Sformułowanie compliance zdobyło na świecie w dziedzinie nadzoru korporacyjnego w ostatnim dziesięcioleciu dużą popularność. W dzisiejszym skomplikowanym otoczeniu prawnym podmiotów korporacyjnych, efektywne zarządzanie zgodnością prawną oraz etyczną organizacji korporacyjnej (tzw. compliance management) zyskuje na znaczeniu. Pojęcie compliance jest już w Polsce wszakże znane, liczba polskojęzycznych opracowań dotyczących tej tematyki pozostaje jednak znikoma. Niniejszy artykuł ma na celu przybliżenie tematu przy jednoczesnym wytłumaczeniu prawnego zakorzenienia, a także podstawy organizacji oraz programów compliance. Jako autor starałem się przy tym odwołać do uniwersalnych, międzynarodowych standardów oraz dobrej praktyki compliance.
Artykuł ukazał się oryginalnie w czasopiśmie Przegląd Corporate Governance nr 7/2012.
Definicja compliance
Pojęcie compliance wywodzi się od angielskiego zwrotu to comply with (= zastosować się do[1]) i z punktu widzenia nadzoru korporacyjnego odnosi się do wszelkich możliwych działań w podmiocie korporacyjnym, mających na celu zapewnienie przestrzegania ustaw, rozporządzeń i innych aktów normatywnych, a także innych norm postępowania.[2] Corporate compliance oprócz zapewnienia legalności (zgodności prawnej) działania organizacji obejmuje również elementy identyfikacji oraz minimalizacji ryzyka związanego z bezprawnym lub nieetycznym zachowaniem.[3] Choć zaczątki compliance wywodzą się jeszcze z lat 80. i 90. ubiegłego stulecia, kiedy to poprzez przyspieszony proces regulacji sektorowej, instytucje finansowe zmuszone były tworzyć wewnętrzne struktury mające na celu zapewnienie zgodności własnej działalności z normami prawa nadzoru finansowego, to przyspieszony okres rozwój corporate compliance przypada dopiero na okres po 2002 r.[4] W Europie rozwój ten łączy się z jednej strony z recepcją amerykańskiej koncepcji compliance, z drugiej stanowi odpowiedź na ostatnie skandale korporacyjne (między innymi w Niemczech często przytacza się skandal korupcyjny w Siemens AG).
Podstawy prawne corporate compliance na świecie
Podobnie jak sama nazwa, również prawna koncepcja funkcji compliance w organizacji korporacyjnej wywodzi się z obszaru angloamerykańskiego. Rozwój compliance przyniosły znowelizowane w 1991 r. w USA Federal Sentencing Guidelines (FSG)[5], które miały na celu ograniczyć tzw. przestępczość korporacyjną. Dzięki FSG, amerykańscy sędziowie otrzymali możliwość łagodzenia wyroków w sprawach przestępczości gospodarczej, gdy określone przesłanki łagodzące (mitigating factors) zostaną spełnione. Łagodzenie ewentualnego orzeczenia karnego przeciw organizacji jest możliwe, gdy organizacja wykaże się efektywnym programem compliance.[6] Tworzenie w ramach prawa karnego gospodarczego zachęt do budowania organizacji oraz programów compliance spotykane jest również poza USA. Przykładowo prawo karne w Australii[7], a po ostatniej reformie również w Hiszpanii[8] pozwala na łagodzenie odpowiedzialności podmiotów korporacyjnych, gdy wykażą istnienie kultury korporacyjnej, która aktywnie oraz prewencyjnie będzie przeciwdziałać zachowaniom nielegalnym i nieetycznym[9] lub gdy organizacja będzie aktywnie wykonywać kontrolę nad legalnością i etyką własnej działalności (właśnie poprzez compliance)[10].
Kolejnym źródłem norm corporate compliance są ustawy stanowiące lex specialis wobec ogólnego prawa spółek handlowych. Prominentnym przykładem, który stanowił ważny etap w rozwoju corporate compliance, stanowi uchwalony w 2002 r. Sarbanes-Oxley Act (SOX)[11], zawierający wytyczne dotyczące programów compliancew spółkach notowanych na giełdach papierów wartościowych w USA. Uchwaleniu tego aktu spowodowało umiędzynarodowienie zakresu oddziaływania amerykańskich norm compliance z racji obecności na rynku kapitałowym USA wielu zagranicznych podmiotów (w tym wielu europejskich). Podmioty objęte SOX muszą stosować normy amerykańskie również w ramach własnych struktur organizacyjnych poza USA. Innym przykładem regulowania obszarów corporatecomplianceprzy pomocy specjalnych aktów normatywnych jest uchwalony niedawno w Wielkiej Brytanii Bribery Act 2010[12]. Celem prac przy tej ustawie było stworzenie wysokiej jakości legislacji antykorupcyjnej jako pochodnej angielskiego prawa spółek handlowych.[13]
Równolegle do wymienionych prac legislacyjnych, w niektórych systemach prawnych, to doktryna prawna zaczęła wywodzić obowiązki corporate compliance z ogólnych, wcześniej już istniejących norm prawa spółek handlowych. Za przykład może tu posłużyć niemiecka ustawa akcyjna — Aktiengesetz z 1965 r.[14] Tutaj obowiązki wewnątrz spółki akcyjnej dotyczące corporate compliance są w pierwszej kolejnych interpretowane z obowiązku prowadzenia spraw spółki przez zarząd,[15] obowiązku zarządu do przeciwdziałania zdarzeniom grożącym egzystencji spółki[16] czy też norm odnoszących się do rady nadzorczej[17].
