Piotr Żyłka
Przed czterema laty, w grudniu 2020 r. napisałem tekst zatytułowany „A.D. 2021 – początek dekady compliance”. W tekście tym stawiałem tezę o nieuchronnym rozwoju, jak i wzroście znaczenia systemów zarządzania zgodnością, również poza sektorami regulowanymi, a także podmiotami spoza międzynarodowych grup kapitałowych. Po blisko czterech latach kiedy piszę niniejszy tekst śmiem twierdzić, że tezy stawiane w ww. artykule dotyczące rozwoju funkcji compliance w organizacji w sektorze przedsiębiorstw, sprawdziły się jedynie połowicznie.
Oczywiście możemy mówić o pewnego rodzaju zmianie polegającej na rozprzestrzenianiu się funkcji zgodności. Wyjściu poza pewien schemat. Niemniej nie ma we mnie przekonania co do tego czy sam fakt ekspansji idzie w parze z nadaniem compliance właściwego statusu, roli i uprawnień w ramach organizacji, a w konsekwencji czy samo powołanie do życia jednostek odpowiedzialnych za zarządzanie zgodnością wiąże się z budową efektywnego systemu zarządzania ryzykiem braku zgodności, bądź szerzej systemu zarządzania ryzykiem i kontroli wewnętrznej w sektorze przedsiębiorstw.
Na przestrzeni lat, które upłynęły od publikacji wspomnianego powyżej tekstu, byliśmy świadkami wzmożenia legislacyjnego (przez niektórych uznawanego nawet za „regulacyjne tsunami”), zarówno po stronie polskiego, jak i unijnego legislatora.
Niemniej jednak, w ostatnich latach to Unia Europejska nadaje ton, jak i wyznacza ramy, a wręcz listę „to do” jednostek compliance na polskim rynku.
Wystarczy wspomnieć choćby pakiet regulacji z zakresu Environmental, Social, Corporate Governance (ESG) np. dyrektywy Corporate Sustainability Due Diligence (CSDD), Corporate Sustainability Reporting (CSRD). Czy też pakiet zmian regulacyjnych z zakresu AML, rozporządzenie dot. AI, dyrektywa NIS 2. To tylko mała próbka, a wręcz kropla w legislacyjnym oceanie, która jednakże wiąże się z niejednokrotnie fundamentalnymi zmianami – w pierwszej kolejności w polskim porządku prawnym, a w konsekwencji w odniesieniu do bieżącej działalności przedsiębiorstw, na które nowe lub znowelizowane obowiązki zostaną nałożone.
Wprowadzenie tak szerokiego katalogu zmian do systemu prawnego, a co za tym idzie redefinicja obowiązków na linii państwo – sektor prywatny w zakresie ochrony środowiska, odpowiedzialności społecznej, bezpieczeństwa w cyberprzestrzeni, ochrony przed zagrożeniami świata wirtualnego, na przeciwdziałaniu manipulacji związanej z wykorzystaniem nowych technologii kończąc, niesie za sobą ogromne wyzwania. To przedsiębiorcy, na mocy nakładanych na nich obowiązków będą zobligowani do odegrania znacznie donioślejszej roli aniżeli dotychczas. To duża odpowiedzialność, jak i zobowiązanie nałożone na przedstawicieli sektora prywatnego, którzy w pewnej mierze zobowiązani będą do działania w sposób właściwy dotychczas dla instytucji zaufania publicznego.
Jest to swego rodzaju zmiana paradygmatu, w którym sektor prywatny przejmuje lwią część obowiązków, które w dotychczasowym rozumieniu instytucji państwa, realizowane powinny być przez dedykowane jego organy. Aktualnie rola państwa ma ograniczać się do roli nadzorcy, kontrolera, który zweryfikuje czy podmiot prywatny wdrożył mechanizmy prewencyjne, mitygujące, które w sposób efektywny minimalizują ryzyko. Ryzyko, które pojmowane jest jako immanentna część prowadzenia działalności biznesowej, zważywszy na kierunek zmian regulacyjnych, powinno być postrzegane również w ujęciu sektorowym np. z punktu widzenia stabilności sektora finansowego (AML), jak i społecznym i środowiskowym (ESG).
