Compliance to nie moda

Czym de facto jest compliance?

W połowie lat 70. XX w. amerykańska Komisja Papierów Wartościowych i Giełd (SEC) podjęła działania, w których wyniku ponad 400 amerykańskich korporacji przyznało się do korumpowania zagranicznych urzędników państwowych, polityków i partii politycznych. W znaczny sposób podważyło to wiarygodność całego amerykańskiego biznesu. W celu odbudowy tej wiarygodności uchwalono Foreign Corrupt Practices Act (FCPA). Przyjmuje się, że to właśnie FCPA miała największy wpływ na rozwój etyki w biznesie i powstanie compliance.

Compliance jest zbiorem powiązanych ze sobą wzorów zachowań, w tym moralnych, etycznych i prawnych, nakładających na adresatów obowiązek dostosowania się do nich. Celem compliance jest więc dążenie do tego, aby adresat normy, w tym prawnej, zachował się w taki sposób, w jaki określił normodawca. Według definicji słownikowej zachowanie zgodne z przyjętymi zasadami lub prawem to uczciwość.

Compliance może obejmować swoim zakresem każdą sferę działalności jednostki (np. obywatela lub pracownika) albo grupy (np. państwa lub korporacji). Przykładowo w przedsiębiorstwie compliance może obejmować nie tylko hard law i soft law, lecz także misję, strategię, corporate governance, kulturę organizacyjną, wartości korporacyjne itd. Wdrożenie sprawnego i efektywnego compliance nie jest łatwym wyzwaniem, ale nie jest niemożliwe.

Czy polski rynek ma swoją specyfikę w kontekście stosowania compliance?

Zdecydowane tak. Każde państwo ma swoją specyfikę, podobnie jest z korporacjami ponadnarodowymi czy jakąkolwiek grupą osób działającą razem dla osiągnięcia wspólnego celu. Specyfikę tę kształtuje wiele czynników, np. kulturowych, historycznych, geograficznych, ekonomicznych bądź mentalnych. Polską specyfikę jest dość trudno krótko scharakteryzować, ponieważ w Polsce nadal trwa ? w moim przekonaniu ? proces transformacji obejmujący swoim zakresem wszelkie aspekty egzystencji państwa, prawa, organów władzy publicznej, przedsiębiorców, obywateli, prawa itd.

W prosty sposób spróbuję zobrazować namiastkę i specyfikę systemu compliance, posługując się przykładem z Grupy Koleje Japońskie (Japan Railways). Zgodnie z jej wewnętrznymi regulacjami pociąg może mieć ponad 5 min opóźnienia, jednak tylko w przypadku trzęsienia ziemi o sile powyżej 6 stopni w skali Richtera. Gdy opóźnienie nastąpi z winy przewoźnika, pasażer otrzymuje zwrot kosztów biletu, pisemne usprawiedliwienie dla pracodawcy i oficjalne przeprosiny. Notabene każdy dzień pracy konduktora czy maszynisty w japońskich kolejach jest niczym ceremoniał podczas podniosłej uroczystości na rzecz każdego klienta, czyli pasażera. Ceremoniał ten polega na ciągłym podtrzymywaniu koncentracji poprzez dodatkowe potwierdzenie wykonania danej czynności dwoma sposobami jednocześnie ? gestem oraz głosem. Wszystko po to, aby zmniejszyć ryzyko błędu (spadło o 85%) i pozostać zgodnym z misją i procedurami określonymi przez pracodawcę. Brzmi niewiarygodnie. Trudno sobie wyobrazić implementację takowego systemu nie tylko w Polsce, ale w którymkolwiek z krajów europejskich. Ni mniej, ni więcej specyfika compliance jest pochodną filozofii egzystencji danej grupy.

Na czym polega wdrażanie systemu przeciwdziałania nieprawidłowościom w firmach? Z jakimi zasadniczymi problemami mogą się one zetknąć?

Przeciwdziałanie nieprawidłowościom, czyli de facto niezgodnościom, polega na ustaleniu i wykluczeniu okoliczności im sprzyjającym, czyli uniemożliwieniu ich powstania. Niby proste, a jednak trudne. Dzieje się tak z wielu powodów. Po pierwsze ludzie mają różne podejście do norm moralnych, etycznych i prawnych. Po drugie nie jest możliwe uregulowanie wszystkich zachowań ludzkich w zasadach lub prawie. Co prawda prawo coraz precyzyjniej określa różne aspekty życia człowieka, ale wciąż jest zbyt ogólne w stosunku do praktyki. Po trzecie nie jest możliwe upilnowanie wszystkich ludzi we wszystkich sytuacjach i zmuszenie ich do działania zgodnego z określonymi zasadami lub prawem.