Normy dedykowane compliance są również często częścią regulacji tzw. soft-law i są częścią kodeksów dobrych praktyk ładu korporacyjnego. W takich przypadkach, kodeksy precyzują obowiązki z zakresu compliance jako część katalogu kompetencji organów spółek akcyjnych. Za przykład posłużyć może szwedzki kodeks dobrych praktyk, który między innymi wprowadza obowiązek monitorowania efektywności compliance.[18]
Obszernym źródłem norm compliance jest europejskie prawo nadzoru finansowego. Akty europejskie albo bezpośrednio poprzez rozporządzenia albo pośrednio za pomocą dyrektyw, wprowadzają do porządku prawnego państw-członków UE szeroki zakres wymagań, obejmujących podmioty świadczące usługi finansowe na terenie UE (np. towarzystwa ubezpieczeniowe, czy banki). Wymagania te wskazują nie tylko obszary programów compliance ale i obowiązki podmiotów objętych nadzorem finansowym w ramach tych obszarów. Prawo europejskie definiuje szereg obowiązków dotyczących organizacji compliance. Przykładowo nakładany jest na przedsiębiorstwa inwestycyjne[19] czy agencje ratingowe[20] a od 2014 r. na towarzystwa ubezpieczeniowe[21] obowiązek tworzenia wewnątrz własnych struktur organizacyjnych funkcji compliance. Odpowiednie wymagania odnośnie funkcji compliance zostały stworzone również dla banków w ramach prac Bazylejskiego Komitetu Nadzoru Bankowego.[22]
Corporate compliance a prawo polskie
Polskie prawodawstwo nie stworzyło żadnych autorskich norm, które regulowałyby funkcjonowanie compliance. Próżno szukać takich przepisów zarówno w kodeksie spółek handlowych[23] (k.s.h.) jak i w Dobrych Praktykach Spółek Notowanych na Giełdzie Papierów Wartościowych w Warszawie[24]. Wymagania corporate compliance w Polsce dotyczą jedynie podmiotów objętych nadzorem finansowym. Normy te zostały przyjęte w wyniku recepcji międzynarodowych standardów (np. akordów Bazylejskiego Komitetu Nadzoru Bankowego) oraz inicjatyw UE (np. MiFiD[25]). Przykładem takiej recepcji są przepisy Prawa bankowego zobowiązujące Banki do zapewnienia w ramach swojego systemu kontroli wewnętrznej „zgodności działania banku z przepisami prawa i regulacjami wewnętrznymi”, czyli innymi słowy corporate compliance.[26]
Mimo braku odpowiednich regulacji wymuszających funkcjonalne podejście do compliance, otoczenie regulacyjne polskich podmiotów jest równie kompleksowe jak innych podmiotów europejskich. W wielu przypadkach tworzenie funkcji, organizacji oraz programów compliance będzie zasadne również dla polskich podmiotów z poza sektora usług finansowych. Normą stanowiącą punkt wyjścia dla instytucjonalizacji corporate compliance w podmiotach korporacyjnych prowadzonych w formie spółki akcyjnej jest art. 368 § 1 k.s.h., w ramach którego zarząd na podstawie swych zarządczych kompetencji będzie mógł podjąć decyzję co do utworzenia wewnętrznej funkcji, organizacji oraz programu compliance. Radzie nadzorczej zaś w ramach uprawnień nadanych jej w art. 382 § 2 k.s.h. będzie przypadał nadzór nad aktywnością corporate compliance w spółce. Monitorowanie compliance może być również włączone do zadań komitetu audytu.
Funkcja compliance
W organizacji korporacyjnej pod pojęciem compliance kryją się wszystkie działania mające na celu zapewnienie przestrzegania norm zewnętrznych (przepisów prawa o charakterze powszechnie obowiązującym oraz tzw. soft law) oraz wewnętrznych (wewnętrzne regulacje w przedsiębiorstwie jak np. regulaminy) tak przez organizację jak i jej organy oraz pracowników. Przy takiej definicji, w praktyce korporacyjnej aktywności, które można nazwać mianem compliance, nie są niczym nowym. W podmiotach korporacyjnych od dawien dawna podejmowane są wszelakie działania mające na celu zapewnienie zgodności prawnej ich działań. Tym natomiast, co charakteryzowało dotychczasowe podejście dotyczące zapewnienia legalności, była silna decentralizacja oraz niski poziom koordynacji działań z zakresu compliance. Każdy odpowiedzialny za jakiekolwiek zadanie (task owner) był w istocie rzeczy sam odpowiedzialny za zapewnienie legalności własnych poczynań wewnątrz lub na rzecz organizacji, a w przypadku wątpliwości sam musiał szukać pomocy np. zwracając się do działu prawnego podmiotu o pomoc. W takim modelu, za wyjątkiem nielicznych obszarów (np. BHP), działania zmierzające do zapewnienia legalności podejmowane były zazwyczaj ad hoc w przypadku zaistnienia już problemu lub wątpliwości prawnej. Brakowało natomiast zakrojonych na szerszą skalę działań o charakterze prewencyjnym, które zwiększałyby wrażliwość prawną członków organizacji oraz wskazywałyby właściwe postępowanie w newralgicznych dla organizacji obszarach z punktu widzenia prawa, odpowiedzialności prawnej oraz etyki.
