Compliance: plnění právních povinností chytře, nebo efektivně? Obojí!

Compliance management systém musí být přizpůsobený podmínkám organizace, struktuře, produktům, které dodává, interním procesům a rizikům, kterým čelí.

Compliance: plnění právních povinností chytře, nebo efektivně? Obojí!

Můj job: Compliance Officer

S funkcí compliance, se zaměstnancem či útvarem, který v rámci organizace dbá na dodržování předpisů, se v praxi setkáváme zejména u větších společností. Duhou možností je, pokud to po nás vyžaduje sektorová úprava (např. oblast finančních služeb).

Řada společností rovněž řeší tzv. trestněprávní compliance, tzn. že zavádí systémy proto, aby v rámci své činnosti předešla spáchání trestného činu a vyhnula se trestní odpovědnosti dané právnické osoby jako celku. S tím, jak se regulace v některých sektorech ale i obecně stává stále komplexnější, však bude prakticky každý podnik a podnikatel řešit otázku:

Jak efektivně vyřešit požadavky různých zákonů, vyhlášek a nařízení?

Compliance je však důležité i ve státních organizacích, kde sice porušení některých předpisů znamená hrozbu menší pokuty, s ohledem na specifika veřejného sektoru však může přinést rizika jiná pro všechny zainteresované osoby. 

Můj pohled na Compliance

Praktickým dopadům regulace a zavádění a posuzování compliance systémů se věnuje více než 15 let, zejména v oblasti zpracování a ochrany osobních údajů, informací a řízení rizik.

Ve společnosti TAYLLORCOX pracuji jako Compliance Auditor pro klienty. Jsem certifikovaným trenérem programu Compliance Officer a podílel jsem se na jeho nostrifikaci do českého legislativního prostředí. Od roku 2016 se navíc podílím na nastavování a provozu compliance systémů v různých finančních institucích.

Kolem korporátního compliance je stále nejasných několik otázek. Těmi základními  jsou:

  • Co je to compliance management systém?

  • K čemu může být organizaci compliance management systém užitečný?

  • Které další procesy nebo postupy, které už má organizace zavedeny, lze také využít?

  • Jak se zaváděním compliance management systému začít, jak compliance rizika řídit efektivně, smysluplně a s minimálními náklady?  

Compliance? Compliance!

Dnes již i na menší podniky a veřejné organizace dopadá mnoho právních povinností. Od požadavků na kvalitu výrobků či služeb, bezpečnost práce, ochranu informací, pravidla pro využívání cloudových řešení, ochranu osobních údajů, zákonná pravidla pro komunikaci s klienty, povinnosti vyplývající ze smluv se zákazníky nebo ze sektorové regulace (energetika, telekomunikace, pojišťovnictví, zdravotnictví atd.) až po řadu dokumentačních a evidenčních povinností atd. 

Další povinnosti mohou vyplývat z licence či povolení ke konkrétní činnosti, ze standardů či certifikátů, kterými je organizace vázána (např. normy ISO 19600) nebo kodexů chování, ke kterým se daná organizace dobrovolně zavázala. 

Compliance jako systém, ne stav

Compliance lze definovat jako soustavu provázaných procesů a postupů. Jejich cílem je řídit a v maximální možné míře zajišťovat plnění všech povinností organizace vyplývající z právních předpisů, licencí, certifikátů, tak i vnitřních směrnic či smluv s klienty. Nedílnou součástí systému je identifikace compliance rizik, tzn. rizik, že organizace nebude postupovat v souladu s některou ze svých povinností, a nastavění kroků pro snížení těchto rizik na přijatelnou úroveň. 

Co všechno compliance zahrnuje?

Když se řekne compliance, můžeme si představit tyto tři okruhy činností:

  • Plnění požadavků organizace 

  • Specifické compliance nástroje

  • Compliance management systém

Na každou organizaci dopadají určité právní požadavky, ať už se týkají předmětu její činnosti (zdravotnictví, distribuce energií, výroba automobilů, finanční služby, e-commerce), jejího vztahu k zaměstnancům (BOZP) či některé sektorové regulace, které dopadají prakticky na každého (GDPR). Stejně tak může organizace řešit některé specifické požadavky plynoucí ze smluv se svými klienty, z požadavků mateřské společnosti či z existujících certifikací. 

Pro identifikaci a snížení compliance rizik lze nastavit procesy v různých oblastech, od řízení střetu zájmů zaměstnanců, přes whistleblowing kanál až po opatření k předcházení korupce či nevhodného chování na pracovišti. 

Zavedené compliance management systému, díky kterém lze compliance rizika řídit komplexně a efektivně, je vhodné zejména pro střední a větší podniky nebo pro podniky, které se vystavují vyšším rizikům. Některé prvky compliance systému, např. pravidelné mapování a hodnocení rizik, pravidla pro interní a externí reporting, školení zaměstnanců atd. jsou však vhodná prakticky pro každou organizaci. 

Administrativní zátěž nebo konkurenční výhoda?

