• Increase font size
  • Default font size
  • Decrease font size
  • default style
  • red style
  • green style
  • yellow style
  • orange style
  • grey style
A Compliance helye a szervezet belső védelmi vonalai között és a funkció értékelésének szempontjai
2020 február - 2020 február

 

fobunA Compliance egyfelől a szervezet belső kontroll rendszerének azon része, amely az ún. Compliance kockázatok szervezeti szintű azonosításáért és kezeléséért felel. (Compliance kockázat: annak veszélye, hogy a törvényi vagy felügyeleti szankciók, jelentős pénzügyi veszteség vagy a hírnévvesztés éri a szervezetet amiatt, hogy nem tartott be a tevékenységeire vonatkozó valamely törvényt, előírást, szabályt, kapcsolódó önszabályozó testületi előírást vagy viselkedési normát.)

 

A Compliance ugyanakkor nem csak egy szervezeti egység vagy funkció, hanem egy komplex (számos részterületből álló) rendszer, egyben egy olyan szemléletbeli megközelítés, aminek a gyakorlatban és az egész szervezetben kell érvényesülnie. Ez utóbbihoz szervezeti és funkcionális függetlenség, határozott felsővezetői támogatás és a szervezet egészét tekintve erős kapcsolati hálózat megléte szükséges.

Az alábbi ábra szemlélteti a Compliance funkció helyét a szervezet ún. védelmi vonalai között:

comp1

A második védelmi vonal jól láthatóan kulcsfontosságú a belső kontroll rendszer egésze szempontjából: egyfelől az itt található funkciók alakítják ki a tágan értelmezett kockázatkezelési keretrendszert, másfelől folyamatosan felügyelik annak az első védelmi vonalbéli (azaz az egész maradék szervezet általi) alkalmazását.

Különösen igaz ez a Compliance-re. Ha egy vezető vagy a szervezet bármely dolgozója azt gondolja, hogy mivel létrehozásra került egy Compliance osztály (igazgatóság, terület, stb), neki a továbbiakban már nem kell ezzel foglalkoznia, az nagyon téved. Az egész szervezet akkor fog „compliant” módon működni, ha minden szereplője ismeri és magáévá tette a vonatkozó alapelveket, azokat mindennapi működése során szem előtt tartja és alkalmazza. A legetikusabb Compliance funkció sem teszi a szervezetet etikussá, ha például a felsővezetés nem jár elől ezen a téren jó példával. Ahogy az angolok megfogalmazták: a „Tone at the top”, azaz a vezetés „tónusa”, határozza meg a „Mood in the middle”-t, azaz a középvezetői réteg „hangulatát”, ami pedig továbbszivárogva befolyásolja a „Behaviour at the bottom”-ot, azaz a beosztotti rétegek magatartását.

Ezzel együtt a hatékony Compliance funkció megléte elősegíti a szervezet prudens, megbízható, a jogszabályoknak és belső szabályzatoknak megfelelő működését, a szervezet eszközeinek, az ügyfelek és a tulajdonosok érdekeinek védelmét, a szervezettel szembeni bizalom fenntartását. Gondoljunk akár adatvédelemre (ld. GDPR), akár a csalásmegelőzésre, akár (a jogszabályok által érintetett szervezeteknél) a pénzmosás megelőzésére, ezek mind olyan területek, ahol nem megfelelő gyakorlat esetén fennáll a veszélye, hogy komoly kár éri az adott szervezetet, illetve, hogy a reputációja nagymértékben sérül.

Fontos hangsúlyozni, hogy a „Compliance” mást jelenthet különböző szektorokban, vállalatokban. A hagyományosan Compliance-hoz sorolt részterületek közül nem feltétlenül releváns mind egy adott szervezet vonatkozásában (pl a pénzmosás-megelőzés nem feltétlenül releváns egy termelő cégnél), vagy egy másik szervezeti egység által kerül elvégzésre (pl adatvédelem a jogi területhez tartozik). Ezért a „megfelelőséget” mindig az adott ágazat, szervezet szempontjából kell vizsgálni.

A funkció értékelésének lehetséges szempontjai

Szemben a belső ellenőrzéssel, mely szakmának nemzetközileg egységes standardjai vannak, a Compliance értékeléshez (még) nem áll rendelkezésre egy általánosan elfogadott mérce. Nehéz is ilyet készíteni, mert a Compliance mára egy sokrétű, szerteágazó funkcióvá vált, és a különböző szakterületei különböző értékelési megközelítéseket igényelnek.

