Može li Službenik za usklađenost obavljati poslove i risk managementa – dijeljenje funkcije?

Nakon održanog webinara “Novi Zakon o pravnim osobama u vlasništvu RH u svjetlu OECD Smjernica: gdje su standardi “ugrađeni” u rješenja Zakona” zaprimili smo još jedno važno pitanje koje zaslužuje detaljnije pojašnjenje: može li ista osoba istovremeno obavljati poslove Službenika za usklađenost i poslove risk managera?

Pitanje je opravdano, jer Prijedlog Pravilnika o funkciji praćenja usklađenosti izričito zahtijeva da velike pravne osobe uspostave zasebnu i neovisnu funkciju praćenja usklađenosti, pa u njihovom slučaju odgovor je jasan. Istodobno, isti članak (Članak 5.) omogućuje pravnim osobama koje se ne smatraju velikim pravim osobama veću fleksibilnost. Primjenjujući načelo proporcionalnosti, male i srednje pravne osobe mogu povjeriti poslove praćenja usklađenosti osobi ili organizacijskoj jedinici koja obavlja i druge poslove uz uvjet da nisu u sukobu interesa između odgovornosti koja se odnosi na obavljanje funkcije praćenja usklađenosti poslovanja i drugih odgovornosti.

Ovaj tekst ne daje jedinstven odgovor, već predstavlja analitički pregled temeljen na modelu Tri linije, standardu ISO 37301 Compliance Management Systems i ISO 31000 Risk Management. Cilj mu je ponuditi smjernice koje pravnim osobama mogu pomoći u razmišljanju o tome kako proporcionalno i učinkovito ustrojiti funkciju praćenja usklađenosti unutar svojih sustava.

Dugi niz godina model Tri linije obrane služio je kao temelj za strukturiranje rizika i kontrolnih mehanizama. Jasno je razdvajao poslovne jedinice kao prvu liniju, nadzorne funkcije poput Compliance-a i upravljanja rizicima kao drugu liniju te internu reviziju kao treću, neovisnu liniju. Iako je taj model postavio nužne okvire odgovornosti, u praksi je često stvarao organizacijske silose. Zato je Institute of Internal Auditors 2020. modernizirao ovaj okvir u model Tri linije, koji zadržava razdvajanje uloga, ali snažnije naglašava suradnju, koordinaciju i stvaranje vrijednosti kao zajednički cilj svih linija.

Slika 1. Razlika između modela Tri linije obrane (2013.) i Tri linije (2020.)

Izvor: Di Schino, N. (2020) Does the New Three Lines Model Give Short Shrift to Compliance? Corporate Compliance Insights. In Compliance, Featured, Internal Audit. Dostupno na: https://www.corporatecomplianceinsights.com/three-lines-model-short-shrift-compliance/

Upravo kroz taj modernizirani okvir postaje jasnije zašto određene funkcije u organizaciji moraju ostati razdvojene. Kada bi se uloga prve linije, koja oblikuje i provodi procese, spojila s ulogom druge linije, koja te iste procese treba neovisno nadzirati, nastao bi izravni sukob interesa, tj. osoba bi istovremeno donosila odluke i nadzirala vlastiti rad. Međutim, kada se razmatra spajanje uloga unutar druge linije, situacija nije tako jednostavna. Funkcije praćenja usklađenosti i upravljanja rizicima dijele stratešku perspektivu i nadzornu ulogu, ali im priroda posla nije ista. Risk Management u velikoj je mjeri koordinatorska[1], dok je Compliance neovisno nadzorna funkcija[2]. Stoga se tek nakon razumijevanja tih razlika i procjene stvarne zrelosti sustava može procijeniti je li spajanje funkcija održivo ili bi narušilo neovisnost i učinkovitost nadzora.

U tom kontekstu potrebno je sagledati odnos između službenika za usklađenost i menadžera za rizike. U velikim sustavima, gdje su regulatorni zahtjevi i složenost procesa visoki, te su dvije uloge namjerno razdvojene. Prema ISO 31000, menadžer za rizike ima koordinatorsku ulogu u organizaciji: pruža metodologiju i alate, podržava operativne jedinice u upravljanju rizicima, promatra rizike i daje prijedloge vlasnicima rizika (mada u bankama i financijskim institucijama mogu i sami upravljati rizicima)[3]. Vlasnici rizika su ti koji identificiraju, upravljaju i prate rizike, provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka [4]. Compliance, s druge strane, neovisno nadzire sustav usklađenosti, prati provedbu propisa, politika i internih kontrola te izvještava Upravu i Nadzorni odbor.

U malim i srednjim pravnim osobama kontekst je nešto drugačiji. Upravljanje rizicima često je manje formalizirano, opseg procesa manji, a organizacijske strukture manje složene.

Kada se razmatra mogućnost spajanja ovih funkcija u jednoj osobi, ključno je procijeniti stvarni rizik sukoba interesa između njihovih uloga i odgovornosti. U malim i srednjim pravnim osobama taj je rizik znatno manji jer menadžer za rizike ne kreira sustav koji Compliance nadzire, već pruža operativnu podršku vlasnicima rizika. Drugim riječima, ako je koordinacija prvenstveno operativna i usmjerena na podršku vlasnicima rizika, koji prema ISO 31000 identificiraju, upravljaju i prate rizike te provode mjere ublažavanja i određuju načine rješavanja temeljnih uzroka, kao što je ranije spomenuto, a Compliance zadržava nadzornu ulogu nad rizikom usklađenosti, tada spajanje ovih uloga u jednoj osobi ne predstavlja sukob interesa, uz preduvjet da su odgovornosti jasno razgraničene i formalno definirane u internom aktu.

[1] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[2] PECB (2021.) Edukacija Certified ISO 37301 Compliance Management Systems – Lead Implementer. PECB, Canada

[3] PECB (2021.) Edukacija Certified ISO 31000 Lead Risk Manager. PECB, Canada

[4] Ibid.

CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.

Vezano za Funkciju praćenja usklađenosti u ponudi imamo:

Usluge:

Implementacija i dizajn Compliance programa – programa usklađenosti

Provedba GAP analize i evaluacija Compliance programa

Eksternalizirana funkcija usklađenosti

Izrada etičkog kodeksa

Certifikaciju: