Tvrtka CODUPO Compliance i ove je godine službeno potvrđena kao Authorized Silver Partner organizacije PECB, čime nastavljamo uspješnu suradnju s jednom od vodećih međunarodnih organizacija za edukaciju i certifikaciju u području sustava upravljanja, compliancea i međunarodnih ISO standarda.

Status PECB Authorized Silver Partner dodjeljuje se organizacijama koje provode akreditirane edukacije prema PECB programima te kontinuirano razvijaju stručnost u području međunarodnih standarda.

CODUPO je specijaliziran za edukacije i savjetovanje u području usklađenosti (compliance) te provodi međunarodno priznate edukacije vezane uz standarde i profesionalne certifikate kao što su:

• ISO 37301 – Compliance Management System
• ISO 37001 – Anti-Bribery Management System
• ISO 31000 – Risk Management
• Certified Data Protection Officer

Do sada je akreditiranu edukaciju za Certified ISO 37301 Compliance Management System uspješno prošlo više od 70 compliance profesionalaca iz Hrvatske i regije, čime CODUPO aktivno doprinosi razvoju compliance zajednice i profesionalnih standarda u ovom području.

CODUPO Compliance je danas vodeći pružatelj edukacija u području compliance-a u Hrvatskoj i regiji. Samo tijekom 2025. godine kroz naše edukacije prošlo je više od 1500 sudionika, što potvrđuje rastući interes organizacija za jačanje sustava usklađenosti i etike, upravljanja rizicima i dobrog korporativnog upravljanja.

Posebno smo ponosni što je CODUPO Compliance ovo priznanje dobio četvrtu godinu zaredom, što dodatno potvrđuje kvalitetu naših edukacija i dugoročnu suradnju s PECB-om.

Zahvaljujemo svim našim klijentima i polaznicima na povjerenju te nastavljamo razvijati edukacije koje organizacijama pomažu u jačanju sustava usklađenosti, funkcije praćenja usklađenosti, upravljanja rizicima i dobrog korporativnog upravljanja.

Dr. sc. Silvija Vig stekla je status PECB Gold Trainer za 2025. godinu za područje ISO 37301 – Compliance Management Systems, čime je potvrđen njezin kontinuirani rad na razvoju i jačanju prakse upravljanja usklađenošću te edukaciji stručnjaka koji se u organizacijama bave Compliance-om.

Kroz edukaciju ISO 37301 Compliance Management Systems Lead Implementer koju provodi dr. sc. Silvija Vig do sada je prošlo više od 70 Compliance profesionalaca iz Hrvatske i regije, čime aktivno doprinosi razvoju stručne zajednice u području upravljanja usklađenošću.

Uz edukacije, dr. sc. Silvija Vig aktivno sudjeluje u savjetodavnim projektima vezanim uz uspostavu i razvoj Compliance Management sustava, uključujući implementaciju zahtjeva norme ISO 37301, kao i razvoj funkcije praćenja usklađenosti (Compliance function) u organizacijama.

Iskustvo u ovom području stjecala je radeći na projektima u državnim poduzećima i privatnom sektoru, u Hrvatskoj i šire u regiji. Trenutno sudjeluje u više projekata implementacije ISO 37301, razvoja Compliance programa te uspostave funkcije praćenja usklađenosti u poduzećima.

Svojim radom dr. sc. Silvija Vig kontinuirano doprinosi razvoju profesionalne Compliance zajednice te jačanju integriteta i kulture usklađenosti u organizacijama.

Agencija za komercijalnu djelatnost (AKD), trgovačko društvo od posebnog interesa za Republiku Hrvatsku, postala je prvo poduzeće u Hrvatskoj koje je uspješno završilo certifikacijski audit prema međunarodnoj normi ISO 37301 – Compliance Management System (CMS) i time dobilo certifikat prema ovom globalno priznatom standardu.

Implementacija norme ISO 37301 u AKD započela je u rujnu 2024. godine kao strateški projekt usmjeren na jačanje korporativnog upravljanja, integriteta i transparentnosti poslovanja. Uvođenjem sustava upravljanja usklađenošću AKD je istodobno ispunio i novu zakonsku obvezu — uspostavu funkcije praćenja usklađenosti koja je od 1. listopada 2025. propisana Zakonom o pravnim osobama u vlasništvu Republike Hrvatske.

Norma ISO 37301 postavlja zahtjeve za uspostavu, provedbu, održavanje i kontinuirano poboljšavanje sustava upravljanja usklađenošću, čime organizacija sustavno prepoznaje, upravlja i kontrolira rizike usklađenosti s propisima, internim politikama i etičkim standardima.

Certifikacija potvrđuje da je AKD uspostavio ključne elemente djelotvornog sustava usklađenosti — od identifikacije i upravljanja rizicima usklađenosti, preko jasnih politika, procedura i edukacija, do sustava izvještavanja i kontinuiranog poboljšanja.

Kao rezultat, AKD se pozicionira kao predvodnik dobre prakse u Republici Hrvatskoj i postavlja referentni okvir za druga poduzeća u pogledu uspostave učinkovitih sustava upravljanja usklađenošću, jačanja integriteta i transparentnog upravljanja poslovanjem.

U ovom projektu implementacije norme ISO 37301 Codupo Compliance kao savjetodavni partner imao je aktivnu ulogu u pružanju stručne podrške pri uspostavi sustava i pripremi organizacijskog okvira za uspješan certifikacijski audit, s ciljem osnaživanja funkcije praćenja usklađenosti kako bi zadovoljavala i najviše međunarodne standarde.

Ovaj iskorak predstavlja snažnu poruku compliance zajednici i javnosti o dugoročnoj predanosti integritetu, zakonitom i održivom poslovanju, ali i poticaj drugim državnim poduzećima da ozbiljno razmotre certificiranje svojih sustava usklađenosti te time unaprijede korporativno upravljanje i povjerenje dionika.

