Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Cikksorozatunkban a compliance témakörét járjuk körbe, általánosabb és konkrétabb témák bemutatásával. Az első részben a compliance fogalmának definiálására és e funkciónak a szervezet belső kontrolljai közötti elhelyezésére teszünk kísérletet.
Maga a „compliance” (vagy ahogy leggyakrabban magyarra fordítják, a „megfelelés-támogatás”) a mi tapasztalatunk szerint leginkább egy olyan fogalomhalmazként fogható fel, ami nem egy általánosan elfogadott definíció eredményeképpen, hanem sokkal inkább a mindennapokban (immár évtizedek óta) végzett gyakorlatban kikristályosodva jött létre. Ha mindenáron definíciót keresünk, akkor érdemes visszanyúlni a Bázeli Bankfelügyeleti Bizottság 2005 áprilisi definíciójára[1], mely szerint a „compliance-kockázat: annak veszélye, hogy a törvényi vagy felügyeleti szankciók, jelentős pénzügyi veszteség vagy a hírnévvesztés éri a szervezetet amiatt, hogy nem tartott be a tevékenységeire vonatkozó valamely törvényt, előírást, szabályt, kapcsolódó önszabályozó testületi előírást vagy viselkedési normát”. A compliance, mint funkció pedig e kockázatok kezelését (azonosítását, értékelését, mitigálását, stb.) hivatott végezni.
Mi is ezt az említett megközelítést követjük, azaz a compliance-re úgy tekintünk, mint a szervezet belső kontrollrendszerének ama részére, amely az úgynevezett compliance-kockázatok (ld. fent) szervezeti szintű azonosításáért és kezeléséért felel.
A kulcsszó azonban itt az, hogy ez a funkció integráns részét képezi az adott szervezet belső kontrollrendszerének. Adódik a kérdés, hogy akkor mi is ez a belső kontrollrendszer? Nagyon egyszerűen – álláspontunk szerint – mindama kontrollmechanizmusok összessége, melyek a szervezet különböző szintjein működnek annak érdekében, hogy a szervezet számára kitűzött célok elérését biztosítsák.
A kontrollmechanizmusokon belül az egyik fontos csoport az olyan általános jellegű kontrollok, mint például a vezetői ellenőrzés, vagy a folyamatokba (esetleg az azokat támogató rendszerekbe) épített ellenőrzési lépések. Ezeket másképpen a szervezet első védelmi vonalának is szokták hívni, megkülönböztetve a második védelmi vonaltól, melybe a valamilyen szempontból speciálisnak tekintett kontrollokat sorolják. Ez utóbbiak vagy azért egyediek, mert a kockázatoknak egy-egy speciális fajtájára fókuszálnak, vagy azért, mert egy dedikált funkció (osztály terület, igazgatóság stb.) hajtja őket végre.
Különbséget lehet tenni a két védelmi vonal között a kockázatokhoz fűződő feladatok alapján is: míg az első védelmi vonal feladata lényegében a napi munka során a számukra előírt kockázati előírások betartása, a kockázati folyamatok követése, addig a második védelmi vonal feladata az egyedi kockázatok kezelésére vonatkozó keretrendszer kialakítása, illetve folyamatosan felügyelni annak az első védelmi vonalbéli (azaz az egész maradék szervezet általi) alkalmazását.
Világosan látható, hogy a két csoport közül a compliance a másodikba tartozik, hiszen igencsak specializált, jól elkülöníthető kockázatok kezeléséért felel és rendszerint egy szakosodott szakértő (vagy szakértői csoport) végzi.
Fontos azonban tudatosítani, hogy a compliance ugyanakkor nem csak egy szervezeti egység vagy funkció, hanem egy komplex (számos részterületből álló) rendszer, egyben egy olyan szemléletbeli megközelítés, aminek a gyakorlatban és az egész szervezetben kell érvényesülnie.
Ahhoz, hogy a compliance-rendszer az egész szervezetben érvényesüljön, szervezeti és funkcionális függetlenség, határozott felsővezetői támogatás és a szervezet egészét tekintve erős kapcsolati hálózat megléte szükséges. Ha egy vezető vagy a szervezet bármely dolgozója azt gondolja, hogy ha létrehoznak egy compliance osztályt (igazgatóságot, területet, stb.), akkor neki a továbbiakban ezzel már nem kell foglalkoznia, az nagyon téved. Az egész szervezet akkor fog „compliant” módon működni, ha minden szereplője ismeri és magáévá tette a vonatkozó alapelveket, azokat mindennapi működése során szem előtt tartja és alkalmazza. A legetikusabb compliance-funkció sem teszi a szervezetet etikussá, ha például a felsővezetés e téren nem jár elől jó példával. Ahogy az angolok megfogalmazták: a „Tone at the top”, azaz a vezetés „tónusa” határozza meg a „Mood in the middle”-t, azaz a „középvezetői réteg hangulatát”, ami pedig továbbszivárogva befolyásolja a „Behaviour at the bottom”-ot, azaz a beosztotti rétegek magatartását.
Ezzel együtt a hatékony compliance-funkció megléte elősegíti a szervezet prudens, megbízható, a jogszabályoknak és belső szabályzatoknak megfelelő működését, a szervezet eszközeinek, az ügyfelek és a tulajdonosok érdekeinek védelmét, a szervezettel szembeni bizalom fenntartását. Gondoljunk akár az adatvédelemre (ld. GDPR – európai általános adatvédelmi rendelet), akár a csalásmegelőzésre, akár (a jogszabályok által érintetett szervezeteknél) a pénzmosás megelőzésére – ezek mind olyan területek, ahol nem megfelelő gyakorlat esetén fennáll a veszélye, hogy komoly kár éri az adott szervezetet, illetve a reputációja nagymértékben sérül.
Fontos hangsúlyozni továbbá, hogy a compliance mást jelenthet különböző szektorokban, vállalatokban. A hagyományosan compliance-hoz sorolt részterületek közül nem feltétlenül releváns mind egy adott szervezet vonatkozásában (pl. a pénzmosás-megelőzés nem feltétlenül releváns egy termelő cégnél), vagy egy másik szervezeti egység végzi el (pl. az adatvédelem a jogi területhez tartozik). Ezért a „megfelelőséget” mindig az adott ágazat, szervezet szempontjából kell vizsgálni.
Függetlenül attól, hogy a szervezetben kialakítottak-e akár kizárólagosan, akár más feladatok mellett a compliance-kockázatok kezelésére szakosodott szervezeti egységet, fontos tudatában lenni, hogy a compliance-kockázatok minden körülmények között érintik a szervezetet. Természetesen az, hogy önálló funkcióval hozzák-e létre e kockázatok kezelésére, az nagyban függ ezek mértékétől, a szervezet méretétől, tevékenységének komplexitásától és számos más külső és belső körülménytől.
A cikk szerzője dr. Gajdos Márton, az ABT Tanácsadó Kft. szakértője. Az ABT Legal és az ABT Tanácsadó Kft. a Jogászvilág.hu szakmai partnere.
Lábjegyzetek:
[1] https://www.bis.org/publ/bcbs113.pdf
