Korporátní compliance opatření (2.část)

12.9.2013

V první části článku jsem přiblížil východiska pro nastavení compliance programu ve ŠKODA AUTO a.s., kterými jsou zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a zahraniční zkušenosti s vyšetřováním trestných činů korporací. V této části mého článku bych rozvedl dvě compliance opatření, a to analýzu rizik a školení zaměstnanců.

 

Analýza rizik rozdělí rizika podle jejich závažnosti na několik kategorií. Rozdělení rizik probíhá pomocí jejich hodnocení. Rizika mají být hodnocena podle toho, jak závažnou hrozbu představují pro dosažení podnikatelského cíle společnosti. Hodnocení se obvykle provádí jako součin pravděpodobnosti výskytu rizika a míry škody, kterou může způsobit. Do hodnocení se promítají i další vlivy na dosažení cílů, např. škoda v podobě poškození dobrého jména.

Na identifikaci a zhodnocení rizik musí navázat zavedení účinného protiopatření, které bude riziko snižovat. Toto protiopatření je výsledkem zvážení zejména ekonomických, technických, sociálních a politických faktorů. O přijetí protiopatření rozhoduje vedoucí zaměstnanec oddělení, které je vlastníkem rizika. Tento odborník má mít přehled o cílech společnosti a z nich odvozených cílech svého oddělení. Zároveň rizika operativně řídí. Není účelné a v praxi ani možné, aby osoba odpovědná za compliance řídila rizika ve společnosti.

 

Vedoucí zaměstnanec je odpovědný i za to, že zavedená protiopatření fungují a jsou účinná. Proto provádí nejen kontroly dodržování postupů, ale i kontroly provádění protiopatření. Měl by také o rizicích svého oddělení, protiopatřeních a slabinách v řízení rizik pravidelně informovat vedení společnosti, aby ta měla jasnou představu o celkovém stavu rizik ve společnosti. O předání informací o stavu rizik by měl existovat záznam.
Řízení rizik pak uzavírá postup, kterým nezávislá osoba kontroluje, zda jsou protiopatření rizik správně nastavena a fungují a zda vedoucí zaměstnanec jejich dodržování a funkčnost kontroluje. Tuto činnost může vykonávat i externí auditor.

 

Druhým velmi významným compliance opatřením je provádění školení zaměstnanců. V okamžiku, kdy pravidla a postupy ve společnosti jsou popsány, je třeba s nimi zaměstnance seznámit. Seznámení probíhá např. formou školení, na intranetu, sdělením vedoucího, pomocí e-learningu apod. Zaměstnanec má povinnost se školení zúčastnit a zaměstnavatel je oprávněn uložit zaměstnanci účast na školení. Z pohledu legislativy jde o prohlubování kvalifikace podle § 230 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „zákoník práce“). Účast na školení se považuje za výkon práce, za který přísluší zaměstnanci mzda. Náklady vynaložené na prohlubování kvalifikace je povinen hradit zaměstnavatel.  Informace o pravidlech fungování společnosti předává obvykle personalista nebo vedoucí odborného oddělení, do kterého je zaměstnanec organizačně začleněn. O novinkách či zrušení pravidel informuje stávající zaměstnance obvykle vedoucí odborného oddělení. Ten by měl být schopen prokazatelnou formou doložit, že jeho podřízení se s novými pravidly seznámili do 15 dní od jejich vyhlášení. Pravidla je vhodné popsat do vnitřních předpisů.  V případě předávání informací pomocí školení nebo e-learningu je vhodné nechat si od zaměstnance účast potvrdit. U nejrizikovějších činností společnosti je dobré znalosti zaměstnanců i testovat, stanovit hranice úspěšnosti a výsledky testování archivovat.
Dlouhodobě nejlépe hodnoceným způsobem předávání informací jsou školení, na kterých existuje možnost interaktivně reagovat na dotazy zaměstnanců. Zaměstnanci tak mají možnost položit dotaz a získat tím zpětnou vazbu okamžitě. I z toho důvodu se doporučuje, aby školení vedl odborník na probírané téma. Zvláště v mezinárodní společnosti je pak důležité provádět školení v mateřském jazyce zaměstnanců. Obsahem takových školení by kromě teorie týkající se práv a povinností zaměstnance, které vyplývají jak z právních předpisů, tak z vnitřních předpisů, měly být i anonymizované ukázky porušení vnitřních předpisů společnosti a ukázka nejčastějších situací, které mohou vést k porušení pravidel.
Mezi indikátory situací, které často mohou vést k porušení pravidel, tzv. „red flags“, patří zejména spolupráce s úplně nově založenými společnostmi, společnostmi, které místo skutečného sídla uvádějí P.O.Box, spolupráce s obchodními partnery, kteří postrádají zkušenosti nebo zdroje k vlastnímu provozu, spolupráce s veřejnou sférou, politickými stranami a jejich členy nebo zástupci mezinárodních organizací. Rizikovým je ale i požadavek na provedení platby v hotovosti namísto bankovního převodu, požadavek na zaslání platby do zahraničí, např. do daňových rájů, zpětně vystavované faktury, neopodstatněně vysoké nebo podezřelé platby či zálohy, požadavek na změnu způsobu nebo frekvence plateb za služby. Z vnitřního prostředí společnosti patří mezi rizikové stavy zejména nedostatečné rozdělení pravomocí v procesu, chybné nastavení pravomocí, kdy ten, který tvoří pravidla, je zároveň kontroluje, nezvykle časté cesty zaměstnanců do zahraničí či zpracování cestovního příkazu až po provedení pracovní cesty popř. vůbec. Podobně rizikové jsou i velké nákupy poradenských či překladatelských služeb, ale i blízké vztahy ve společnosti, kdy nefungují byť existující kontroly. Za zvážení stojí i nastavení modelu rotace na kritických pozicích.
Školitel by tedy měl naučit zaměstnance rozpoznat a řešit výše uvedené situace. Školitel by měl umožnit i individuální poradu ihned po školení a měl by upozornit na to, že nejjednodušším řešením situace je poradit se, protože prevence je vždy levnější, než řešení důsledku špatného rozhodnutí.  Z vlastní zkušenosti školitele mohu potvrdit, že převážná většina zaměstnanců je schopna rozpoznat rizikovou situaci, ale nejsou si jisti, jak ji řešit. Navíc mají někdy obavu o dopad na svoji osobu. Možnost obrátit se anonymně pro radu na někoho z vnitřního prostředí společnosti je proto velmi důležitá. Takovou osobou by na prvním místě měl být vedoucí zaměstnanec, dále pak osoba zodpovědná za compliance, interní auditor, nebo zástupce personálního oddělení.

 

Dobře fungující compliance program je důkazem pro případný spor, ať už je trestněprávní nebo administrativněprávní a s ohledem na absenci výkladových pravidel či rozhodnutí soudů se všechna zavedená compliance opatření „počítají“.
Bylo by ovšem chybou, kdyby se compliance opatření a jejich výkaznictví stala pouhým důkazem pro případné vyšetřování. V souvislosti s prověřováním souladu existujících opatření s TOPO, se zaváděním nových opatření a jejich prováděním vzniká možnost, jak obchodní společnosti samy zdola mohou přispět ke zlepšování prostředí v české společnosti a k dodržování práva a etiky. Tato možnost by neměla být promarněna a náklady na přijetí opatření by měly být použity účelně a celospolečensky odpovědně.

 

autor:  Mgr. Ota Klekner (GO – Governance, Risk&Compliance),  společnost ŠKODA AUTO a.s.