Agencija za komercijalnu djelatnost (AKD), trgovačko društvo od posebnog interesa za Republiku Hrvatsku, postala je prvo poduzeće u Hrvatskoj koje je uspješno završilo certifikacijski audit prema međunarodnoj normi ISO 37301 – Compliance Management System (CMS) i time dobilo certifikat prema ovom globalno priznatom standardu.

Implementacija norme ISO 37301 u AKD započela je u rujnu 2024. godine kao strateški projekt usmjeren na jačanje korporativnog upravljanja, integriteta i transparentnosti poslovanja. Uvođenjem sustava upravljanja usklađenošću AKD je istodobno ispunio i novu zakonsku obvezu — uspostavu funkcije praćenja usklađenosti koja je od 1. listopada 2025. propisana Zakonom o pravnim osobama u vlasništvu Republike Hrvatske.

Norma ISO 37301 postavlja zahtjeve za uspostavu, provedbu, održavanje i kontinuirano poboljšavanje sustava upravljanja usklađenošću, čime organizacija sustavno prepoznaje, upravlja i kontrolira rizike usklađenosti s propisima, internim politikama i etičkim standardima.

Certifikacija potvrđuje da je AKD uspostavio ključne elemente djelotvornog sustava usklađenosti — od identifikacije i upravljanja rizicima usklađenosti, preko jasnih politika, procedura i edukacija, do sustava izvještavanja i kontinuiranog poboljšanja.

Kao rezultat, AKD se pozicionira kao predvodnik dobre prakse u Republici Hrvatskoj i postavlja referentni okvir za druga poduzeća u pogledu uspostave učinkovitih sustava upravljanja usklađenošću, jačanja integriteta i transparentnog upravljanja poslovanjem.

U ovom projektu implementacije norme ISO 37301 Codupo Compliance kao savjetodavni partner imao je aktivnu ulogu u pružanju stručne podrške pri uspostavi sustava i pripremi organizacijskog okvira za uspješan certifikacijski audit, s ciljem osnaživanja funkcije praćenja usklađenosti kako bi zadovoljavala i najviše međunarodne standarde.

Ovaj iskorak predstavlja snažnu poruku compliance zajednici i javnosti o dugoročnoj predanosti integritetu, zakonitom i održivom poslovanju, ali i poticaj drugim državnim poduzećima da ozbiljno razmotre certificiranje svojih sustava usklađenosti te time unaprijede korporativno upravljanje i povjerenje dionika.

U praksi se posljednjih godina sve češće govori o „novoj generaciji” usklađenosti. Ne zato što su politike, procedure i kontrole prestale biti važne, nego zato što su postale nedovoljne. Organizacije koje su formalno usklađene i imaju uredno dokumentiran sustav sve češće otkrivaju da i dalje ostaju izložene incidentima, ne zato što pravila ne postoje, nego zato što se rizici razvijaju brže nego što ih sustav uspije prepoznati.

Upravo stoga u međunarodnoj praksi kompanije se sve više okreću risk-based i data-driven Compliance pristupu koji se ovisno o industriji i regulatornom kontekstu naziva još: compliance analytics, advanced compliance analytics, compliance monitoring & surveillance framework, integrated GRC, conduct risk management, ili u nešto širem smislu Compliance Intelligence. Razlike u terminologiji nisu presudne; ono što je zajedničko svim tim pristupima jest da usklađenost prestaje biti periodična provjera „jesmo li u redu”, i postaje kontinuirani sustav ranog upozoravanja: „gdje se rizik upravo sada povećava”.

Od Compliance-a se očekuje da bude ex-ante,  a ne samo ex-post.

U suvremenom regulatornom i tržišnom okruženju učinkovit Compliance Management System više se ne promatra kao mehanizam koji reagira nakon što je kršenje već nastupilo. Ono što se danas očekuje od Uprave i Nadzornog odbora jest sposobnost da pravodobno prepoznaju, razumiju i upravljaju Compliance rizicima prije nego što se oni materijaliziraju u regulatorni, financijski ili reputacijski događaj. Drugim riječima, očekuje se da Compliance bude forward-looking (ex-ante), a ne isključivo backward-looking (ex-post).

Tu se pojavljuje ključni zaokret jer risk-based & data-driven Compliance nije nadogradnja kroz dodatne dokumente, nego promjena logike upravljanja. Umjesto da se sustav prvenstveno oslanja na retrospektivno dokazivanje da su pravila postojala i da su se provodila, on se oslanja na kontinuirano upravljanje rizikom kroz podatke, trendove i upravljačke odluke. Compliance se time pomiče iz sfere dokazivanja u sferu upravljanja.

U središtu ovog pristupa nalazi se razlika koju klasični sustavi često zamagljuju, a to je razlika između učinkovitosti sustava i razvoja rizika. Ono što primjećujemo u praksi, organizacije mogu imati uredno provedene treninge i ažurirane procedure, a ipak imati rastuće rizike. Mogu provesti istrage u roku, a ipak bilježiti sve više pritisaka ili ponašanja koja ukazuju na normalizaciju devijacija („tako se to kod nas radi“). Upravo zato risk-based i data-driven Compliance uvodi jasnu podjelu upravljačkih informacija kroz dvije komplementarne skupine pokazatelja: KPI (Key Performance Indicators) i KRI (Key Risk Indicators).

KPI-jevi su pokazatelji koji Upravi daju uvid u to kako sustav radi u operativnom smislu. Oni pokazuju provodi li se plan edukacija, jesu li kontrole testirane, odgovara li se na prijave i provode li se istrage u predviđenim rokovima te ažuriraju li se politike i procedure. KPI-jevi su nužni jer omogućuju dokazivost i disciplinu sustava.

Međutim, KPI-jevi sami po sebi ne odgovaraju na pitanje koje postaje ključno u modernoj regulatornoj praksi, a to je da organizacija sazna razvija li se negdje rizik koji još nije prerastao u incident? Upravo tu ulogu preuzimaju KRI-jevi. KRI-jevi su dizajnirani da otkrivaju rane signale rasta Compliance rizika, često prije formalne povrede. Oni ne mjere je li sustav odradio ono što je trebao, nego mjere gdje se u organizaciji pojavljuju obrasci koji povećavaju vjerojatnost buduće povrede: porast iznimaka, promjene u obrascima prijava, povećan broj ponovljenih kršenja, koncentracija rizika u određenoj jedinici, promjene u strukturi trećih strana ili ubrzani poslovni rast u područjima s višim regulatornim očekivanjima.

Upravo zbog toga risk-based & data-driven Compliance u praksi funkcionira kao radar i daje Upravi signal kada se organizacija približava zoni povećane izloženosti rizika. U takvom modelu sustav sustavno prikuplja i povezuje informacije o ponašanju zaposlenika, obrascima odlučivanja, iznimkama od pravila, pritiscima na poslovne linije, odnosima s trećim stranama i promjenama poslovnog modela. Ti se signali kroz KPI i KRI okvir analiziraju i pretvaraju u upravljive informacije, informacije koje Upravi omogućuju da intervenira na vrijeme, prilagodbom kontrola, promjenom bonusa/incentiva, dodatnim nadzorom, češćim edukacijama ili što je često najvažnije jačanjem organizacijske kulture.

Risk-based i data-driven Compliance u potpunoj je korelaciji s COSO logikom upravljanja rizikom.

U kontekstu ISO 37301, upravo je ta sposobnost razlika između formalno uspostavljenog sustava i sustava koji je doista učinkovit. ISO 37301 zahtijeva praćenje, mjerenje, analizu i stalno poboljšavanje, ali risk-based i data-driven Compliance daje Upravi operativni mehanizam kojim se ti zahtjevi pretvaraju u stvarno, prediktivno upravljanje Compliance rizikom što je također u potpunoj korelaciji s COSO logikom upravljanja rizikom.

Zato se u regulatornom i tržišnom kontekstu ovaj pristup sve češće smatra novim standardom. On šalje jasnu poruku da organizacija ne samo da ima formalni sustav usklađenosti, nego posjeduje upravljačku inteligenciju potrebnu da taj sustav doista štiti vrijednost, reputaciju i dugoročnu održivost poslovanja.

Takav smjer potvrđuju i recentne međunarodne analize (npr. Thomson Reuters Institute) koje naglašavaju potrebu da se organizacije sustavno pripreme za neočekivano. Iako nije moguće predvidjeti svaki pojedini rizik, razvoj scenarija, analitičkih modela te sustava ranog upozoravanja omogućuje smanjenje neizvjesnosti i pravodobno upravljanje rizicima. Compliance i risk timovi koji na vrijeme prihvate ovaj zaokret bit će u znatno boljoj poziciji za snalaženje u sve složenijem regulatornom okruženju 2026. godine i nadalje.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Analiza odgovornosti Uprave u kontekstu Prijedloga Pravilnika o funkciji praćenja usklađenosti koji je trenutačno u postupku javnog savjetovanja (e-Savjetovanje).

Stupanjem na snagu Zakona o pravnim osobama u vlasništvu Republike Hrvatske 1. listopada 2025. godine, Pravne osobe od posebnog interesa za RH ulaze u novu fazu razvoja sustava korporativnog upravljanja. Jedna od ključnih novina je obveza uspostave funkcije praćenja usklađenosti, čime se po prvi put na sustavan način normativno jača preventivna uloga Compliance-a u tim organizacijama.

