Znaczenie kultury compliance w środowisku permanentnej i powszechnej ekspozycji na ryzyko

04 sierpnia 2023

dr Michał Kaczmarski

Wstęp

Współcześnie żyjemy w świecie, który zdominowany jest przez globalizację wszystkiego co nas otacza. Nie inaczej dzieje się z zagrożeniami i ryzykiem materializacji tych zagrożeń.

Mamy więc „gospodarkę globalnego ryzyka” oraz coroczne raporty na temat ryzyk zagrażających nam w wymiarze makro i mikroekonomicznym. Wystarczy zajrzeć do osiemnastej edycji „Raportu pt. “Raport nt. Ryzyk Globalnych w 2023 roku” (ang. „The Global Risks Report 2023. 18th Edition Insight report”) publikowanego przez Światowe Forum Ekonomiczne (ang. World Economic Forum), aby dowiedzieć się, że żyjemy w czasach światowego kryzysu, m.in. w wymiarze:

  • ekologicznym (globalne ocieplenie, a nawet wrzenie, jak określa to ostatnio Sekretarz Generalny ONZ),
  • ekonomicznym (nierówności społeczne, kryzysy ekonomiczne, dostępność zasobów naturalnych i ich sprawiedliwa alokacja),
  • zdrowotnym (pandemie, dostęp do świadczeń zdrowotnych),
  • populacyjnym (starzenie się społeczeństw północy oraz brak pomysłu na zrównoważone wykorzystanie potencjału populacji ludzkiej południa, przy ogólnym dynamicznym wzroście populacji ludności na ziemi oraz ograniczonych i nieoptymalnie zużywanych zasobach żywności),
  • bezpieczeństwa (wojny, przestępczość, katastrofy naturalne),
  • praw człowieka i ochrony danych osobowych (w dobie globalnej cyfryzacji).

Oczywiście w kontekście globalnych ryzyk, mamy również 17 Priorytetów Zrównoważonego Rozwoju ONZ na rok 2030, które adresują ryzyka blisko skorelowane z obserwacjami Światowego Forum Ekonomicznego.

Poza faktem występowania zagrożeń makro i mikroekonomicznych mamy jeszcze aspekt świadomości tych zagrożeń. Jednak, w ślad za Urlichem Beckiem możemy powiedzieć, że żyjemy w „społeczeństwie światowego ryzyka”, ponieważ dzięki internetowi i globalizacji mediów cyfrowych wszyscy jesteśmy codziennie bombardowani informacjami o zagrożeniach, zarówno tych dotyczących nas bezpośrednio, jak i takich, na które nie mamy większego wpływu. Wobec zalewu informacji, trudno jednak czasem odróżnić jedne od drugich.

W tym miejscu należy dodać, że wiele z tych zagrożeń zagnieździło się w świadomości przeciętnego Kowalskiego lub Smitha za sprawą mediów, które podsycają atmosferę strachu, ponieważ ten najlepiej się sprzedaje. Jednakże, media często posługują się ogólnymi hasłami, w związku z czym nasz statystyczny obywatel nie jest w stanie ocenić zagrożenia ani w kontekście jego wagi, ani prawdopodobieństwa wystąpienia najczarniejszego scenariusza. Wiele z dzisiejszych zagrożeń istniało zresztą wcześniej, ale osobom żyjącym w tamtych czasach żyło się łatwiej, ponieważ o nich nie słyszeli, a więc nie uświadamiali sobie ryzyka. Wszystko to sprawia, że w naszej świadomości żyjemy dziś w świecie permanentnego ryzyka i w ekosystemie wszechstronnych zagrożeń czyhających wszędzie.

Z drugiej jednak strony, brak świadomości ryzyka nie eliminuje zagrożenia. Powoduje jedynie, że nasz Titanic wpływa na górę lodową i tonie, choć do ostatniej chwili na pokładzie gra orkiestra i wszyscy świetnie się bawią.

Dlatego też, w żadnym razie nie sugeruję, żeby odwrócić wzrok od ryzyka i udawać, że nic się nie dzieje. Jak mogliśmy to obserwować w filmie „Nie patrz w górę” (ang. „Don’t Look Up”) z 2021 roku w reżyserii Adama McKay’a. Chodzi po prostu oto, że większość ludzi nie radzi sobie zbyt dobrze z permanentną presją i lękiem, zatem podając im ryzyko bez tła sytuacyjnego i racjonalnej oceny sytuacji, dochodzi może do radykalizacji zachowań ludzkich, co napędza spiralę strachu, poczucia zagrożenia, oraz świadomości ryzyka. Nie pomaga natomiast w rozwiązywaniu problemów.