S ponosom objavljujemo da se timu CODUPO Compliance pridružuje Ljiljana Hrastinski Jurčec, mag. iur., sutkinja Vrhovnog suda Republike Hrvatske u mirovini, kao vanjska suradnica.

Ljiljana Hrastinski Jurčec iza sebe ima više od četrdeset godina iznimno bogatog sudačkog iskustva u svim pravnim granama, s posebnim naglaskom na trgovačko, ovršno i stečajno pravo. Tijekom svoje karijere obnašala je dužnost sutkinje Građanskog odjela Vrhovnog suda Republike Hrvatske te sutkinje Visokog trgovačkog suda Republike Hrvatske, gdje je u određenim razdobljima bila predsjednica Odjela nadležnog za trgovačke sporove te Odjela za praćenje i nadzor sudske prakse.

Diplomirala je na Pravnom fakultetu Sveučilišta u Osijeku, položila pravosudni ispit te pohađala poslijediplomski studij Poslovno pravo i transakcije. Tijekom rada u pravosuđu aktivno je sudjelovala u radu brojnih pravosudnih i stručnih tijela, uključujući Sudačko vijeće trgovačkih sudova, Programsko vijeće Pravosudne akademije te niz radnih skupina Ministarstva pravosuđa za izradu i izmjene zakonodavnog okvira.

Također je bila predsjednica Povjerenstva za polaganje stečajno-upraviteljskih ispita te članica Povjerenstva za polaganje javnobilježničkih ispita. Nalazi se na listi arbitara Hrvatske gospodarske komore, certificirani je medijator te autorica više stručnih radova i publikacija iz područja ovršnog i stečajnog prava. Dugogodišnja je voditeljica edukacija i stručnih radionica za suce i pravosudne vježbenike.

Kao suradnica CODUPO Compliance, bit će zadužena za davanje stručnih mišljenja i rješavanje složenih pravnih pitanja, s posebnim fokusom na tumačenje i primjenu propisa, regulatorni okvir te pravnu podršku u složenim pravnim i Compliance izazovima.

Ovim proširenjem dodatno jačamo našu stručnost i kapacitete u pružanju vrhunske, integrirane pravne i Compliance podrške klijentima, u skladu s najvišim profesionalnim standardima.

U praksi se posljednjih godina sve češće govori o „novoj generaciji” usklađenosti. Ne zato što su politike, procedure i kontrole prestale biti važne, nego zato što su postale nedovoljne. Organizacije koje su formalno usklađene i imaju uredno dokumentiran sustav sve češće otkrivaju da i dalje ostaju izložene incidentima, ne zato što pravila ne postoje, nego zato što se rizici razvijaju brže nego što ih sustav uspije prepoznati.

Upravo stoga u međunarodnoj praksi kompanije se sve više okreću risk-based i data-driven Compliance pristupu koji se ovisno o industriji i regulatornom kontekstu naziva još: compliance analytics, advanced compliance analytics, compliance monitoring & surveillance framework, integrated GRC, conduct risk management, ili u nešto širem smislu Compliance Intelligence. Razlike u terminologiji nisu presudne; ono što je zajedničko svim tim pristupima jest da usklađenost prestaje biti periodična provjera „jesmo li u redu”, i postaje kontinuirani sustav ranog upozoravanja: „gdje se rizik upravo sada povećava”.

Od Compliance-a se očekuje da bude ex-ante,  a ne samo ex-post.

U suvremenom regulatornom i tržišnom okruženju učinkovit Compliance Management System više se ne promatra kao mehanizam koji reagira nakon što je kršenje već nastupilo. Ono što se danas očekuje od Uprave i Nadzornog odbora jest sposobnost da pravodobno prepoznaju, razumiju i upravljaju Compliance rizicima prije nego što se oni materijaliziraju u regulatorni, financijski ili reputacijski događaj. Drugim riječima, očekuje se da Compliance bude forward-looking (ex-ante), a ne isključivo backward-looking (ex-post).

Tu se pojavljuje ključni zaokret jer risk-based & data-driven Compliance nije nadogradnja kroz dodatne dokumente, nego promjena logike upravljanja. Umjesto da se sustav prvenstveno oslanja na retrospektivno dokazivanje da su pravila postojala i da su se provodila, on se oslanja na kontinuirano upravljanje rizikom kroz podatke, trendove i upravljačke odluke. Compliance se time pomiče iz sfere dokazivanja u sferu upravljanja.

U središtu ovog pristupa nalazi se razlika koju klasični sustavi često zamagljuju, a to je razlika između učinkovitosti sustava i razvoja rizika. Ono što primjećujemo u praksi, organizacije mogu imati uredno provedene treninge i ažurirane procedure, a ipak imati rastuće rizike. Mogu provesti istrage u roku, a ipak bilježiti sve više pritisaka ili ponašanja koja ukazuju na normalizaciju devijacija („tako se to kod nas radi“). Upravo zato risk-based i data-driven Compliance uvodi jasnu podjelu upravljačkih informacija kroz dvije komplementarne skupine pokazatelja: KPI (Key Performance Indicators) i KRI (Key Risk Indicators).

KPI-jevi su pokazatelji koji Upravi daju uvid u to kako sustav radi u operativnom smislu. Oni pokazuju provodi li se plan edukacija, jesu li kontrole testirane, odgovara li se na prijave i provode li se istrage u predviđenim rokovima te ažuriraju li se politike i procedure. KPI-jevi su nužni jer omogućuju dokazivost i disciplinu sustava.