Iako zakon i Prijedlog pravilnika o funkciji praćenja usklađenosti (Članak 16.) definiraju obveze Uprave, međunarodni standardi pružaju znatno širi i dublji okvir za razumijevanje stvarne odgovornosti (accountability) upravljačkih tijela, osobito u složenim i regulatorno zahtjevnim okruženjima kakva karakteriziraju državna poduzeća.

U našim in-house edukacijama „Uloga Uprave i menadžmenta u funkciji praćenja usklađenosti i izgradnji integriteta“, poseban naglasak stavljamo na jasno razgraničenje pojmova accountability i responsibility. Iako se u hrvatskom jeziku ti pojmovi često koriste kao sinonimi, razlike među njima postaju osobito važne na razini upravljačkih tijela, gdje imaju izravne implikacije na način donošenja odluka, delegiranja ovlasti i preuzimanja odgovornosti za ishode.

Kako bismo mogli bolje analizirati odgovornosti Uprave u kontekstu Prijedloga Pravilnika o funkciji praćenja usklađenosti, nužno je najprije jasno razgraničiti dva temeljna pojma koji čine okosnicu suvremenog korporativnog upravljanja: odgovornost za izvršenje, zaduženje (responsibility) i preuzimanje odgovornosti za ishod (accountability).

U praksi se često miješaju pojmovi odgovornosti responsibility i accountability ali ISO standardi jasno razgraničavaju ta dva koncepta. Operativna odgovornost može se delegirati, primjerice na rukovoditelje organizacijskih jedinica, direktore funkcija te vlasnike procesa i rizika, dok accountability ili odgovornost za ishod ostaje trajno vezana uz upravljačko tijelo kao cjelinu. Iako vlasnici rizika i rukovoditelji organizacijskih jedinica mogu imati razinu accountabilityja za rezultate unutar svojeg delegiranog područja odgovornosti, ukupna i konačna odgovornost za ishod uspostave, funkcioniranja i učinkovitosti sustava upravljanja usklađenošću ostaje na razini upravljačkog tijela.

Drugim riječima, Uprava može delegirati izvršenje pojedinih aktivnosti i kontrola, ali ne može delegirati konačnu odgovornost za posljedice odluka, propuštanja ili nepostojanja odgovarajućih sustava. Upravo ta sposobnost da se odgovara za cjelinu sustava, uključujući i ono što nije učinjeno, čini samu srž accountabilityja u suvremenom korporativnom upravljanju.

Uloga upravljačkih tijela u sustavu praćenja usklađenosti

ISO 37301 Compliance Management Systems dodatno operacionalizira tu odgovornost. Standard jasno polazi od pretpostavke da Compliance (Funkcija praćenja usklađenosti) nije izolirana funkcija niti tehnički dodatak poslovanju, već sastavni dio sustava upravljanja koji mora biti usklađen sa strateškim smjerom organizacije.

Upravljačka tijela i najviše rukovodstvo imaju ključnu ulogu u stvaranju okruženja u kojem sustav upravljanja usklađenošću može ostvariti svoju svrhu. To uključuje postavljanje jasnog smjera kroz politike i ciljeve usklađenosti, osiguravanje odgovarajućih resursa, integraciju zahtjeva usklađenosti u poslovne procese te jasno dodjeljivanje uloga, ovlasti i odgovornosti svim relevantnim funkcijama. Istodobno, osiguravanje neovisnosti Compliance funkcije, njezina izravnog pristupa Upravi i Nadzornom odboru te sustava pravovremenog izvještavanja i reagiranja ključno je za jačanje preventivne, savjetodavne i upravljačke uloge Compliance-a.[1]

Accountability kao temelj povjerenja i legitimnosti

ISO standardi također naglašavaju da accountability nije samo pravni ili organizacijski zahtjev, već ključni element povjerenja i legitimnosti. U kontekstu državnih poduzeća, gdje su očekivanja javnosti, vlasnika i drugih dionika osobito visoka, transparentno i odgovorno upravljanje ima izravan utjecaj na reputaciju, održivost i dugoročnu vrijednost organizacije.

Zakon o pravnim osobama u vlasništvu Republike Hrvatske jasno postavlja održivost kao sastavni dio korporativnog upravljanja, zahtijevajući da pravne osobe u državnom vlasništvu integriraju financijske i nefinancijske ciljeve, uključujući čimbenike održivosti poput zaštite okoliša, poštivanja ljudskih prava i borbe protiv korupcije (prema Prijedlogu Pravilnika) u svoje strateške odluke i upravljanje rizicima.

Demonstriranje takve odgovornosti za ishod (accountability) očituje se kroz kvalitetno, pravodobno i transparentno izvještavanje, jasno i razumljivo obrazlaganje donesenih odluka i njihovih učinaka, kao i kroz sustavno razumijevanje rizika, pri čemu je cjelokupan sustav upravljanja izgrađen na risk-based pristupu i međusobnoj ovisnosti poslovnih procesa, rizika i kontrola. Ključni element takve odgovornosti je i spremnost upravljačkih tijela da preuzmu odgovornost ne samo za donesene odluke, već i za propuštanja i nečinjenja, osobito kada su ista imala ili su mogla imati značajan utjecaj na organizaciju.

Funkcija praćenja usklađenosti ne pozicionira se kao retrospektivni kontrolni mehanizam (ex post, backward-looking), već kao strateški alat koji omogućuje informirano, etično i dugoročno održivo odlučivanje (ex ante, forward-looking).

U tom kontekstu, članak 20. Prijedloga Pravilnika dodatno osnažuje koncept accountabilityja propisujući da, u slučaju kada više rukovodstvo odstupi od preporuka ili procjena koje je izdao službenik za praćenje usklađenosti, takvo odstupanje mora biti dokumentirano i uključeno u izvješće o usklađenosti. Time se osigurava sljedivost odluka te jasno razgraničenje odgovornosti na najvišoj razini upravljanja. Posljedično, funkcija praćenja usklađenosti ne pozicionira se kao retrospektivni kontrolni mehanizam (ex post, backward-looking), već kao strateški alat koji omogućuje informirano, etično i dugoročno održivo odlučivanje (ex ante, forward-looking). Takav pristup, usklađenost integrira u sam proces donošenja odluka, jača kulturu odgovornosti i povjerenja te potvrđuje njezinu ulogu kao ključne preventivne funkcije unutar suvremenog sustava korporativnog upravljanja.

Zakonski okvir u Republici Hrvatskoj postavlja nužan minimum. Međutim, međunarodni standardi poput ISO 37301 Compliance Management Systems, nude priliku da se ide korak dalje od formalnog ispunjavanja obveza prema izgradnji zrelog sustava upravljanja usklađenošću, u kojem su uloge, ovlasti i odgovornosti jasno definirane, a odgovornost za ishod (accountability) upravljačkih tijela stvarno je zaživljena u praksi.

U tom smislu, funkcija praćenja usklađenosti postaje alat koji omogućuje upravljačkim tijelima da ispune svoju temeljnu zadaću, a to je da djeluju trajno u najboljem interesu organizacije, uzimajući u obzir pravne, etičke, reputacijske i društvene implikacije svojih odluka.

Upravo takav proaktivan pristup, integriran i usmjeren na dugoročnu vrijednost i održivost predstavlja stvarnu dodanu vrijednost novog regulatornog okvira i priliku za podizanje standarda korporativnog upravljanja u državnim poduzećima Republike Hrvatske.

[1] ISO (2021) Sustavi upravljanja usklađenošću – Zahtjevi sa smjernicama za uporabu (ISO 37301:2021). Hrvatski zavod za norme. Zagreb.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Pitanje je opravdano, jer Prijedlog Pravilnika o funkciji praćenja usklađenosti izričito zahtijeva da velike pravne osobe uspostave zasebnu i neovisnu funkciju praćenja usklađenosti, pa u njihovom slučaju odgovor je jasan. Istodobno, isti članak (Članak 5.) omogućuje pravnim osobama koje se ne smatraju velikim pravim osobama  veću fleksibilnost. Primjenjujući načelo proporcionalnosti, male i srednje pravne osobe mogu povjeriti poslove praćenja usklađenosti osobi ili organizacijskoj jedinici koja obavlja i druge poslove uz uvjet da nisu u sukobu interesa između odgovornosti koja se odnosi na obavljanje funkcije praćenja usklađenosti poslovanja i drugih odgovornosti.

Ovaj tekst ne daje jedinstven odgovor, već predstavlja analitički pregled temeljen na modelu Tri linije, standardu ISO 37301 Compliance Management Systems i ISO 31000 Risk Management. Cilj mu je ponuditi smjernice koje pravnim osobama mogu pomoći u razmišljanju o tome kako proporcionalno i učinkovito ustrojiti funkciju praćenja usklađenosti unutar svojih sustava.

Dugi niz godina model Tri linije obrane služio je kao temelj za strukturiranje rizika i kontrolnih mehanizama. Jasno je razdvajao poslovne jedinice kao prvu liniju, nadzorne funkcije poput Compliance-a i upravljanja rizicima kao drugu liniju te internu reviziju kao treću, neovisnu liniju. Iako je taj model postavio nužne okvire odgovornosti, u praksi je često stvarao organizacijske silose. Zato je Institute of Internal Auditors 2020. modernizirao ovaj okvir u model Tri linije, koji zadržava razdvajanje uloga, ali snažnije naglašava suradnju, koordinaciju i stvaranje vrijednosti kao zajednički cilj svih linija.