W dalszej części niniejszego – nieco refleksyjnego tekstu – chciałbym skupić się na adekwatnej reakcji na ryzyko nadużyć gospodarczych w środowisku korporacyjnym, tj. tworzeniu kultury compliance skupionej wokół wartości. W mojej ocenie, dopiero wokół wspólnych wartości możemy budować adekwatną reakcję na permanentną i powszechną obecność ryzyka w biznesie. Reakcja na to samo ryzyko może być bowiem zupełnie inna, zależnie od przyjętego paradygmatu celu. To trochę, jak ze wspinaczką górską, na szczyt dotrzeć można różnymi szlakami, a czasem polecieć, wszystko zależy od naszych preferencji aksjologicznych.

Ryzyko nadużyć gospodarczych w organizacji, a paradygmat celu

Ryzyko wystąpienia nadużyć gospodarczych w przedsiębiorstwie możemy rozpatrywać z dwóch perspektyw, wewnętrznej i zewnętrznej.

Perspektywa wewnętrzna to sytuacja, gdzie nadużycie prowadzi do pojawienia się w naszej organizacji bezpośredniej szkody, czyli w ślad za definicją z art. 361 § 2 kodeksu cywilnego „straty, którą poszkodowany poniósł, oraz korzyści, którą mógł był osiągnąć, gdyby mu szkody nie wyrządzono”.

W przypadku straty, mamy do czynienia z sytuacją zmniejszenia sumy aktywów, której ekwiwalentem jest nadzwyczajny koszt operacyjny, pomniejszający nasz kapitał, a więc ogólnego zmniejszenia sumy bilansowej.

W przypadku utraconych korzyści, sytuacja jest nieco bardziej zindywidualizowana, ponieważ utraconą korzyścią będzie racjonalnie oczekiwana nadwyżka przychodów nad kosztami, do której nie dochodzi w wyniku bezprawnego działania sprawcy nadużycia.

Perspektywa szkody zewnętrznej natomiast, to sytuacja, gdzie – na pierwszy rzut oka (tj. w krótkim horyzoncie czasu) – działanie sprawcy nadużycia będzie korzystne dla naszego przedsiębiorstwa, ponieważ doprowadzi do pojawienia się lub racjonalnego oczekiwania pojawienia się zysku (tj. nadwyżki przychodów nad kosztami), ale w wyniku działania, które w relacjach B2B doprowadzi do straty lub utraconych korzyści po stronie naszego klienta lub dostawcy. Najbardziej oczywistym przykładem takiego nadużycia z elementem szkody po stronie podmiotu trzeciego jest korupcja, w wyniku której kontrahent wybiera ofertę naszego przedsiębiorstwa, pomimo, że jest droższa lub gorszej jakości niż oferta konkurencji. W wymiarze relacji B2C będzie to np. sytuacja, gdzie wskutek wprowadzenia w błąd konsumenta sprzedamy mu produkt, za cenę rażąco wyższą niż wartość rynkowa towaru lub też w sytuacji, braku przekazania konsumentowi w zrozumiałej dla niego formie informacji o ryzykach związanych z towarem lub usługą.

W kontekście ryzyka nadużyć gospodarczych, działanie sprawcy będzie zazwyczaj wypełniało znamiona czynu zabronionego pod groźbą kary, którego popełnienie w sposób zawiniony stanowić będzie przestępstwo. W przywołanych wyżej przykładach, korupcja będzie najczęściej czynem łapownictwa czynnego lub biernego z art. 228 – 231 kodeksu karnego (tzw. korupcja urzędnicza) lub 296 kodeksu karnego (tzw. korupcja menedżerska). Natomiast wprowadzenie konsumenta w błąd, stanowić będzie jeden z czynów zabronionych przewidzianych w ustawie o ochronie konkurencji i konsumentów (np. art. 24 tej ustawy) lub ustawy o czynach nieuczciwej konkurencji (np. art. 25 w zw. z art. 5 – 10 tej ustawy), albo ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym (np. art. 4 w zw. z art. 15 lub 16 tej ustawy).

