A compliance funkció értékelésének szempontjai
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A compliance szempontjából alapvetően két fő területet kell értékelni: működésének a feltételeit, valamint a konkrét feladatvégzés mikéntjét.
Szemben a belső ellenőrzéssel, mely szakmának nemzetközileg egységes standardjai vannak, a compliance értékeléshez (még) nem áll rendelkezésre egy általánosan elfogadott mérce. Nehéz is ilyet készíteni, mert a compliance mára egy sokrétű, szerteágazó funkcióvá vált, és a különböző szakterületei különböző értékelési megközelítéseket igényelnek.
Természetesen van azért több módszertan is, amely alkalmas lehet egy értékelés elvégzésére, de közülük még nem emelkedett vagy kristályosodott ki egy olyan, amelyet minden szakmabéli magáénak vallana. Az alábbiakban a létező módszertanok közös elemeiből emeltünk ki néhányat, melyek egy értékelés alapját képezhetik.
Alapvetően két fő területet kell értékelni: a compliance működésének feltételeit, valamint a konkrét feladatvégzés mikéntjét.
Ami az elsőt illeti, talán a legfontosabb kiindulópont a szervezet compliance kultúrájának számbavétele. A szervezeti (és azon belül: compliance) kultúra alapvető fontosságú, hiszen a kultúra az a közeg, amelyben a folyamatok hatnak, az egyes szereplők működnek. Áthat és befolyásol mindent, egy idevágó mondás szerint: „Culture eats strategy for breakfast”, azaz szabad fordításban a (szervezeti) kultúra ízekre tudja szedni a stratégiát is. Másképp: a legjobban megalkotott zseniális stratégia végrehajtása is megtörhet egy merev, ellenálló (még rosszabb esetben „toxikus”) vállalati kulturális közegben. A compliance kultúrának számtalan megnyilvánulási formája van, kezdve a vezetői példamutatástól, a compliance szempontok munkatársi szinten való tudatosításán át, egészen a funkció szervezeti beágyazódottságáig.
Szintén ide tartozik még a compliance stratégia értékelése (már ha van ilyen definiálva a szervezetben). További, az előzőhöz szorosan kapcsolódó kérdés a compliance kockázatok áttekintése (ki, milyen értékelés keretében, mely kockázatokat azonosította, kezelésükre meghatároztak-e konkrét eljárásokat, stb.).
A második témakör, a konkrét feladatvégzés értékelése kezdődhet a compliance program értékelésével. Ez legtöbbször nem más, mint egy „akcióterv”, amely azt tartalmazza, hogy milyen operatív feladatokat azonosított önmaga számára a compliance funkció. Nagyon fontos kérdés, hogy e feladatokhoz megfelelő mennyiségű és minőségű erőforrás lett-e rendelve (létszám, képesítés, tapasztalat tekintetében). Mivel a compliance értékelés sosem állhat meg a szűken vett compliance terület (felelős, osztály, igazgatóság, stb.) elemzésénél, kritikus, hogy milyen a szervezet egészében a kapcsolódó kommunikáció, zajlanak-e és ha igen, hogyan oktatások, azok mennyire hatékonyan érik el a kívánt célt.
Végül, de nem utolsó sorban hangsúlyozni kell a belső minőségértékelési és -javítási program szükségességét. Mint minden komplex rendszer, ami egy folyamatosan változó rendszeren belül működik és maga is folyamatosan változik, sosem lesz egy olyan időpillanat, amikor azt lehet mondani, hogy „kész, ennél jobban nem lehet ezt csinálni, ezen már nem változtatunk”. Ahhoz, hogy egy már elért színvonalat meg lehessen tartani, vagy onnan még tovább lehessen fejlődni, folyamatosan monitorozni kell a rendszer működését, rendszeres belső, sőt időszakosan külső értékeléseknek is alávetve azt. És épp ez az a pont, ami miatt cikkünk tárgya kiemelten fontos: ha a folyamatos fejlődést, fejlesztést úgy tekintjük, mint egy felfele törekvést egy képzelt csúcs irányába, akkor ezek az időszakos értékelések úgy működnek, mint egy „ék”, mely nem engedi, hogy visszacsússzunk a már elért pozíciónkból.
A végére még egy fontos gyakorlati megjegyzés: Mielőtt ténylegesen hozzáfognánk a funkció fentiek szerinti értékeléséhez, ne felejtsük el, az értékelés alapkérdése, hogy a konkrét szervezetben pontosan mit is várunk el a compliance funkciótól. Vegyük számba, hogy mely szakterületekkel foglalkozik a compliance (például az adatvédelem ide tartozik-e, vagy esetleg egy másik funkció látja el), mi a vezetés kockázati étvágya (milyen elvárásokat tart a jogszabályokon túlmenően irányadónak), egyáltalán egy adott, hagyományosan compliance-hoz sorolt terület releváns-e az adott szervezet szempontjából (pl. a pénzmosás-megelőzés nem feltétlenül merül fel egy termelő cégnél). Összegezve: a „megfelelőséget” mindig az adott ágazat, szervezet szempontjából is vizsgálni kell.
Amennyiben felkeltette a figyelmét a téma, és szeretne még ezzel kapcsolatban többet olvasni, úgy érdemes felkeresni a Belső Ellenőrök Magyarországi Közhasznú Szervezetének (BEMSZ) honlapját, ahol található egy nemrégiben készült ajánlás a compliance funkció minimumkövetelményei tárgyában, melyet a BEMSZ Compliance Szekciójának egy munkacsoportja készített. Az ajánlás kifejezetten szektor-semleges, és mindazon szervezetek, szakmabeliek számára érdekes lehet, akik vagy most kívánnak egy compliance funkciót kiépíteni vagy a már létező funkció továbbfejlesztését tervezik.
A compliance funkció szervezeten belüli értékelése alapvetően – ha az adott szervezetnél működik ilyen, akkor – a belső ellenőrzés feladata lehet. (Kivételesen előfordulhat egyéb megoldás, például a compliance-t felügyelő (felső)vezető által elvégzett értékelés, de ez nem jellemző.) Bárki is végzi el ezt az értékelést első ízben, valószínűleg a cikk elején említett nehézségekbe (konkrét ellenőrzési módszertan, világos követelmények, az adott terület ellenőrzési rutinjának hiánya) fog szembesülni. Éppen ezért megfontolandó külső szakértő bevonása, ezt különösen ajánlott úgynevezett co-sourcing struktúrában megtenni, így a közösen végzett, testre szabott vizsgálat során megismert know-how beépülhet a saját gyakorlatunkba.
A cikk szerzője dr. Gajdos Márton, az ABT Tanácsadó Kft. szakértője. Az ABT Legal és az ABT Tanácsadó Kft. a szakmai partnere.