Prywatne przedsiębiorstwa będące instytucjami zobowiązanymi do minimalizacji ryzyka w zakresie opisanym powyżej, pełnić będą kluczową rolę w zmianie modelu funkcjonowania polskiej gospodarki. Zewsząd bowiem w ostatnich miesiącach dobiegają głosy o konieczności zmiany polskiego paradygmatu gospodarczego (1). Polska wciąż pozostaje atrakcyjnym miejscem inwestycji zagranicznego kapitału, niemniej musi wymyślić na nowo w jaki sposób chciałaby ten kapitał zachęcić do inwestycji lub pozostania w Polsce i dalszych inwestycji.
Jak wskazywał w swojej publikacji pt. „Złoty Wiek” prof. Piątkowski:
„Polska może poszczycić się najlepszym klimatem dla biznesu wśród wszystkich krajów Europy Środkowo – Wschodniej”
Czymże jest ten klimat jeśli nie kombinacją wskaźników mikro, jak i makroekonomicznych, kapitału ludzkiego, jakości stanowionego prawa, ale także standardów sektorowych?
Dlatego też tak istotnym staje się właściwe podejście do kwestii zarządzania zgodnością, zarówno z uwagi na zmianę środka ciężkości w zakresie realizacji zadań istotnych z punktu widzenia interesu publicznego, ale przede wszystkim z uwagi na konieczność standaryzacji działań w zakresie prowadzenia działalności w zgodzie z wymogami prawa.
Niemniej obserwując działania prawodawcze związane z implementacją do polskiego porządku prawnego kolejnych unijnych aktów prawnych, a w szczególności ich odwołania do konieczności ustanowienia w ramach podmiotów obowiązanych systemów zarządzania ryzykiem i kontroli wewnętrznej, a w węższym ujęciu systemów zarządzania zgodnością wyraźnym staje się rozproszenie, zarówno regulacyjne, jak i nadzorcze co w sposób nieunikniony związane jest z niejednokrotnie rozbieżnymi oczekiwaniami organów kontroli.
Pozwolę sobie przytoczyć fragment mojego tekstu dla Puls Biznesu z początku br. roku:
„(…)podejmując decyzję kierunkową o rozwoju podejścia zarządczego opartego o zasadę ryzyka, nie można pozostawić przedsiębiorców samych sobie, zarówno w zakresie nadzoru nad realizacją obowiązków, jak i w odniesieniu do funkcji doradczej lub interpretacyjnej. Nałożenie obowiązków musi iść w parze z partnerskim podejściem administracji względem sektora prywatnego. Minimalizowanie ryzyka nieprawidłowości leży bowiem w interesie, zarówno jednej, jak i drugiej strony. Odpowiednio skrojone na miarę i potrzeby polskiego rynku ustawodawstwo stanowić powinno podstawę funkcjonowania systemów zarządzania ryzykiem braku zgodności. Obecny status quo prowadził będzie nieuchronnie ku rozczłonkowaniu obowiązków związanych z zarządzaniem ryzykiem braku zgodności, uzależnionym od wewnątrzorganizacyjnych lub grupowych standardów danego podmiotu.”
Przyrost wymagań regulacyjnych, a także rozszerzenie katalogu przedsiębiorstw zobowiązanych do podjęcia działań w zakresie zarządzania zgodnością, na podstawie przepisu prawa, przy jednoczesnym braku holistycznego podejścia, a także pozostawienie sektora prywatnego „samemu sobie” bez należytego dialogu z jego przedstawicielami, rodzi ryzyko pozorności w zakresie, zarówno stanowienia prawa, jak i późniejszego respektowania jego postanowień. W efekcie prowadzić może do dezawuowania znaczenia funkcji zgodności jako takiej.
