Zarządzanie ryzykiem braku zgodności w przedsiębiorstwie (compliance) – dla kogo i kiedy wdrożyć oraz z czym się wiąże?

Określenie compliance pochodzi z języka angielskiego (ang. to comply – stosować się do czegoś) i tłumaczenie to dobrze oddaje istotę procedur compliance. Mają one na celu zapewnienie zgodności z normami, do stosowania których dany podmiot jest zobowiązany. Zgodność można rozpatrywać dwupłaszczyznowo:

• jako compliance odnoszący się do norm prawa powszechnie obowiązującego, np. w zakresie wdrożenia RODO, czy standardów przeciwdziałania prania pieniędzy i finansowania terroryzmu, czyli procedur AML,

• jako compliance odnoszący się do norm pozaprawnych, w tym przypadku zwykle będzie chodziło o różnego rodzaju standardy branżowe, np. w branży IT może być to ISO 27017 dla technologii chmurowych, czy ISO 27001 dla cyberbezpieczeństwa i ochrony prywatności.

Innym przykładem fakultatywnego compliance jest corporate governance, czyli ład korporacyjny, którego wytyczne opracował KNF.

Nie zawsze zaniedbania na polu compliance bezpośrednio muszą przekładać się na odpowiedzialność przedsiębiorcy. Tak bywa z reguły w sytuacji, gdy brak zgodności dotyczy norm powszechnie obowiązujących. W przypadku standardów branżowych działanie bez ujednoliconych standardów (lub wbrew nim) może mieć jednak silnie negatywny wpływ na wizerunek marki, a pośrednio prowadzić do naruszenia przepisów.

Warto zaznaczyć, że compliance to nie tylko wdrożenie wewnętrznych procedur. Pod tym pojęciem należy rozumieć cały system organizacji przedsiębiorstwa. Celem systemu zapewnienia zgodności powinno być przede wszystkim zapobieżenie wystąpienia niezgodności, a także jej szybkie wykrycie i usunięcie. Powinien on uwzględniać minimalizowanie negatywnych skutków naruszenia, jeżeli nie udało się go uniknąć.

Kluczowym elementem każdego CMS (ang. Compliance Management System) jest ewolucja. Raz zaprojektowany system zgodności należy regularnie weryfikować pod kątem efektywności oraz konsekwentnie ulepszać. Taki model działania bazuje na doskonale znanym wszystkim managerom cyklu Deminga – Plan – Do – Check – Act. Podwaliny pod compliance w firmie kładzie standard ISO 19600. Jest to jednak norma na tyle ogólna, że każde przedsiębiorstwo musi zaadaptować własny system zarządzania ryzykiem.

Nie ma jednego, uniwersalnego zakresu compliance, które będzie pasowało do każdego rodzaju działalności gospodarczej, ponieważ wiele zależy od tego, czy zajmuje się dana firma. Można jednak wskazać na obszary, które wymagają szczególnej uwagi.

Zgodność z przepisami kodeksu spółek handlowych

Kodeks spółek handlowych nakłada na członków zarządu cały szereg obowiązków, z których powinni się oni wywiązać. Mowa chociażby o złożeniu do KRS listy wspólników, prowadzeniu księgi udziałów, czy podaniu prawdziwych danych spółki w toku jej rejestracji albo prawidłowym przeprowadzenie postępowania konwokacyjnego z udziałem wierzycieli. Trzeba pamiętać, że zarząd spółki jest też odpowiedzialny za złożenie wniosku o upadłość w odpowiednim terminie.

Compliance księgowy, rachunkowy i podatkowy

Sfera organizacyjna spółki to jedno, ale jej finanse – to coś całkiem innego. Przedsiębiorstwo powinno wypracować dobre praktyki w zakresie prowadzenia księgowości, zwłaszcza że dla większości spółek prawa handlowego pojawia się obowiązek prowadzenia ksiąg rachunkowych. Jeśli chodzi o prawo podatkowe, to przedsiębiorcy są zobowiązaniu do składania deklaracji podatkowych, a niekiedy także raportowania schematów podatkowych MDR.

Elementem zarządzania ryzykiem w sferze podatków jest zabezpieczenie interesów przedsiębiorcy poprzez występowanie o interpretacje indywidualne oraz opinie zabezpieczające. W ten sposób firma może się obronić w przypadku podejmowania działań, których konsekwencje nie zawsze wynikają wprost z przepisów.