Wraz z dynamicznym oraz ekspansywnym rozwojem norm prawnych regulujących oraz sankcjonujących działalność gospodarczą oraz stałym zaostrzaniem przez ustawodawców na świecie odpowiedzialności podmiotów prawa spółek handlowych oraz ich organów za zapewnienie compliance, opisany wyżej model przestał zdawać egzamin. Brak skoordynowania oraz jednolitej kontroli na najwyższym poziomie działań o charakterze compliance, kończył się w ostatnich dwóch dziesięcioleciach różnego rodzaju skandalami korporacyjnymi.[27]
Odpowiedzią jaką przynosi w ostatnich latach nadzór korporacyjny na wyżej wskazane deficyty jest nowe spojrzenie na kwestię zapewnienia legalności oraz etyki działań podmiotów korporacyjnych oraz podniesienie tego obszaru do jednego z kluczowych elementów corporate governance (a nie redukowanie tej tematyki jedynie do sektora regulowanych usług finansowych). Kluczem dla nowego spojrzenia jest właśnie koncepcja corporate compliance.
Jedną z podstawowych innowacji nowego modelu jest wydzielenie oraz sprecyzowanie działań mających na celu zapewnienie legalności oraz etyki działań organizacji oraz włączenie ich do zespołu zadań nowej funkcji w przedsiębiorstwie — funkcji compliance. Owa funkcja, podobnie jak zarządzanie ryzykiem, obsługa prawna, audyt wewnętrzny lub controlling należy do tzw. funkcji wsparcia biznesowego (business suport functions). Celem takiej funkcji nie jest bezpośrednie tworzenie wartości przedsiębiorstwa (np. generowanie obrotu). Funkcja compliance ma na celu wsparcie pozostałych funkcji w ramach ich działalności, w tym przede wszystkich takich, które zajmują podstawowe miejsce w wewnętrznym łańcuchu tworzenia wartości (value chain). Przykładowo do zadania funkcji compliance należeć będzie odpowiednie wsparcie działu sprzedaży, tak aby zapewnić zgodność jego działań z prawem antymonopolowym. Przy tym, chociaż z definicji zadania funkcji compliance nie są skierowane na bezpośrednie tworzenie wartości przedsiębiorstwa, to w konsekwencji, efektywnie zorganizowane zarządzanie compliance (compliance management) będzie przyczyniać się pośrednio do budowania wartości podmiotu, choćby przez unikanie strat finansowych spowodowanych płaceniem kar za łamanie przepisów prawa przez podmiot czy poprzez budowanie lepszego wizerunku firmy, jako podmiotu, który szanuje prawo.
Koncepcja oddzielnego postrzegania funkcji compliance nie łączy się natomiast z postulatem pełnej organizacyjnej niezależności tej funkcji (np. poprzez konieczność tworzenie oddzielnego, dużego działu compliance). W compliance ważne jest oddzielne (np. wobec bieżącej obsługi prawnej lub controllingu) traktowanie zadań compliance oraz nadanie im ważnego miejsca w hierarchii organizacji. O sukcesie funkcji compliance decydować będzie centralna koordynacja oraz kontrola (np. na poziomie spółki matki, na wysokim szczeblu drabinki organizacyjnej) działań mających na celu zapewnienie legalności i etyki działalności organizacji (tzw. top-down approach) oraz inteligentne wbudowanie programu compliance we wszystkie, również te najniższe, szczeble organizacji, tak aby ewentualne problemy lub deficyty mogły być szybko raportowane w górę organizacji (tzw. bottom-up approach). Przy tym należy się kierować zasadą, iż „compliance jest sprawą szefa”[28]. Ważne jest zatem wsparcie funkcji compliance przez członków organów podmiotu (tzw. tone-at-the-top), którzy nadadzą jej działalności odpowiedniego znaczenia.
Zadania funkcji compliance
Wśród zadań jakie może wypełniać funkcja compliance można wskazać następujące:
ochrona
doradzanie
zarządzanie ryzykiem compliance
zarządzanie jakością
funkcja informacyjna oraz szkoleniowa
kontrola
wspomaganie innowacji
funkcja marketingowa
Funkcja compliance, dbając o zapewnienie zgodności działań organizacji z normami prawnymi oraz etycznymi chroni równocześnie podmiot korporacyjny przed skutkami nieprzestrzegania prawa (np. przed płaceniem kar lub wszelakimi powództwami). Ochrona ta polega przede wszystkim na działaniach prewencyjnych, mających na celu budowanie kultury compliance oraz uzupełnianiu tej kultury o wiedzę oraz narzędzia, tak aby redukować w przyszłości przypadki łamania prawa. Przy tym, rzecz jasna, nawet najlepsza organizacja compliance nie będzie w stanie kompletnie wyeliminować przypadków łamania prawa. Celem funkcji jest więc działanie efektywne, które w sposób maksymalny zredukuje przypadki nieprzestrzegania prawa oraz wyeliminuje wszelkie nielegalne lub nieetyczne działania, które w swoich skutkach grozić mogą istnieniu podmiotu korporacyjnego. Szczególną ochroną powinna funkcja compliance otoczyć organy spółki, w tym w pierwszej kolejności jej zarząd, ze względu na jego szczególną odpowiedzialność za spółkę oraz legalność jej działań.
Kolejnym ważnym zadaniem jest doradzanie. Funkcja compliance powinna być swoistym centrum kompetencyjnym podmiotu korporacyjnego w zakresie zapewniania legalności oraz etyki działań organizacji. Osoby odpowiadające za compliance powinny zatem znać otoczenie prawne organizacji ze szczególnym uwzględnieniem norm prawnych regulujących daną branżę, w której podmiot prowadzi działalność gospodarczą. Po drugie, osoby te powinny być świadome obszarów ryzyka, w których w danej organizacji dochodzi lub może dochodzić do działań naruszających prawo lub innych nadużyć oraz obszarów, w których obserwowana jest niepewność członków organizacji co do sposobu, w jaki mają się w danych sytuacjach legalnie i etycznie zachować. Po trzecie, osoby wypełniające zadania funkcji compliance powinny mieć wyczucie co do tego, jakimi instrumentami powinno się posługiwać w odniesieniu do wspomnianych obszarów ryzyka lub niepewności. Doradzanie zarządowi oraz radzie nadzorczej w tych trzech dziedzinach, należy do bieżącej działalności funkcji compliance. Ponadto, funkcja compliance będzie doradzać poszczególnym członkom organizacji w zakresie legalności i etyki postępowania. Newralgicznym punktem działalności funkcji compliance jest doradzanie przy tworzeniu regulacji wewnętrznych organizacji. Nacisk należy położyć na doradzanie a nie każdorazowe przejmowanie tworzenia tych regulacji.
