8 grzechów głównych w zakresie compliance w firmach

Jakie są najczęstsze błędy popełniane przez firmy w zakresie compliance? Poniżej przedstawiam 8 istotnych kwestii, z którymi borykają się organizacje.

1. Lekceważenie aspektu etyki / integrity

Większość organizacji, myśląc o compliance, skupia się na zgodności z przepisami prawa. Tymczasem system zarządzania zgodnością powinien uwzględniać też przyjęte w organizacji wartości i standardy postępowania, czyli szeroko rozumianą integrity. Zapewnienie, że podejmowane przez organizację działania są nie tylko zgodne z prawem i innymi tzw. obowiązkami compliance, ale też etyczne, właściwe, to podstawa prawdziwej zgodności i gwarancja budowy kultury organizacyjnej opartej na otwartości i współpracy.

Weź udział w “IX Forum Compliance Officer”, 13-14 lutego w Warszawie >>

Warto więc uwzględnić etykę nie tylko przy budowaniu i rozwoju CMS, ale też przy wszystkich podejmowanych w organizacji działaniach. Nie tylko pozwoli to nam zapewnić zgodność z wartościami, budować reputację i uzyskać przewagę rynkową, ale też wpłynie pozytywnie na kulturę organizacyjną oraz relacje z pracownikami i innymi interesariuszami, a nam, compliance officerom, pomoże zachować poczucie sensu naszej pracy.

Nie chodzi przy tym o opracowanie i opublikowanie Kodeksu etyki – nasze wartości i standardy postępowania muszą rzeczywiście przenikać wszystkie nasze plany i działania w organizacji.

Stanisław Strejmer, Rzecznik etyki, Compliance Officer, Totalizator Sportowy
Stanisław Strejmer, Rzecznik etyki, Compliance Officer, Totalizator Sportowy

2. „System compliance? Ok, napiszmy jakąś politykę” - czyli jak daleko zajdziemy idąc po linii najmniejszego oporu i czemu archiwum lub głęboka szuflada nie są najlepszym miejscem na dokumenty CMS

Wiele firm, stając przed wyzwaniem wdrożenia systemu zarządzania zgodnością, skupia się przede wszystkim na opracowaniu dokumentów (np. Polityki compliance). W samych dokumentach nie ma nic złego, w końcu warto pewne zasady ujednolicić i spisać. Często jednak działania firm ograniczają się tylko do tego. O ile oczywiste jest, że przyjętych procedur należy przestrzegać, to w kontekście zapewnienia skutecznego systemu compliance to zdecydowanie za mało. Po pierwsze, dokumenty compliance powinny odzwierciedlać przemyślany wcześniej system, dostosowany do celów, potrzeb i kontekstu organizacji (nie jest więc wskazane bezrefleksyjne przyjmowanie „gotowych rozwiązań” z rynku). Po drugie, CMS to nie tylko obowiązki wynikające z dokumentów – to przede wszystkim kompleksowy i dobrze zaplanowany szereg działań i środków kontroli mających na celu zapewnienie zgodności i zarządzanie ryzykiem jej braku, który podlega ciągłemu rozwojowi i doskonaleniu. Jeśli tego nie zrozumiemy i nie wdrożymy w życie, nasz system zarządzania zgodnością nie będzie skuteczny, zaś każde „sprawdzam” ze strony interesariuszy (nie mówiąc już o audytorach) postawi nas w co najmniej niezręcznej sytuacji.

3. Tone at the top? A może „compliance at the core”? – czyli brak pełnego zaangażowania organizacji w compliance

Aby system zarządzania zgodnością w organizacji mógł prawidłowo działać a kultura organizacyjna rozwijać się, konieczne jest zapewnienie odpowiedniego zaangażowania w organizacji. Słyszeliśmy pewnie, że „ryba psuje się od głowy” i że ważne jest, żeby najwyższe kierownictwo w organizacji podkreślało znaczenie CMS i samo dawało przykład wszystkim, jak postępować zgodnie i etycznie. Często zapominamy przy tym o innych bardzo ważnych rolach w organizacji – np. managerach.

Przeciętny pracownik może rzadko mieć bezpośredni kontakt z Zarządem spółki, ale każdy widzi, jak zachowuje się jego bezpośredni przełożony, czy przestrzega obowiązków compliance i jakie postawy promuje. Dlatego ważne jest nie tylko „tone at the top”, ale też „tone at the middle”, a więc zaangażowanie managerów w CMS.

