Na Krogu zaupanja, ki je potekal dne 13.02.2017, smo si člani EISEP v zaupnem okolju izmenjali nekaj konkretnih dilem in govorili o obstoječih praksah in možnih rešitvah. V skladu z mislijo “Mastermind” metodologije: “The bridge of success is never crossed alone”, je vsak od nas našel vsaj delček odgovora na svoje vprašanje ter podal vsaj del rešitve za kolege. V ponazoritev smo nekaj izmenjanih misli tudi zapisali.
Položaj skladnosti vis-a-vis nadzornemu svetu (neposredno delegiranje nalog, poročanje, zadolžitve ki presegajo skladnost, ipd.) ter umeščenost DPO (v ali izven skladnosti)?
Kljub “neodvisnosti” in “neposrednem dostopu do nadzornega sveta” se zavedamo, da se v praksi poročila o delu skladnosti (redna ali ad hoc) posredujejo nadzornemu svetu bodisi preko uprave bodisi ob vedenju uprave (odprta komunikacija). Izjeme so kvečjemu “mejne situacije”, ko gre za morebitne zelo pomembne zadeve družbe ali celo nepravilnosti uprave, pa jih le-ta ignorira ali skriva (kot ekstremen ukrep je možen tudi odstop skladnosti). Praviloma skladnost prejema zadolžitve nadzornega sveta preko sklepov le-tega ter preko uprave (če se vsi tako strinjajo oz. je vzpostavljeno zaupanje, lahko tudi neposredno od nadzornega sveta). Paziti je treba, da nadzorni svet ne prestopi ločnice nadzora in se začne vmešavati v poslovanje (problem upravljanja) ter da skladnost ne izvaja nalog, ki ogrožajo njeno neodvisnost. Ker je v večini družb dostop skladnosti do nadzornega sveta omejen, si skladnost celo želi več neposredne komunikacije z le-tem, kar pa lahko v določenih primerih pripelje do pretiranega zanašanja na skladnost (zlasti če je notranja revizija morda pasivna). Dejstvo pa je, da skladnost nima enakega položaja kot notranja revizija preko revizijske komisije.
Varstvo osebnih podatkov je podrobno/obsežno področje, zato bi lahko imenovanje DPO v okviru skladnosti odvzelo preveč pozornosti / resursov le za eno področje (zanemarjanje drugih področij). Možna je rešitev, da je DPO samostojna oseba (podobno kot npr. preprečevanje pranja denarja), a se poraja vprašanje, če imajo vse družbe toliko resursov, kako je z nadomeščanjem, ipd. Povsem sprejemljiva je rešitev, da je DPO v okviru skladnosti (še zlasti če na tem področju dela več oseb), ima svojo neodvisnost (zlasti da ni vpet v procese, da je pooblaščena konkretna oseba ipd.). Veliko se govori tudi o “kolektivnih organih” zaradi interdisciplinarnosti, kar pa se lahko zagotovi tudi z imenovanjem DPO + posvetovalne skupine (DPO + varnostni inženir ali IT + pravnik + predstavnik pomembnega procesa).
Podajanje mnenj in priporočil upravi glede skladnosti ter kompromisi, v primeru, ko 100% skladnosti ni realno/možno zagotoviti?
Skladnost podaja zlasti oceno tveganj, predloge in priporočila za doseganje skladnosti, pomaga nosilcem procesov. Zavedamo se, da je 100% skladnost skoraj utopija, delujemo po principu ocene tveganj in načrta. Ne izogibamo se dajanju konkretnih predlogov (najboljša izbira glede na skladnost in normalno delovanje procesov). Pri iskanju morebitnih kompromisov prisluhnemo argumentom vodij procesov ter se naslonimo na opredeljeni “apetit do tveganj” (tudi pomoč CRO je dobrodošla). Kolege ozaveščamo, da skladnost zlasti svetuje, da končno odločitev oziroma odgovornost glede skladnega poslovanja pa nosijo nosilci procesov (prva linija).
Vloga skladnosti vis-a-vis nadzornim/inšpekcijskim organom, zlasti v primerih “mehkejših področij”, kjer je težje določiti enoznačna stališča?
Načeloma je treba ločiti vlogo (prvega) pravnega svetovalca (oz. odvetnika) družbe od vloge skladnosti. Ločimo tudi vlogo skladnosti, če le ta nastopa kot vhodna točka za komunikacijo z regulatorji ali zgolj kot intervjuvanec v revizijskem postopku. Če smo preveč proaktivni (ali združujemo skladnost in pravno službo) pazimo, da ne prekoračimo svojih pristojnosti (pooblastil). Vloga skladnosti niti ni v tem, da se “prereka” z nadzornim organom, temveč da zna (predvsem interno) pojasniti, zakaj je določeno stanje/rešitev v skladu z oceno tveganj primeren/zadosten ukrep, oziroma kako bi ga lahko nadgradila. Skladnost si pri komunikaciji z zunanjimi organi prizadeva za poenotenje argumentov z notranjo revizijo, pravno službo in upravo (in ne nosi vsega bremena sama).
KPI (kazalniki učinkovitosti) delovanja skladnosti – ali sploh imamo čas za takšne reči ?
Poslovodstvo je navajeno na spremljanje KPI na vseh ostalih področjih in če želimo pokazati dodano vrednost našega dela, moramo to storiti na način, ki ga razumejo. Začnemo lahko s preprostimi kazalniki in jih kasneje nadgrajujemo (sodelujemo lahko s kontrolingom, tveganji). Primeri KPI so npr. število pritožb, število prejetih prijav, odkritih nepravilnosti, število izvedenih predavanj za zaposlene ali objavljenih člankov, število vpeljanih notranjih kontrol skladnosti, spremljanje napredka pri pripravah na GDPR, itd. Preko pozitivnih KPI je nato tudi lažje predlagati in argumentirati investicije v resurse, IT podporo glede skladnosti ipd.
Andrej Šercer
Izobraževanje, raziskovanje in razvoj na področju korporativne skladnosti in etike ter skrb za razvoj poklica pooblaščenca za skladnost poslovanja.