Kolejny obszar działania funkcji compliance, wiąże się z monitorowaniem obszarów aktywności organizacji z punktu widzenia ryzyka naruszenia przez organizację lub jej członków norm prawnych i etycznych. Efektem takiego monitorowania jest identyfikacja kluczowych obszarów, w których ryzyko nielegalnego lub nieetycznego działania może wiązać się z uszczerbkiem finansowym podmiotu lub też utratą reputacji (tzw. ryzyka compliance). W odniesieniu do takich ryzyk, w wielu modelach funkcja compliance będzie odpowiedzialna za zarządzanie ryzykiem compliance, składające się z identyfikacji, oceny, odpowiedzi oraz monitoringu ryzyka uszczerbku finansowego lub ryzyka utraty reputacji przez podmiot spowodowanych naruszeniem prawa lub zasad etyki. Oczywiście w odniesieniu do ryzyk uszczerbku finansowego (tzw. quantitative risks) konieczna będzie co najmniej współpraca, jeśli nie delegacja zadania na rzecz funkcji zarządzania ryzykiem. Natomiast w przypadku niedających się skwantyfikować ryzyk odnoszących się do reputacji (tzw. qualitative risks) funkcja compliance może bazować na własnych zasobach. Tak zinstytucjonalizowane podejście pomoże równocześnie wprowadzić oraz utrwalić w organizacji wysoki standard poszanowania prawa, a co za tym idzie aktywność funkcji compliance będzie nosiła znamiona zarządzania jakością.
Zidentyfikowanie ryzyk compliance oraz obszarów niepewności co do właściwego (legalnego i etycznego) zachowania wewnątrz organizacji wiąże się z obowiązkiem odpowiedzi funkcji compliance na owe ryzyka. Taka odpowiedź może przybierać różne formy. Funkcja compliance może inicjować tworzenie regulacji wewnętrznych (a w niektórych przypadkach również sama takowe przygotowywać)[29]. Kolejną formą będzie komunikowanie lub udostępnianie informacji zawierających wzorce właściwego (legalnego i etycznego) postępowania. Funkcja compliance może przy tym inicjować przeprowadzanie szkoleń lub takowe samemu organizować. Odnosząc się do konkretnego przykładu, w przypadku, gdy zostanie wykryte, iż w praktyce działu sprzedaży świadomość norm prawa antymonopolowego jest dość niska, funkcja compliance może zalecić stworzenie standardów postępowania dla działu, dzięki którym jasnym stanie się jakie zachowanie będzie łamało normy prawne i wskazane zostanie jak postępować właściwie. Równocześnie dział compliance może zaopatrzyć pracowników działu sprzedaży w materiały informacyjne, które podniosą wrażliwość odnośnie prawa antymonopolowego. Alternatywnie funkcja compliance może przygotować odpowiednie szkolenia dla działu sprzedaży (np. jak postępować w przypadku kontroli zewnętrznej państwowego organu antymonopolowego).
Kolejnym zadaniem funkcji compliance jest kontrola.
W przeciwieństwie do audytu wewnętrznego reagującego co do zasady post factum tzn. przeprowadzającego kontrolę mającą na celu wykrycie uchybień i niewłaściwych zachowań już zaistniałych, kontrola wykonywana przez funkcję compliance ma charakter prewencyjny. Kontrolowane są określone elementy organizacji oraz jej funkcjonowanie pod kątem zapewnienia legalności oraz etyki działań oraz efektywności i adekwatności odpowiedzi na istniejące ryzyka compliance. Kontrola ta może być wykonywana między innymi w oparciu o wcześniej zdefiniowane kluczowe wskaźniki efektywności (key performance indicators, KPI), które obrazować będą jak dalece elementy programu compliance są zintegrowane w działalność podmiotu oraz na ile zdają one swoje zadanie. Praca funkcji compliance z KPI nabiera szczególnego znaczenia w dużych, wieloczłonowych podmiotach korporacyjnych działających w wielu państwach. Przy tym w obszarze kontroli, w praktyce, funkcja compliance dość blisko współdziała z funkcją audytu wewnętrznego.
Scentralizowane uporządkowanie podejścia organizacji do zapewnienia przestrzegania prawa oraz etyki może wywoływać ubocznie inne pozytywne skutki. Oryginale podejście do integracji funkcji compliance z innymi funkcjami wsparcia biznesowego, wysoki poziom zrozumienia otoczenia normatywnego podmiotu oraz wysokie standardy kultury compliance będą wspomagać efektywność organizacji, a tym samym mogą przyczyniać się do zwiększania poziomu jej innowacyjności. Z drugiej strony, odpowiedzialne podejście organizacji do przestrzegania prawa oraz etyki może być elementem, który będzie pomagał budować pozytywny wizerunek podmiotu korporacyjnego. Tym samym corporate compliance może zostać wykorzystany również w celach marketingowych.[30]
Miejsce funkcji compliance w organizacji podmiotu korporacyjnego
Jednym z podstawowych postulatów praktyki jest skoordynowanie działań compliance na wysokim szczeblu organizacji, w tym włączeniu tej tematyki do obszaru zainteresowań zarządu oraz rady nadzorczej. Punkt koordynacyjny powinien być zawieszony bezpośrednio poniżej poziomu zarządu, a odpowiedzialny za koordynację powinien podlegać bezpośrednio jednemu z członków zarządu (najlepiej CEO). Aktywność oraz wyniki zarządzania compliance powinny być w regularnych odstępach czasu (a w sytuacjach nadzwyczajnych ad hoc) dyskutowane jako punkt posiedzenia zarządu oraz rady nadzorczej. Równocześnie rada nadzorcza może wyłonić ze swojego grona dedykowany komitet (np. komitet audytu), który ze szczególnym naciskiem zajmować się będzie tematyką compliance.