Međutim, KPI-jevi sami po sebi ne odgovaraju na pitanje koje postaje ključno u modernoj regulatornoj praksi, a to je da organizacija sazna razvija li se negdje rizik koji još nije prerastao u incident? Upravo tu ulogu preuzimaju KRI-jevi. KRI-jevi su dizajnirani da otkrivaju rane signale rasta Compliance rizika, često prije formalne povrede. Oni ne mjere je li sustav odradio ono što je trebao, nego mjere gdje se u organizaciji pojavljuju obrasci koji povećavaju vjerojatnost buduće povrede: porast iznimaka, promjene u obrascima prijava, povećan broj ponovljenih kršenja, koncentracija rizika u određenoj jedinici, promjene u strukturi trećih strana ili ubrzani poslovni rast u područjima s višim regulatornim očekivanjima.

Upravo zbog toga risk-based & data-driven Compliance u praksi funkcionira kao radar i daje Upravi signal kada se organizacija približava zoni povećane izloženosti rizika. U takvom modelu sustav sustavno prikuplja i povezuje informacije o ponašanju zaposlenika, obrascima odlučivanja, iznimkama od pravila, pritiscima na poslovne linije, odnosima s trećim stranama i promjenama poslovnog modela. Ti se signali kroz KPI i KRI okvir analiziraju i pretvaraju u upravljive informacije, informacije koje Upravi omogućuju da intervenira na vrijeme, prilagodbom kontrola, promjenom bonusa/incentiva, dodatnim nadzorom, češćim edukacijama ili što je često najvažnije jačanjem organizacijske kulture.

Risk-based i data-driven Compliance u potpunoj je korelaciji s COSO logikom upravljanja rizikom.

U kontekstu ISO 37301, upravo je ta sposobnost razlika između formalno uspostavljenog sustava i sustava koji je doista učinkovit. ISO 37301 zahtijeva praćenje, mjerenje, analizu i stalno poboljšavanje, ali risk-based i data-driven Compliance daje Upravi operativni mehanizam kojim se ti zahtjevi pretvaraju u stvarno, prediktivno upravljanje Compliance rizikom što je također u potpunoj korelaciji s COSO logikom upravljanja rizikom.

Zato se u regulatornom i tržišnom kontekstu ovaj pristup sve češće smatra novim standardom. On šalje jasnu poruku da organizacija ne samo da ima formalni sustav usklađenosti, nego posjeduje upravljačku inteligenciju potrebnu da taj sustav doista štiti vrijednost, reputaciju i dugoročnu održivost poslovanja.

Takav smjer potvrđuju i recentne međunarodne analize (npr. Thomson Reuters Institute) koje naglašavaju potrebu da se organizacije sustavno pripreme za neočekivano. Iako nije moguće predvidjeti svaki pojedini rizik, razvoj scenarija, analitičkih modela te sustava ranog upozoravanja omogućuje smanjenje neizvjesnosti i pravodobno upravljanje rizicima. Compliance i risk timovi koji na vrijeme prihvate ovaj zaokret bit će u znatno boljoj poziciji za snalaženje u sve složenijem regulatornom okruženju 2026. godine i nadalje.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Analiza odgovornosti Uprave u kontekstu Prijedloga Pravilnika o funkciji praćenja usklađenosti koji je trenutačno u postupku javnog savjetovanja (e-Savjetovanje).

Stupanjem na snagu Zakona o pravnim osobama u vlasništvu Republike Hrvatske 1. listopada 2025. godine, Pravne osobe od posebnog interesa za RH ulaze u novu fazu razvoja sustava korporativnog upravljanja. Jedna od ključnih novina je obveza uspostave funkcije praćenja usklađenosti, čime se po prvi put na sustavan način normativno jača preventivna uloga Compliance-a u tim organizacijama.

Iako zakon i Prijedlog pravilnika o funkciji praćenja usklađenosti (Članak 16.) definiraju obveze Uprave, međunarodni standardi pružaju znatno širi i dublji okvir za razumijevanje stvarne odgovornosti (accountability) upravljačkih tijela, osobito u složenim i regulatorno zahtjevnim okruženjima kakva karakteriziraju državna poduzeća.

U našim in-house edukacijama „Uloga Uprave i menadžmenta u funkciji praćenja usklađenosti i izgradnji integriteta“, poseban naglasak stavljamo na jasno razgraničenje pojmova accountability i responsibility. Iako se u hrvatskom jeziku ti pojmovi često koriste kao sinonimi, razlike među njima postaju osobito važne na razini upravljačkih tijela, gdje imaju izravne implikacije na način donošenja odluka, delegiranja ovlasti i preuzimanja odgovornosti za ishode.

Kako bismo mogli bolje analizirati odgovornosti Uprave u kontekstu Prijedloga Pravilnika o funkciji praćenja usklađenosti, nužno je najprije jasno razgraničiti dva temeljna pojma koji čine okosnicu suvremenog korporativnog upravljanja: odgovornost za izvršenje, zaduženje (responsibility) i preuzimanje odgovornosti za ishod (accountability).

U praksi se često miješaju pojmovi odgovornosti responsibility i accountability ali ISO standardi jasno razgraničavaju ta dva koncepta. Operativna odgovornost može se delegirati, primjerice na rukovoditelje organizacijskih jedinica, direktore funkcija te vlasnike procesa i rizika, dok accountability ili odgovornost za ishod ostaje trajno vezana uz upravljačko tijelo kao cjelinu. Iako vlasnici rizika i rukovoditelji organizacijskih jedinica mogu imati razinu accountabilityja za rezultate unutar svojeg delegiranog područja odgovornosti, ukupna i konačna odgovornost za ishod uspostave, funkcioniranja i učinkovitosti sustava upravljanja usklađenošću ostaje na razini upravljačkog tijela.

Drugim riječima, Uprava može delegirati izvršenje pojedinih aktivnosti i kontrola, ali ne može delegirati konačnu odgovornost za posljedice odluka, propuštanja ili nepostojanja odgovarajućih sustava. Upravo ta sposobnost da se odgovara za cjelinu sustava, uključujući i ono što nije učinjeno, čini samu srž accountabilityja u suvremenom korporativnom upravljanju.

