Justyna Walas-Ryba

NIEZALEŻNOŚĆ FUNKCJI COMPLIANCE

(i jej jej znaczenie dla skuteczności i efektywności systemu compliance)

Nieodłącznym elementem skutecznego i efektywnego systemu compliance jest niezależność funkcji compliance i samego Compliance oficera.

Pomimo braku kompleksowej regulacji prawnej dotyczącej systemu compliance, już dziś na podstawie funkcjonujących przepisów oraz rekomendacji branżowych jesteśmy w stanie skonstruować skuteczny i efektywny system compliance.

Na grafie poniżej znajduje się uproszczony modelowy schemat usytuowania funkcji compliance i Compliance oficera w strukturze organizacyjnej.

Compliance oficer służbowo podlega Prezesowi zarządu (lub innemu członkowi zarządu), raportuje do zarządu (organu zarządzającego) oraz do rady nadzorczej (i/lub powołanego w jej ramach komitetu audytu).

Takie usytuowanie funkcji compliance zapewnia niezależność działań i oceny dokonywanej przez Compliance oficera, pozwala na skuteczne (i nieograniczone) raportowanie zarówno w zakresie funkcjonowania systemu compliance w organizacji, jak i zapewnia bezpośredni dostęp do zarządu i rady nadzorczej.  

Niezależność funkcji compliance i kierującego komórką compliance rozpatrywać możemy w trzech głównych aspektach:

  1. Struktura i raportowanie
  2. Organizacja pracy
  3. Uprawnienia i dostępy

STRUKTURA I RAPORTOWANIE

Oznacza usytuowanie kierującego komórką compliance w strukturze organizacyjnej oraz wynikające stąd prawa :

  • Zagwarantowanie bezpośredniej podległości służbowej Compliance oficera prezesowi zarządu lub innemu członkowi zarządu;
  • Powołanie przez zarząd (za zgodą rady nadzorczej) i odwołanie kierującego komórką compliance (po uzyskaniu opinii rady nadzorczej); 
  • Przyjęcie przez zarząd i zatwierdzenie przez radę nadzorczą polityki zgodności;
  • Zapewnienie uczestnictwa w posiedzeniach zarządu i rady nadzorczej (i/lub komitetu audytu);
  • Zapewnienie bezpośredniego bieżącego kontaktu z zarządem i radą nadzorczą (komitetem audytu) również poza posiedzeniami; 
  • Raportowanie bezpośrednio do zarządu i rady nadzorczej (komitetu audytu)

Dodatkowo wynagrodzenie (w tym również wynagrodzenie zmienne, premie i bonusy) Compliance oficera powinno:

  • być zależne wyłącznie od realizacji celów długoterminowych, nie zaś od krótkoterminowych celów biznesowych;
  • być zatwierdzone przez radę nadzorczą;
  • zapewniać niezależność i obiektywizm wypełniania zadań oraz
  • umożliwiać zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach.

ORGANIZACJA PRACY

Aspekty organizacyjne dotyczą przede wszystkim:

  • Zapewnienia ciągłości działania i sukcesji oraz uwzględnienie stanowiska Compliance oficera w polityce kluczowych stanowisk;
  • Unikanie konfliktu interesów przy realizacji zadań;
  • Odpowiedniego zakresu uprawnień i kompetencji;
  • Uregulowania zasad współpracy z innymi komórkami i jednostkami organizacyjnymi;
  • Zapewnienia adekwatnego budżetu (niezbędnego m.in. do uzupełniania kwalifikacji, zapewnienie wsparcia ekspertów, możliwość zaplanowania i prowadzenia właściwej komunikacji, możliwość prowadzenia szkoleń compliance dla pracowników)
  • Zapewnienia właściwych zasobów kadrowych;
  • Zapewnienia odpowiedniego statusu rekomendacji pokontrolnych oraz wydanych na skutek przeprowadzonych postepowań wyjaśniających whistleblowing;

Aspekty strukturalne (w tym raportowanie) i aspekty organizacyjne znajdują pełne odzwierciedlenie w przepisać prawa bankowego i rozporządzenia wykonawczego oraz Rekomendacji H dla banków.

Zacznijmy jednak od przepisów uniwersalnych Kodeksu Spółek Handlowych. (kliknij tutaj, aby przejść do KSH)

Uniwersalne przepisy KSH:

Na gruncie funkcjonowania spółek akcyjnych, a wiec zarówno banków, jak i pozostałych spółek notowanych na GPW w Warszawie zwrócić należy uwagę, że po zmianie przepisów Kodeksu Spółek Handlowych od 13 października 2022 r. (art. 380¹ § 1 KSH) zarząd spółki akcyjnej zobowiązany jest do udzielenia radzie nadzorczej enumeratywnie wymienionych w tym przepisie informacji.

Rada nadzorcza dokonuje corocznej oceny adekwatności i skuteczności systemów kontroli, zarządzania ryzykiem, zapewnienia zgodności działalności z normami lub mającymi zastosowanie praktykami.

Dodatkowo zgodnie z § 3 art. 382 KSH do szczególnych obowiązków rady nadzorczej należy m.in. sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy (sprawozdanie rady nadzorczej).