Jak już zostało wcześniej wspomniane, autonomiczne spojrzenie na funkcję compliance nie łączy się z postulatem konieczności tworzenia rozległej oraz w pełni wydzielonej organizacji compliance. Zatem, w praktyce, w zależności od przyjętego modelu, funkcja compliance może być wypełniana przez odrębną komórkę organizacyjną (np. dział lub biuro) zajmującą się jedynie compliance. Alternatywnie zadania compliance mogą być wypełniane w działach organizacji, zajmujących się również innymi funkcjami. W niektórych przypadkach budowa wydzielonej organizacji compliance może okazać się koniecznością. Czynnikami, które będą przemawiały za utworzeniem oddzielnego działu compliance jest:
wielkość podmiotu korporacyjnego
skomplikowane otoczenie prawne i/lub etyczne podmiotu korporacyjnego
międzynarodowy charakter działalności podmiotu korporacyjnego połączony z koniecznością wypełniania norm wielu systemów prawnych
niski poziom kultury compliance lub zaistniałe znaczące problemy w zakresie compliance w organizacji.
Dedykowana organizacja compliance na wyższym poziomie organizacji korporacyjnej (np. istnienie działu compliance w spółce matce), nie wyklucza łączenia aktywności compliance z innymi funkcjami na niższych poziomach (np. spółkach córkach lub wnuczkach koncernu). W wielu wypadkach właśnie taki hybrydowy model może najlepiej zdawać egzamin. W takim wypadku, istotne jest zapewnienie ciągu decyzyjnego i raportowego wewnątrz grupy.
W przypadku łączenia wykonywania zadań compliance z wykonywaniem innych funkcji istnieją dwie reguły, których należy bezwzględnie przestrzegać. Po pierwsze, należy unikać tworzenia potencjalnych konfliktów interesów. Zadania funkcji compliance nie powinny być wykonywane w unii z zadaniami operacyjnymi. Przykładowo w grupie handlowej, członek działu sprzedaży lub zakupów co do zasady nie powinien równocześnie zajmować się koordynowaniem zadań compliance, gdyż w przypadku ewentualnych zachowań nieetycznych lub łamiących prawo mógłby mieć interes takowe tuszować lub ukrywać. Podobnie nie należy łączyć zadań funkcji compliance z inną działalnością kontrolną.
Przykładowo nie należy łączyć ze sobą kompetencji compliance z wewnętrznym audytem, gdyż w takim wypadku osoba odpowiedzialna za compliance audytowałaby równocześnie własną działalność. Drugą zasadą jest niezależność osób wypełniających zadania compliance. W przypadku, gdy pracownicy będą zajmować się compliance w połączeniu z innymi zadaniami, ich pozycja powinna być na tyle niezależna od ich przełożonego nie zajmującego się compliance, aby ten nie mógł na nich skutecznie wpływać w zakresie ich aktywności compliance. Należy zatem rozdzielić odpowiedzialność, podległość służbową oraz raportowanie pracownika w odniesieniu do zadań z zakresu funkcji compliance od odpowiedzialności, podległości służbowej oraz raportowania w pozostałych obszarach. W praktyce, w przypadku organizacyjnego łączenia funkcji compliance z innymi funkcjami, najczęściej łączy się compliance z obsługą prawną podmiotu lub controllingiem. Takie połączenie pozwala uzyskać najwięcej synergii.
Chief compliance officer oraz compliance officer
Wraz z rozwojem corporate compliance wykształciła się również nowa grupa pracowników podmiotu korporacyjnej określana z ang. mianem compliance officer. Oddzielne określenie nowej grupy zawodowej zajmującej się zadaniami z zakresu compliance miała na celu podkreślić specyficzną rolę i pozycję corporate compliance w organizacji korporacyjnej. Compliance officer powinien posiadać dostatecznie silną i niezależną pozycję tak aby móc aktywnie wpływać na (legalne i etyczne) zachowanie członków organizacji i w przypadku wykrycia wątpliwych etycznie lub prawnie poczynań takowym się przeciwstawiać (włącznie z inicjowaniem środków dyscyplinujących). Z drugiej strony z racji swoich obowiązków, compliance officer ponosi co do zasady wyższą odpowiedzialność za swoje działania, a w niektórych systemach prawnych pełni również rolę gwaranta legalności działań podmiotu korporacyjnego[31].