Uloga upravljačkih tijela u sustavu praćenja usklađenosti

ISO 37301 Compliance Management Systems dodatno operacionalizira tu odgovornost. Standard jasno polazi od pretpostavke da Compliance (Funkcija praćenja usklađenosti) nije izolirana funkcija niti tehnički dodatak poslovanju, već sastavni dio sustava upravljanja koji mora biti usklađen sa strateškim smjerom organizacije.

Upravljačka tijela i najviše rukovodstvo imaju ključnu ulogu u stvaranju okruženja u kojem sustav upravljanja usklađenošću može ostvariti svoju svrhu. To uključuje postavljanje jasnog smjera kroz politike i ciljeve usklađenosti, osiguravanje odgovarajućih resursa, integraciju zahtjeva usklađenosti u poslovne procese te jasno dodjeljivanje uloga, ovlasti i odgovornosti svim relevantnim funkcijama. Istodobno, osiguravanje neovisnosti Compliance funkcije, njezina izravnog pristupa Upravi i Nadzornom odboru te sustava pravovremenog izvještavanja i reagiranja ključno je za jačanje preventivne, savjetodavne i upravljačke uloge Compliance-a.[1]

Accountability kao temelj povjerenja i legitimnosti

ISO standardi također naglašavaju da accountability nije samo pravni ili organizacijski zahtjev, već ključni element povjerenja i legitimnosti. U kontekstu državnih poduzeća, gdje su očekivanja javnosti, vlasnika i drugih dionika osobito visoka, transparentno i odgovorno upravljanje ima izravan utjecaj na reputaciju, održivost i dugoročnu vrijednost organizacije.

Zakon o pravnim osobama u vlasništvu Republike Hrvatske jasno postavlja održivost kao sastavni dio korporativnog upravljanja, zahtijevajući da pravne osobe u državnom vlasništvu integriraju financijske i nefinancijske ciljeve, uključujući čimbenike održivosti poput zaštite okoliša, poštivanja ljudskih prava i borbe protiv korupcije (prema Prijedlogu Pravilnika) u svoje strateške odluke i upravljanje rizicima.

Demonstriranje takve odgovornosti za ishod (accountability) očituje se kroz kvalitetno, pravodobno i transparentno izvještavanje, jasno i razumljivo obrazlaganje donesenih odluka i njihovih učinaka, kao i kroz sustavno razumijevanje rizika, pri čemu je cjelokupan sustav upravljanja izgrađen na risk-based pristupu i međusobnoj ovisnosti poslovnih procesa, rizika i kontrola. Ključni element takve odgovornosti je i spremnost upravljačkih tijela da preuzmu odgovornost ne samo za donesene odluke, već i za propuštanja i nečinjenja, osobito kada su ista imala ili su mogla imati značajan utjecaj na organizaciju.

Funkcija praćenja usklađenosti ne pozicionira se kao retrospektivni kontrolni mehanizam (ex post, backward-looking), već kao strateški alat koji omogućuje informirano, etično i dugoročno održivo odlučivanje (ex ante, forward-looking).

U tom kontekstu, članak 20. Prijedloga Pravilnika dodatno osnažuje koncept accountabilityja propisujući da, u slučaju kada više rukovodstvo odstupi od preporuka ili procjena koje je izdao službenik za praćenje usklađenosti, takvo odstupanje mora biti dokumentirano i uključeno u izvješće o usklađenosti. Time se osigurava sljedivost odluka te jasno razgraničenje odgovornosti na najvišoj razini upravljanja. Posljedično, funkcija praćenja usklađenosti ne pozicionira se kao retrospektivni kontrolni mehanizam (ex post, backward-looking), već kao strateški alat koji omogućuje informirano, etično i dugoročno održivo odlučivanje (ex ante, forward-looking). Takav pristup, usklađenost integrira u sam proces donošenja odluka, jača kulturu odgovornosti i povjerenja te potvrđuje njezinu ulogu kao ključne preventivne funkcije unutar suvremenog sustava korporativnog upravljanja.

Zakonski okvir u Republici Hrvatskoj postavlja nužan minimum. Međutim, međunarodni standardi poput ISO 37301 Compliance Management Systems, nude priliku da se ide korak dalje od formalnog ispunjavanja obveza prema izgradnji zrelog sustava upravljanja usklađenošću, u kojem su uloge, ovlasti i odgovornosti jasno definirane, a odgovornost za ishod (accountability) upravljačkih tijela stvarno je zaživljena u praksi.

U tom smislu, funkcija praćenja usklađenosti postaje alat koji omogućuje upravljačkim tijelima da ispune svoju temeljnu zadaću, a to je da djeluju trajno u najboljem interesu organizacije, uzimajući u obzir pravne, etičke, reputacijske i društvene implikacije svojih odluka.

Upravo takav proaktivan pristup, integriran i usmjeren na dugoročnu vrijednost i održivost predstavlja stvarnu dodanu vrijednost novog regulatornog okvira i priliku za podizanje standarda korporativnog upravljanja u državnim poduzećima Republike Hrvatske.

[1] ISO (2021) Sustavi upravljanja usklađenošću – Zahtjevi sa smjernicama za uporabu (ISO 37301:2021). Hrvatski zavod za norme. Zagreb.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Pitanje je opravdano, jer Prijedlog Pravilnika o funkciji praćenja usklađenosti izričito zahtijeva da velike pravne osobe uspostave zasebnu i neovisnu funkciju praćenja usklađenosti, pa u njihovom slučaju odgovor je jasan. Istodobno, isti članak (Članak 5.) omogućuje pravnim osobama koje se ne smatraju velikim pravim osobama  veću fleksibilnost. Primjenjujući načelo proporcionalnosti, male i srednje pravne osobe mogu povjeriti poslove praćenja usklađenosti osobi ili organizacijskoj jedinici koja obavlja i druge poslove uz uvjet da nisu u sukobu interesa između odgovornosti koja se odnosi na obavljanje funkcije praćenja usklađenosti poslovanja i drugih odgovornosti.

