrzny.
Uprawnienia w organizacji
Compliance nie jest w stanie skutecznie funkcjonować bez nieograniczonego dostępu do dokumentów, jak również bez możliwości uczestnictwa w posiedzeniach czy spotkaniach zarządu i kierownictwem wyższego szczebla. Nie można bowiem jednocześnie oczekiwać zidentyfikowania ryzyk i nieprawidłowości w funkcjonowaniu biznesu i jednocześnie limitować przepływ informacji. Dlatego kluczowe znaczenie ma zaufanie zarządu do osób kierujących komórką compliance.
Jednak oprócz możliwości uzyskania dostępu do wszelkich dokumentów oraz możliwości udziału w spotkaniach, compliance powinno mieć zagwarantowane narzędzia umożliwiające pełnienie funkcji doradczych i kontrolnych. Te pierwsze będą polegały na nadaniu uprawnień do opiniowania procedur i dokumentów, a niekiedy umów z podmiotami zewnętrznymi. Niewątpliwie compliance powinno być ważnym uczestnikiem, o ile nie gospodarzem w relacjach z regulatorami rynku w przypadku działalności regulowanej. Są to funkcje komplementarne do roli departamentów prawnych, różnią się jednak optyką pod jaką dokonuje się weryfikacji dokumentów – podobnie jak inna optykę od adwokata czy radcy prawnego ma doradca podatkowy, tak samo compliance oficer skupia się na identyfikowaniu innych zagrożeń niż dział prawny.
Nieodzownym elementem skutecznego compliance jest prowadzenie kontroli wewnętrznych i wydawanie zaleceń pokontrolnych. Ta funkcja compliance jest z kolei zbliżona do audytu wewnętrznego, jednak różnica znów polega na optyce obu funkcji. O ile rolą audytu wewnętrznego jest ocena procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego ukierunkowana na ich skuteczność, o tyle funkcja kontrolna compliance polega na identyfikacji i ocenie ryzyka prawnego i regulacyjnego występującego w firmie. Compliance co do zasady nie bada więc efektywności procesów biznesowych, czy działalności operacyjnych, a skupia się wyłącznie na obszarze ich zgodności z prawem.
Istotne znaczenie ma powiązanie funkcji kontrolnych ze zdefiniowanymi celami . Chodzi o to, aby przeprowadzane kontrole były ukierunkowane na zbadanie stopnia prawdopodobieństwa nałożenia kar, uprzednio zdefiniowanych jako cele do uniknięcia. Ważnym jest, aby prawdopodobieństwo było oceniane racjonalnie – zarówno wyolbrzymianie drobnych niedociągnięć, które zawsze wystąpią przy znacznej skali działalności, jak również bagatelizowanie niepokojących sygnałów będą niewłaściwe. Przy formułowaniu zaleceń wskazana jest próba odpowiedzi na dwa pytania: „Jaką karę nałożyłby regulator, gdyby dowiedział się o występowaniu zidentyfikowanej nieprawidłowości oraz jej skali?” oraz „Czy zaproponowane działania naprawcze pozwolą uniknąć kary lub zmniejszyć jej wysokość?”.
Nowe regulacje wymuszą powstanie działów compliance
Jeśli wejdzie w życie projektowana Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, to żadne duże przedsiębiorstwo nie będzie mogło sobie pozwolić na pominiecie funkcji compliance w swoich procesach decyzyjnych. Projektowana ustawa ma bowiem wprowadzić odpowiedzialność przedsiębiorstwa za przestępstwa popełnione przez członków jej organów, reprezentantów, czy pracowników w związku z prowadzaną działalnością, a sposobem na unikniecie kar pieniężnych które mogą wynieść nawet 30 milionów złotych będzie wykazanie, że w przedsiębiorstwie zostały zarówno prawidłowo wdrożone procedury, jak również funkcjonuje komórka organizacyjna nadzorująca przestrzeganie przepisów regulujących działalność przedsiębiorstwa.
Projektowane zmiany regulacyjne, o ile wejdą w życie przyczynią się do dalszego zwiększenia roli compliance w działalności firm. Paradoksalnie obserwując doświadczenia zagraniczne, a w szczególności brytyjskie, firmy które wdrożyły compliance jako wynik wprowadzonych zaostrzonych zasad ich potencjalnej odpowiedzialności za przestępstwa po czasie stwierdziły, że poprawiła się jakość biznesu zwłaszcza na skutek staranniejszego doboru kontrahentów oraz zwiększenia świadomości prawnej pracowników. Pozostaje mieć nadzieje, że zarządy polskich przedsiębiorstw będą miały podobne spostrzeżenia.