Dodany §  3¹ art. 382 KSH przewiduje, że sprawozdanie rady nadzorczej, o którym mowa wyżej zawiera m.in. ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

DPSN:

Uzupełniająco do KSH Dobre Praktyki Spółek Notowanych na Giełdzie Papierów Wartościowych w Warszawie 2021 w Rozdziale 2 Zarząd i Rada Nadzorcza wskazują, że członkowie zarządu działają w interesie spółki i ponoszą odpowiedzialność za jej działalność. Do zarządu należy w szczególności przywództwo w spółce, zaangażowanie w wyznaczanie jej celów strategicznych i ich realizacja oraz zapewnienie spółce efektywności i bezpieczeństwa.

Poza czynnościami wynikającymi z przepisów prawa, raz w roku rada nadzorcza sporządza i przedstawia zwyczajnemu walnemu zgromadzeniu do zatwierdzenia roczne sprawozdanie.

Sprawozdanie zawiera między innymi ocenę sytuacji spółki w ujęciu skonsolidowanym, z uwzględnieniem oceny systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance oraz funkcji audytu wewnętrznego, wraz z informacją na temat działań, jakie rada nadzorcza podejmowała w celu dokonania tej oceny. Ocena ta obejmuje wszystkie istotne mechanizmy kontrolne, w tym zwłaszcza dotyczące raportowania i działalności operacyjnej (2.11.3.).

DPSN 2021:

DPSN 2021 przewidują, że spółka wyodrębnia w swojej strukturze jednostki odpowiedzialne za zadania poszczególnych systemów lub funkcji (3.1 i 3.2).

DPSN 2021 w Rozdziale 3 Systemy i funkcje wewnętrzne przewidują, że spółka giełdowa utrzymuje skuteczne systemy: kontroli wewnętrznej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (compliance), a także skuteczną funkcję audytu wewnętrznego, odpowiednie do wielkości spółki i rodzaju oraz skali prowadzonej działalności, za działanie których odpowiada zarząd.

Rada nadzorcza monitoruje skuteczność systemów i funkcji, o których mowa w zasadzie 3.1 DPSN GPW 2021, w oparciu między innymi o sprawozdania okresowo dostarczane jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz zarząd spółki, jak również dokonuje rocznej oceny skuteczności funkcjonowania tych systemów i funkcji.

W przypadku gdy w spółce działa komitet audytu, monitoruje on skuteczność systemów i funkcji, o których mowa w zasadzie 3.1, jednakże nie zwalnia to rady nadzorczej z dokonania rocznej oceny skuteczności funkcjonowania tych systemów i funkcji (DP 3.9).

Dodatkowo wynagrodzenie osób odpowiedzialnych za zarządzanie ryzykiem i compliance oraz kierującego audytem wewnętrznym powinno być uzależnione od realizacji wyznaczonych zadań, a nie od krótkoterminowych wyników spółki, a osoby odpowiedzialne za zarządzanie ryzykiem i compliance podlegają bezpośrednio prezesowi lub innemu członkowi zarządu (3.4 i 3.5).

Przepisy:

Przechodząc na grunt przepisów bankowych zwrócić należy uwagę, że zgodnie z art.  9c ust. 1 i 2  Ustawy Prawo bankowe jednym z czterech celów systemu kontroli wewnętrznej w banku jest zapewnienie zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.

Bank wyodrębnia komórkę do spraw zgodności mającą za zadanie identyfikację, ocenę, kontrolę i monitorowanie ryzyka braku zgodności działalności banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie.

Uszczegółowienie elementów systemu compliance znajdziemy w Rozporządzeniu Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 8 czerwca 2021r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach (Dz. U. z 2021 poz. 1045).

Komisja Nadzoru Finansowego w Rekomendacji H dla banków doprecyzowuje konstrukcję funkcji compliance w banku. Rekomendacja stanowi zbiór dobrych praktyk w zakresie systemu kontroli wewnętrznej, które przedstawiają oczekiwania KNF wobec banków w zakresie postępowania zgodnego z przepisami dotyczącymi zasad funkcjonowania systemu kontroli wewnętrznej w banku.

Powyższe regulacje, a w szczególności Rekomendację H osobiście traktuję jako swojego rodzaju drogowskaz w zakresie budowania systemów compliance, nie tylko w instytucjach finansowych, ale również (z powodzeniem) w spółkach spoza rynku finansowego, w spółkach giełdowych, ale nie tylko.

Na obowiązki w zakresie zapewnienia zgodności oraz zarządzania ryzykiem braku zgodności zarówno w spółkach giełdowych, jak i instytucjach finansowych należy zatem patrzeć kaskadowo:

Zarząd odpowiada za:

  • efektywne zarządzanie ryzykiem braku zgodności
  • opracowanie polityki zgodności, zapewnienie jej przestrzegania
  • składanie radzie nadzorczej lub komitetowi audytu raportów w sprawie zarządzania ryzykiem braku zgodności;
  • Nie rzadziej niż raz w roku, przekazanie informacji radzie nadzorczej o sposobie wypełnienia tych zadań.

