U praksi se posljednjih godina sve češće govori o „novoj generaciji” usklađenosti. Ne zato što su politike, procedure i kontrole prestale biti važne, nego zato što su postale nedovoljne. Organizacije koje su formalno usklađene i imaju uredno dokumentiran sustav sve češće otkrivaju da i dalje ostaju izložene incidentima, ne zato što pravila ne postoje, nego zato što se rizici razvijaju brže nego što ih sustav uspije prepoznati.

Upravo stoga u međunarodnoj praksi kompanije se sve više okreću risk-based i data-driven Compliance pristupu koji se ovisno o industriji i regulatornom kontekstu naziva još: compliance analytics, advanced compliance analytics, compliance monitoring & surveillance framework, integrated GRC, conduct risk management, ili u nešto širem smislu Compliance Intelligence. Razlike u terminologiji nisu presudne; ono što je zajedničko svim tim pristupima jest da usklađenost prestaje biti periodična provjera „jesmo li u redu”, i postaje kontinuirani sustav ranog upozoravanja: „gdje se rizik upravo sada povećava”.

Od Compliance-a se očekuje da bude ex-ante,  a ne samo ex-post.

U suvremenom regulatornom i tržišnom okruženju učinkovit Compliance Management System više se ne promatra kao mehanizam koji reagira nakon što je kršenje već nastupilo. Ono što se danas očekuje od Uprave i Nadzornog odbora jest sposobnost da pravodobno prepoznaju, razumiju i upravljaju Compliance rizicima prije nego što se oni materijaliziraju u regulatorni, financijski ili reputacijski događaj. Drugim riječima, očekuje se da Compliance bude forward-looking (ex-ante), a ne isključivo backward-looking (ex-post).

Tu se pojavljuje ključni zaokret jer risk-based & data-driven Compliance nije nadogradnja kroz dodatne dokumente, nego promjena logike upravljanja. Umjesto da se sustav prvenstveno oslanja na retrospektivno dokazivanje da su pravila postojala i da su se provodila, on se oslanja na kontinuirano upravljanje rizikom kroz podatke, trendove i upravljačke odluke. Compliance se time pomiče iz sfere dokazivanja u sferu upravljanja.

U središtu ovog pristupa nalazi se razlika koju klasični sustavi često zamagljuju, a to je razlika između učinkovitosti sustava i razvoja rizika. Ono što primjećujemo u praksi, organizacije mogu imati uredno provedene treninge i ažurirane procedure, a ipak imati rastuće rizike. Mogu provesti istrage u roku, a ipak bilježiti sve više pritisaka ili ponašanja koja ukazuju na normalizaciju devijacija („tako se to kod nas radi“). Upravo zato risk-based i data-driven Compliance uvodi jasnu podjelu upravljačkih informacija kroz dvije komplementarne skupine pokazatelja: KPI (Key Performance Indicators) i KRI (Key Risk Indicators).

KPI-jevi su pokazatelji koji Upravi daju uvid u to kako sustav radi u operativnom smislu. Oni pokazuju provodi li se plan edukacija, jesu li kontrole testirane, odgovara li se na prijave i provode li se istrage u predviđenim rokovima te ažuriraju li se politike i procedure. KPI-jevi su nužni jer omogućuju dokazivost i disciplinu sustava.

Međutim, KPI-jevi sami po sebi ne odgovaraju na pitanje koje postaje ključno u modernoj regulatornoj praksi, a to je da organizacija sazna razvija li se negdje rizik koji još nije prerastao u incident? Upravo tu ulogu preuzimaju KRI-jevi. KRI-jevi su dizajnirani da otkrivaju rane signale rasta Compliance rizika, često prije formalne povrede. Oni ne mjere je li sustav odradio ono što je trebao, nego mjere gdje se u organizaciji pojavljuju obrasci koji povećavaju vjerojatnost buduće povrede: porast iznimaka, promjene u obrascima prijava, povećan broj ponovljenih kršenja, koncentracija rizika u određenoj jedinici, promjene u strukturi trećih strana ili ubrzani poslovni rast u područjima s višim regulatornim očekivanjima.

Upravo zbog toga risk-based & data-driven Compliance u praksi funkcionira kao radar i daje Upravi signal kada se organizacija približava zoni povećane izloženosti rizika. U takvom modelu sustav sustavno prikuplja i povezuje informacije o ponašanju zaposlenika, obrascima odlučivanja, iznimkama od pravila, pritiscima na poslovne linije, odnosima s trećim stranama i promjenama poslovnog modela. Ti se signali kroz KPI i KRI okvir analiziraju i pretvaraju u upravljive informacije, informacije koje Upravi omogućuju da intervenira na vrijeme, prilagodbom kontrola, promjenom bonusa/incentiva, dodatnim nadzorom, češćim edukacijama ili što je često najvažnije jačanjem organizacijske kulture.

Risk-based i data-driven Compliance u potpunoj je korelaciji s COSO logikom upravljanja rizikom.

U kontekstu ISO 37301, upravo je ta sposobnost razlika između formalno uspostavljenog sustava i sustava koji je doista učinkovit. ISO 37301 zahtijeva praćenje, mjerenje, analizu i stalno poboljšavanje, ali risk-based i data-driven Compliance daje Upravi operativni mehanizam kojim se ti zahtjevi pretvaraju u stvarno, prediktivno upravljanje Compliance rizikom što je također u potpunoj korelaciji s COSO logikom upravljanja rizikom.

Zato se u regulatornom i tržišnom kontekstu ovaj pristup sve češće smatra novim standardom. On šalje jasnu poruku da organizacija ne samo da ima formalni sustav usklađenosti, nego posjeduje upravljačku inteligenciju potrebnu da taj sustav doista štiti vrijednost, reputaciju i dugoročnu održivost poslovanja.

Takav smjer potvrđuju i recentne međunarodne analize (npr. Thomson Reuters Institute) koje naglašavaju potrebu da se organizacije sustavno pripreme za neočekivano. Iako nije moguće predvidjeti svaki pojedini rizik, razvoj scenarija, analitičkih modela te sustava ranog upozoravanja omogućuje smanjenje neizvjesnosti i pravodobno upravljanje rizicima. Compliance i risk timovi koji na vrijeme prihvate ovaj zaokret bit će u znatno boljoj poziciji za snalaženje u sve složenijem regulatornom okruženju 2026. godine i nadalje.

---

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.