Ovaj tekst ne daje jedinstven odgovor, već predstavlja analitički pregled temeljen na modelu Tri linije, standardu ISO 37301 Compliance Management Systems i ISO 31000 Risk Management. Cilj mu je ponuditi smjernice koje pravnim osobama mogu pomoći u razmišljanju o tome kako proporcionalno i učinkovito ustrojiti funkciju praćenja usklađenosti unutar svojih sustava.

Dugi niz godina model Tri linije obrane služio je kao temelj za strukturiranje rizika i kontrolnih mehanizama. Jasno je razdvajao poslovne jedinice kao prvu liniju, nadzorne funkcije poput Compliance-a i upravljanja rizicima kao drugu liniju te internu reviziju kao treću, neovisnu liniju. Iako je taj model postavio nužne okvire odgovornosti, u praksi je često stvarao organizacijske silose. Zato je Institute of Internal Auditors 2020. modernizirao ovaj okvir u model Tri linije, koji zadržava razdvajanje uloga, ali snažnije naglašava suradnju, koordinaciju i stvaranje vrijednosti kao zajednički cilj svih linija.

Slika 1. Razlika između modela Tri linije obrane (2013.) i Tri linije (2020.)

Izvor: Di Schino, N. (2020) Does the New Three Lines Model Give Short Shrift to Compliance? Corporate Compliance Insights. In Compliance, Featured, Internal Audit. Dostupno na: https://www.corporatecomplianceinsights.com/three-lines-model-short-shrift-compliance/

Upravo kroz taj modernizirani okvir postaje jasnije zašto određene funkcije u organizaciji moraju ostati razdvojene. Kada bi se uloga prve linije, koja oblikuje i provodi procese, spojila s ulogom druge linije, koja te iste procese treba neovisno nadzirati, nastao bi izravni sukob interesa, tj. osoba bi istovremeno donosila odluke i nadzirala vlastiti rad. Međutim, kada se razmatra spajanje uloga unutar druge linije, situacija nije tako jednostavna. Funkcije praćenja usklađenosti i upravljanja rizicima dijele stratešku perspektivu i nadzornu ulogu, ali im priroda posla nije ista. Risk Management u velikoj je mjeri koordinatorska[1], dok je Compliance neovisno nadzorna funkcija[2]. Stoga se tek nakon razumijevanja tih razlika i procjene stvarne zrelosti sustava može procijeniti je li spajanje funkcija održivo ili bi narušilo neovisnost i učinkovitost nadzora.

U tom kontekstu potrebno je sagledati odnos između službenika za usklađenost i menadžera za rizike. U velikim sustavima, gdje su regulatorni zahtjevi i složenost procesa visoki, te su dvije uloge namjerno razdvojene. Prema ISO 31000, menadžer za rizike ima koordinatorsku ulogu u organizaciji: pruža metodologiju i alate, podržava operativne jedinice u upravljanju rizicima, promatra rizike i daje prijedloge vlasnicima rizika (mada u bankama i financijskim institucijama mogu i sami upravljati rizicima)[3]. Vlasnici rizika su ti koji identificiraju, upravljaju i prate rizike, provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka[4]. Compliance, s druge strane, neovisno nadzire sustav usklađenosti, prati provedbu propisa, politika i internih kontrola te izvještava Upravu i Nadzorni odbor.

U malim i srednjim pravnim osobama kontekst je nešto drugačiji. Upravljanje rizicima često je manje formalizirano, opseg procesa manji, a organizacijske strukture manje složene.

Kada se razmatra mogućnost spajanja ovih funkcija u jednoj osobi, ključno je procijeniti stvarni rizik sukoba interesa između njihovih uloga i odgovornosti. U malim i srednjim pravnim osobama taj je rizik znatno manji jer menadžer za rizike ne kreira sustav koji Compliance nadzire, već pruža operativnu podršku vlasnicima rizika. Drugim riječima, ako je koordinacija prvenstveno operativna i usmjerena na podršku vlasnicima rizika, koji prema ISO 31000 identificiraju, upravljaju i prate rizike te provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka, kao što je ranije spomenuto, a Compliance zadržava nadzornu ulogu nad rizikom usklađenosti, tada spajanje ovih uloga u jednoj osobi ne predstavlja sukob interesa, uz preduvjet da su odgovornosti jasno razgraničene i formalno definirane u internom aktu.

[1] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[2] PECB (2021.) Edukacija Certified ISO 37301 Compliance Management Systems – Lead Implementer. PECB, Canada

[3] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[4] Ibid.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Certified ISO 31000 Lead Risk Manager

Certified ISO 37001 Anti-bribery Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

U novom Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se odredba koja je kod pojedinih službenika za usklađenost izazvala nedoumicu. U članku 12., točka 10. propisano je da funkcija praćenja usklađenosti sudjeluje u izradi i ažuriranju politika i procedura koje pokrivaju ključne aspekte usklađenosti, uključujući zaštitu osobnih podataka i privatnosti, sigurnost i zaštitu informacija, ESG rizike, financijsko izvještavanje, sprječavanje pranja novca i druga područja od regulatornog značaja.

Na prvu, ovakva formulacija može djelovati kao da se funkcija praćenja usklađenosti proteže na različita specijalizirana područja i da preuzima dio odgovornosti stručnih nositelja, poput DPO-a, CISO-a, ESG stručnjaka ili AML specijalista. Međutim, upravo je suprotno, Prijedlog Pravilnika time ne proširuje ulogu funkcije praćenja usklađenosti na stručna područja, nego potvrđuje njezinu sustavnu ulogu.