Jak widać z powyższych przykładów, ryzyko pojawienia się nadużyć gospodarczych w przedsiębiorstwie jest zjawiskiem permanentnym i globalnym, choć mówimy tutaj na razie o tzw. ryzyku inherentnym, czyli wpisanym w podejmowanie działalności gospodarczej i zatrudnianie pracowników lub podwykonawców. Złą wiadomością jest również fakt, że prowadzenie dowolnej działalności gospodarczej związane jest z występowaniem nadużyć, co wpisane jest w obszar ryzyka operacyjnego. Dobra wiadomość jest natomiast taka, że ryzyko to możemy zmierzyć i zważyć, oraz wpływać na prawdopodobieństwo jego wystąpienia (w ramach zarządzania ryzykiem rezydualnym).

Pomiar ten możliwy jest dzięki wiedzy o koncepcji tzw. Trójkąta Nadużyć Dolanda Cresseya, czyli teorii na temat warunków koniecznych dla pojawienia się nadużycia gospodarczego w przedsiębiorstwie, zarówno wywołującego szkodę wewnętrzną, jak i zewnętrzną. Nie łudźmy się jednak, że szkoda zewnętrzna dotyka jedynie naszego kontrahenta. Jeżeli fakt popełnienia czynu zabronionego przez naszego pracownika zostanie ujawniony organom ścigania, spotkać nas może dotkliwa kara, zarówno w wymiarze odpowiedzialności karnej podmiotów zbiorowych, jak i przepisów o zwalczaniu nieuczciwej konkurencji, w ramach postępowania przed UOKiK. Kara najprawdopodobniej dosięgnie też wtedy samego sprawce, czyli naszego pracownika lub podwykonawcę. To jednak zależy od tego w jakim reżimie prawnym nasz przypadek będzie badany. W Polsce, nadal odpowiedzialność podmiotów zbiorowych – co do zasady – wymaga prejudykatu, czyli ukarania sprawcy nadużycia w procesie karnym. Jednak w USA (np. ustawa FCPA), czy Wielkiej Brytanii (np. UK Bribery Act), możliwe jest ukaranie przedsiębiorstwa, w związku z ustaleniem wystąpienia czynu zabronionego, ale bez konieczności wskazania, czy uprzedniego ukarania, sprawcy tego czynu.

Wracając jednak do Donalda Cressey’a, aby zarządzać ryzykiem ekspozycji na nadużycia gospodarcze konieczne jest zrozumienie, że do nadużyć dochodzi jedynie wtedy, gdy:

  • sprawca ma sposobność popełnić nadużycie, czyli w naszej organizacji nie ma mechanizmu kontrolnego, który może go przed tym powstrzymać (np. jednoosobowa akceptacja przelewów lub cen transakcyjnych stwarza ryzyko, że akceptujący podejmie niekontrolowaną decyzję o przelewie lub cenie niekorzystnej dla przedsiębiorstwa, bo będzie mógł to zrobić),
  • sprawca działa pod presją, tj. istnieje imperatyw, który sprawia, że chce skorzystać z możliwości działania niezgodnie z interesem firmy (np. presja finansowa i otwartość na korupcję, albo lęk przed wykluczeniem z grupy rówieśniczej, co sprawia, że sprawca ulega presji przełożonego lub innej osoby i działa niezgodnie z interesem firmy), a ponadto
  • istnieje subiektywna wymówka, która racjonalizuje obiektywnie naganne  zachowanie sprawcy (np. robię to dla firmy, należy mi się, nikt nie zauważy, nikogo nie skrzywdzę, itp.)

Oczywiście wszystkie trzy powyższe warunki muszą wystąpić łącznie. Jednakże, wcześniej po stronie przedsiębiorstwa pojawić się muszą okoliczności sprzyjające nadużyciom tj.:

  • luki w mechanizmach kontrolnych,
  • niezaadresowana presja wywierana na pracownika lub podwykonawcę,
  • brak racjonalizacji pozytywnej, np. komunikatu typu „naszej firmie nie zależy na generowaniu zysku za wszelką cenę, chcemy, aby nasi pracownicy przychodzili do pracy z uśmiechem, a jeśli ktoś ma jakiś pomysł lub problem, mamy kanały komunikacji, aby je właściwie zaadresować”. Być może brzmi to dla niektórych z nas nieco utopijnie, ale skoro możemy to sobie wyobrazić, możemy to również zrealizować.