Při pohledu na pouhý výčet zákonů a vyhlášek, které na podnikatele či veřejnou instituci dopadají, se můžeme často setkat s názorem, že regulace je příliš komplikovaná a přebujelá. Proto se, podle některých, nemá smysl ani moc snažit všechny předpisy znát a dodržovat, protože to stejně nejde. Lepší je spolehnout se na štěstí a doufat, že zrovna nás si nikdo nevšimne.

Tento přístup, jakkoliv může být z jistého úhlu pohledu pochopitelný, není dlouhodobě udržitelný a dříve nebo později každého dožene. A nemusí se vždy jednat zrovna o kontrolu z úřadu nebo zahájení trestního řízení. Situací, kdy budeme litovat, že jsme funkci compliance nebrali vážně, může být mnohem více. 

Proti čemu firmu a její vedení compliance program ochrání?

Korporátní compliance poskytuje efektivní ochranu členům statutárních orgánů právnické osoby. Protože statutáři mohou být v případě, kdy nezabránili protiprávnímu jednání, či jiným porušením svých povinností přispějí k úpadku společnosti, postiženi i na svém soukromém majetku.

Díky rozumně a efektivně nastavenému compliance management systému můžeme pro sebe a své okolí dosáhnout dalších benefitů: 

  • Silnější kontrola nad interními procesy, možnost odhalit nedostatky či slabiny

  • Ujištění, že organizace neporušuje žádné předpisy ani soukromoprávní závazky

  • Ochranu proti trestnímu stíhání firmy, jehož důsledkem může být mj. vyloučení z veřejných zakázek

  • Eliminace právních rizik, pokut od dozorového úřadu, odebrání licence, náhrady škody či neplatnost uzavřených smluv

  • Využití benefitů plynoucích z certifikace nebo přihlášení se ke kodexu chování, např. v oblasti bezpečnosti informací nebo GDPR

Jak na compliance efektivně a s rozumem?

Každý compliance management systém musí být přizpůsobený podmínkám konkrétní organizace, její struktuře, produktům, které nabízí, interním procesům a skutečným rizikům, kterým čelí.

Rozhodně neplatí, že čím komplikovanější compliance systém je, tím lépe. Naopak, v řadě případů můžeme konstatovat, že příliš robustní, všeobjímající a formálně dokonalý compliance management systém přejatý třeba od mateřské společnosti nebo připravený externími konzultanty může přinést více škody než užitku. 

Pokud compliance systém nebude organizaci šitý na míru, nejenže jí nepomůže najít a vyřešit ta největší rizika, ale bude naopak každodenní činnost komplikovat, zpomalovat a prodražovat. 

A pokud existencí takovéhoto systému bude organizace argumentovat při kontrole nebo v trestním řízení, tak jí to rovněž nepomůže. Nedostatečně customizované compliance systémy, které neodrážejí realitu organizace, totiž v praxi nejsou přijímány jako důkaz skutečné snahy zabránit porušení předpisů.

Pro efektivní implementaci compliance management systému jsou nezbytné následující kroky: 

  • Znát svoji organizaci. Vědět, co dělá, proč to dělá, jaké na ni dopadají povinnosti. Regulace, smlouvy, požadavky mateřské společnosti, kodexy chování, certifikace atd. 

  • Zmapovat relevantní procesy, např. jak organizace vyrábí a distribuuje své produkty, jak hlídá svá aktiva, zajišťuje bezpečnost a ochranu majetku na pracovišti, jak si ověřuje své dodavatele, komunikuje s klienty, spravuje databáze klientských dat.

  • Po zmapování právních povinností, aktiv a procesů je nutno identifikovat, jaká a jak vážná rizika organizaci hrozí, pokud by porušila (porušovala) některou právní povinnost. 

  • Mapování právních povinností a jejich změn, aktiv a souvisejících rizik je nutno nastavit jako opakující se proces, nikoliv to provést jako jednorázové cvičení.

  • Určit role jednotlivých osob či útvarů: business, distribuce, IT, legal, HR, vedení organizace i compliance.

  • Zdokumentovat a popsat celý proces, upravit jej ve vnitřním předpisu a informovat o něm v nezbytném rozsahu zaměstnance. 

Co lze využít při zavádění compliance management systému (CMS)?

Součástí mapování procesů by měl být i soupis toho, jaké kroky v oblasti compliance už společnost fakticky podniká, aniž by třeba pojem compliance vůbec používala. Může se jednat o dílčí oblasti, jako je zajišťování kvality výrobků, BOZP, ověřování dodavatelů či obchodních partnerů atd. Stejně tak může v organizaci fungovat proces pro soulad s GDPR, proces k zajištění kybernetické bezpečnosti, nebo některá z ISO certifikací. 

Vždy je vhodné analyzovat, které prvky by bylo možné zobecnit a využít pro celkové řízení compliance rizik nebo pro pokrytí více z nich. Ať už se jedná o proces identifikace některých aktiv, který je možné rozšířit na celou společnost, odborné školení pro zaměstnance, řízení bezpečnostních a provozních incidentů nebo výběr dodavatelů, obvykle existuje možnost, jak efektivně využít procesu, který již v organizaci je zaveden a který zaměstnanci znají, i pro další compliance oblasti.