Osoba odpowiedzialna za całą funkcję compliance, a zarazem koordynującą wszystkie aktywności compliance w organizacji korporacyjnej nazywana jest mianem chief compliance officer (CCO). Osoba taka jest postawiona wysoko w hierarchii podmiotu lub grupy i powinna raportować bezpośrednio do zarządu i podlegać służbowo bezpośrednio jednemu z jego członków. Taka pozycja konieczna jest ze względu na konieczność szybkiej komunikacji z zarządem w kwestiach compliance (np. przy eskalacjach) oraz zapewnienie sprawnego procesu decyzyjnego. W praktyce CCO pełni najczęściej swoją funkcja wraz z szefowaniem działowi obsługi prawnej podmiotu. Zdarzają się również przypadki, gdy funkcja CCO jest sprawowana samoistnie (szczególnie w branży finansowej). W szczególnych wypadkach funkcja CCO będzie sprawowana przez członka zarządu.[32]
Pozostałe osoby pracujące w obrębie funkcji compliance określa się jako compliance officer (alternatywnie używane są również określenia compliance manager lub compliance counsel). Compliance officer powinien demonstrować duże wyczucie prawne i etyczne, a z drugiej strony powinien posiadać rozwinięte zdolności komunikacyjne oraz interpersonalne, tak aby móc „sprzedawać” compliance wewnątrz organizacji. Kolejnymi atutami będzie zrozumienie branży, biznesu oraz działalności podmiotu, w którym pełni swoją funkcję. Powinien również cechować się zdolnością do samodzielnej pracy, niezależnością oraz integralną osobowością. W praktyce, receptą na sukces organizacji compliance będzie jej interdyscyplinarność. Z jednej strony kompetencje w zakresie monitorowania otoczenia prawnego, tworzenia regulacji wewnętrznych oraz oceny przypadków łamania prawa lub etyki będzie dostarczała osoba z wykształceniem prawniczym. Z drugiej strony kompetencje ekonomiczne oraz komunikacyjne będą przydatne przy tworzeniu materiałów o tematyce compliance dla organizacji oraz przygotowywaniu i przeprowadzaniu szkoleń. Uzupełnieniem będą zdolności w zakresie informatyki, gdyż system IT podmiotu korporacyjnego daje wiele możliwości budowania narzędzi oraz komunikacji programu compliance.
Whistleblowing oraz helpline
Ważnym elementem corporate compliance jest zjawisko nazywane z ang. whistleblowing. Najpopularniejsza bodaj definicja whistleblowing o kreśla to zjawisko jako ujawnienie przez byłego lub obecnego pracownika samej organizacji lub przez osobą za nią odpowiedzialną przypadków zachowania niezgodnego z prawem lub wewnętrznymi zasadami organizacji bądź zachowania nieetycznego.[33] Chodzi zatem o dobrowolne ujawnienie wewnątrz organizacji przypadku niezachowania compliance. Pozytywnym elementem zjawiska whistleblowing jest możliwość zajęcia się zjawiskami patologicznymi wewnątrz organizacji bez ingerencji zewnętrznej oraz bez ujawnienia faktu takiego zdarzenia opinii publicznej. Whistleblowingstanowi element większości programów compliance. Projektując architekturę corporate compliance wewnątrz organizacji warto wbudować w nią whistleblowing ustanawiając kanał komunikacyjny, przy pomocy którego przynależący do organizacji będą mogli z gwarancją zachowania anonimowości zgłosić przypadek złamania prawa, wewnętrznych zasad lub etyki. Tożsamość osoby zgłaszającej powinna być zanana jedynie osobie odpowiedzialnej w ramach funkcji compliance za przyjmowanie i zarządzanie przypadkami zachowań bezprawnych lub nieetycznych (tzw. case management). Kolejnym etapem jest zdefiniowanie procedury przyjmowania, opracowywania oraz raportowania zgłoszeń a także inicjowanie sankcjonowania niepożądanych zdarzeń. W praktyce do zgłoszeń w ramach whistleblowing są używane zewnętrzne lub wewnętrzne platformy elektroniczne. Zgłoszenia mogą być również dokonywane upoważnionej zewnętrznej kancelarii prawniczej.[34]
Kolejnym elementem corporate compliance jest tworzenie tzw. helplines – z ang. linii pomocy. Helplines przyjmują postać specjalnych linii telefonicznych lub skrzynek poczty elektronicznych, z których członkowie organizacji mogą korzystać, gdy mają wątpliwości co do tego, jak w danej sytuacji powinni się zachować, aby nie złamać prawa, wewnętrznych reguł organizacji lub zasad etyki. Takie linie pomocy będą zatem doraźnym środkiem podnoszenia wrażliwości prawnej oraz etycznej wewnątrz organizacji. Warto wraz z utworzeniem helplines wprowadzić okrojony case management, tak aby zapytania dokumentować i być w stanie identyfikować powtarzalne zapytania. Dzięki takiej identyfikacji, funkcja compliance otrzyma, oprócz doraźnej reakcji, szansę przeprowadzenia szerszych przedsięwzięć o charakterze informacyjnym (np. może rozdać materiały informacyjne) lub szkoleniowym. Helplines sprawdzają się szczególnie w większych, wieloczłonowych lub międzynarodowych podmiotach korporacyjnych.
Obszary programu compliance
Dla efektywnego zarządzania compliance ważnym jest zdefiniowanie jakimi dziedzinami „życia” oraz działalności organizacji będzie zajmować się funkcja compliance. W pierwszym kroku, każda organizacja powinna dokonać analizy jakie bloki (obszary) tematyczne będą mieć z punktu widzenia legalności oraz etyki działań podstawowe znaczenie. Proces identyfikowania obszarów będzie przy tym towarzyszył tworzeniu struktur organizacyjnych funkcji compliance w podmiocie korporacyjnym. Zdefiniowane bloki tematyczne będą następnie objęte programem compliance, który będzie określać w jaki sposób obszary te będą wypełniane treścią compliance (np. w jakich obszarach należy stworzyć regulacje wewnętrzne, gdzie potrzebne są dodatkowe materiały informacyjne a gdzie szkolenia itp.). Należy przy tym podkreślić, iż nie istnieje jeden uniwersalny wzorzec obszarów programu compliance. To jakie bloki tematyczne będą objęte programem zależeć będzie w pierwszej kolejności od otoczenia prawnego (regulacyjnego) podmiotu — czyli jakie regulacje prowadzenia działalności gospodarczej dany podmiot obowiązują (np. jakie regulacje sektorowe istnieją). To otoczenie prawne będzie zyskiwać na kompleksowości, gdy podmiot będzie działał w różnych państwach — czyli będzie objęty regulacjami wielu systemów prawnych — lub jeśli jego pozycja na danym rynku będzie szczególna (np. casus podmiotu dominującego). Drugim elementem determinującym będą własne doświadczenia organizacji co do tego, w jakich obszarach aktywności danego podmiotu będą się kryły szczególne ryzyka compliance.