Natomiast najwyższym poziomem rozwoju systemu zarządzania zgodnością, do którego powinniśmy dążyć, jest tzw. „compliance at the core”, a więc pełne zaangażowanie wszystkich pracowników, na każdym szczeblu, w compliance i etyczne postępowanie oraz uwzględnianie zagadnień compliance we wszystkich realizowanych zadaniach, czynnościach i projektach, na każdym ich etapie.

4. Brak systematyczności działań z zakresu zarządzania zgodnością

Dzień z życia compliance officera - przyjęliśmy zgłoszenie dotyczące konfliktu interesów, wydaliśmy opinię, organizacja podjęła decyzję odnośnie do postąpienia z tym konfliktem. Następnie sporządziliśmy sprawozdanie z analizy przeprowadzonej w innej sprawie, wraz z rekomendacjami, które przekazaliśmy właścicielowi biznesowemu do realizacji. Pozornie dzień zakończył się sukcesem, ale:

  • czy będziemy monitorować sytuację związaną z konfliktem interesów pod kątem ewentualnych zmian, podejmowanych w organizacji decyzji itd.?
  • czy w przyszłości sprawdzimy, czy sformułowane rekomendacje zostały zrealizowane, na jakim poziomie i czy problem został faktycznie rozwiązany?

Częstym grzechem CMS jest brak odpowiedniej systematyczności działań i skupianie się na jednorazowym „odhaczaniu” pewnych czynności. Tymczasem, żeby system zarządzania zgodnością prawidłowo funkcjonował, podejmowane w jego ramach działania muszą mieć charakter zaplanowany, regularny, uporządkowany. Kontekst organizacji podlega stałym zmianom, a my jako compliance officerowie, musimy być na nie wyczuleni. Nie jest więc ważne, ile opinii, rekomendacji czy decyzji wydaliśmy – liczy się to, jaki przyniosły one skutek w obszarze zgodności i zarządzania ryzykiem jej braku i czy naprawdę wpłynęły one pozytywnie na rozwój organizacji. A osiągnięcie takiego skutku wymaga systematycznej pracy.

5. Brak przemyślanego systemu szkoleń

Ten punkt wiąże się mocno z poprzednim, dotyczącym braku systematyczności w działaniach z zakresu CMS. Często szkolenia dotyczące zagadnień zgodności są przeprowadzane jednorazowo, głównie przy okazji przyjęcia nowego dokumentu (np. polityki antykorupcyjnej), czy wejścia w życie nowych przepisów prawa.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Tymczasem budowanie świadomości compliance i etycznej kultury organizacyjnej to proces oparty na ciągłej edukacji. W końcu obowiązki compliance i kontekst organizacji ciągle się zmieniają, nabyta wiedza z czasem zanika a natłok innych obowiązków powoduje zmniejszenie zaangażowania w CMS. Jednorazowe szkolenie niewiele nam więc da, jeśli chcemy aby pracownicy naprawdę byli świadomi problemów związanych z zarządzaniem ryzykiem braku zgodności i dbali o zarządzania ryzykiem non-compliance w codziennej pracy. Dlatego warto myśleć nie tylko o „szkoleniach compliance” ale o całym systemie takich szkoleń.

W ramach przemyślanego systemu szkoleń z zakresu compliance i etyki warto prowadzić m.in.:

  • szkolenia wstępne (w ramach adaptacji pracowniczej);
  • szkolenia cykliczne, przypominające i aktualizujące wiedzę;
  • szkolenia dedykowane dla kadry zarządzającej oraz określonych grup (np. obszary podwyższonego ryzyka korupcji);
  • szkolenia uzupełniające w przypadku istotnych zmian w organizacji (np. połączenie przedsiębiorstw, nowy dział);
  • szkolenia indywidualne lub grupowe w następstwie stwierdzenia naruszenia.

To oczywiście tylko kilka wybranych przykładów. Warto korzystać ze wszystkich edukacyjnych pomysłów, jakie tylko przyjdą nam do głowy (np. specjalne firmowe wydarzenia, biuletyny itp.) oraz z narzędzi, które zachęcą uczestników do udziału i utrwalania wiedzy.

Dołącz do uczestników najważniejszego spotkania dla ekspertów compliance w Polsce >>

6. Brak konsekwencji w wyciąganiu konsekwencji

Co zrobić z managerem wysokiego szczebla, który dopuścił się naruszenia, ale jednocześnie posiada ogromne doświadczenie w organizacji oraz osiąga świetne wyniki? Czy nie zasłużył sobie na odrobinę „pobłażliwości” z naszej strony?