Slika 1. Razlika između modela Tri linije obrane (2013.) i Tri linije (2020.)

Izvor: Di Schino, N. (2020) Does the New Three Lines Model Give Short Shrift to Compliance? Corporate Compliance Insights. In Compliance, Featured, Internal Audit. Dostupno na: https://www.corporatecomplianceinsights.com/three-lines-model-short-shrift-compliance/

Upravo kroz taj modernizirani okvir postaje jasnije zašto određene funkcije u organizaciji moraju ostati razdvojene. Kada bi se uloga prve linije, koja oblikuje i provodi procese, spojila s ulogom druge linije, koja te iste procese treba neovisno nadzirati, nastao bi izravni sukob interesa, tj. osoba bi istovremeno donosila odluke i nadzirala vlastiti rad. Međutim, kada se razmatra spajanje uloga unutar druge linije, situacija nije tako jednostavna. Funkcije praćenja usklađenosti i upravljanja rizicima dijele stratešku perspektivu i nadzornu ulogu, ali im priroda posla nije ista. Risk Management u velikoj je mjeri koordinatorska[1], dok je Compliance neovisno nadzorna funkcija[2]. Stoga se tek nakon razumijevanja tih razlika i procjene stvarne zrelosti sustava može procijeniti je li spajanje funkcija održivo ili bi narušilo neovisnost i učinkovitost nadzora.

U tom kontekstu potrebno je sagledati odnos između službenika za usklađenost i menadžera za rizike. U velikim sustavima, gdje su regulatorni zahtjevi i složenost procesa visoki, te su dvije uloge namjerno razdvojene. Prema ISO 31000, menadžer za rizike ima koordinatorsku ulogu u organizaciji: pruža metodologiju i alate, podržava operativne jedinice u upravljanju rizicima, promatra rizike i daje prijedloge vlasnicima rizika (mada u bankama i financijskim institucijama mogu i sami upravljati rizicima)[3]. Vlasnici rizika su ti koji identificiraju, upravljaju i prate rizike, provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka[4]. Compliance, s druge strane, neovisno nadzire sustav usklađenosti, prati provedbu propisa, politika i internih kontrola te izvještava Upravu i Nadzorni odbor.

U malim i srednjim pravnim osobama kontekst je nešto drugačiji. Upravljanje rizicima često je manje formalizirano, opseg procesa manji, a organizacijske strukture manje složene.

Kada se razmatra mogućnost spajanja ovih funkcija u jednoj osobi, ključno je procijeniti stvarni rizik sukoba interesa između njihovih uloga i odgovornosti. U malim i srednjim pravnim osobama taj je rizik znatno manji jer menadžer za rizike ne kreira sustav koji Compliance nadzire, već pruža operativnu podršku vlasnicima rizika. Drugim riječima, ako je koordinacija prvenstveno operativna i usmjerena na podršku vlasnicima rizika, koji prema ISO 31000 identificiraju, upravljaju i prate rizike te provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka, kao što je ranije spomenuto, a Compliance zadržava nadzornu ulogu nad rizikom usklađenosti, tada spajanje ovih uloga u jednoj osobi ne predstavlja sukob interesa, uz preduvjet da su odgovornosti jasno razgraničene i formalno definirane u internom aktu.

[1] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[2] PECB (2021.) Edukacija Certified ISO 37301 Compliance Management Systems – Lead Implementer. PECB, Canada

[3] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[4] Ibid.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Certified ISO 31000 Lead Risk Manager

Certified ISO 37001 Anti-bribery Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

U novom Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se odredba koja je kod pojedinih službenika za usklađenost izazvala nedoumicu. U članku 12., točka 10. propisano je da funkcija praćenja usklađenosti sudjeluje u izradi i ažuriranju politika i procedura koje pokrivaju ključne aspekte usklađenosti, uključujući zaštitu osobnih podataka i privatnosti, sigurnost i zaštitu informacija, ESG rizike, financijsko izvještavanje, sprječavanje pranja novca i druga područja od regulatornog značaja.

Na prvu, ovakva formulacija može djelovati kao da se funkcija praćenja usklađenosti proteže na različita specijalizirana područja i da preuzima dio odgovornosti stručnih nositelja, poput DPO-a, CISO-a, ESG stručnjaka ili AML specijalista. Međutim, upravo je suprotno, Prijedlog Pravilnika time ne proširuje ulogu funkcije praćenja usklađenosti na stručna područja, nego potvrđuje njezinu sustavnu ulogu.

Drugim riječima, funkcija praćenja usklađenosti ne preuzima sadržaj, nego nadzire okvir u kojem se sadržaj pravilno primjenjuje.

To možemo pojasniti na primjeru službenika za zaštitu podataka (DPO) koji je odgovoran za informiranje i savjetovanje voditelja i izvršitelja obrade te zaposlenika o njihovim obvezama, nadzor nad usklađenošću organizacije s GDPR-om, podršku u edukaciji zaposlenika, savjetovanje o transparentnosti obrade i sudjelovanje u procesima poput DPIA-e. Također prati aktivnosti obrade, procjenjuje usklađenost i pruža smjernice za postupanje sa zahtjevima ispitanika. DPO nije odgovoran za operativno provođenje politika i postupaka usklađenosti, niti za samo provođenje DPIA-e. Njegova je uloga savjetodavna i nadzorna, a ne izvršna.[1]

Upravo ta priroda uloge ključna je za razumijevanje razlike između DPO-a i funkcije praćenja usklađenosti. Dok DPO djeluje kao stručni nositelj sadržaja u području zaštite osobnih podataka, funkcija praćenja usklađenosti ima sustavnu i horizontalnu ulogu, ona osigurava da su politike svih stručnih područja pravilno uspostavljene, dokumentirane, komunicirane i integrirane u procese upravljanja rizicima usklađenosti. Drugim riječima, Compliance funkcija ne ulazi u stručnu interpretaciju GDPR-a, niti preuzima zadatke DPO-a, nego nadzire okvir u kojem se ti stručni zadaci provode. Time se izbjegava preklapanje i osigurava da DPO zadrži nezavisnu poziciju propisanu regulatornim zahtjevima.

Ako promatramo organizacije iz perspektive Modela tri linije (Institute of Internal Auditors), tradicionalno, a posebno u financijskom sektoru, DPO se često smatra dijelom druge linije. Nedavno godišnje izvješće IAPP-EY o upravljanju privatnošću za 2022. pružilo je opipljive dokaze ove prakse: u bankarskom i osiguravajućem sektoru polovica organizacija smjestila je funkcije zaštite osobnih podataka u drugu liniju, dok ih je 15 % pozicioniralo u prvu liniju, a tek 2 % u treću liniju. Ovakav trend potvrđuje da je DPO prvenstveno funkcija nadzora i savjetovanja, a ne operativnog izvršavanja.[2]

Razumijevanje položaja DPO-a zahtijeva i razumijevanje koncepta sukoba interesa unutar IIA modela (Model tri linije). Kako je DPO zadužen za praćenje usklađenosti s propisima o zaštiti podataka, sukob može nastati ako bi istovremeno imao ovlasti određivanja svrha i sredstava obrade. WP29 je to jasno formulirao: „službenik za zaštitu podataka ne može imati položaj unutar organizacije koji ga vodi do određivanja svrha i sredstava obrade osobnih podataka“. Isto je potvrdio i Sud EU u presudi iz veljače 2023. (C-453/21), navodeći da sukob interesa može nastati kada DPO „određuje ciljeve i metode obrade osobnih podataka“.[3]

Do sukoba interesa moglo bi doći i između DPO-a i funkcije praćenja usklađenosti kada bi Compliance preuzeo ovlasti ili odgovornosti koje su svojstvene DPO-u, primjerice informiranje i savjetovanje o obvezama iz GDPR-a, nadzor nad usklađenošću obrade, davanje smjernica o transparentnosti obrade, sudjelovanje u DPIA procesima ili procjenjivanje usklađenosti aktivnosti obrade. U takvom bi slučaju Compliance djelovao kao operativni ili stručni nositelj GDPR sadržaja, dok bi DPO istovremeno morao nadzirati pravilnost tih odluka čime bi bio stavljen u poziciju da nadzire rad funkcije koja djeluje umjesto njega. Upravo iz tog razloga uloga Compliance-a mora ostati sustavna i horizontalna, bez preuzimanja stručnih zadaća iz domene zaštite podataka.

Spomenuta sudska i regulatorna praksa dodatno naglašava zašto je važno razlikovati vertikalne stručne funkcije poput DPO-a, koje posjeduju specijalističko znanje, od horizontalnih nadzornih funkcija poput Compliance-a, koje osiguravaju jedinstven, strukturiran i neovisan okvir upravljanja usklađenošću. Upravo zato nema preklapanja jer svaka funkcija ima svoj jedinstvenu odgovornost, a zajedno čine komplementaran sustav upravljanja rizicima usklađenosti.

