Funkcja compliance to element efektywnego systemu kontroli wewnętrznej, który zapewnia kontrolę zgodności z prawem, umowami i aktami wewnętrznymi.
Funkcja compliance zapewnia kontrolę zgodności z prawem, umowami i normami wewnętrznymi.
Wykorzystują one wytyczne zgodne z wymogami prawnymi, kontrolą wewnętrzną - strukturą ramową (COSO), specyfikacjami dla branży, jak również zawierają praktyki, które inne firmy uznały za skuteczne na podstawie swoich długoletnich programów compliance.
Podczas realizacji prac u klientów, wykorzystujemy tę strukturę oraz poniższe kryteria, aby wypracować uszytą na miarę naszego klienta funkcję compliance.
Proces zarządzania ryzykiem braku zgodności. Podejscie KPMG.
Pierwszym elementem zarządzania ryzykiem braku zgodności jest identyfikacja ryzyka. Identyfikacja ryzyka pozwala na wstępne zlokalizowanie obszarów ryzyka, które następnie zostaną poddane analizie/ocenie/szacowaniu. Kluczowy dla identyfikacji ryzyka jest dostęp do istotnych źródeł informacji, w tym przede wszystkim takich, jak:
Drugim elementem zarządzania ryzykiem braku zgodności jest ocena ryzyka (szacowanie ryzyka). Do katalogu przykładowych metod i technik należą:
Kontrola ryzyka, czyli stosowanie środków/mechanizmów kontrolnych ograniczających ryzyko, to trzeci etap zarządzania ryzykiem braku zgodności, który wydaje się kluczowym elementem całego procesu. Identyfikacja i ocena ryzyka ma charakter głównie informacyjny. Dopiero poprzez środki/mechanizmy kontrolne spółka podejmuje wysiłek, aby zidentyfikowane i oszacowane ryzyko zmniejszyć. Katalog metod i rodzajów środków/mechanizmów kontrolnych wzięty jest wprost z tradycyjnych rozwiązań systemu kontroli wewnętrznej i uwzględnia:
Monitorowanie ryzyka braku zgodności to kolejny etap zarządzania ryzykiem braku zgodności i ma on dwojaki charakter.
Po pierwsze - monitorowanie, jak zmienił się ustalony na podstawie identyfikacji i oceny poziom ryzyka na skutek zastosowanych środków kontrolnych/ograniczających ryzyko braku zgodności. Po drugie, monitorowanie należy rozumieć, jako czynności kontrolne w stosunku do wcześniejszych etapów procesu zarządzania ryzykiem, a więc identyfikowania, oceny i stosowania środków kontrolnych. Bez informacji o skuteczności i efektywności poprzedzających etapów procesu zarządzania ryzykiem, ani zarząd, ani rada nadzorcza nie są w stanie ocenić skuteczności i efektywności funkcji compliance. Przykładowe metody monitorowania:
Raportowanie jest ostatnim elementem zarządzania ryzykiem braku zgodności. W ramach raportowania należy wyróżnić raporty okresowe (kwartalne, roczne) i bieżące, których szczególnym rodzajem są raporty ad hoc dotyczące wewnętrznych postępowań wyjaśniających. Raporty kwartalne i roczne, powinny być kierowane jednocześnie do rady nadzorczej (komitetu audytu) i zarządu. Powinny one również stanowić element raportowania całościowej funkcji zapewniania zgodności, wedle rozwiązania przyjętego przez spółkę.