Drugim riječima, funkcija praćenja usklađenosti ne preuzima sadržaj, nego nadzire okvir u kojem se sadržaj pravilno primjenjuje.

To možemo pojasniti na primjeru službenika za zaštitu podataka (DPO) koji je odgovoran za informiranje i savjetovanje voditelja i izvršitelja obrade te zaposlenika o njihovim obvezama, nadzor nad usklađenošću organizacije s GDPR-om, podršku u edukaciji zaposlenika, savjetovanje o transparentnosti obrade i sudjelovanje u procesima poput DPIA-e. Također prati aktivnosti obrade, procjenjuje usklađenost i pruža smjernice za postupanje sa zahtjevima ispitanika. DPO nije odgovoran za operativno provođenje politika i postupaka usklađenosti, niti za samo provođenje DPIA-e. Njegova je uloga savjetodavna i nadzorna, a ne izvršna.[1]

Upravo ta priroda uloge ključna je za razumijevanje razlike između DPO-a i funkcije praćenja usklađenosti. Dok DPO djeluje kao stručni nositelj sadržaja u području zaštite osobnih podataka, funkcija praćenja usklađenosti ima sustavnu i horizontalnu ulogu, ona osigurava da su politike svih stručnih područja pravilno uspostavljene, dokumentirane, komunicirane i integrirane u procese upravljanja rizicima usklađenosti. Drugim riječima, Compliance funkcija ne ulazi u stručnu interpretaciju GDPR-a, niti preuzima zadatke DPO-a, nego nadzire okvir u kojem se ti stručni zadaci provode. Time se izbjegava preklapanje i osigurava da DPO zadrži nezavisnu poziciju propisanu regulatornim zahtjevima.

Ako promatramo organizacije iz perspektive Modela tri linije (Institute of Internal Auditors), tradicionalno, a posebno u financijskom sektoru, DPO se često smatra dijelom druge linije. Nedavno godišnje izvješće IAPP-EY o upravljanju privatnošću za 2022. pružilo je opipljive dokaze ove prakse: u bankarskom i osiguravajućem sektoru polovica organizacija smjestila je funkcije zaštite osobnih podataka u drugu liniju, dok ih je 15 % pozicioniralo u prvu liniju, a tek 2 % u treću liniju. Ovakav trend potvrđuje da je DPO prvenstveno funkcija nadzora i savjetovanja, a ne operativnog izvršavanja.[2]

Razumijevanje položaja DPO-a zahtijeva i razumijevanje koncepta sukoba interesa unutar IIA modela (Model tri linije). Kako je DPO zadužen za praćenje usklađenosti s propisima o zaštiti podataka, sukob može nastati ako bi istovremeno imao ovlasti određivanja svrha i sredstava obrade. WP29 je to jasno formulirao: „službenik za zaštitu podataka ne može imati položaj unutar organizacije koji ga vodi do određivanja svrha i sredstava obrade osobnih podataka“. Isto je potvrdio i Sud EU u presudi iz veljače 2023. (C-453/21), navodeći da sukob interesa može nastati kada DPO „određuje ciljeve i metode obrade osobnih podataka“.[3]

Do sukoba interesa moglo bi doći i između DPO-a i funkcije praćenja usklađenosti kada bi Compliance preuzeo ovlasti ili odgovornosti koje su svojstvene DPO-u, primjerice informiranje i savjetovanje o obvezama iz GDPR-a, nadzor nad usklađenošću obrade, davanje smjernica o transparentnosti obrade, sudjelovanje u DPIA procesima ili procjenjivanje usklađenosti aktivnosti obrade. U takvom bi slučaju Compliance djelovao kao operativni ili stručni nositelj GDPR sadržaja, dok bi DPO istovremeno morao nadzirati pravilnost tih odluka čime bi bio stavljen u poziciju da nadzire rad funkcije koja djeluje umjesto njega. Upravo iz tog razloga uloga Compliance-a mora ostati sustavna i horizontalna, bez preuzimanja stručnih zadaća iz domene zaštite podataka.

Spomenuta sudska i regulatorna praksa dodatno naglašava zašto je važno razlikovati vertikalne stručne funkcije poput DPO-a, koje posjeduju specijalističko znanje, od horizontalnih nadzornih funkcija poput Compliance-a, koje osiguravaju jedinstven, strukturiran i neovisan okvir upravljanja usklađenošću. Upravo zato nema preklapanja jer svaka funkcija ima svoj jedinstvenu odgovornost, a zajedno čine komplementaran sustav upravljanja rizicima usklađenosti.

Vertikalne funkcije predstavljaju usko specijalizirane stručne uloge koje dubinski pokrivaju jedno regulirano područje, poput zaštite podataka ili informacijske sigurnosti. Horizontalna funkcija, poput Compliance-a, djeluje kroz cijelu organizaciju, ne ograničava se na jedno specijalizirano područje, nego pokriva sve relevantne procese i osigurava da su pravila, kontrole i postupci usklađeni na razini cijelog sustava, tj. osigurava sustavni okvir usklađenosti neovisno o pojedinim stručnim područjima.

U međunarodnoj praksi jasno se razlikuje stručna i sustavna razina usklađenosti. Stručnu razinu čine funkcije poput zaštite osobnih podataka, informacijske sigurnosti, sprječavanja pranja novca, financijskog izvještavanja, ESG-a ili upravljanja sukobima interesa. One definiraju što je regulatorno ispravno, koje aktivnosti treba poduzeti i kako se specifični propisi tumače i implementiraju. One su nositelji sadržaja.

S druge strane, funkcija praćenja usklađenosti djeluje na sustavnoj razini. Ona osigurava da sve te stručne politike i procedure budu formalno uspostavljene, dokumentirane, integrirane u poslovne procese, pravilno komunicirane zaposlenicima i praćene kroz kontrole. Compliance je odgovoran za arhitekturu usklađenosti, a ne za njezin tehnički dizajn.