Compliance w prawie pracy

O zgodność z prawem powinni zabiegać również pracodawcy, którzy zatrudniają swoich pracowników na podstawie umowy o pracę. Szczególną uwagę należy zwrócić uwagę na treść zawieranych umów o pracę, sformułowanie i przestrzeganie regulaminów i układów zbiorowych. Pracodawca powinien zadbać o wypracowanie standardów ochrony przed mobbingiem i dyskryminacją oraz na wypadek zwolnień grupowych.

Compliance RODO

Przetwarzanie danych osobowych wiąże się z koniecznością wdrożenia procedur RODO. Nakładają one na administratora danych osobowych określone obowiązki w trzech obszarach:

• wobec osób, których dane dotyczą,

• w zakresie zapewnienia bezpieczeństwa i integralności danych osobowych,

• wobec organu nadzorczego.

Uchybienia na tym polu są zagrożone karą w wysokości do 20 milionów euro. Praktyka pokazuje, że sankcje te są rzeczywiście egzekwowane, jak pokazują przypadki m.in. Morele.net, Bisnode Polska czy Fortum Marketing and Sales.

Reguły compliance a ochrona konsumentów

W szczególnej sytuacji znajdują się podmioty, które wchodzą w interakcję z konsumentami, np. sklepy internetowe. Ta grupa odbiorców cieszy się szczególną ochroną ze strony ustawodawcy. Warto wymienić tutaj chociażby konieczność zapewnienia zgodności zawieranych umów (bez klauzul abuzywnych!), wdrożenie rozporządzenie GPSR, czy dyrektywy Omnibus. W tym obszarze mieszczą się także nieuczciwe praktyki rynkowe, którym należy zapobiegać.

Compliance w IT

IT compliance jest szczególnie istotny w software house’ach oraz przedsiębiorstwach z obszaru FinTech. Choć dominują tutaj umowy nienazwane, a wiele zagadnień nadal wymyka się ustawodawcy, należy zadbać o zgodność z licznymi standardami branżowymi. Wśród nich można wymienić:

• normy ISO 27001, ISO 27018 oraz ISO 22301,

• publikację NIST 800-53 oraz zbiór rekomendacji NIST (Narodowe Standardy Cyberbezpieczeństwa),

• rozporządzenie ePrivacy, czyli tzw. RODO II.

Dodatkowo należy zadbać o wypracowanie standardów w zakresie wykorzystania sztucznej inteligencji (rozporządzenie AI Act, wewnętrzna polityka AI) i dobrych praktyk w zakresie tworzenia oprogramowania, m.in. dotyczących odbiorów projektów, zarządzania licencjami, czy inżynierii wstecznej.

Compliance w odniesieniu do sygnalistów

Zarządzanie ryzykiem braku zgodności dotyczy także stosunkowo niedawno wdrożonej ochrony sygnalistów, czyli osób zgłaszających naruszenia prawa. Podstawowym obowiązkiem pracodawcy jest stworzenie procedury zgłoszeń wewnętrznych i obsługa otrzymywanych zgłoszeń. Konieczne jest też prowadzenie rejestru zgłoszeń oraz regularne monitorowanie i aktualizowanie procedur wewnętrznych.

Warto pamiętać, że ustawa o ochronie sygnalistów wymaga wdrożenia systemu zabezpieczania whistleblowerów jedynie na wybrane grupy podmiotów. Procedura jest obligatoryjna dla:

• firm zatrudniających minimum 50 osób,

• przedsiębiorców działających w określonych obszarach, m.in. związanym z rynkiem finansowym, AML i transportem,

• jednostek samorządu terytorialnego liczących minimum 10 tysięcy mieszkańców.

Niezależnie od tego każda firma, która chce stworzyć kanał zgłoszeń, może to zrobić. Wprowadzając politykę ochrony whistleblowerów prezentuje siebie jako odpowiedzialnego pracodawcę

Compliance w procedurach M&A

Zarządzanie ryzykiem ma niezwykle istotne znaczenie w procesach Mergers & Acquisitions. Choć większość działań compliance nie jest tutaj obligatoryjna, zwiększają one bezpieczeństwo transakcji oraz skracają jej przebieg. O czym warto pamiętać planując M&A?

• rzetelne przeprowadzenie badania due diligence potencjalnego kontrahenta,

• zweryfikowanie dokumentów finansowych przedsiębiorstwa biorącego udział w M&A,

• ocena prawidłowości branży regulowanej,

• zarządzanie portfelem IP,

• ocena zgodności kultur organizacyjnych,

• przestrzeganie przez kontrahenta przepisów RODO oraz pracowniczych.