Vertikalne funkcije predstavljaju usko specijalizirane stručne uloge koje dubinski pokrivaju jedno regulirano područje, poput zaštite podataka ili informacijske sigurnosti. Horizontalna funkcija, poput Compliance-a, djeluje kroz cijelu organizaciju, ne ograničava se na jedno specijalizirano područje, nego pokriva sve relevantne procese i osigurava da su pravila, kontrole i postupci usklađeni na razini cijelog sustava, tj. osigurava sustavni okvir usklađenosti neovisno o pojedinim stručnim područjima.

U međunarodnoj praksi jasno se razlikuje stručna i sustavna razina usklađenosti. Stručnu razinu čine funkcije poput zaštite osobnih podataka, informacijske sigurnosti, sprječavanja pranja novca, financijskog izvještavanja, ESG-a ili upravljanja sukobima interesa. One definiraju što je regulatorno ispravno, koje aktivnosti treba poduzeti i kako se specifični propisi tumače i implementiraju. One su nositelji sadržaja.

S druge strane, funkcija praćenja usklađenosti djeluje na sustavnoj razini. Ona osigurava da sve te stručne politike i procedure budu formalno uspostavljene, dokumentirane, integrirane u poslovne procese, pravilno komunicirane zaposlenicima i praćene kroz kontrole. Compliance je odgovoran za arhitekturu usklađenosti, a ne za njezin tehnički dizajn.

Dok funkcija praćenja usklađenosti osigurava horizontalni pregled nad time radi li se prema pravilima, postoje li kontrole i provode li se, ostale spomenute funkcije iako neovisne, predstavljaju vertikalne stručne nositelje.

Ovakav odnos nije slučajan. Međunarodni standardi, poput ISO 37301 Compliance Management Systems definira Compliance kao drugu liniju (obrane), odgovornu za okvir, ne za stručnu interpretaciju pojedinih propisa, a ISO 27701 Information security, cybersecurity and privacy protection traži jasnu neovisnost između DPO-a i operativnih funkcija. ISO 27001 Information Security Management System naglašava da sigurnosne politike mora oblikovati stručna funkcija, a ne nadzorna. OECD Smjernice za državna poduzeća i europski nadzorni standardi inzistiraju na razdvajanju stručnih i nadzornih uloga radi izbjegavanja sukoba interesa i osiguranja transparentnosti.

Zbog toga je „sudjelovanje funkcije praćenja usklađenosti u izradi politika“, kako navodi Prijedlog Pravilnika, nužno razumjeti u širem smislu upravljanja. Sudjelovanje znači osiguravanje sustavne konzistentnosti, formalne uspostave, pravilnog evidentiranja, redovitog ažuriranja i učinkovite provedbe. Ne znači preuzimanje stručnog sadržaja ili tehničkih analiza.

U velikim i složenim organizacijama, a posebice u državnim poduzećima od posebnog interesa za Republiku Hrvatsku, ova razlika postaje presudna. Stručne funkcije, poput DPO-a, CISO-a, AML-a ili ESG-a imaju dubinske i specifične uloge koji zahtijevaju stručno znanje. Funkcija praćenja usklađenosti ima ulogu koja nadilazi pojedina područja i gradi horizontalni nadzorni okvir koji povezuje sve te funkcije.

U takvoj organizacijskoj strukturi sve funkcije zadržavaju svoju neovisnost, ali istovremeno djeluju kao dio jedinstvenog sustava upravljanja rizicima usklađenosti. Compliance brine da organizacija vidi cijelu sliku. Stručne funkcije brinu da njezini sastavni dijelovi rade kako treba.

Za kraj, važno je istaknuti da prema normi ISO 37301 Compliance Management Systems sve aktivnosti navedene u članku 12., točka 10. predstavljaju samo dio šireg skupa obveza usklađenosti koje organizacija mora sustavno identificirati, dokumentirati i njima upravljati. Te obveze potrebno je evidentirati u registru obveza usklađenosti, čije održavanje i nadzor čini jednu od ključnih odgovornosti funkcije praćenja usklađenosti.

[1] PECB (2021.) Edukacija GDPR – Certified Data Protection Officer. PECB, Canada

[2] Sullivan, M. (2023.) The Role of the Data Protection Officer (GDPR) in the Three Lines Model. Dostupno na: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5443574#:~:text=Because%20of%20its%20oversight%20nature%2C%20the%20DPO,a%20manner%20compliant%20with%20data%20protection%20laws.

[3] Ibid.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

U novom Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se odredba (Članak 7.) koja bi mogla bitno utjecati na način na koji državna poduzeća i druge pravne osobe oblikuju svoje sustave usklađenosti. Riječ je o mogućnosti djelomičnog izdvajanja (eksternalizacije) pojedinih zadaća funkcije praćenja usklađenosti, uz obvezu da barem jedan zaposlenik ostane imenovan službenikom za usklađenost.

Naizgled, radi se tek o tehničkoj mogućnosti. Međutim, u stvarnosti je to mehanizam koji može podržati profesionalizaciju sustava, omogućiti pristup specijaliziranom znanju i osnažiti funkciju u organizacijama koje se suočavaju s povećanim regulatornim zahtjevima i pritiskom na kvalitetu upravljanja.

No, kao i kod svake fleksibilnosti unutar sustava kontrola, ključ je razumjeti što eksternalizacija jest, a što nije i kako izbjeći da delegiranje preraste u gubitak nadzora.

Eksternalizacija nije zamjena za funkciju nego njezin produžetak

Pravilnik jasno ističe da se eksternalizirati može samo dio zadaća, a ne i funkcija kao takva. To znači da organizacija ne može outsourcingom zamijeniti službenika za usklađenost. Mora postojati najmanje jedna osoba koja je formalno imenovana, odgovorna i smještena unutar same pravne osobe.

Ovaj pristup postoji i na međunarodnoj razini, od europskih nadzornih smjernica do standarda ISO 37301 Compliance Management Systems ili OECD-ovih zahtjeva, koji svi naglašavaju da je odgovornost za usklađenost neotuđiva. Prijenos tereta nije moguć, nego prenijeti se može isključivo provedba aktivnosti, ali ne i nadležnost.

Eksternalizacija može nadopuniti kapacitete, ubrzati implementaciju i omogućiti pristup ekspertizi, ali nikada ne smije zamijeniti unutarnju odgovornost i upravljačku kontrolu.

Što se zapravo može eksternalizirati?

Kada se pogleda sama narav posla funkcije praćenja usklađenosti, vrlo brzo postaje jasno da se određeni elementi logično mogu povjeriti vanjskom pružatelju usluga. Riječ je o zadacima koji zahtijevaju specijalističko znanje, metodološku sofisticiranost ili analitičku neovisnost.

Primjerice, regulatorno praćenje, izradu ili reviziju pravilnika, politika i kodeksa, metodološku i operativnu podršku kod procjena rizika, izradu matrica i registara, pružanje neovisne analize ili davanje „drugog mišljenja“ na postojeće procjene, kontrole, sukob interesa ili druga osjetljiva područja, razvoj edukacija ili neovisne provjere usklađenosti, predstavljaju dijelove funkcije koji se u mnogim organizacijama, osobito onima iz visoko reguliranih sektora već dugo realiziraju u suradnji s vanjskim ekspertima. Uloga eksternaliziranih partnera često uključuje i savjetodavnu podršku službeniku za usklađenost, primjerice, metodološku pomoć ili pripremu analitičkih priloga koji se koriste u njegovim izvješćima prema Upravi ili nadzornim odborima. Takvi zadaci nisu prijenos odgovornosti, nego način da funkcija dobije na širini, dubini i učinkovitosti, osobito u fazama implementacije ili kada je potrebno brzo ojačati kapacitete bez narušavanja interne neovisnosti.

S druge strane, elementi koji su povezani s nadzornom ulogom, izravnim izvještavanjem Upravi, odlučivanjem o prioritetima rizika, donošenjem zaključaka ili procjenom potencijalnih povreda ostaju isključivo u domeni interne funkcije. To je logično, jer u Compliance sustavu uvijek postoji linija odgovornosti koja ne može biti delegirana i koja čini samu srž funkcije i njezine neovisnosti.

Rizici pogrešne eksternalizacije

Pravilnik vrlo jasno navodi da izdvajanje pojedinih procesa ne smije narušiti kvalitetu, neovisnost ni sposobnost upravljanja rizikom usklađenosti. To je presudna odredba i nije samo pravno-tehničko upozorenje već praktično pravilo upravljanja.

Ako se vanjskom pružatelju prepusti prevelik obujam posla, organizacija riskira:

• gubitak uvida u vlastite rizike,
• slabiju kontrolu nad ključnim procesima,
• operativne troškove koji prelaze korist,
• a u najgorem slučaju situaciju u kojoj funkcija postaje formalna, bez suštinske uloge u upravljanju.

Upravo zato Pravilnik uvodi obvezu provođenja dubinske analize prije angažmana vanjskog pružatelja. Nije to samo administrativni korak, nego provjera može li određeni partner biti produžena ruka organizacije bez stvaranja novih rizika.

S obzirom na regulatorni zaokret koji donosi novi Zakon o pravnim osobama u vlasništvu RH te paralelno jačanje OECD zahtjeva, državna i javna poduzeća ulaze u razdoblje redefiniranja svojih governance modela. U takvom okruženju funkcija praćenja usklađenosti postaje strateška, a ne operativna uloga.