W moim przekonaniu najważniejszym i zasadniczym problemem jest skuteczność wpływania na postępowanie pracowników w taki sposób, aby samoistnie przestrzegali oni zasad i polityk korporacyjnych. Profesor Tom R. Tyler z Yale Law School przebadał 10 tys. pracowników w sześciu branżach i doszedł do wniosku, że jedynym, w pełni skutecznym sposobem kontroli człowieka jest samokontrola. W tym modelu ludzie biorą odpowiedzialność za swoje zachowanie bez względu na grożące im sankcje lub obietnice nagrody. Ludzie dobrowolnie przestrzegający zasad i prawa samoistnie tworzą skuteczny i trwały compliance. Według prof. Tylera najsolidniejszą podstawą samokontroli są wartości oparte na uczciwości, a sukces firmy w przeciwdziałaniu niezgodnościom, a tym samym stosowaniu compliance, zależy w dużej mierze właśnie od uczciwości pracowników.

W Polsce dostrzegło to Centralne Biuro Antykorupcyjne i podjęło próbę promowania uczciwości wśród urzędników, przedsiębiorców i polityków. W ostatnich latach Biuru udało się dotrzeć do ponad 200 tys. ludzi w Polsce, w tym do 137 tys. w formie e-learningu i do 52 tys. w formie szkoleń stacjonarnych. Ponadto CBA wspólnie z Ośrodkiem Rozwoju Edukacji zrealizowało program ?Etyka nie tylko dla smyka? skierowany dla uczniów klas I?III szkół podstawowych, rodziców oraz nauczycieli. Celem programu było wprowadzenie do podstawy programowej treści umożliwiających kształtowanie postaw etyczno-moralnych. Ciekawostkę stanowi fakt, że program był ewaluowany na początku i na końcu roku szkolnego i w efekcie 57,5% nauczycieli z 1434 wskazało pozytywny wpływ programu na postawy moralno-etyczne uczniów.

Utworzenie i skuteczne wdrożenie systemu compliance w przedsiębiorstwie może wpływać korzystnie na funkcjonowanie organizacji i skutecznie ograniczyć ryzyka prawne. O jakich konkretnie ryzykach chorób tu mówimy?

Profesor Amy B. Zegart i prof. Condoleezza Rice z Uniwersytetu Stanforda wytypowały 10 głównych obecnie ryzyk dla polityki przedsiębiorstw, którymi są: geopolityka, konflikty wewnętrzne, terroryzm, cyberzagrożenia, manipulowanie zasobami naturalnymi, aktywizm społeczny, zmiany w hard law i soft law, naruszenie umów, korupcja i decyzje sankcyjne o zasięgu eksterytorialnym. Jak widać, cztery ostatnie wymienione ryzyka są bezpośrednio związane z ryzykiem prawnym.

W ogóle za trafne uważam porównanie ryzyk do chorób. Jak wiemy, niektórych chorób nigdy nie da się wyleczyć, podczas gdy inne mogą być wyleczone całkowicie, czyli podobnie jak z ryzykami prawnymi. Redukcja ryzyka to nic innego jak zapobieganie chorobom. Dobrze prezentuje to przykład grypy: można jej zapobiec, reagując podczas trzech faz czasowych zarażenia: przed zarażeniem (szczepienie), w trakcie zarażenia (higiena osobista) i po zarażeniu (przyjmowanie witamin). Dlatego strategia zapobiegania grypie powinna obejmować wszystkie możliwe środki zapobiegawcze i traktować każdy etap chronologii zarażenia jako potencjalny punkt do interwencji. W ramach tej strategii należy dążyć do zidentyfikowania prekursorów, rozpoznania sposobu ich działania oraz metod zarażania, a następnie wybrać właściwe punkty i momenty do interwencji. Taka sama strategia ma zastosowanie w compliance. Jest to o tyle istotne, że strategia kontroli ryzyka nie tylko umożliwia analizowanie pojedynczych incydentów, lecz przede wszystkim pozwala skupiać się na problemie i tworzyć systemowe systemy ostrzegania.

Czy i jaką rolę we wdrażaniu compliance mogą odegrać firmowe działy prawne lub też indywidualni prawnicy?

Zgodność z prawem to jeden z fundamentów compliance, co już właściwie przesądza o kluczowej roli działów prawnych. Prawnicy muszą zapewnić zgodność organizacji z hard law i soft law, w tym z prawem wewnętrznym, krajowym, regionalnym, międzynarodowym, branżowym, a także prawem wielu innych państw (np. FCPA, Bribery Act, FATCA). To nie koniec. Dla przykładu podmioty działające na polskim rynku finansowym powinny działać zgodnie z wytycznymi co najmniej 18 regulatorów rynku w kraju i za granicą. Dodatkowo z jednej strony w Polsce mamy wciąż wiele przepisów z minionej epoki, a z drugiej trwa ofensywa legislacyjna na szczeblu ponadnarodowym. Trudno dziś znaleźć prawnika, który znałby szczegółowo wszystkie regulacje z danej branży albo choćby nazwy poszczególnych aktów prawnych. Do tego dochodzą zawiłość relacji, stopień skomplikowania struktur, rozbudowane struktury decyzyjne, różnorodność umocowań kompetencyjnych czy niejednolitość rozwiązań. Rola prawników w compliance jest kluczowa, ale ich droga nie jest usłana różami.

Jakie mogą być konsekwencje braku stosowania compliance w przedsiębiorstwie?

Dotkliwe. Konsekwencje te mogą mieć co najmniej trzy wymiary. Pierwszy dotyczy prawdy, która określa poziom zaufania i wiarygodności kontrahentów, pozwala ustalić podejście do uczciwej konkurencji czy zachowań nieetycznych. Drugi wymiar ma charakter prawny i obejmuje swoim zakresem sankcje administracyjne, cywilne i karne. Wreszcie trzeci wymiar dotyczy polityki przedsiębiorstwa. W tym przypadku brak stosowania compliance może doprowadzić do bankructwa lub upadłości. Wspomnę, że wysokość wielu kar finansowych wynikających z obecnie obowiązujących regulacji, choćby RODO, MAR czy AML/CFT, przyprawia o zawrót głowy, a na horyzoncie widać długo wyczekiwany projekt ustawy o odpowiedzialności podmiotów zbiorowych za czyny zagrożone pod groźbą kary. Nie mam tu zamiaru kreować ani potęgować spirali strachu, ale lekko wyostrzyć wrażliwość.

W jaki sposób można zweryfikować skuteczność compliance?

Do weryfikacji skuteczności compliance można użyć różnych narzędzi, np. technologii i logiki maszyn, audytu, hotline, ankiet ewaluacyjnych czy warsztatów. Ważne, aby ocena efektywności i sprawności compliance miała charakter holistyczny. Ocena nie powinna się koncentrować na wybranych wskaźnikach w poszczególnych obszarach, lecz spojrzeć na zagadnienie z lotu ptaka, tak żeby widzieć całego słonia, a nie tylko jego część. W Polsce wciąż w wielu miejscach jesteśmy jeszcze na takim etapie rozwoju, że nadal jest zasadne pytanie, czy system compliance faktycznie funkcjonuje, czy jedynie zostały wprowadzone procedury wewnętrzne. Jeśli funkcjonuje, to jednym z kluczowych wskaźników ułatwiających weryfikację skuteczności compliance jest ustalenie stanu świadomości na temat istoty jego funkcjonowania wśród kierownictwa, przełożonych średniego szczebla i pracowników. Jest to ważne, bo compliance jest nadal traktowany jako zło konieczne lub kojarzony z kolejną przeszkodą albo, co gorsze, identyfikowany z działaniem aparatu represji. Mówiąc wprost, przy weryfikacji skuteczności compliance dobrze jest nie tylko widzieć słonia, ale również wiedzieć, co mu siedzi w głowie.

A może compliance to tylko kolejna moda na stosowanie nowo uchwalonych procedur bezpieczeństwa w przedsiębiorstwie, która przybyła do nas ? jak wiele innych w przeszłości ? z Zachodu?

Nie mogę się zgodzić, że compliance to tylko kolejna moda. Nie tym razem. Najpierw sypnę garścią pesymizmu, a później będzie już tylko gorzej. Ale już tak zupełnie poważnie powiem kilka słów na temat otoczenia. Firmy działają dziś w najbardziej niejasnych i skomplikowanych okolicznościach od momentu stworzenia systemu z Bretton Woods. Globalizacja, postęp technologiczny, media społecznościowe, telefony komórkowe i internet powodują, że żyjemy w świecie hiperłączności, co oznacza, że ryzyko właściwie może nadejść znikąd. Mimo że już teraz jest przyjmowana ogromna liczba aktów prawnych, to spodziewam się w niedalekiej przyszłości nagłego ich wzrostu w związku z nadejściem rewolucji AI, czyli sztucznej inteligencji. Wynika to z faktu, że im więcej danych, tym AI jest bardziej precyzyjna. W konsekwencji nastąpi zmiana modelu compliance na real-time compliance, czyli zapewnienie i weryfikowanie zgodności w czasie rzeczywistym. W krajach rozwiniętych, np. Singapurze, taki model compliance jest już dość popularny. Wszystko to sprawia, że znaczenie bezpieczeństwa i compliance jest ogromne i wciąż będzie intensywnie rosło. Nasuwa się jednak pytanie: jak w tym wszystkim się odnaleźć? Znaleźć odpowiedź pomógł mi prof. Malcolm K. Sparrow z Harvard Kennedy School. Z wyników jego badań wyodrębniłem trzy kluczowe elementy. Po pierwsze dążenie do kształtowania świadomości ukierunkowanej na dobrowolne przestrzeganie zasad i prawa. Po drugie compliance oparty na kontroli ryzyka i ocenie realności ich wystąpienia, a następnie wyborze ważnych problemów i ich rozwiązaniu. Wreszcie po trzecie wzmocnienie współpracy między podmiotami regulacyjnymi i regulowanymi, w tym z sektorów publicznego i prywatnego. Nie można wykluczyć, iż konkurencyjność firm w niedalekiej przyszłości będzie w znacznym stopniu uzależniona od zdolności do bieżącego stosowania compliance w dynamicznie zmieniającym się otoczeniu.?