Rada Nadzorcza natomiast:

  • sprawuje nadzór nad wprowadzeniem systemu compliance
  • nadzoruje wykonywanie obowiązków przez zarząd dotyczących zarządzania ryzykiem braku zgodności
  • monitoruje skuteczność systemu w oparciu o informacje uzyskane od komórki ds. zgodności
  • dokonuje corocznej oceny adekwatności i skuteczności funkcji compliance,
  • Co najmniej raz w roku ocenia stopień efektywności systemu zarządzania ryzykiem braku zgodności

UPRAWNIENIA I DOSTĘPY

Aspekt uprawnień i dostępów wydaje się najbardziej oczywisty idotyczy przede wszystkim zapewnienia w ramach polityki zgodności: 

  • Prawa do żądania informacji i danych oraz otrzymywania niezwłocznych odpowiedzi
  • Prawa wglądu do akt i dokumentów oraz sporządzania kopii i odpisów
  • Prawa do dokonywania oględzin, przeliczeń, analiz
  • Prawa do żądania pisemnych i ustnych wyjaśnień
  • Prawa do uzyskiwania pomocy od innych komórek i jednostek organizacyjnych
  • Dostępu do ekspertów
  • Dostępu do informacji, systemów informatycznych i danych
  • Dostępu do pomieszczeń

Uprawnienia i dostępy do systemów oraz informacji zapewniają Compliance oficerowi skuteczne prowadzenie kontroli compliance (kontroli i testów zgodności), wpływają na efektywność i skuteczność funkcji compliance, a tym samym efektywność całego systemu compliance. Bezpośredni dostęp umożliwia bieżące identyfikowanie ryzyk braku zgodności, dokonywanie ich oceny oraz monitorowanie poziomu.

Aspekt uprawnień i dostępów nabiera szczególnie na znaczeniu w kontekście systemów zgłaszania naruszeń i rozpatrywania zgłoszeń o naruszeniach (whistleblowing).

W toku prowadzenia postępowań wyjaśniających, nieuniknione jest korzystanie z danych, informacji, czy analiz. Możliwość samodzielnego pozyskania danych zawartych w systemach znacząco wpływa na zachowanie zasad poufności i anonimowości zgłaszającego (jeśli zgłoszenie tego wymaga), a także w wielu przypadkach usprawnia procesy zapewnienia ochrony pracownikowi zgłaszającemu naruszenie.  

Rekomenduję jednak zachowanie szczególnej ostrożności w zakresie dostępów do systemów kadrowo – płacowych. O ile dostęp do danych kadrowych, historii i okresu zatrudnienia, awansów, wykształcenia nie budzi moich wątpliwości, o tyle nie widzę podstaw co do posiadania generalnego dostępu do danych dotyczących wynagrodzeń pracowników. Doświadczenie pokazuje, że zgłoszenia wymagające konkretnych danych w tym zakresie są niezwykle rzadkie i wówczas wystarczające jest zapewnienie prawa do żądania informacji o wynagrodzeniu konkretnego pracownika od działu kadr i płac, nie zaś posiadanie stałego dostępu do danych płacowych wszystkich pracowników.

Źródłem zapewnienia Compliance oficerowi określonych uprawnień i dostępów powinna być właściwie skonstruowana polityka zgodności, przyjęta przez zarząd i zatwierdzona przez radę nadzorczą.        

Wnioski:

Ukształtowanie funkcji compliance w odmienny sposób niż przedstawiony powyżej może prowadzić do szeregu zaniedbań na poziomie zarządu i rady nadzorczej, w tym w szczególności do:

  • Braku możliwości przeprowadzenia oceny skuteczności i adekwatności systemu zarządzania zgodnością przez radę nadzorczą
  • Braku sprawozdania z funkcjonowania systemu compliance, a tym samym braku na poziomie zarządu i rady nadzorczej rzetelnej informacji o systemie compliance w organizacji  
  • Braku wiedzy o ryzykach compliance, ich ocenie, poziomie i działaniach następczych
  • Braku wiedzy zarządu o niezbędnych zasobach kadrowych i finansowych na poziomie funkcji compliance
  • Braku wsparcia ze strony zarządu w realizacji działań naprawczych
  • Braku efektywności i skuteczności funkcji compliance, a tym samym do podwyższenia poziomu ryzyk compliance     
  • Braku skuteczności i efektywności systemu zgłaszania naruszeń (whistleblowing)
  • Braku świadomości wśród pracowników o ryzykach compliance
  • Wyższe ryzyko odpowiedzialności i kar administracyjnych za naruszenie przepisów prawa.  

W konsekwencji, brak właściwie skonstruowanego systemu compliance, może prowadzić do odpowiedzialności członków zarządu i rady nadzorczej z art. 293 KSH za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami umowy spółki, od której może się uchylić jedynie wykazując brak winy lub dołożenie należytej staranności wynikającej z zawodowego charakteru swoje działalności.  Chcesz wiedzieć więcej, potrzebujesz wsparcia – zapraszam do kontaktu

Komentarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *