Zacznijmy od tego, że wg. definicji Bartosza Makowicza („Compliance w przedsiębiorstwie”, Wolters Kluwer Polska, 2011r.), „compliance jest to taki sposób organizacji przedsiębiorstwa, który redukuje do minimum ryzyko wystąpienia wszelkich nieprawidłowości”. Jest to jednak definicja mocno uproszczona i niepełna. Ale o tym niżej.
A zarządzanie ciągłością działania, czyli BCM (Business Continuity Management)?
Wg. prof. Adama Stabryły „jest to ciągłość biznesowa definiowana jako strategiczna i taktyczna zdolność organizacji do przewidywania i reagowania na zdarzenia (sytuacje, które mogą prowadzić do zakłóceń działalności) i zakłócenia (przewidywane lub nie zdarzenia powodujące ujemne odchylenia od zidentyfikowanych celów działalności) w prowadzonej działalności, w celu kontynuacji
działalności biznesowej na akceptowalnym, zdefiniowanym poziomie”. Jak widać z zacytowanych definicji, compliance to bardzo ważna część BCM, ale nadal tylko część.
Chciałbym tu krótko odnieść się do tego, kto w firmie/organizacji zajmuje się lub raczej powinien zajmować się tymi zagadnieniami. Część czytelników odpowie (niezgodnie z prawdą), że są to tzw. compliance oficerowie. Ale gdy spytamy kim oni są w praktyce otrzymamy różne odpowiedzi. Prawnik, audytor, partner biznesowy, inspektor nadzoru, szkoleniowiec, śledczy czy tzw. „bezpiecznik”. Takie odpowiedzi padną najczęściej. I tak najczęściej jest w praktyce. Problem w tym, że biorąc pod uwagę ogrom zagadnień jakimi powinien się zajmować każdy z wymienionych, ciężko pełnić tą rolę godząc wszystkie te zadania.
Od kilku lat obserwuję taką tendencję, że wielu prawników zajmujących się w przedsiębiorstwach m.in. przygotowaniem procedur prawnych przyjmuje rolę i często sami nazywają się właśnie compliance oficerami. Ta praktyka jest moim zdaniem zrozumiała, gdyż compliance to całokształt działań zmierzających do zapewnienia zgodności prowadzonej przez przedsiębiorstwo działalności z prawem krajowym i międzynarodowymi, regulacjami branżowymi, a także politykami i standardami
wewnętrznymi dotyczącymi przyjętych i akceptowalnych zasad postępowania, a kto to lepiej zrobi niż prawnik. Czy to, że podmiot będzie miał wszystkie procedury zgodne z prawem jest jednak wystarczającym aby stwierdzić, że dzięki temu jest zabezpieczony przed wystąpieniem zdarzeń zakłócających jego działanie? Oczywiście nie. Nadal może nastąpić takie zdarzenie jak:
- zagrożenia naturalne – klęski żywiołowe takie jak powodzie, trzęsienia ziemi,
huragany, epidemie itp.; - niepożądane działanie ludzkie takie jak ataki terrorystyczne, cyberataki, strajki,
sabotaż, szpiegostwo przemysłowe czy zwykłe kradzieże.
Czy zatem compliance oficer to z punktu osoba odpowiedzialna w przedsiębiorstwie za sprawy związane z zapewnieniem ciągłości działania? Zdecydowanie nie.
Wiedza i umiejętności takiej osoby muszą znacznie wykraczać poza znajomość prawa i umiejętność tego prawa interpretacji i stosowania. Wydawałoby się, że wszystko to co piszę jest oczywiste jednak praktyka, z którą mam do czynienia w wielu przedsiębiorstwach z którymi współpracuję zdecydowanie
temu przeczy.
Jak słusznie zauważa m.in. dr Grzegorz Abgarowicz, aby w przedsiębiorstwie skutecznie wdrożyć System Zarządzania Ciągłością Działania należy prowadzić skuteczną „politykę celów i zarządzania ciągłością działania, wdrożyć mechanizmy i środki zarządzania całościową zdolnością organizacji, zapewnić system monitoringu i oceny efektywności prowadzonych działań, zagwarantować system ciągłego doskonalenia w oparciu o uzyskane wyniki zebrane w trakcie procesu monitorowania
systemu”.
Widać więc, że osoba zajmująca się w przedsiębiorstwie BCM musi nie tylko wiedzieć jaką wiedzę potrzebuje do stworzenia systemu, ale też wiedzieć jak potrzebne informacje pozyskać. Ważne jest także posiadanie kompetencji, pozwalających w odpowiedni sposób reagować, zarówno na pozyskiwane informacje o możliwych zagrożeniach jak i na same sytuacje kryzysowe, które nie zawsze da się przewidzieć. To znacznie więcej niż to co wchodzi w zakres compliance, czy tego co należy do
obowiązków osób odpowiedzialnych za ochronę czy bezpieczeństwo w przedsiębiorstwie. To zadanie dla managera. Managera Bezpieczeństwa Biznesu (MBB), który powinien być wspierany w tym zadaniu zarówno przez oficera compliance jak i specjalistów w sprawach bezpieczeństwa np. detektywów, analityków, szefa ochrony itp.
Ponieważ to MBB jest odpowiedzialny za stworzenie planu zarządzania w sytuacjach kryzysowych musi on przede wszystkim łączyć cechy dobrego managera i analityka. Musi też znać realia ekonomiczne branży w której działa, ale też zagrożenia makroekonomiczne, które mogą mieć wpływ na funkcjonowanie rynku. Musi mieć też dostęp, do uzyskiwanych zgodnie z prawem, informacji nie tylko o tym co dzieje się w samym przedsiębiorstwie ale także u partnerów biznesowych czy konkurencji.
Z doświadczeń wiem, że funkcjonują tu trzy szkoły:
- „Dla bogatych” – duże i bogate, międzynarodowe korporacje najczęściej budują oddzielne działy odpowiedzialne za bezpieczeństwo fizyczne i prawne oraz zarządzanie kryzysowe. Firmy takie mogą sobie pozwolić na zatrudnianie odpowiedniej ilości fachowców, którzy tworzą odpowiedni jakościowo zespół.
- „Dla dobrego samopoczucia” – sprawy te powierza się jednej osobie w firmie. Wtedy niezależnie od tego czy to jest oficer compliance, prawnik obsługujący przedsiębiorstwo, oficer ds. bezpieczeństwa czy ktokolwiek inny należy założyć, że osoba taka sama nie jest w stanie dobrze spełnić wszystkich wymagań z tej prostej przyczyny, że wynikają one z bardzo różnorodnych umiejętności.
- „Optymalna” – rozwiązanie łączące dwie wyżej wymienione szkoły, a więc skuteczność pierwszej oraz minimalizację kosztów drugiej. Polega ono na zatrudnieniu bądź wyszkoleniu osoby, która posiada odpowiednie umiejętności managerskie ale potrafi też korzystać z wiedzy i umiejętności podmiotów zewnętrznych.
Wszyscy przedsiębiorcy, którzy myślą o bezpiecznym funkcjonowaniu swoich podmiotów powinni pomyśleć o tym aby albo samemu zadbać o uzyskanie odpowiednich kompetencji albo postawić na szkolenie osób odpowiedzialnych za zarządzanie ciągłością działania i bezpieczne, także w czasie wystąpienia sytuacji kryzysowej, funkcjonowanie przedsiębiorstwa. Postawienie na wersję „optymalną” jest rozwiązaniem dla każdego. Przedsiębiorca znający kompetencje potrzebne do tego aby ustrzec swoją firmę przed zagrożeniami oraz wiedzący co należy zrobić gdy takie zdarzenie nastąpi będzie miał znacznie większe szansę przeprowadzić swoje przedsiębiorstwo przez coraz większą w
obecnych czasach ilość zagrożeń mogących doprowadzić często do katastrofy prowadzonego biznesu.