Niestety, część organizacji w takiej sytuacji potraktuje takiego managera znacznie łagodniej, niż gdyby takiego samego naruszenia dopuścił się „szeregowy” pracownik. Taką praktykę trudno nazwać etyczną i niewątpliwie wpłynie ona negatywnie na postrzeganie i wiarę pracowników w skuteczność systemu zarządzania zgodnością i program etyczny organizacji.

Aby skutecznie budować etyczną kulturę organizacyjną, musi być ona oparta na równym traktowaniu wszystkich, niezależnie od funkcji i umiejscowienia w organizacji, także (a może przede wszystkim) w wyciąganiu konsekwencji w przypadku naruszeń. Tylko wtedy zapewnimy warunki do rozwoju CMS i przekonamy pracowników, że warto zgłaszać naruszenia i że każde takie naruszenie spotka się z adekwatną reakcją ze strony organizacji.

7. „Funkcja compliance z doskoku”

Norma ISO 37301 dotycząca systemów zarządzania zgodnością określa cechy i kompetencje, jakimi powinien wykazywać się compliance officer (na marginesie, moja ulubiona to „experience to test and challenge”).

Tymczasem, lekceważący stosunek firm do samego systemu zarządzania zgodnością często prowadzi do nieprzyznawania odpowiednich zasobów funkcji compliance, w tym osobowych. Wiąże się to często z przydzieleniem zadań z zakresu zarządzania zgodnością osobom, które nie posiadają odpowiedniego doświadczenia i kompetencji w obszarze compliance, wręcz przypadkowym („pan weźmie to komplikance dodatkowo, bo nam każą i coś tam zrobi, żeby nam dali spokój”) lub które, ze względu równoczesne wykonywanie innych obowiązków, nie mają możliwości poświęcenia swoim „compliance’owym” zadaniom odpowiedniej uwagi.

Tymczasem praca compliance officera wymaga odpowiednich kompetencji, zarówno tych twardych, jak i miękkich, jak również doświadczenia, które pozwala testować organizację i jej środki kontroli oraz stawiać nowe wyzwania. Jest to też praca niezwykle angażująca, która wymaga odpowiednich zasobów czasowych – nie da się pełnić tej funkcji „przy okazji”.

Pamiętajmy więc, że powołując funkcję compliance, musimy jako organizacja zapewnić jej odpowiedni autorytet, niezależność oraz zasoby osobowe, kompetencyjne i czasowe.

8. Brak proporcjonalności, zintegrowania CMS z innymi systemami i „silosy informacyjne”

Jest takie powiedzenie, że dla człowieka z młotkiem wszystko wygląda jak gwóźdź. Niestety trafnie opisuje ono podejście wielu organizacji do zarządzania zgodnością.

Często w ramach budowania CMS organizacje przyjmują pewne sztywne rozwiązania, które nie uwzględniają bogactwa możliwych stanów faktycznych, problemów i szans, jakie organizacja może wykorzystać. To z kolei wiąże się ze stosowaniem środków całkowicie nieproporcjonalnych do celów CMS (np. całkowity zakaz konfliktu interesów, zamiast zarządzanie nim, adekwatne do ryzyka). W skrajnych przypadkach ta „sztywność” prowadzi z kolei do tworzenia rozwiązań, które same w sobie mogą generować ryzyko non-compliance (tzw. overcomplying – na przykład przesadny monitoring w celu weryfikacji „uczciwości” w pracy, który narusza obowiązujące przepisy).

W tej sztywności zawiera się też często zamknięcie funkcji compliance na organizację i skupienie na swoim wąskim obszarze, a także związany z tym brak zintegrowania procesów compliance z ogółem systemu zarządzania w firmie.

Tymczasem realizacja funkcji compliance wymaga bardzo dobrej znajomości procesów w organizacji, jej zrozumienia i współpracy z innymi funkcjami, zarówno w ramach tzw. drugiej linii obrony, jak i poza nią. Odpowiednia integracja CMS oraz przepływ informacji jest niezbędny do prawidłowego zarządzania ryzykiem braku zgodności. Jako compliance officerowie powinniśmy więc dbać o odpowiednią otwartość i współpracę.

Autor: Stanisław Strejmer, Rzecznik etyki, Compliance Officer, Totalizator Sportowy

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.