Dok funkcija praćenja usklađenosti osigurava horizontalni pregled nad time radi li se prema pravilima, postoje li kontrole i provode li se, ostale spomenute funkcije iako neovisne, predstavljaju vertikalne stručne nositelje.

Ovakav odnos nije slučajan. Međunarodni standardi, poput ISO 37301 Compliance Management Systems definira Compliance kao drugu liniju (obrane), odgovornu za okvir, ne za stručnu interpretaciju pojedinih propisa, a ISO 27701 Information security, cybersecurity and privacy protection traži jasnu neovisnost između DPO-a i operativnih funkcija. ISO 27001 Information Security Management System naglašava da sigurnosne politike mora oblikovati stručna funkcija, a ne nadzorna. OECD Smjernice za državna poduzeća i europski nadzorni standardi inzistiraju na razdvajanju stručnih i nadzornih uloga radi izbjegavanja sukoba interesa i osiguranja transparentnosti.

Zbog toga je „sudjelovanje funkcije praćenja usklađenosti u izradi politika“, kako navodi Prijedlog Pravilnika, nužno razumjeti u širem smislu upravljanja. Sudjelovanje znači osiguravanje sustavne konzistentnosti, formalne uspostave, pravilnog evidentiranja, redovitog ažuriranja i učinkovite provedbe. Ne znači preuzimanje stručnog sadržaja ili tehničkih analiza.

U velikim i složenim organizacijama, a posebice u državnim poduzećima od posebnog interesa za Republiku Hrvatsku, ova razlika postaje presudna. Stručne funkcije, poput DPO-a, CISO-a, AML-a ili ESG-a imaju dubinske i specifične uloge koji zahtijevaju stručno znanje. Funkcija praćenja usklađenosti ima ulogu koja nadilazi pojedina područja i gradi horizontalni nadzorni okvir koji povezuje sve te funkcije.

U takvoj organizacijskoj strukturi sve funkcije zadržavaju svoju neovisnost, ali istovremeno djeluju kao dio jedinstvenog sustava upravljanja rizicima usklađenosti. Compliance brine da organizacija vidi cijelu sliku. Stručne funkcije brinu da njezini sastavni dijelovi rade kako treba.

Za kraj, važno je istaknuti da prema normi ISO 37301 Compliance Management Systems sve aktivnosti navedene u članku 12., točka 10. predstavljaju samo dio šireg skupa obveza usklađenosti koje organizacija mora sustavno identificirati, dokumentirati i njima upravljati. Te obveze potrebno je evidentirati u registru obveza usklađenosti, čije održavanje i nadzor čini jednu od ključnih odgovornosti funkcije praćenja usklađenosti.

[1] PECB (2021.) Edukacija GDPR – Certified Data Protection Officer. PECB, Canada

[2] Sullivan, M. (2023.) The Role of the Data Protection Officer (GDPR) in the Three Lines Model. Dostupno na: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5443574#:~:text=Because%20of%20its%20oversight%20nature%2C%20the%20DPO,a%20manner%20compliant%20with%20data%20protection%20laws.

[3] Ibid.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.

Datum održavanja: 2. prosinca 2025.
Mjesto: EFFECTUS poslovno učilište

Dana 2. prosinca 2025. održano je predavanje na temu „COMPLIANCE: Uloga Nadzornog odbora i Uprave u funkciji praćenja usklađenosti“ u sklopu programa Nadzor i korporativno upravljanje na EFFECTUS University of Applied Sciences. Predavanje je bilo namijenjeno članovima nadzornih odbora, uprava i drugim osobama koje sudjeluju u nadzoru i upravljanju poslovnim subjektima.

Predavanje je održala dr. sc. Silvija Vig, stručnjakinja za usklađenost i korporativno upravljanje. Zahvaljujemo profesoru Đuri Horvatu na pozivu i povjerenju.

Zašto je tema iznimno aktualna?

Stupanjem na snagu Zakona o pravnim osobama u vlasništvu Republike Hrvatske, funkcija praćenja usklađenosti postala je zakonska obveza za pravne osobe od posebnog interesa za RH.
U tom kontekstu, uloga i odgovornosti nadzornih odbora i uprava više nisu samo preporuka dobre prakse, nego ključni elementi modernog i odgovornog korporativnog upravljanja.

Tijekom predavanja obrađene su ključne teme:

• kako uspostaviti učinkovitu, neovisnu i profesionalnu funkciju praćenja usklađenosti
• koje nove obveze i odgovornosti imaju Uprave i Nadzorni odbori prema važećoj regulativi
• što znači integrirati usklađenost u procese odlučivanja
• zašto je Compliance alat za povjerenje, otpornost i održivost, a ne administrativni teret

Posebno nas veseli izuzetno pozitivan odaziv polaznika te njihova iskrena želja za implementacijom učinkovitih sustava usklađenosti u vlastitim organizacijama. To je najbolja potvrda važnosti ove teme i potrebe za kontinuiranim razvojem kompetencija u području korporativnog upravljanja.

O programu

Program Nadzor i korporativno upravljanje usmjeren je na stjecanje produbljenih, praktičnih znanja o pravnim, ekonomskim i sigurnosnim aspektima korporativnog upravljanja.
Polaznici – članovi uprava, nadzornih odbora, ravnatelji te članovi upravnih vijeća – kroz program razvijaju kompetencije ključne za donošenje kvalitetnih odluka, nadzor poslovanja i održavanje stalne usklađenosti s pravnom regulativom u zahtjevnim tržišnim uvjetima.

U novom Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se odredba (Članak 7.) koja bi mogla bitno utjecati na način na koji državna poduzeća i druge pravne osobe oblikuju svoje sustave usklađenosti. Riječ je o mogućnosti djelomičnog izdvajanja (eksternalizacije) pojedinih zadaća funkcije praćenja usklađenosti, uz obvezu da barem jedan zaposlenik ostane imenovan službenikom za usklađenost.

