Compliance – co to jest? Od czego jest w firmie?

26 cze 2024 | Poradnik

Compliance to ważny dział w funkcjonowaniu firmy. Coraz częściej mówi się o skutecznym zarządzaniu ryzykiem oraz o konieczności podejmowania licznych działań prewencyjnych, które mają uchronić przedsiębiorstwo przed mniejszymi i większymi problemami. Czym dokładnie jest compliance?

W związku z ustawą o ochronie sygnalistów coraz głośniej mówi się o konieczności zapoznania się z polityką compliance i wprowadzeniu rozwiązań organizacyjnych, których celem jest efektywne zarządzanie kwestiami bezpieczeństwa i etyki pracy w danym zakładzie. Dzięki compliance officerom możliwe jest szybkie zlokalizowanie, zidentyfikowanie i rozwiązanie problemów zanim doprowadzą do odpowiedzialności karnej, finansowej lub wizerunkowej. Na czym polega compliance? Jakie są rodzaje ryzyka i jak można im przeciwdziałać?

Compliance – co to znaczy?

Compliance w firmie odnosi się do przestrzegania przepisów, regulacji, standardów i norm zarówno wewnętrznych, jak i zewnętrznych, które mają zastosowanie do działalności organizacji. Obejmuje to zgodność z przepisami prawnymi, standardami branżowymi oraz politykami i procedurami wewnętrznymi firmy. Obejmuje przestrzeganie lokalnych, krajowych i międzynarodowych przepisów prawa. Przykłady to przepisy dotyczące ochrony danych osobowych (np. RODO), prawa pracy, prawa antykorupcyjnego (np. FCPA, UK Bribery Act) i regulacji dotyczących bezpieczeństwa finansowego (np. AML – przeciwdziałanie praniu pieniędzy).

Jednocześnie wiele branż posiada specyficzne standardy i wytyczne, które muszą być przestrzegane. Przykłady to normy ISO, standardy bezpieczeństwa w branży farmaceutycznej (np. GMP) oraz regulacje dotyczące ochrony środowiska. Compliance obejmuje także wewnętrzne zasady i regulacje stworzone przez firmę w celu zapewnienia zgodności z przepisami prawnymi oraz normami etycznymi. Polityki te mogą obejmować kodeks postępowania, polityki antykorupcyjne, zasady dotyczące konfliktu interesów oraz procedury raportowania nieprawidłowości.

Compliance – definicja

(…)”compliance” zaczerpnięty wprost z angielskiego oznacza „zgodność” z obowiązującymi przepisami prawa (hard law) oraz z regulaminami wewnątrz organizacji (soft law). To nie tylko narzędzie do monitorowania i egzekwowania regulaminów organizacji, ale także sposób na zwiększenie zaufania klientów i partnerów biznesowych do danej firmy. Pierwsze działy compliance powstały w amerykańskich korporacjach pod koniec lat dziewięćdziesiątych jako programy etyczne, które miały zapobiegać nadużyciom w sektorze publicznym. Pierwsze kontrole potwierdziły, że problem dotyczy wielu kluczowych działów w firmie jak księgowość, prawo pracy itd. – lexdigital.pl

Compliance – znaczenie dla organizacji

Dział compliance (zgodności) odgrywa kluczową rolę w każdej organizacji, ponieważ jego zadania i funkcje są fundamentalne dla zapewnienia zgodności działalności firmy z obowiązującymi przepisami prawnymi oraz standardami wewnętrznymi i zewnętrznymi.

Compliance to skuteczny sposób zarządzania ryzykiem i wdrażania rozwiązań organizacyjnych, które pomagają w zapewnieniu zgodności i stworzeniu bezpiecznego oraz etycznego miejsca pracy. Jakie konkretnie znaczenie dla organizacji ma compliance?

  • Ochrona przed ryzykiem prawnym i finansowym,
  • Poprawa reputacji i zaufania,
  • Zwiększenie efektywności operacyjnej,
  • Zapobieganie nadużyciom i korupcji,
  • Edukacja i szkolenia.

Warto także pamiętać, że pojęcie compliance to przede wszystkim działania z zakresu regularnego monitorowania i audytowania procesów wewnętrznych, aby upewnić się, że firma działa zgodnie z obowiązującymi przepisami i normami. To także prowadzenie dochodzeń w przypadku podejrzeń naruszeń oraz raportowanie wyników do wyższego kierownictwa i odpowiednich organów regulacyjnych oraz wdrażanie działań naprawczych i korygujących w odpowiedzi na stwierdzone naruszenia lub identyfikację nowych ryzyk. Jak widać, compliance i whistleblowing mają ze sobą kilka wspólnych elementów.

Polityka compliance – na czym polega?

Polityka compliance w firmie jest zbiorem zasad, procedur i wytycznych, które mają na celu zapewnienie zgodności działalności organizacji z obowiązującymi przepisami prawnymi, regulacjami oraz standardami etycznymi. Składa się na nią wiele elementów, które razem tworzą kompleksowy system zarządzania ryzykiem zgodności.

Co wchodzi w skład polityki compliance?

  • Kodeks etyki – dokument, który określa podstawowe zasady etyczne obowiązujące w firmie. Obejmuje takie kwestie jak uczciwość, transparentność, odpowiedzialność społeczna, szacunek dla pracowników i klientów.
  • Polityki tematyczne – specyficzne polityki dotyczące poszczególnych obszarów, takich jak przeciwdziałanie praniu pieniędzy (AML), ochrona danych osobowych (RODO/GDPR), polityki antykorupcyjne, polityki antydyskryminacyjne i inne.
  • Procedury zgłaszania naruszeń – mechanizmy umożliwiające pracownikom i interesariuszom zgłaszanie nieprawidłowości, takich jak nadużycia finansowe, korupcja, naruszenia praw pracowniczych.
  • Procesy monitorowania i audytowania – regularne audyty wewnętrzne i zewnętrzne w celu weryfikacji zgodności działań firmy z przyjętymi politykami i przepisami prawa.
  • Systemy monitorowania – narzędzia i technologie umożliwiające bieżące monitorowanie działań firmy i identyfikację potencjalnych ryzyk związanych z niezgodnością.
  • Raportowanie incydentów – mechanizmy umożliwiające pracownikom i interesariuszom anonimowe zgłaszanie przypadków naruszeń oraz procesy prowadzenia dochodzeń w tych sprawach.

Przykładowy zakres polityki compliance dla sektora ubezpieczeniowego

  • Dostosowanie działalności do ustawy o działalności ubezpieczeniowej i reasekuracyjnej, pakietu Solvency II, wydanych rekomendacji i uchwał KNF, a także wytycznych organów Unii Europejskiej (ESMA, EIOPA);
  • Ujednolicenie sposobu tworzenia dokumentacji wewnętrznej;
  • Stworzenie reguł oferowania i dystrybucji produktów ubezpieczeniowych (IDD);
  • Ochrona danych osobowych klientów;
  • Zakładanie, przekształcenie, restrukturyzacje, podziały łączenia (w tym transgraniczne), likwidacje;
  • Przeciwdziałanie praniu pieniędzy i finansowania terroryzmu;
  • Przygotowanie i opiniowanie umów zawieranych z agentami ubezpieczeniowymi, multiagencjami i brokerami ubezpieczeniowymi;
  • Regulacja kwestii statutowych i korporacyjnych;
  • Zasady przenoszenia portfeli ubezpieczeniowych.

Źródło: Deloitte.pl

Obszary ryzyka compliance

Ryzyko prawne

  • Regulacje branżowe – przestrzeganie przepisów specyficznych dla danej branży, takich jak regulacje farmaceutyczne (FDA), finansowe (SEC), czy środowiskowe (EPA).
  • Prawo pracy – zgodność z przepisami dotyczącymi zatrudnienia, wynagrodzeń, godzin pracy, warunków pracy i praw pracowników.
  • Prawo ochrony konsumenta – ochrona praw konsumentów, w tym przepisy dotyczące reklamacji, zwrotów oraz etykietowania produktów.

Ryzyko finansowe

  • Przeciwdziałanie praniu pieniędzy (AML) – zgodność z przepisami dotyczącymi przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.
  • Raportowanie finansowe – przestrzeganie standardów raportowania finansowego, takich jak GAAP czy IFRS, oraz regulacji dotyczących audytu i sprawozdawczości finansowej.

Ryzyko antykorupcyjne

  • Antykorupcja i łapownictwo – zgodność z przepisami antykorupcyjnymi, takimi jak FCPA (Foreign Corrupt Practices Act) i UK Bribery Act, oraz wewnętrznymi politykami antykorupcyjnymi.
  • Konflikt interesów – zapobieganie sytuacjom, w których pracownicy mogą mieć konflikty interesów wpływające na ich decyzje zawodowe.

Ryzyko ochrony danych

  • RODO/GDPR – zgodność z regulacjami dotyczącymi ochrony danych osobowych, w tym zbierania, przechowywania i przetwarzania danych osobowych klientów i pracowników.
  • Bezpieczeństwo informacji – zapewnienie odpowiednich środków ochrony danych i informacji przed nieautoryzowanym dostępem, kradzieżą czy utratą.

