Piotr Żyłka
Przedłużone ramię nadzorcy
Compliance, czyli zarządzanie zgodnością, nierzadko postrzegane jest wyłącznie w kategoriach wymogu regulatora bądź też obowiązku ustawowego, nie tylko w wyobrażeniu polskiego przedsiębiorcy. W praktyce funkcjonuje teoria, wedle której compliance pełni rolę przedstawiciela organu nadzoru w ramach działalności przedsiębiorstwa.
Amerykańska produkcja pt. Billions, opowiadająca o losach szefa jednego z funduszy hedgingowych, zręcznie lawirującego przed prokuratorem, który zdaje się, zagiął na niego parol, daje wyraz tej teorii. W jednej ze scen pierwszego sezonu tego serialu pracownicy funduszu zaraz po przekroczeniu progu biura dowiadują się, że w siedzibie instytucji trwa kontrola SEC (ang. United States Securities and Exchange Commission), a każdy z nich ma zostać przesłuchany przez przedstawicieli komisji. Przesłuchaniom tym towarzyszy atmosfera wzburzenia i negatywnych emocji. Po ich zakończeniu oraz po przeszukaniu siedziby funduszu, jego szef zbiera wszystkich pracowników w jednym miejscu i ogłasza, że dzisiejsze przesłuchania były jedynie ćwiczeniami, próbą generalną, a „aktorzy” odgrywający rolę pracowników SEC, to świeżo zatrudnieni pracownicy dopiero co utworzonego departamentu compliance.
Scena ta stanowi niejako potwierdzenie wyobrażenia na temat compliance, wedle którego owa jednostka pełni rolę „przedłużonego ramienia organu nadzoru”, w szczególności w ramach sektora finansowego. Wypełnia obowiązki raportowe i kontrolne, przedstawiając ich efekty nadzorcy, co w konsekwencji pozwala regulatorowi zbudować wyobrażenie o działalności danej instytucji, a także co do sposobu jej organizacji. Taka interpretacja roli i zadań funkcji compliance utwierdza w przekonaniu zarządy spółek, iż compliance stanowi wyłącznie koszt dla danej spółki, nie uwzględniając „oszczędności”, które spółka zawdzięcza działaniom zmierzającym do minimalizowania ryzyka braku zgodności z prawem.
„If you think compliance is expensive, try non-compliance” (były Zastępca Prokuratora Generalnego USA – Paul McNulty)
Opisane powyżej podejście, trafnie ujął Ireneusz Piecuch w swoim artykule zatytułowanym „Zarząd to ma klawe życie”, opublikowanym na portalu Linkedin, pisząc „Wprowadzenie systemu zgodności często uznawane jest za wymóg o charakterze formalnym. Przepisy nakazują podjęcie określonych działań, więc trzeba je podjąć – ale tak naprawdę to czysty koszt dla spółki. Strata czasu.”1
Z perspektywy szeregowego pracownika natomiast, compliance jako jednostka organizacyjna, funkcja czy też po prostu pracownik sprawujący tę rolę, niejednokrotnie jawi się jako kolejny wymóg, dodatkowe obowiązki oraz konieczność wypełnienia dodatkowej dokumentacji lub odbycia obowiązkowych szkoleń.
Percepcja jednostki compliance wewnątrz organizacji, poza oczywiście wyposażeniem jej w odpowiednie atrybuty, stanowi kluczową przesłankę dla efektywnego zarządzenia ryzykiem regulacyjnym, ryzykiem braku zgodności z wymogami właściwymi dla rynku, na którym swą działalność prowadzi dany podmiot, ale przede wszystkim ryzykiem utraty reputacji, dobrego imienia, a także jak wskazywał Ireneusz w przytoczonym artykule „personalnym ryzykiem członków zarządu w obszarze ich potencjalnej odpowiedzialności karnej”.
Ryzyko w ramach łańcuchów dostaw
Bezprecedensowe wydarzenia minionego dwulecia, mające bezpośrednie przełożenie na obniżenie poziomu stabilności oraz pewności w obrocie gospodarczym, a w konsekwencji zwiększenie poziomu ryzyka zaburzenia ciągłości działalności przedsiębiorstw w szczególności produkcyjnych, stopniowo przyczyniają się do zmiany postrzegania funkcji compliance przez organy zarządzające również, o ile nie w szczególności poza sektorem regulowanym.