Van persze több módszertan, amely alkalmas lehet egy értékelés elvégzésére, de közülük még nem emelkedett vagy kristályosodott ki egy olyan, amelyet minden szakmabéli magáénak vallana. Az alábbiakban a létező módszertanok közös elemeiből emeltünk ki néhányat, ami egy értékelés alapján képezheti. Alapvetően két fő területet kell értékelni: a Compliance működésének feltételeit, szervezeti „beágyazódottságát” valamint a konkrét feladatvégzés mikéntjét.

Ami az elsőt illeti, talán a legfontosabb kiindulópont a szervezet Compliance kultúrájának számbavétele. Ennek számtalan megnyilvánulási formája van, kezdve a vezetői példamutatástól, a Compliance szempontok munkatársi szinten való tudatosításáig. Szintén ide tartozik a Compliance Stratégia értékelése (már ha van ilyen definiálva a szervezetben). További, az előzőhöz szorosan kapcsolódó kérdés a Compliance kockázatok áttekintése (ki, milyen értékelés keretében, mely kockázatokat azonosította, kezelésükre meghatározásra kerültek-e konkrét eljárások, stb).

A konkrét feladatvégzés értékelése kezdődhet a Compliance program értékelésével („akcióterv” szinten milyen feladatokat azonosított önmaga számára a Compliance funkció). Nagyon fontos kérdés, hogy ezen feladatokhoz megfelelő mennyiségű és minőségű erőforrás lett-e rendelve (létszám, képesítés, tapasztalat tekintetében). Mivel a Compliance értékelés sosem állhat meg a szűken vett Compliance terület (felelős, osztály, igazgatóság, stb) elemzésénél, kritikus, hogy milyen a szervezet egészében a kapcsolódó kommunikáció, zajlanak-e és ha igen, hogyan oktatások, azok hatékonya érik-e el a kívánt célt. Végül, de nem utolsó sorban ki kell hangsúlyozni a belső minőségértékelési és –javítási program szükségességét. Mint minden komplex rendszer, ami egy folyamatosan változó rendszeren belül működik és maga is folyamatosan változik, sosem lesz egy olyan időpillanat, amikor azt lehet mondani, hogy „kész, ennél jobban nem lehet ezt csinálni, ezen már nem változtatunk”. Ahhoz, hogy egy már elért színvonalat meg lehessen tartani, vagy onnan még tovább lehessen fejlődni, folyamatosan monitorizálni kell a rendszer működését, rendszeres belső, sőt időszakosan külső értékeléseknek is alávetve azt. Ha a folyamatos fejlesztést úgy tekintjük, mint felfele törekvést egy képzelt csúcs irányába, akkor ezek az időszakos értékelések úgy működnek, mint egy „ék”, ami nem engedi, hogy visszacsússzunk a már elért pozíciónkból.

compl2

Végül még egy fontos megjegyzés: Mielőtt ténylegesen hozzáfognánk a funkció fentiek szerinti értékeléséhez, ne felejtsük el, hogy az értékelés alapkérdése, hogy a konkrét szervezetben pontosan mit is várunk el a Compliance funkciótól. Vegyük számba, hogy mely szakterületekkel foglalkozik a Compliance (például az adatvédelem ide tartozik-e, vagy esetleg egy másik funkció látja el), mi a vezetés kockázati étvágya (milyen elvárásokat tart a jogszabályokon túlmenően irányadónak), egyáltalán egy adott, hagyományosan Compliance-hoz sorolt terület releváns-e az adott szervezet szempontjából. Összegezve: a „megfelelőséget” mindig az adott ágazat, szervezet szempontjából is vizsgálni kell.

Amennyiben a témában többet szeretne megtudni, ajánlom az olvasó figyelmébe a Belső Ellenőrök Magyarországi Közhasznú Szervezete (BEMSZ) Compliance Szekciója által 2019 végén kiadott Compliance Ajánlást, ami szektorsemleges módon gyűjtötte össze az ezen funkcióval kapcsolatos elvárásokat, követni javasolt elveket.

compl3

 

Dr. Gajdos Márton CIA, CISA, CFE
A BEMSZ Elnöke

 

vilagkonf

globconn


KAPCSOLAT

Belső Ellenőrök Magyarországi Közhasznú Szervezete honlapja

BEMSZ titkárság - 1149 Budapest, Angol u. 34. - Telefon: 336-1505 - E-mail: titkarsag@iia.hu - Titkárságvezető: Miskolczi Judit

SzerkesztőségETK Szolgáltató zRt. 
Üzemeltetés:  MAZE Kft.

Facebook oldalhttps://www.facebook.com/BEMSZ

Adatkezelési és adatvédelmi tájékoztató

TAGSÁG

Tudjon meg többet a tagságról!