Posługując się konkretnymi przykładami, w przypadku banku ważnymi obszarami programu compliance ze względu na sektorowe otoczenie regulacyjne będzie między innymi wypełnienie wymogów kapitałowych, przeciwdziałanie praniu brudnych pieniędzy, wypełnianie obowiązków organizacyjnych odnośnie do zarządzania ryzykiem oraz wewnętrznych systemów kontroli. Dla dużej grupy handlowej ważnymi obszarami będą między innymi zakupy, sprzedaż, prawo antymonopolowe czy transport gotówki. Zaś międzynarodowy koncern chemiczny, którego akcje spółki matki notowane są w Europie oraz USA program compliance powinien obejmować między innymi zgodność z SOX, przeciwdziałanie wykorzystaniu poufnych informacji w transakcjach (insider trading) oraz przestrzeganie wymogów REACH (ang. Registration, Evaluation and Authorisation of Chemicals) czyli przepisów rozporządzenia Parlamentu Europejskiego i Rady 1907/2006/WE dotyczącego bezpiecznego stosowania chemikaliów, poprzez ich rejestrację i ocenę, oraz w niektórych przypadkach udzielania zezwoleń i ograniczenia handlu i stosowania niektórych chemikaliów.
Podsumowanie
Zapewnienie zgodności działań podmiotu korporacyjnego z przepisami prawa oraz zasadami etycznymi stanowi w dzisiejszych czasach duże wyzwanie dla świata korporacyjnego. Organizacje mogą dziś wprowadzać nowoczesne zarządzanie zgodnością prawną dzięki koncepcji corporate compliance. Równocześnie compliance staje się ważnym element ładu korporacyjnego. Chociaż, z wyjątkiem sektora nadzorowanych usług finansowych, dzisiejsze polskie prawo spółek handlowych oraz normy dobrych praktyk korporacyjnych nie zobowiązują podmiotów do tworzenia funkcji, organizacji oraz programów compliance, wprowadzanie takowych do organizacji korporacyjnej może przynieść dla niej wiele pozytywnego. Ważne jest przy tym, aby pojmować zadania compliance, jako samoistne oraz oddzielne od zadań innych funkcji. Przy tym autonomiczne pojmowanie funkcji compliance, nie musi oznaczać dla podmiotu korporacyjnego konieczności budowania w pełni wydzielonej, samoistnej organizacji compliance. Decyzja co do organizacyjnego wypełnienia funkcji compliance powinna następować po indywidualnej ocenie cech podmiotu oraz jego otoczenia regulacyjnego. Przy corporate compliance nacisk powinien być położony w pierwszej kolejności na tworzenie procedur oraz treści, które pozwolą na rozwój kultury compliance w organizacji.
Artykuł ukazał się oryginalnie w czasopiśmie Przegląd Corporate Governance nr 7/2012.
* * *
Mateusz Korus, radca prawny, doktor nauk prawnych - specjalizuje się w prawie spółek oraz zagadnieniu zgodności prawnej (compliance). Posiada wieloletnie doświadczenie w zakresie tworzenia programów compliance oraz doradzania w kwestiach dotyczących zgodności prawnej.
Przypisy:
[1]Zob tłumaczenie słowa compliance w J. Jaślan, H. Jaślan, Słownik terminologii prawniczej i ekonomicznej angielsko-polski, Warszawa 2009, s. 141.
[2]Por. A. Tarantino, w: Governance, Risk, and Compliance Handbook, red. A. Tarantino, Hoboken (New Jersey) 2008, s. 21–22.
[3]Por. J. Rodewald, U. Unger, Corporate Compliance — Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, Betriebsberater 2006, Nr. 3, s. 113.
[4]Pierwszoplanowe znaczenie ma tu uchwalenie w USA Sarbanes-Oxley Act– por. przypis 11.
[5]Chodzi tu o dodanie rozdziału ósmego (Chapter eight) obejmującego orzekanie wobec pozwanej organizacji. Tekst rozdziału ósmego w wersji z 1991 r. dostępny na stronie internetowej: http://www.ussc.gov/Guidelines/1991_guidelines/Manual_PDF/Chapter_8.pdf.
[6]C. Basri, R. Walker, International Corporate Compliance, w: International Corporate Practice, red. C. Basri, Nowy Jork 2007, rozdz. 6 s. 12.
[7]Na gruncie Australia Criminal Code Act, Act №12 of 1995z późn. zm., tekst aktu dostępny na stronie internetowej: http://www.comlaw.gov.au/Details/C2012C00451.
[8]Na gruncie Ley Orgánica 10/1995, de 23 de noviembre, del Código Penalwraz ze zmianami wprowadzonymi na mocy Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal,Boletín Oficial del Estado ( B.O.E ), Nr 152/2010, s. 54811.
[9]Por. rozdz. 2 sekcja 12.3 para. 6 Australia Criminal Code Actz 1995 r.