Upravo zato mogućnost djelomične eksternalizacije treba promatrati kao priliku, a ne kao oslobađanje obveza. To je način da funkcija dobije ekspertizu koju možda nema, da ubrza razvoj sustava i da održava profesionalne standarde i u trenucima kada unutarnji resursi to ne mogu.

No jednako tako, to je i test zrelosti organizacije jer eksternalizacija uspijeva samo onoliko koliko je uspješan njezin sustav upravljanja. Ako unutarnja funkcija ima jasne odgovornosti, neovisnost i pristup upravi, eksternalizacija postaje alat. Ako nema, prerasta u rizik.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

U Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se jedna promjena koja predstavlja najznačajniji iskorak u sustavnom upravljanju državnim poduzećima: obveza da velike pravne osobe u vlasništvu Republike Hrvatske uspostave funkciju praćenja usklađenosti kao zasebnu organizacijsku jedinicu.

Iako se na prvi pogled može činiti da Pravilnik uglavnom slijedi dosadašnje Smjernice, upravo ta jedna rečenica označava ključnu razliku i korak prema profesionalizaciji sustava upravljanja, jačanju neovisnosti funkcije i usklađivanju s međunarodnim standardima, osobito OECD-ovim smjernicama za državna poduzeća.

Proporcionalnost ostaje, ali ishod više nije isti za sve

I Pravilnik i Smjernice polaze od načela proporcionalnosti: svaka pravna osoba treba uspostaviti funkciju praćenja usklađenosti u opsegu i na način koji odgovara rizicima, veličini, složenosti i prirodi njezina poslovanja.

U dosadašnjem sustavu to je pravnim osobama ostavljalo široki manevarski prostor. Poslovi praćenja usklađenosti mogli su biti dodijeljeni pojedincu ili manjoj organizacijskoj jedinici koja je paralelno obavljala i druge zadatke, primjerice pravne poslove, korporativne aktivnosti ili opće poslove. Za mala i srednja poduzeća, takav pristup bio je i razuman i održiv.

Međutim, u velikim, složenim i javno izloženim društvima, osobito onima od posebnog interesa za RH, praksa je pokazala da se funkcija usklađenosti često nalazila u sjeni drugih operativnih funkcija, bez stvarne neovisnosti, bez potrebnih resursa i bez odgovarajuće stručne autonomije.

Zbog toga Pravilnik uvodi jasan zaokret: velike pravne osobe više nemaju mogućnost fleksibilnog odabira modela. One moraju uspostaviti organizacijski odvojenu, neovisnu jedinicu funkcije praćenja usklađenosti.

Drugim riječima, proporcionalnost se i dalje primjenjuje ali samo na organizacije koje nisu velike. Za velike, ona više nije kriterij organizacijske slobode, nego isključivo kriterij za određivanje razine resursa.

Gdje smjestiti funkciju praćenja usklađenosti?

Iako Pravilnik ostavlja fleksibilnost u pogledu položaja funkcije praćenja usklađenosti, međunarodne dobre prakse uključujući OECD smjernice i norma ISO 37301 Compliance Management Systems, jasno ističu kako je optimalno rješenje da ova funkcija bude organizacijski smještena tako da izvještava izravno Upravi. Takav položaj osigurava maksimalnu neovisnost, smanjuje rizik utjecaja operativnih funkcija i omogućuje bržu eskalaciju kritičnih nalaza, osobito u područjima integriteta, kontrole i upravljanja rizicima. Drugim riječima, iako Pravilnik ne navodi izričito gdje mora biti smještena funkcija, takav model predstavlja najviši standard korporativnog upravljanja i preporučeni smjer za velika društva, osobito ona od posebnog interesa za Republiku Hrvatsku.

Što znači „zasebna organizacijska jedinica“ i koliko slobode organizacije imaju?

Često pitanje koje se javlja među Službenicima za praćenje usklađenosti je mora li funkcija biti potpuno izdvojena ili može biti dio šireg sektora?

U praksi, osobito u državnim poduzećima i velikim organizacijskim sustavima, funkcija praćenja usklađenosti ne bi smjela biti dio sektora u smislu potpunog podređivanja njegovoj operativnoj logici. Iako je organizacijsko smještanje fleksibilno u teoriji, međunarodni standardi, od OECD Smjernica za državna poduzeća, preko norme ISO 37301 Compliance Management Systems, do europskih nadzornih smjernica (EBA Guidelines) i U.S. DOJ Compliance Guidance, vrlo su jasni u jednoj stvari, a to je da Compliance mora biti funkcionalno i operativno neovisna linija kontrole.

Razlog za to je jednostavan i duboko tehnički opravdan. U organizacijama postoje funkcije koje stvaraju, procjenjuju ili odobravaju transakcije i odluke, poput pravnih poslova, nabave, financija, investicija, operacija, prodaje. Sve te funkcije sudjeluju u procesima koje Compliance nadzire, provjerava i evaluira. Ako bi se funkcija praćenja usklađenosti organizacijski podredila jednoj od njih, došlo bi do inherentnog sukoba interesa: nadzirani bi istovremeno bili nadređeni nadzorniku. U takvom okruženju gubi se objektivnost, a sustav kontrole postaje slab, formalistički i suštinski neefikasan.

Važno je razumjeti još jednu stvar, a to je da naziv organizacijske jedinice („sektor”, „služba”, „odjel”) sam po sebi ne definira razinu neovisnosti. Primjerice, u praksi postoji niz velikih institucija, poput HPB-a, koja funkciju usklađenosti naziva „Sektor za usklađenost”, a koji je definiran kao organizacijska jedinica koja brine o usklađenosti poslovanja Banke s regulativom, upravlja sustavom zaštite osobnih podataka i zaštite privatnosti i sustavom sprječavanja pranja novca i financiranja terorizma u Banci, što je potpuno prihvatljivo ako je ta jedinica samostalna, nema operativnih uloga u donošenju poslovnih odluka, nije podređena funkcijama koje nadzire, i ima izravnu liniju izvještavanja prema Upravi i neovisnu liniju prema NO-u. Drugim riječima, Compliance može biti nazvan sektorom, ali ne može biti dio sektora koji je operativan ili koji podliježe njegovom nadzoru. Tu je ključno gdje je smješten, kome odgovara i koliku ima neovisnost, a ne kako se formalno zove.

U kojem slučaju bi funkcija mogla biti dio šireg sektora?

Iako je međunarodna najbolja praksa da je Compliance organiziran kao zasebna organizacijska jedinica ili kao dio šireg, neoperativnog governance područja (rizici, interne kontrole, integritet), u praksi postoje i drugačiji modeli, uključujući Legal Affairs & Compliance ili Corporate & Legal Affairs, koji mogu biti prihvatljivi ako su ispunjeni jasni uvjeti neovisnosti.

Na prvi pogled takva struktura može stvoriti dojam da je Compliance dio pravne službe, no u stvarnosti riječ je o potpuno drugačijem konceptu. Ovo nije operativni model u kojem pravna funkcija dominira nad usklađenošću, nego governance model koji objedinjavanjem određenih funkcija stvara snažan okvir upravljanja integritetom, rizicima i regulatornom usklađenošću.

U takvim modelima ključnu ulogu najčešće ima pozicija General Counsel-a, koja u multinacionalnim kompanijama nije klasični „šef pravne službe“, već član najvišeg rukovodstva i dio šire strukture korporativnog upravljanja. Riječ je o funkciji koja sama po sebi nije operativna i ne sudjeluje u poslovnim procesima koje Compliance treba nadzirati. Zbog toga ovaj model ne stvara inherentni sukob interesa, nego služi kao nadzorna platforma za snažniji, visoko pozicionirani sustav usklađenosti.

Ključno obilježje ovakvih struktura jest da Compliance unutar njih ostaje potpuno razgraničen i organizacijski samostalan. Iako se nalazi u istom „umbrella okviru“ s pravnom funkcijom, on zadržava vlastiti identitet, vodstvo i odgovornost. U praksi to znači da funkcija usklađenosti ima formalno zajamčenu neovisnost, pravo izravne komunikacije prema Upravi i Nadzornom odboru, neovisan pristup informacijama i kada je potrebno vlastiti proračun ili jasno definirane ovlasti nad zajedničkim resursima. Unutar takve strukture Compliance je ustrojen kao zasebna organizacijska jedinica s jasno definiranim odgovornostima, zasebnim ciljevima, indikatorima uspješnosti i vlastitim voditeljem (najčešće Head of Compliance ili Chief Compliance Officer). Pravna i Compliance funkcija time su povezane, ali ne pomiješane. Jedna pruža pravno tumačenje i zastupanje, a druga neovisno procjenjuje rizik, nadzire procese i gradi sustav upravljanja integritetom.

Takvi modeli nisu nastali slučajno, oni su oblikovani praksom multinacionalnih kompanija koje posluju u visoko reguliranim sektorima i koje moraju uskladiti snažna načela korporativnog upravljanja s učinkovitim internim kontrolama. Stoga ih nalazimo u velikim grupama poput Ericssona ili drugih globalnih organizacija. Ovdje kombinacija pravnih i Compliance funkcija nije simptom nedostatka neovisnosti, nego način da se stvori centralizirano, snažno i dobro pozicionirano središte za etičko i regulatorno upravljanje.