Naizgled, radi se tek o tehničkoj mogućnosti. Međutim, u stvarnosti je to mehanizam koji može podržati profesionalizaciju sustava, omogućiti pristup specijaliziranom znanju i osnažiti funkciju u organizacijama koje se suočavaju s povećanim regulatornim zahtjevima i pritiskom na kvalitetu upravljanja.

No, kao i kod svake fleksibilnosti unutar sustava kontrola, ključ je razumjeti što eksternalizacija jest, a što nije i kako izbjeći da delegiranje preraste u gubitak nadzora.

Eksternalizacija nije zamjena za funkciju nego njezin produžetak

Pravilnik jasno ističe da se eksternalizirati može samo dio zadaća, a ne i funkcija kao takva. To znači da organizacija ne može outsourcingom zamijeniti službenika za usklađenost. Mora postojati najmanje jedna osoba koja je formalno imenovana, odgovorna i smještena unutar same pravne osobe.

Ovaj pristup postoji i na međunarodnoj razini, od europskih nadzornih smjernica do standarda ISO 37301 Compliance Management Systems ili OECD-ovih zahtjeva, koji svi naglašavaju da je odgovornost za usklađenost neotuđiva. Prijenos tereta nije moguć, nego prenijeti se može isključivo provedba aktivnosti, ali ne i nadležnost.

Eksternalizacija može nadopuniti kapacitete, ubrzati implementaciju i omogućiti pristup ekspertizi, ali nikada ne smije zamijeniti unutarnju odgovornost i upravljačku kontrolu.

Što se zapravo može eksternalizirati?

Kada se pogleda sama narav posla funkcije praćenja usklađenosti, vrlo brzo postaje jasno da se određeni elementi logično mogu povjeriti vanjskom pružatelju usluga. Riječ je o zadacima koji zahtijevaju specijalističko znanje, metodološku sofisticiranost ili analitičku neovisnost.

Primjerice, regulatorno praćenje, izradu ili reviziju pravilnika, politika i kodeksa, metodološku i operativnu podršku kod procjena rizika, izradu matrica i registara, pružanje neovisne analize ili davanje „drugog mišljenja“ na postojeće procjene, kontrole, sukob interesa ili druga osjetljiva područja, razvoj edukacija ili neovisne provjere usklađenosti, predstavljaju dijelove funkcije koji se u mnogim organizacijama, osobito onima iz visoko reguliranih sektora već dugo realiziraju u suradnji s vanjskim ekspertima. Uloga eksternaliziranih partnera često uključuje i savjetodavnu podršku službeniku za usklađenost, primjerice, metodološku pomoć ili pripremu analitičkih priloga koji se koriste u njegovim izvješćima prema Upravi ili nadzornim odborima. Takvi zadaci nisu prijenos odgovornosti, nego način da funkcija dobije na širini, dubini i učinkovitosti, osobito u fazama implementacije ili kada je potrebno brzo ojačati kapacitete bez narušavanja interne neovisnosti.

S druge strane, elementi koji su povezani s nadzornom ulogom, izravnim izvještavanjem Upravi, odlučivanjem o prioritetima rizika, donošenjem zaključaka ili procjenom potencijalnih povreda ostaju isključivo u domeni interne funkcije. To je logično, jer u Compliance sustavu uvijek postoji linija odgovornosti koja ne može biti delegirana i koja čini samu srž funkcije i njezine neovisnosti.

Rizici pogrešne eksternalizacije

Pravilnik vrlo jasno navodi da izdvajanje pojedinih procesa ne smije narušiti kvalitetu, neovisnost ni sposobnost upravljanja rizikom usklađenosti. To je presudna odredba i nije samo pravno-tehničko upozorenje već praktično pravilo upravljanja.

Ako se vanjskom pružatelju prepusti prevelik obujam posla, organizacija riskira:

• gubitak uvida u vlastite rizike,
• slabiju kontrolu nad ključnim procesima,
• operativne troškove koji prelaze korist,
• a u najgorem slučaju situaciju u kojoj funkcija postaje formalna, bez suštinske uloge u upravljanju.

Upravo zato Pravilnik uvodi obvezu provođenja dubinske analize prije angažmana vanjskog pružatelja. Nije to samo administrativni korak, nego provjera može li određeni partner biti produžena ruka organizacije bez stvaranja novih rizika.

S obzirom na regulatorni zaokret koji donosi novi Zakon o pravnim osobama u vlasništvu RH te paralelno jačanje OECD zahtjeva, državna i javna poduzeća ulaze u razdoblje redefiniranja svojih governance modela. U takvom okruženju funkcija praćenja usklađenosti postaje strateška, a ne operativna uloga.

Upravo zato mogućnost djelomične eksternalizacije treba promatrati kao priliku, a ne kao oslobađanje obveza. To je način da funkcija dobije ekspertizu koju možda nema, da ubrza razvoj sustava i da održava profesionalne standarde i u trenucima kada unutarnji resursi to ne mogu.

No jednako tako, to je i test zrelosti organizacije jer eksternalizacija uspijeva samo onoliko koliko je uspješan njezin sustav upravljanja. Ako unutarnja funkcija ima jasne odgovornosti, neovisnost i pristup upravi, eksternalizacija postaje alat. Ako nema, prerasta u rizik.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju:

Certified ISO 37301 Compliance Management Systems – Lead Implementer

Edukacije:

Funkcija praćenja usklađenosti/ Compliance officer

Procjena i upravljanje rizicima usklađenosti

Dubinska analiza trećih strana

Praćenje i revizija usklađenosti

Upravljanje rizikom korupcije

Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems

Izrada etičkog kodeksa

Napredne Compliance vještine

Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.