Zmiana percepcji wynika z konieczności wdrożenia odpowiednich działań mających na celu zmniejszenie ryzyka braku zgodności, nieprawidłowości, ale i ciągłości w ramach nie tylko funkcjonowania przedsiębiorstwa, ale i łańcuchów dostaw, a w konsekwencji dostrzeżenia wartości dodanej procesu zarządzania ryzykiem przedsiębiorstwa, dla jego kondycji i stabilności finansowej.
Ryzyko związane z łańcuchami dostaw, dotychczas w wielu przypadkach, nie było w pełni zaadresowane i zarządzane. Można pokusić się o sformułowanie, iż proces ten w ramach organizacji, był niejako rozproszony. Wiele podmiotów, próbowało mitygować ryzyka wynikające z funkcjonowania łańcuchów dostaw w sposób cząstkowy, bez parasola w postaci odpowiedniego zarządzenia nim w przekroju całej działalności przedsiębiorstwa. Część zadań wykonywały jednostki odpowiedzialne za przeprowadzanie procedury zakupowej, administracji lub logistyki, natomiast działania te odnosiły się w głównej mierze do rozliczalności dostawców, podwykonawców, usługodawców ze zleconych czynności. Zespoły odpowiedzialne za zarządzanie ryzykiem prawnym, koncentrowały się przede wszystkim na właściwym przeciwdziałaniu ryzykom przekupstwa korupcji lub konfliktu interesów w łańcuchu dostaw, a w mniejszym stopniu na stabilności operacyjnej lub szkodach, jakie spowodować może dla zlecającego, jej brak.
Minione dwa lata, podczas których szereg nieplanowanych zjawisk (https://itsallaboutcompliance.com/2020/03/18/koronawirus-czarny-labedz-naszych-czasow/) wpłynął na stabilność i ciągłość funkcjonowania organizacji, wymusiły rewizję przyjętego modelu postępowania, jak i konieczność wdrożenia holistycznego procesu zarządzania w przekroju całej organizacji.
Cel zarządzania ryzykiem w łańcuchu dostaw, należytej staranności antykorupcyjnej, jak i minimalizowania ryzyka braku zgodności per se, jest zasadniczo taki sam. Przedsiębiorstwa dążą do zbudowania dokładnego profilu ryzyka podmiotu współpracującego, aby na jego podstawie określić, w jaki sposób firma będzie współpracować z danym podmiotem, a także jakie ryzyko może wiązać się z nawiązaniem takiej współpracy.
Jak zbudować taki profil ryzyka? Zbierając dane podczas procesu nawiązywania współpracy.
Zarządzanie ryzykiem w łańcuchu dostaw bazuje na umiejętnym i skrupulatnym procesie identyfikacji istotnych danych oraz informacji, a następnie odpowiedniej ich weryfikacji. Screening podmiotów stanowiących ogniwa łańcucha dostaw przedsiębiorstw, dąży do zidentyfikowania najsłabszego z nich, a także wdrożenia odpowiednich działań mitygujących przerwanie tego łańcucha bądź wyrządzenie szkód w reputacji podmiotu zlecającego.
Jednym z pierwszych kroków w tworzeniu programu zarządzania ryzykiem
w łańcuchu dostaw będzie zdefiniowanie rodzajów danych, które będą potrzebne do odpowiedniej weryfikacji partnerów biznesowych, a następnie opracowanie procedur zbierania oraz weryfikacji tych informacji. Jak powinien przebiegać ten proces oraz na jakie ryzyka należy zwrócić w szczególności uwagę, opowiem w kolejnym tekście poświęconym zarządzaniu ryzykiem braku zgodności w ramach łańcuchów dostaw, a w oczekiwaniu na kolejny tekst, zachęcam do zapoznania się z wcześniejszymi publikacjami poruszającymi tę tematykę:
- https://itsallaboutcompliance.com/2022/01/13/lad-korporacyjny-jako-budulec-systemu-compliance-czesc-i-dyrektywa-due-diligence/
- https://itsallaboutcompliance.com/2022/03/23/wplyw-geopolityki-na-ryzyko-braku-zgodnosci/
- https://itsallaboutcompliance.com/2022/01/27/polski-przedsiebiorca-a-obowiazek-nalezytej-starannosci/