U konačnici, ovaj model dokazuje da Compliance može biti smješten unutar šireg organizacijskog područja, ali samo pod uvjetom da se radi o istinskoj governance strukturi, a ne operativnoj funkciji; uz jasno razdvojene uloge, zajamčenu neovisnost i direktnu vezu s najvišim razinama upravljanja. Upravo zato takvo ustrojavanje ostaje u potpunosti kompatibilno sa zahtjevima međunarodnih standarda i dobrom praksom, te može predstavljati vrlo učinkovit okvir za velike i kompleksne organizacije.

Drugim riječima, organizacijski model može biti integriran, ali samo ako sektor nije operativan te ne sudjeluje u poslovnim odlukama koje Compliance nadzire. Sektori usmjereni na upravljanje rizicima, interne kontrole ili integritet u praksi mogu biti najprirodniji „umbrella okviri“ za Compliance, pod uvjetom da je funkcija usklađenosti jasno razgraničena i da zadržava:

• vlastitu hijerarhiju
• jasno definirane odgovornosti
• funkcionalnu neovisnost
• pravo izravnog izvještavanja Upravi i Nadzornom odboru

Nasuprot tome, smještanje funkcije praćenja usklađenosti unutar pravnih poslova, nabave, financija ili drugih operativnih sektora predstavlja značajan organizacijski rizik ako nije osigurana potpuna funkcionalna neovisnost. To može biti tehnički izvedivo, ali profesionalne smjernice upozoravaju da može dovesti do sukoba interesa, osobito u organizacijama koje su složene ili izložene regulatornim zahtjevima.

Zato se funkcija praćenja usklađenosti najčešće pozicionira neposredno pod Upravom ili unutar šireg governance područja, uvijek kao samostalna organizacijska jedinica unutar tog okvira. Bitno je da funkcija zadrži vlastitu liniju izvještavanja i potpunu operativnu neovisnost, bez obzira na naziv sektora u kojem je formalno smještena.

U nastavku donosimo nekoliko stvarnih primjera organizacijskih shema koji ilustriraju tipične modele pozicioniranja funkcije praćenja usklađenosti u praksi:

PBZ – https://www.pbz.hr/document/documents/PBZ/ostalo/Organizacijska-shema/Organizacijska-shema-PBZ-dd-ap.pdf

ZABA – https://www.zaba.hr/home/o-nama/o-nama/struktura

HBOR – https://www.hbor.hr/en/organisation-structure

HPB (str. 77) – https://www.hpb.hr/UserDocsImages/Financijska-izvjesca/Godi%C5%A1nji%20izvje%C5%A1taj%20-%2031.%2012.%202024..pdf?vel=10207419

Ericsson – https://www.ericsson.com/4944e1/assets/local/about-ericsson/company-facts/our-organization/ericsson-organization-chart-2025-03-13.pdf

Novartis – https://www.novartis.com/sites/novartis_com/files/novartis-org-chart.pdf

A što je s manjim i srednjim poduzećima?

Za razliku od velikih, mala i srednja državna poduzeća, prema Prijedlogu pravilnika, mogu dijeliti funkciju praćenja usklađenosti s drugim poslovima ali uz strogo poštivanje zahtjeva o nepostojanju sukoba interesa.

To znači da osoba ili jedinica koja istovremeno sklapa ugovore, odobrava transakcije, sudjeluje u nabavi, donosi operativne odluke, ne može istovremeno obavljati funkciju praćenja usklađenosti.

Dakle, dijeljenje funkcije je dopušteno, ali samo tamo gdje je rizik sukoba interesa nizak i gdje se funkcija usklađenosti ne dovodi u poziciju nadziranja vlastitog rada ili rada kojem sama pridonosi.

Zašto upravo sad i zašto ovako?

Ovakva promjena nije slučajna. Hrvatska ubrzano usklađuje sustav upravljanja državnim poduzećima s međunarodnim standardima, osobito OECD-ovim. Te smjernice jasno naglašavaju potrebu za neovisnim funkcijama nadzora, uključujući usklađenost, upravljanje rizicima i interne kontrole.

Državna poduzeća nose visoke reputacijske, integritetne i financijske rizike te imaju snažan utjecaj na gospodarstvo i javne financije. U takvom okruženju funkcija usklađenosti ne može i ne smije biti „dodatna aktivnost”. Ona mora biti profesionalna, neovisna i strateški postavljena.

Zbog toga Prijedlog pravilnika predstavlja logičan korak prema:

• jačanju kulture integriteta
• profesionalizaciji kadrova
• jasnim linijama odgovornosti
• jačem povjerenju dionika
• usklađenosti s međunarodnim praksama

Većinu državnih poduzeća očekuje redefiniranje organizacijskih modela, uključujući uspostavu novih odjela, donošenje internih akata, uspostavu opisnih poslova, osiguranje kadrovskih kapaciteta i uspostavu jasne linije izvještavanja prema Upravi i Nadzornom odboru.

Ono što je ključno je da funkcija praćenja usklađenosti postaje sastavni dio sustava korporativnog upravljanja, a ne operativna pomoćna funkcija.

Organizacije koje ovu promjenu prihvate ozbiljno i provedu sustavno, bit će stabilnije, otpornije na rizike i usklađenije s međunarodnim standardima, što sve više oblikuje pristup kapitalu, partnerstvima i tržištima.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Danas je Ministarstvo financija Republike Hrvatske uključilo prijedlog Pravilnika o funkciji praćenja usklađenosti u pravnim osobama u vlasništvu RH u javno savjetovanje. Prijedlog Pravilnika Ministarstva financija postavlja standard koji je usporediv s najboljim praksama privatnog sektora i međunarodnim zahtjevima korporativnog upravljanja. Za društva od posebnog interesa, to je prilika da funkciju praćenja usklađenosti pretvore u pokretača integriteta i održive vrijednosti, a ne samo u regulatornu formalnost.

Ključne promjene:

• Novi Pravilnik o funkciji praćenja usklađenosti transformira Smjernice iz 2024.
• Uvodi operativnu zrelost funkcije praćenja usklađenosti: precizne procedure, neovisnost, kvalifikacijske kriterije i obvezne obrasce izvještavanja.
• Po prvi put integrira antikorupcijske mjere prema stranim javnim službenicima i načelo tržišne neutralnosti.
• Predstavlja izvrstan alat za jačanje korporativne kulture, transparentnosti i otpornosti državnih društava.

Kada je Ministarstvo financija u lipnju 2024. donijelo Smjernice za funkciju praćenja usklađenosti poslovanja u pravnim osobama u većinskom vlasništvu RH, postavljen je važan konceptualni temelj. Smjernice su otvorile prostor za razvoj sustava integriteta, definirale temeljne ciljeve i preporučile dobre prakse. Od 01. listopada 2025. godine stupanjem na snagu Zakona o pravnim osobama u vlasništvu Republike Hrvatske, funkcija praćenja usklađenosti postaje i zakonska obveza za pravne osobe u vlasništvu RH. Sukladno Zakonu, Ministarstvo financija RH u roku od 180 dana od stupanja na snagu Zakona treba donijeti Pravilnik o funkciji praćenja usklađenosti koji je danas uključen u javno savjetovanje. Navedenim Zakonom i ovim Pravilnikom usklađenost postaje ne samo regulatorni zahtjev, već i strateški alat za odgovorno i transparentno upravljanje javnom imovinom.

Jasne strukture i operativna zrelost

Pravilnik donosi ono što je Smjernicama nedostajalo – detaljnu operacionalizaciju. Pravne osobe trebaju imati barem jednog zaposlenika koji će isključivo obavljati poslove funkcije praćenja usklađenosti, dok pravne osobe koje se smatraju velikim pravnim osobama sukladno zakonu koji regulira pravne osobe u vlasništvu Republike Hrvatske trebaju uspostaviti funkciju praćenja usklađenost kao zasebnu organizacijsku jedinicu. Samo pravne osobe koje se ne smatraju velikim pravnim osobama u smislu zakona koji uređuje pravne osobe u vlasništvu Republike Hrvatske moći će, primjenjujući načelo proporcionalnosti, poslove praćenja usklađenosti povjeriti osobi ili organizacijskoj jedinici koja obavlja neke druge poslove, uz uvjet da nisu u sukobu interesa. Time se osigurava da funkcija usklađenosti više nije formalna, nego stvarno operativna.

Ključna promjena odnosi se na neovisnost funkcije. Službenici za usklađenost imaju pravo izravnog komuniciranja s nadzornim odborom i odborima za reviziju, a svako odstupanje uprave od njihovih preporuka mora biti dokumentirano. Time se po prvi put jasno uređuje institucionalna autonomija, čime se funkcija štiti od neprimjerenih utjecaja i osigurava njezina vjerodostojnost.

Profesionalizacija i integritet

Jedno od najvažnijih poglavlja Pravilnika odnosi se na kadrovske i etičke standarde. Propisana je minimalna razina obrazovanja, relevantno profesionalno iskustvo te dokazani ugled osobe koja obnaša funkciju usklađenosti. Imenovanje i razrješenje službenika sada zahtijevaju suglasnost nadzornog odbora, čime se uvodi dodatni sloj transparentnosti i odgovornosti u proces upravljanja ljudskim resursima.

