Pojem compliance je definován jako snaha po souladu činnosti organizace s pravidly. Obecně závaznými pravidly (zákony, regulace), ale i dobrovolně přijatými závazky, ve formě implementovaných standardů, certifikací, kodexů chování atd.
Cílem compliance útvarů je zajistit, aby organizace při své činnosti neporušovala obecně závazné předpisy, smlouvy s dodavateli a klienty, své interní směrnice ani další, dobrovolně přijaté závazky.
Zdá se to celkem jednoduché: Všechno budeme dělat správně, klienty ani dodavatele podvádět nebudeme, budeme včas platit faktury a nebudeme nikoho podplácet. Tak co se může stát?
Od švýcarské banky ke švédskému výrobci telefonů
Co se může stát? Pojďme si to ukázat na několika aktuálních případech.
Nedávno v médiích rezonoval únik informací ze švýcarské banky Credit Suisse. Podle zveřejněných dokumentů tato banka poskytovala své produkty různým daňovým podvodníkům, drogovým dealerům, osobám napojeným na diktátorské režimy nebo na zločinecké struktury. A dělala to zcela vědomě, nebo alespoň úmyslně nedělala nic proto, aby svoje související povinnosti dodržela. Čelí za to nejen reputačnímu riziku, ale i riziku pokuty od regulátora, který vymáhá i ve Švýcarsku existující pravidla proti praní špinavých peněz, zhoršení vztahů s korespondenčními bankami v dalších státech a celkově výrazné finanční ztrátě.
Finanční ztráta se již materializovala v obdobně eticky problematické kauze. Ta se týká švédské společnosti Ericsson a korupce.
Firma Ericsson sice má nastavený interní compliance program, který má předcházet korupci, ale soudě podle jeho výsledků není zcela dokonalý. Ericsson se tak například v roce 2019 dohodl s americkými federálními úřady na vyrovnání ve výši 1 miliardy amerických dolarů. Toto vyrovnání se týkalo několika případů, kdy byla společnost podezřelá právě z korupčního jednání, například v Číně, Džibuti či Vietnamu.
Ve stejném roce, 2019, společnost Ericsson zahájila interní vyšetřování obchodních praktik svých zaměstnanců na Blízkém východě. Vyšetřování odhalilo závažná podezření z možného předávání úplatků představitelům tzv. Islámského státu. Výsledky vyšetřování se před dostaly na veřejnost a hodnota akcií firmy na stockholmské burze rázem klesla o 7 %.
A irský úřad zase v roce 2023 společnosti Meta (provozovatel sociálních sítí a aplikací Facebook, WhatsApp atd.) uložil astronomickou pokutu za porušení GDPR. Ve výši 1,2 miliardy euro. Kolik to je v českých korunách? Pro většinu z nás těžko představitelných 29 miliard Kč.
5 důvodů pro zavedení compliance systému
Compliance není téma jen pro velké, nadnárodní společnosti, a neřeší jenom korupci nebo zneužívání klientských dat.
Proč by měla o alespoň základním compliance systému uvažovat každá organizace, obchodní společnost, firma, úřad či územně samosprávný celek?
Je pro to nejméně pět dobrých důvodů:
1) Regulace stále bobtná
Počet směrnic, nařízení, zákonů, vyhlášek a metodik se rozhodně nesnižuje. Evropská unie i český parlament chrlí nové předpisy, dozorové úřady nezahálejí a výsledkem je poněkud nepřehledná spleť dokumentů a pravidel, ve které se do detailu vyznají jen úzce zaměření experti.
Věděli jste například, že metodika k vyřízení práva na přístup k osobním údajům podle GDPR má 60 stran? A to se jedná jen o jedno z mnoha práv a povinností upravených v GDPR (https://www.tx.cz/gdpr).
Říkají vám něco pojmy jako whistleblowing (https://www.tx.cz/whistleblowing)? Nebo ePrivacy (https://www.tx.cz/eprivacy)? Pokud tato témata neřešíte, tak byste rozhodně měli začít. Sami kvůli sobě, ochraně svých zájmů a svého majetku. A také kvůli regulaci, které se v této oblasti mění a bude měnit.
2) Pokuty se zvyšují
Již řadu let sledujeme jednoznačný trend zvyšování pokut. A nejedná se jen o notoricky známé GDPR, které maximální pokutu za porušení pravidel pro zpracování osobních údajů zvýšilo z dřívějších 10 milionů korun na 20 milionů euro nebo 4 % z ročního obratu. Byť i tato změna se již v praxi projevuje (https://www.tx.cz/blog/gdpr-pokuty-az-miliarda-korun).
Pokuty se ale zvyšují i v řadě dalších oblastí: Ochraně hospodářské soutěže, kybernetické bezpečnosti ochraně spotřebitele, pravidlech pro předcházení praní špinavých peněz atd. A na obzoru je ePrivacy nařízení, které má za cíl pokuty za porušení pravidel pro ochranu soukromí online, třeba pro využívání cookies nebo online marketingu, sladit s pokutami nastavenými v GDPR (https://www.tx.cz/blog/gdpr-nasleduje-eprivacy-prisni-pravidla-elektronicke-komunikace).
3) Blíží se hromadné žaloby
Česká republika je povinna zavést zákon o tzv. hromadných žalobách. Ukládá nám to směrnice EU o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů.
Předmětem této regulace, v podmínkách České republiky zcela nové, je možnost spotřebitelů, klientů, jednodušeji a rychleji uplatnit svá práva vůči konkrétního podnikateli u soudu. Jinými slovy, tam, kde dnes hrozí jedna dvě kvalifikované žaloby nespokojeného klienta za rok, bude příští rok hrozit hromadná žaloba stovek či tisíců klientů. Ti sice jednotlivě mohou požadovat jen malou kompenzaci, v celkovém počtu už to ale může představovat významnou částku. A nový zákon jim jejich společný postup výrazně usnadní.
4) Může jít firma do vězení?
Ne, samozřejmě nemůže. Ale již řadu let mohou být obchodní společnosti trestně stíhány, třeba za porušení pravidel hospodářské soutěže nebo korupci. Hrozí jim nejen pokuty, ale i zákaz účasti ve veřejných zakázkách nebo úplné zrušení společnosti. Ccompliance program, resp. funkční a efektivní compliance program, je i podle zákona o trestní odpovědnosti právnických osob možností, jak se riziku odsouzení vyhnout. Tak proč to nezkusit?
5) Etika na neposledním místě
Definování hodnot, ke kterým se organizace hlásí, a jejich vymáhání v praxi, nemusí být jen formálním cvičením. Na etické hodnoty a závazky také nemusíme hledět jen jako na nástroj, jak se vyhnout pokutě nebo trestnímu stíhání. Nebo vy sami chcete pracovat ve firmě, která uplácí teroristy, ničí životní prostředí nebo podvádí zranitelné skupiny spotřebitelů?
Jak na compliance systém?
Compliance není stav. Není to jednorázově dosaženém souladu se všemi předpisy.
Compliance systém je proces.
Proces zahrnující řadu na sebe navazujících a pravidelně se opakujících kroků. Od identifikace závazků a compliance rizik, přes nastavení opatření a kontrol, až po pravidelné hodnocení toho, jak compliance v praxi funguje.
Pouze compliance systém, který je přizpůsobený konkrétní organizaci, reaguje na předmět její činnosti, její právní závazky a rizika, kterým čelí, může skutečně efektivně a smysluplně čelit hrozbám, které jsme výše popsali.