W tym właśnie miejscu, tj. kwestii zarządzania ekspozycją na ryzyko nadużyć i eliminowaniu warunków sprzyjających nadużyciom wkracza kultura compliance i paradygmat celu. Żeby nadużyć w firmie było mniej, musimy:

  • po pierwsze, tego chcieć (czyli zwizualizować sobie cel i dążyć do jego realizacji),
  • po drugie, to nazwać, czyli zastosować komunikację płynącą z samej góry, gdzie wyjaśnimy w sposób zrozumiały i wiarygodny dla odbiorców czego od nich oczekujemy – tj. żeby postępowali zgodnie z procedurami, ale przede wszystkim zgodnie z ich celem, a nie tylko treścią (przy czym nasza komunikacja będzie wiarygodna tylko wtedy, jeśli słowa będą spójne z postawą i czynami kierownictwa; to trochę jak ze skuteczną prezentacją sprzedażową, treść ma znaczenie, ale najważniejsze są aspekty niewerbalne), wreszcie,
  • po trzecie musimy zmapować nasze zamiary w ramach tzw. Programu compliance, który adresował będzie nasz cel i zakomunikowane wartości. Program compliance to jednak tylko narzędzie, jeżeli ma przeciwdziałać nadużyciom musimy tylko, a może aż, chcieć, żeby tak się stało i realizować ten cel w naszym codziennym działaniu. To jak z zapinaniem pasów bezpieczeństwa w samochodzie lub stosowaniem się do ograniczeń prędkości w ruchu ulicznym.

W kontekście kultury compliance, można posłużyć się cytatem z „Wesela” Stanisława Wyspiańskiego, tj. „myślę, że panowie, dużo by już mogli mieć, ino oni nie chcą chcieć!”. Szczęśliwie, najtrudniej jest rozpocząć podróż w stronę budowania kultury compliance, z czasem jednak, zadanie staje się coraz łatwiejsza, odwrotnie niż z toczeniem z góry śniegowej kuli.

Oczywiście, skuteczny proces zarządzania ryzykiem nadużyć, podobnie jak skuteczny proces budowania kultury compliance wykazują cechy cykliczności. Muszą reagować na zmieniające się warunki zewnętrzne i wewnętrzne, jednak wraz ze specjalizacją osób zaangażowanych w ten proces, standaryzacją mechanizmu aktualizacji ryzyk i wdrażania działań optymalizujących, skraca się czas reakcji, a nasz model działa coraz sprawniej.

Zakończenie

W dzisiejszych czasach żyjemy w środowisku permanentnej ekspozycji na zagrożenia i ryzyko ich materializacji. Mamy ogólną świadomość występowania tych zagrożeń, bo żyjemy w społeczeństwie światowego ryzyka, ale nie zawsze, a może nawet rzadko, jesteśmy w stanie te zagrożenia przełożyć na racjonalne działania naprawcze. Nie inaczej dzieje się w środowisku korporacyjnym, gdzie wszystkie terminy są zbyt krótkie, a zadania zbyt rozległe, a na dokładkę nie ma ludzi, którzy potrafiliby lub mieli przestrzeń, aby to zrobić. To wszystko sprawia, że wpadamy w wir „bylejakości”, byle do przodu, byle „dowieźć cel”, za wszelką cenę, bez względu na koszty pośrednie. Takie środowisko działania sprzyja niestety wybieraniu drogi na skróty i materializacji warunków występowania nadużyć gospodarczych w przedsiębiorstwach. Oczywiście nadużycia nigdy nie zostaną całkowicie wyeliminowane, bo popełniają je ludzie, a oni z natury rzeczy narażeni są na błędy, zarówno te nieumyślne, jak i umyślne, działając pod wpływem presji.

Dlatego tak ważne jest budowanie kultury compliance w organizacjach, a wokół niej wspólnoty wartości, która dostarcza pozytywnego drogowskazu (racjonalizacji), który w sytuacji presji lub wątpliwości pozwala wybrać właściwy wariant działania. Ważne jest jednak również, aby w organizacjach znajdowali się także ludzie, do których można zwrócić się z problemem, w warunkach braku obawy, że nasze pytanie lub wątpliwość spotka się z krytyką. Być może w kontekście nadużyć tą osobą jest oficer compliance, ale to już temat na kolejną publikację. 

Zostaw odpowiedź

Your email address will not be published. Required fields are marked *