Ovi kriteriji predstavljaju značajan iskorak prema profesionalizaciji funkcije, približavajući državna društva praksi privatnog sektora i međunarodnim standardima upravljanja.

Planiranje, izvještavanje i mjerljivost

U pogledu planiranja i izvještavanja, Pravilnik uvodi standardizirani i mjerljivi pristup. Funkcija usklađenosti mora izrađivati godišnji plan rada temeljen na procjeni rizika, a godišnje izvješće mora sadržavati strukturirane informacije i dvije obvezne ocjene:
(1) ocjenu stupnja usklađenosti poslovanja i
(2) ocjenu učinkovitosti sustava upravljanja rizikom usklađenosti.

Osim toga, nadzorni odbor je obvezan podnijeti izvješće o radu funkcije, u obliku propisanog obrasca. Ovakva standardizacija omogućuje usporedivost između društava i uspostavlja transparentan nadzor nad razinom zrelosti Compliance sustava unutar državnog portfelja.

Nadalje, posebno se ističe uvođenje antikorupcijskog programa koji uključuje mjere za sprječavanje podmićivanja stranih javnih službenika – područje do sada rijetko normirano u domaćem kontekstu, ali usklađeno s OECD standardima i europskim praksama.

Uz to, Pravilnik donosi načelo tržišne neutralnosti, prema kojem društva moraju osigurati da su transakcije s drugim javnim subjektima sklopljene pod tržišnim uvjetima te o eventualnim odstupanjima izvijestiti nadzorni odbor. Ovim pristupom jača se povjerenje u integritet poslovnih odluka i potiče pošteno tržišno natjecanje.

Resursi, outsourcing i odgovornost

Novi okvir jasno propisuje obvezu uprave da osigura funkciji usklađenosti odgovarajuće resurse – financijske, kadrovske i informacijske. Svako smanjenje budžeta mora se obrazložiti i dokumentirati, čime se sprječava „tiha erozija” funkcije.
Pravilnik dopušta djelomičnu eksternalizaciju aktivnosti, ali uz stroge uvjete – društvo zadržava potpunu odgovornost, mora imenovati internog službenika te provesti dubinsku procjenu i nadzor nad vanjskim pružateljem. Na taj način osigurava se fleksibilnost bez ugrožavanja integriteta sustava.

Izvrstan alat za modernizaciju javnih poduzeća

U konačnici, Pravilnik predstavlja sveobuhvatan i zreo regulatorni okvir koji usklađenost pretvara u stvarni element korporativnog upravljanja. On potiče razvoj kulture odgovornosti, transparentnosti i integriteta te omogućuje društvima od posebnog interesa da usklade svoje poslovanje s međunarodnim standardima OECD-a i Europske unije.

Za razliku od Smjernica, koje su bile putokaz, Pravilnik je operativni alat — detaljan, mjerljiv i primjenjiv. Njegovom primjenom funkcija praćenja usklađenosti prelazi iz formalne u stratešku sferu, postajući sastavni dio upravljanja rizicima, reputacijom i održivošću poslovanja.

Uprave i nadzorni odbori sada imaju jasan, konkretan okvir koji omogućuje da se usklađenost mjeri, prati i kontinuirano unapređuje. U tom smislu, novi Pravilnik nije samo propis, nego instrument transformacije državnih društava prema modernijem, odgovornijem i otpornijem modelu upravljanja.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

U posljednjih nekoliko godina, poslovni razgovori o raznolikosti, jednakosti i inkluziji (DEI) često se vode iz perspektive angažmana zaposlenika ili privlačenja talenata. Međutim, postoji jedna dimenzija koja se u regionalnom kontekstu i dalje premalo naglašava, a to je povezanost DEI politika sa zaštitom dostojanstva i prevencijom diskriminacije i uznemiravanja na radnom mjestu.

Dok organizacije uspostavljaju formalne procedure za zaštitu dostojanstva, njihova stvarna učinkovitost ovisi o kulturi koja ili potiče ili sprječava nastanak neprimjerenog (neetičnog) ponašanja. I upravo tu DEI ima ključnu ulogu, ne kao dekorativni dodatak, već kao strukturni element organizacijskog integriteta.

Reaktivni sustav vs. proaktivna kultura

Zakonski postupci zaštite dostojanstva po svojoj su prirodi reaktivni. Aktiviraju se tek kada je problem već nastao, kada je osoba pretrpjela uznemiravanje, diskriminaciju ili ponižavajuće postupanje. U tom trenutku organizacija više ne prevenira nego sanira posljedice i pokušava obnoviti narušeno povjerenje.

DEI pristup, međutim, djeluje na uzroke. On gradi radnu sredinu u kojoj se takva ponašanja rjeđe događaju, jer se:

• potiče svijest o različitostima,
• smanjuje utjecaj kognitivnih pristranosti,
• jača empatija i razumijevanje,
• ohrabruje otvorena, nenasilna komunikacija,
• postavljaju jasna očekivanja inkluzivnog ponašanja,
• razvija psihološka sigurnost u timovima.

U takvom okruženju puno je teže da se razviju mikroagresije, stereotipi ili isključivanja. Formalni postupci ostaju važni, ali njihova se učestalost smanjuje jer je kultura snažniji alat od propisa. Drugim riječima, moglo bi se reći da DEI prevenira, a zaštita dostojanstva korigira. Oboje je potrebno u sustavima ali prevencija je uvijek efikasnija. U praksi, ta povezanost postaje vidljiva upravo u svakodnevnim situacijama koje nisu nužno dovoljna osnova za formalnu prijavu, ali jasno pokazuju rizik:

• suptilne mikroagresije,
• razgovori koji implicitno isključuju nekoga,
• pretpostavke temeljene na stereotipima,
• nejednaka raspodjela prilika,
• izostanak glasa pojedinaca u timovima,
• „slijepe točke (pjege)“ menadžera u vođenju različitih profila ljudi.

Sve to nije uvijek protuzakonito ali je nedovoljno inkluzivno, a upravo iz tih malih uzroka ponašanja često nastaju veliki problemi koji završavaju u formalnim postupcima, često i dugotrajnim sudskim sporovima. Zato organizacije koje žele smanjiti reputacijske, operativne i pravne rizike, ulažu u DEI ne zato što „tako rade globalne kompanije“, nego zato što prepoznaju jasnu poveznicu između kulture inkluzije i stabilnog, sigurnog i etičnog okruženja.

Poštenje i pravednost kao zajednički nazivnik

I DEI i zakonska zaštita dostojanstva počivaju na istom temelju: poštenju, pravednosti i jednakom postupanju. Razlika je u tome kako do njih dolazimo.

• Zakon postavlja minimalne standarde – što je zabranjeno, što se mora i koji su postupci.
• DEI postavlja namjeru – kako želimo da se ljudi osjećaju, kako voditi, kako uvažavati razlike i kako stvarati smisleno okruženje.

Kada se ova dva pristupa povežu, organizacije više ne gledaju DEI kao inicijativu, već kao kompetenciju, tj. nešto što menadžeri primjenjuju svaki dan i što je jednako važno kao i financijska kontrola, risk management ili strateško planiranje.

Uloga menadžera: inkluzivno vodstvo kao prva linija (obrane)

U kontekstu zaštite dostojanstva, menadžeri imaju posebno važnu ulogu. Oni oblikuju kulturu svakodnevnim ponašanjem, a istraživanja konzistentno pokazuju da od njih zaposlenici najviše očekuju:

• pravilan, pošten i jednako transparentan pristup,
• brzo reagiranje u slučaju neprimjerenog ponašanja,
• stvaranje prostora u kojem različita mišljenja imaju jednaku težinu,
• poticanje glasova koji se inače ne čuju,
• namjerno uključivanje svih profila ljudi u procese i odluke.

U organizacijama koje razvijaju inkluzivne lidere, postupci zaštite dostojanstva aktiviraju se rjeđe ali ne zato što nema prijava ili problema, nego zato što se rješavaju prije nego što eskaliraju. Zato na DEI politike ne treba gledati kao na trošak, već na mehanizam prevencije i kada se one povežu sa zaštitom dostojanstva radnika, zaštita dostojanstva prestaje biti samo zakonska obveza i postaje izraz organizacijske zrelosti. Tada organizacije otvaraju prostor za stvaranje radnog okruženja u kojem se ljudi osjećaju viđeno, poštovano i sigurno, a rizici se prepoznaju prije nego što postanu problem.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za DEI tematiku u ponudi imamo:

• In-house radionicu: DEI@Work training – Diversity, Equity and Inclusion – Raznolikost, jednakost i inkluzija
• Edukaciju: Zaštita dostojanstva radnika
• Eksternalizirana funkcija povjerljive osobe

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Zakon o izmjenama i dopunama Zakona o zaštiti prijavitelja nepravilnosti (NN 136/25) stupa na snagu 13. 11. 2025. Njime se mijenja i dopunjuje Zakon o zaštiti prijavitelja nepravilnosti (NN 46/22), primarno radi usklađivanja s pravnom stečevinom Europske unije te uvažavanja preporuka OECD-a u kontekstu pristupanja Republike Hrvatske OECD-u. Sustav zaštite prijavitelja nepravilnosti u RH prvi je put cjelovito uređen Zakonom koji je stupio na snagu 1. 7. 2019., a 23. 4. 2022. stupio je na snagu novi Zakon (NN 46/22). Novela Zakona iz 2025. sada dodatno pojašnjava i proširuje taj okvir.