Ryzyko etyczne

  • Kodeks postępowania – przestrzeganie zasad etycznych określonych w kodeksie postępowania firmy, obejmujących uczciwość, transparentność i odpowiedzialność społeczną.
  • Postępowanie pracowników – monitorowanie zachowań pracowników i zapewnienie, że są one zgodne z wartościami i politykami firmy.

Ryzyko środowiskowe

  • Regulacje środowiskowe – przestrzeganie przepisów dotyczących ochrony środowiska, zarządzania odpadami, emisji gazów cieplarnianych i innych kwestii ekologicznych.
  • Zrównoważony rozwój – wdrażanie i przestrzeganie strategii zrównoważonego rozwoju, które minimalizują negatywny wpływ działalności firmy na środowisko.

Ryzyko operacyjne

  • Kontrola wewnętrzna – wdrażanie i utrzymanie skutecznych systemów kontroli wewnętrznej, które pomagają w zapobieganiu i wykrywaniu nieprawidłowości oraz oszustw.
  • Zarządzanie ryzykiem – identyfikacja, ocena i zarządzanie ryzykami operacyjnymi, które mogą wpływać na działalność firmy.

Procedury compliance

Procedura zgłaszania naruszeń

  • Kanały zgłoszeń – określenie kanałów, za pomocą których pracownicy mogą zgłaszać naruszenia, np. linia telefoniczna, e-mail, specjalne oprogramowanie lub anonimowe skrzynki.
  • Ochrona sygnalistów – zapewnienie ochrony sygnalistów przed represjami dla osób zgłaszających nieprawidłowości.
  • Proces eskalacji – wytyczne dotyczące eskalacji zgłoszeń do odpowiednich działów lub osób.

Procedura przeciwdziałania praniu pieniędzy (AML)

  • Identyfikacja klienta (KYC) – zasady dotyczące weryfikacji tożsamości klientów i oceny ryzyka.
  • Monitorowanie transakcji – regularne monitorowanie transakcji finansowych pod kątem podejrzanych działań.
  • Raportowanie – obowiązki raportowania podejrzanych transakcji do odpowiednich organów regulacyjnych.

Procedura zgodności z RODO/GDPR

  • Zgody na przetwarzanie danych – proces uzyskiwania zgód od osób, których dane są przetwarzane.
  • Prawa podmiotów danych – mechanizmy umożliwiające realizację praw osób, których dane są przetwarzane, np. prawo do dostępu, poprawiania i usuwania danych.
  • Bezpieczeństwo danych – środki techniczne i organizacyjne mające na celu ochronę danych osobowych przed nieautoryzowanym dostępem.

Procedura antykorupcyjna

  • Polityka prezentów i rozrywek – zasady dotyczące przyjmowania i wręczania prezentów oraz organizowania rozrywki dla klientów i partnerów biznesowych.
  • Konflikty interesów – wytyczne dotyczące identyfikacji, zgłaszania i zarządzania konfliktami interesów.
  • Audyt i kontrola – regularne audyty i kontrole wewnętrzne mające na celu wykrycie i zapobieganie korupcji.

Procedura zgodności z przepisami ochrony środowiska

  • Zarządzanie odpadami – zasady dotyczące prawidłowego zarządzania odpadami produkcyjnymi.
  • Monitorowanie emisji – procedury monitorowania i raportowania emisji zanieczyszczeń do powietrza, wody i gleby.
  • Szkolenia ekologiczne – programy szkoleniowe dla pracowników na temat przepisów i praktyk związanych z ochroną środowiska.

Procedura zarządzania ryzykiem operacyjnym

  • Identyfikacja ryzyka – metody identyfikacji potencjalnych ryzyk operacyjnych w działalności firmy.
  • Ocena ryzyka – kryteria oceny ryzyka, w tym prawdopodobieństwo wystąpienia i potencjalne skutki.
  • Działania naprawcze – plany i działania mające na celu minimalizację ryzyka oraz zarządzanie incydentami.

Procedura zgodności z przepisami pracy

  • Zasady zatrudnienia – polityki dotyczące rekrutacji, wynagrodzeń, godzin pracy, urlopów i zwolnień.
  • Równe traktowanie – procedury zapewniające równe traktowanie i brak dyskryminacji w miejscu pracy.
  • Bezpieczeństwo i higiena pracy (BHP) – standardy i procedury dotyczące zapewnienia bezpiecznych i higienicznych warunków pracy.

