Compilance,  Prawo karne

Wdrożenie systemu compliance

Sposobem na zminimalizowanie ryzyka kar przewidzianych w projekcie Ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary jest wprowadzenie systemu compliance, którego prawidłowe wdrożenie i sprawne funkcjonowanie zapewni bezpieczeństwo regulacyjne firmie. Wprowadzenie systemu compliance nie jest jednak zdarzeniem, a procesem, do którego trzeba się przygotować.

Analiza ryzyka

Pierwszym etapem wdrażania systemu zapewnienia zgodności jest analiza ryzyka regulacyjnego przedsiębiorstwa. Ryzyko regulacyjne uzależnione jest z kolei od kilku czynników, którymi z pewnością będą branża, w której działa firma, jej skala działalności, model biznesowy, a także klienci, czy działalność reklamowa. Inny będzie bowiem profil ryzyka dla firmy świadczącej usługi wyłącznie dla biznesu inny zaś w przypadku usług lub produktów kierowanych do konsumentów. Warto zaznaczyć, że analiza ryzyka jest jednym z najważniejszych elementów wdrożenia systemu compliance. Jeśli bowiem przedsiębiorstwo nie zidentyfikuje ryzyka, to skutkiem będzie brak działań zmierzających do jego ograniczenia i finalnie nieefektywny system zapewnienia zgodności, który nie zapewni należytej ochrony przed potencjalnymi sankcjami.

Projektowanie mechanizmów kontrolnych

Wynikiem analizy ryzyka powinno być zaprojektowanie adekwatnych mechanizmów kontrolnych. Polega to na tym, że w obszarach w których ryzyko regulacyjne jest wysokie – to znaczy istnieje albo duże prawdopodobieństwo wystąpienia negatywnego zdarzenia albo jego skutki miałyby katastrofalne dla firmy skutki, to mechanizmy zapobiegawcze powinny być bardziej restrykcyjne. Z kolei w przypadku średniego lub małego ryzyka wystąpienia zdarzenia lub niewielkich jego konsekwencji, można wprowadzić słabsze mechanizmy. Mechanizmy kontrolne to z kolei zespół działań zmierzających do ograniczenia ryzyka negatywnych zdarzeń. Polegają one na wprowadzeniu reguł postępowania które wykonywane przez pracowników przez pracowników firmy eliminują albo przynajmniej ograniczają ryzyko. Przykładowo mechanizmem kontrolnym może być weryfikacja wiarygodności kontrahenta w tym przebiegu jego dotychczasowej działalności, od której uzależniona jest decyzja co do nawiązania lub zasad współpracy.

Stworzenie procedur

Procedury compliance powinny mieć charakter sformalizowany. Oznacza to, że powinny mieć formę pisemną przyjętą w formie uchwały zarządu. Procedury powinny nie tylko wskazywać, kto jest odpowiedzialny w firmie za obszar zapewnienia zgodności, ale także wskazywać na uprawnienia takiej osoby oraz ścieżki raportowania. Niezbędnym elementem będzie także opisanie sposobu funkcjonowania systemu anonimowego zgłaszania naruszeń – tzw. whistle blowing oraz zasad ochrony sygnalistów.

Implementacja

Nawet najlepsza procedura compliance nie zapewni ochrony przed karami, jeśli pozostanie tylko na papierze. Dlatego ważnym jest, aby procedury zostały zaimplementowane w praktyce. Pierwszym elementem następującym zaraz po stworzeniu procedur powinno być szkolenie dla pracowników, aby ci mieli świadomość nowych regulacji i skutków ich niestosowania. Kolejnym elementem będzie poinformowanie odpowiednich osób o nowych standardach działania firmy. Nie bez znaczenia, będzie również postawa kadry zarządzającej i ich podejścia do nowych standardów – bagatelizowanie, czy robienie wyjątków w dłuższej perspektywie może skutkować tym, że system się nie przyjmie.

Testowanie

Dobrą praktykom jest poddawanie systemu compliance regularnym przeglądom i audytom. Jeśli firma ma wyspecjalizowany dział audytu wewnętrznego, to ujęcie weryfikacji systemu compliance w planie zadań audytowych jest zdecydowanie dobrym pomysłem. W przypadku mniejszych organizacji skutecznym rozwiązaniem jest korzystanie z podmiotów zewnętrznych. Częstotliwość testowania jest uzależniona od skali i przedmiotu działalności firmy, niemniej jednak zaleca się, aby system compliance był testowany przynajmniej raz na trzy – cztery lata w przypadku firm o średniej skali działalności i profilu ryzyka oraz co rok – dwa lata w przypadku firm o dużej skali działalności i wysokim ryzyku regulacyjnym.