Izmjene sadržane u Noveli Zakona (NN 136/2025) donose niz važnih novosti za poslodavce. Novi okvir dodatno pojačava pravnu sigurnost prijavitelja, uvodi strože rokove te značajno povećava kazne za neusklađenost.

Brža i učinkovitija zaštita zviždača

Jedna od ključnih novosti odnosi se na sudsku zaštitu prijavitelja. Propisani su strogi rokovi: odgovor na tužbu u 15 dana, prvo ročište u 30 dana, a prvostupanjski postupak mora završiti u roku od šest mjeseci. Time se osigurava brža i učinkovitija zaštita zviždača te smanjuje prostor za zlouporabe i odgode koje su do sada obeshrabrivale prijavitelje.

Veće kazne i preciznija odgovornost poslodavaca

Nove kazne sada su izražene u eurima, a iznosi su gotovo udvostručeni u odnosu na prethodni Zakon iz 2022. godine:

• Poslodavac (pravna osoba): od 2.000 € do 8.000 € (prije 10.000 – 30.000 kn, odnosno 1.333 – 4.000 €)
• Odgovorna osoba u pravnoj osobi: od 1.000 € do 3.000 € (prije 1.000 – 10.000 kn, odnosno 133 – 1.333 €)
• Fizička osoba – obrtnik: od 1.000 € do 3.000 € (prije 133 – 1.333 €)

Poslodavci mogu biti kažnjeni navedenim iznosima ako (Članak 35., NN 46/22):

1. ne donesu opći akt o unutarnjem prijavljivanju u roku od dva mjeseca od stupanja na snagu Zakona,
2. ne učine taj akt i upute dostupnima svim zaposlenicima,
3. ne uspostave sustav unutarnjeg prijavljivanja,
4. ne osiguraju povjerljivost i zaštitu podataka,
5. ne imenuju povjerljivu osobu i zamjenika u roku od tri mjeseca,
6. ne vode evidenciju zaprimljenih prijava,
7. ne poduzmu mjere za otklanjanje utvrđenih nepravilnosti.

U Noveli Zakona gotovo su utrostručene kazne za teže povrede definirane u Članku 36. (NN 46/22). Dok su prema tom Zakonu iz 2022. maksimalne kazne iznosile oko 6.600 eura (50.000 kn), nove izmjene propisuju do 100.000 eura za pravne osobe.

To konkretno znači:

• Poslodavac (pravna osoba): od 5.000 € do 100.000 € (prije: 30.000 – 50.000 kn, odnosno 4.000 – 6.666 €)
• Odgovorna osoba u pravnoj osobi: od 600 € do 6.000 € (prije: 3.000 – 30.000 kn, odnosno 400 – 4.000 €)
• Fizička osoba – obrtnik: od 600 € do 15.000 € (prije: 400 – 4.000 €)
• Fizička osoba (npr. zaposlenik koji direktno prekrši zaštitu): od 600 € do 6.000 €

Ovakav raspon kazni pozicionira zaštitu prijavitelja među ključne prioritete usklađenosti poslodavaca, s mogućim značajnim radnopravnim i korporativno-upravljačkim implikacijama.

Članak 36. (NN 46/22) detaljno propisuje šest situacija koje predstavljaju ozbiljno kršenje zakona. Svaka od njih odnosi se na aktivno ugrožavanje prijavitelja, povjerljivih osoba ili integriteta postupka prijave:

1. Sprječavanje ili pokušaj sprječavanja prijavljivanja nepravilnosti – primjerice, prijetnje zaposleniku da ne prijavi, zabrana komunikacije s povjerljivom osobom ili kažnjavanje zbog prijave (čl. 8 st. 1).
2. Pokretanje zlonamjernih postupaka protiv prijavitelja ili povjerljive osobe – korištenje disciplinskih mjera ili tužbi kako bi se prijavitelja zastrašilo (čl. 8 st. 3).
3. Otkrivanje identiteta prijavitelja ili prijavljene osobe bez pristanka – objavljivanje ili curenje informacija koje omogućuju identifikaciju prijavitelja (čl. 14 st. 1., 2. i 4.).
4. Osveta, prijetnje ili pokušaj osvete prema prijavitelju – uključuje otkaz, premještaj, mobbing, prijetnje ili uskraćivanje napredovanja (čl. 9 st. 1).
5. Ne zaštita prijavitelja od osvete i propuštanje mjera za sprječavanje posljedica osvete – pasivno ponašanje poslodavca sada se također kažnjava (čl. 20 st. 1 t. 3).
6. Utjecanje na povjerljivu osobu ili njezina zamjenika – bilo kakav pritisak na osobu zaduženu za postupanje po prijavama (čl. 22 st. 3).

Drugim riječima, svaka radnja, bilo aktivna ili propustom, koja prijavitelju stvara nepovoljan položaj ili narušava povjerljivost prijave, sada predstavlja teži prekršaj s potencijalno drastičnim novčanim posljedicama.

Proširenje kruga zaštite i veća pravna sigurnost

Prijavitelj koji nepravilnost prijavi izravno nadležnim tijelima (policija, DORH) uživa jednaku zaštitu kao i onaj koji koristi interni kanal. Usto, izmjene u Članku 4. proširuju područje primjene (uključujući primjenu prava EU i kaznena djela protiv javnog interesa).

U Članku 37. povećan je samo donji iznos kazne i sada iznosi od 600 do 4.000 € za fizičke osobe koje svjesno prijavljuju ili javno razotkrivaju neistinite informacije (uz izuzetak kaznenih djela), a u Članku 38., za povrede povjerljivosti i zlouporabe ovlasti propisane su kazne od 600 do 4.000 € (povećan je također samo donji iznos kazne). To se odnosi na povjerljive osobe, njihove zamjenike i sve koji sudjeluju u postupku. Identitet prijavitelja i podaci iz prijave moraju ostati zaštićeni, a svaka zlouporaba ovlasti se sankcionira.

Što poslodavci trebaju učiniti?

• Revidirati interne politike i procedure (rokovi, povjerljivost) te ažurirati opći akt i učiniti ga lako dostupnim.
• Imenovati i osposobiti povjerljivu osobu i zamjenika (ako već nisu), uz osigurane resurse i neovisnost. Povjerljiva osoba može biti osoba zaposlena kod poslodavca ili treća fizička osoba imenovana od strane poslodavca radi zaprimanja prijava nepravilnosti (eksternalizirana funkcija).
• Uspostaviti i voditi evidenciju prijava i reakcija, s jasnim mehanizmima praćenja i izvještavanja.
• Educirati sve zaposlenike o novim obvezama, rokovima i kaznama.
• Ojačati nadzor i izvještavanje, imajući na umu da prijave mogu dolaziti i izvan internih kanala te da su sudski rokovi kraći.
• Uvesti nultu toleranciju na odmazdu i odmah reagirati na svaku sumnju na povredu.
• Procijeniti reputacijski i regulatorni rizik u svjetlu viših kazni i bržih postupaka.

Preporuke za poslodavce

• Provesti gap-analizu postojećih politika i procedura prema novom okviru.
• Ažurirati politike prijavljivanja i osigurati dostupnost svim osobama koje rade kod poslodavca (zaposlenici, volonteri, studenti, vanjski suradnici) ali i trećim stranama („radno okruženje“).
• Potvrditi/imenovati povjerljivu osobu i zamjenika te im osigurati obuku i neovisnu poziciju ili eksternalizirati funkciju ukoliko unutar organizacije ne postoje adekvatni resursi.
• Osigurati da su kanali prijave dostupni, jasni i sigurni; pružati prijavitelju informacije o tijeku i ishodu postupka sukladno internim politikama.
• Uspostaviti sustav dokumentiranja prijava i poduzetih mjera – ključan je za dokazivanje usklađenosti.
• Graditi kulturu povjerenja i imati „nultu toleranciju prema odmazdi“ (otkaz, degradacija, uskraćivanje napredovanja i sl.).
• Pratiti pravnu praksu i tumačenja nadležnih tijela kako bi se pravodobno prilagodile interne mjere.

Zakon o izmjenama i dopunama Zakona o zaštiti prijavitelja nepravilnosti označava zreliju fazu sustava zaštite zviždača u Hrvatskoj. Poslodavci dobivaju jasne rokove, strože standarde i veće kazne ali i priliku da kroz snažniju kulturu integriteta smanje pravne i reputacijske rizike te dugoročno ojačaju organizacijsku otpornost.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Zakon o zaštiti prijavitelja nepravilnosti nudimo:

• Uslugu Eksternalizirane funkcije povjerljive osobe
• Softversko rješenje za vođenje prijava nepravilnosti – INTEGRITY LINE – Vodeći softver za prijavu nepravilnosti u Europi!
• Provedbu GAP analize i evaluaciju Compliance programa, uključujući unutarnje sustave za prijavu nepravilnosti
• Edukaciju „Sustav za prijavu nepravilnosti prema normi ISO 37002 Whistleblowing Management Systems“
• In-house edukaciju za zaposlenike prilagođenu vašim potrebama

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.