Compliance – przykłady dobrego i złego compliance

System zarządzania zgodnością compliance nie zawsze prowadzony jest skutecznie – jak pokazują nam przykłady z historii większych i mniejszych przedsiębiorstw, istnieją przypadki dobrego i złego compliance.

compliance definicja

Dobry przykład compliance

Case Study: Johnson & Johnson

  • Johnson & Johnson jest często cytowane jako przykład firmy z silnym systemem compliance. W 1982 roku firma stanęła przed kryzysem, gdy ktoś zatruł kapsułki Tylenolu cyjankiem, co doprowadziło do śmierci siedmiu osób. Pomimo że incydent nie był wynikiem ich działań, Johnson & Johnson zareagowało szybko i odpowiedzialnie.
  • Działania compliance:
    • Natychmiastowe wycofanie produktu z półek sklepowych na całym terenie USA, co kosztowało firmę około 100 milionów dolarów.
    • Wprowadzenie nowych, bezpieczniejszych opakowań z zabezpieczeniami przed manipulacją.
    • Transparentna komunikacja z opinią publiczną i organami regulacyjnymi.
  • Firma nie tylko odzyskała zaufanie konsumentów, ale również ustanowiła nowe standardy dla całego przemysłu farmaceutycznego w zakresie bezpieczeństwa opakowań i reagowania na kryzysy.

Zły przykład compliance

Case Study: Volkswagen Dieselgate

  • Skandal Volkswagena związany z fałszowaniem testów emisji spalin, znany jako Dieselgate, jest jednym z najbardziej znanych przykładów niepowodzenia w zakresie compliance.
  • Działania non-compliance:
    • Firma instalowała w swoich pojazdach oprogramowanie, które było zaprojektowane do oszukiwania testów emisji spalin, co pozwalało pojazdom na spełnianie norm emisji tylko podczas testów laboratoryjnych, podczas gdy w rzeczywistości emitowały one znacznie więcej zanieczyszczeń.
    • Praktyki te były stosowane przez kilka lat i obejmowały miliony pojazdów na całym świecie.
  • Firma musiała ponieść ogromne straty finansowe, w tym kary i koszty związane z naprawą pojazdów oraz odszkodowania dla konsumentów i rządów, szacowane na dziesiątki miliardów dolarów. Znaczące okazało się również uszkodzenie reputacji firmy, prowadzące do spadku wartości akcji i zaufania konsumentów oraz długotrwałe konsekwencje prawne, w tym procesy sądowe i regulacyjne w wielu krajach.

Compliance – praca

Praca w dziale compliance polega na zapewnieniu, że organizacja działa zgodnie z przepisami prawa, regulacjami branżowymi oraz wewnętrznymi politykami i standardami etycznymi. Compliance officerzy odgrywają kluczową rolę w identyfikacji, ocenie i zarządzaniu ryzykiem związanym z niezgodnością. Ich zadania obejmują zarówno działania prewencyjne, jak i reagowanie na incydenty. Z racji obowiązków, sygnalista i compliance officer często są ze sobą myleni. Czy słusznie?

Jakie są główne obowiązki pracowników w dziale compliance?

  • Wdrożenie i nadzorowanie procedur wprowadzonych przez system compliance
  • Działanie według między innymi ustawy o odpowiedzialności podmiotów zbiorowych oraz ustawy o sygnalistach
  • Przestrzeganie zasad wręczania prezentów dla członków zarządu,
  • Unikanie konfliktów interesów
  • Identyfikacja obszarów działalności firmy, które są narażone na ryzyko niezgodności
  • Opracowywanie i przeprowadzanie szkoleń dla pracowników na temat obowiązujących przepisów prawa oraz wewnętrznych polityk i procedur
  • Opracowywanie i aktualizacja polityk oraz procedur wewnętrznych, które pomagają w zgodności z przepisami
  • Regularne przeprowadzanie audytów wewnętrznych w celu oceny zgodności działalności firmy z przepisami oraz wewnętrznymi politykami
  • Ustanowienie mechanizmów umożliwiających pracownikom zgłaszanie naruszeń, np. linie etyczne, skrzynki anonimowe

Compliance – zarobki

Compliance officer lub specjalista ds. compliance to stanowiska związane z dużą odpowiedzialnością dlatego też warunki zatrudnienia są atrakcyjne. Choć ostatecznie wynagrodzenie zależy od doświadczenia, wykształcenia, wielkości firmy, zakresu obowiązków oraz miejsca zatrudnienia, to możemy poznać medianę zarobków, która została opublikowana na portalu wynagrodzenia.pl:

  • Młodszy specjalista ds. compliance:
    • dolny kwartyl – 5 500 PLN
    • mediana – 6 230 PLN
    • Ggórny kwartyl – 6 930 PLN
  • Specjalista ds. compliance:
    • dolny kwartyl – 6 950 PLN
    • mediana – 8 770 PLN
    • górny kwartyl – 11 110 PLN
  • Starszy specjalista ds. compliance:
    • dolny kwartyl – 9 010 PLN
    • mediana – 11 480 PLN
    • górny kwartyl – 14 570 PLN