Zarządzanie ryzykiem w przypadku M&A jest procesem, który w praktyce bywa wielokrotnie powtarzany na poszczególnych etapach współpracy. Pierwszym krokiem zwykle będzie Red Flag due diligence, czyli przygotowanie wstępnego raportu mającego na celu ustalenie przesłanek, które potencjalnie eliminują daną współpracę. Ostatnim zaś Post Merger Integration, czyli połączenie ze sobą dwóch kultur biznesowych.

IP Compliance w branży kreatywnej

Zarządzanie ryzykiem w zakresie IP jest szczególnie istotne wszędzie tam, gdzie pojawiają się nowe technologie i kreatywne pomysły. Warto przeprowadzić je w software house’ach, agencjach marketingowych, studiach graficznych oraz u producentów gier komputerowych. Szczególnie istotne w tym przypadku jest zarządzanie prawami autorskimi (zarówno licencjami, jak i ich przeniesieniem) oraz innymi aktywami IP – znakami towarowymi, patentami, wzorami przemysłowymi.

Monitorowanie zgodności w zakresie własności intelektualnej i przemysłowej stanowi szczególne wyzwanie w przypadku firm działających transgranicznie, które muszą zarządzać bazą złożoną m.in. z setek znaków towarowych obecnych na wielu różnych rynkach. Ryzyko IP dotyczy nie tylko działań przedsiębiorcy, ale także monitorowanie aktywności konkurencji. Dlatego integralną częścią postępowania obronnego powinno być śledzenie zgłoszonych znaków towarowych oraz innych praw IP i odpowiednio szybkie reagowanie, m.in. przez wszczynanie procedury sprzeciwowej przed właściwym urzędem patentowym.

Na czym polega AML Compliance?

Konieczność zachowania zgodności z przepisami dotyczącymi przeciwdziałania praniu pieniędzy i finansowania terroryzmu spoczywa na instytucjach obowiązanych. Z biegiem czasu kategoria tych podmiotów staje się coraz bardziej obszerna, dlatego przed zarejestrowaniem działalności warto upewnić się, czy firma nie będzie musiała zaadaptować procedur AML do swoich potrzeb. Z jakimi obowiązkami się one wiążą?

• Identyfikowanie i ocena ryzyka narażenia podmiotu na ryzyka AML,

• wdrożenie i stosowanie środków bezpieczeństwa finansowego proporcjonalnych do zidentyfikowanego ryzyka,

• współdziałanie z organem nadzoru (Generalny Inspektor Informacji Finansowej),

• zapewnienie szkolenia personelu oraz przygotowanie wewnętrznej polityki AML.

Naruszenie obowiązków wynikających z ustawy AML może wiązać się nie tylko z bardzo wysoką karą finansową, ale nawet odebraniem zezwolenia na prowadzenie działalności regulowanej.

Oczywiście nie są to wszystkie obszary, w jakich firmy powinny zadbać o zgodność z przepisami. Wśród innych można wymienić compliance środowiskowe, czy związane z e-commerce (m.in. rozporządzenia DSA oraz DMA). Odrębne obowiązki spoczywają także na podmiotach rynku regulowanego przez KNF, jak domy maklerskie, banki, czy instytucje płatnicze.

Nie zawsze trzeba wdrażać wszystkie rodzaje zgodności od razu, zwłaszcza jeżeli chodzi o normy pozaprawne. Warto jednak skonsultować harmonogram takich działań z kancelarią prawną, która pomoże opracować plan implementacji poszczególnych standardów.

Zapewnienie zgodności z obowiązującymi regulacjami ma ogromne znaczenie dla każdego przedsiębiorcy. Compliance staje się jednak wyjątkowo wymagające w tych organizacjach, które podlegają wielu przepisom lub standardom równolegle. Może się bowiem okazać, że spełnienie wszystkich wymagań nie zawsze będzie proste.

Kancelaria RPMS zapewnia swoim klientom wsparcie w zakresie compliance na każdym etapie prowadzenia biznesu. Nadzorujemy bieżącą działalność przedsiębiorstwa, oceniając ją pod kątem zgodności z obowiązującymi przepisami, a także standardami branżowymi. Nie tylko sygnalizujemy nieprawidłowości z wyprzedzeniem, ale pomagamy opracować procesy wewnętrzne mające na celu minimalizowanie ryzyka odpowiedzialności. Dzięki naszej pomocy firma może bez przeszkód się rozwijać, ponieważ zawsze operuje w bezpiecznych granicach.