[10]Por. art. 31 bis para. 4 d) Ley Orgánica 10/1995, Código Penal.
[11]Public Law 107–204 of July 30, 2002, 107th Congress, H.R.3763, tekst aktu dostępny na stronie internetowej: http://www.sec.gov/about/laws/soa2002.pdf.
[12]Bribery Act 2010, Chapter 23, tekst aktu dostępny na stronie internetowej: http://www.legislation.gov.uk/ukpga/2010/23/pdfs/ukpga_20100023_en.pdf.
[13]Norton Rose Group, Global anti-corruption developments — Annual review 2011 Report, Londyn 2011, s. 14.
[14]Aktiengesetz vom 6. September 1965, BGBl. I S. 1089.
[15]Por. § 76 ust. 1 w połączeniu z § 93 Aktiengesetz.
[16]Por. § 91 ust. 2 Aktiengesetz.
[17]Por. między innymi § 111 ust. 1 oraz § 107 ust. 3 Aktiengesetz.
[18]Por. reguła 3.1.5 Svensk kod för bolagsstyrning (The Swedish Code of Corporate Governance) wydanego przez Kollegiet för Svensk Bolagsstyrning (Swedish Corporate Governance Board), tekst aktu dostępny na stronie internetowej: http://www.corporategovernanceboard.se.
[19]Por. art. 6 Dyrektywy Komisji 2006/73/WE z dnia 10 sierpnia 2006 r. wprowadzającej środki wykonawcze do dyrektywy 2004/39/WE Parlamentu Europejskiego i Rady w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez przedsiębiorstwa inwestycyjne oraz pojęć zdefiniowanych na potrzeby tejże dyrektywy, Dz.U. UE L 241 z 2.9.2006 r., s. 26 — polska wersja językowa zamiast sformułowania „funkcja compliance” posługuje się określeniem „komórka ds. nadzoru zgodności z prawem”.
[20]Por. załącznik I sekcja A ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady 1060/2009/WE z dnia 16 września 2009 r. w sprawie agencji ratingowych, Dz.U. UE L 302 z 17.11.2009 r., s. 1 — polska wersja językowa zamiast sformułowania „funkcja compliance” posługuje się określeniem „komórka ds. nadzoru zgodności z prawem”.
[21]Por. art. 46 Dyrektywy Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II), Dz.U. UE L 335 z 17.12.2009 r., s. 1.
[22]Zob. Bazylejski Komitet Nadzoru Bankowego, Compliance and the compliance function in banks (2005), tekst aktu dostępny na stronie internetowej: http://www.bis.org/publ/bcbs113.pdf.
[23]Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych, Dz. U. z 2008 poz. 1381 z późn. zm.
[24]Tekst aktu dostępny na stronie internetowej: http://www.corp-gov.gpw.pl/publications.asp.
[25]Nazwa jest skrótem ang. nazwy Markets in Financial Instruments Directive (Dyrektywa w sprawie rynków instrumentów finansowych) a odnosi się do całego szeregu norm dotyczących podmiotów zajmujących się regulowanym obrotem instrumentami finansowymi.
[26]Por. art. 9c ust. 1 pkt 3) ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, Dz. U. z 1997 r. Nr 140, poz. 939 z późn. zm.
[27]Przykładowo skandale korporacyjne Enronaoraz WorldCom w USA, które zmotywowały ustawodawcę amerykańskiego do uchwalenia SOX; skandale korupcyjne wokół Siemens AGa ostatnio Man SE w Niemczech, które zdopingowały niemiecką praktykę korporacyjną do głębszego zajęcia się kwestią corporatecompliance, czy prominentny skandal korporacyjny wokół francuskiej grupy petrochemicznej Total dotyczący nieprawidłowości przy programie ONZ Oil for food.
[28]Określenie to pochodzi z Niemiec (niem. Compliance ist Chefsache), trudno określić kto pierwszy się nim posłużył.
[29]Np. w zakresie reguł przyjmowania przez członków organizacji upominków lub innych korzyści w ramach ich działalności na rzecz organizacji.
[30]Swój rozbudowany compliancemanagement wykorzystuje w celach marketingowych między innymi niemiecki Siemens. Warto tu przytoczyć, iż Siemens określa swój program oraz kulturę compliancejako tzw. value driver, czyli element budujący wartość korporacji.
[31]Taki model istnieje w Niemczech, gdzie Sąd Najwyższy (Bundesgerichtshof) w wyroku z 17.07.2009 (Az 5 StR 394/08) wskazał, iż compliance officer pełni w organizacji obowiązki gwaranta (niem. Garantenpflicht), gdyż jego działalność nakierowana jest w zapewnienie zgodności prawnej działań organizacji oraz jej pracowników. W związku z tym również jego odpowiedzialność karna podlega odpowiedniemu zaostrzeniu.
[32]Taki model został przyjęty w niemieckiej Ferrostal AG, gdzie po skandalu korupcyjnym do zarządu został powołany członek (Andreas Pohlmann), który odpowiadał jedynie za compliance grupy. W 2011 r. Andreas Pohlmann zrezygnował z funkcji tłumacząc się za małym wsparciem, jakie otrzymał od akcjonariuszy.
[33]T. M. Dworkin, Whistleblowing, MNCs, and Peace, Vanderbilt Journal of Transnational Law, Vol. 35 Nr 2, s. 461.
[34]Takie rozwiązanie przyjęła niemiecka grupa metalurgiczna ThyssenKrupp, która wśród wiodących kancelarii, wybrała tą, z którą łączyło ją najmniej kontaktów biznesowych i zleciła jej zajmowaniem się case managementem w ramach whistleblowing.