Compliance: Przywództwo - rola i odpowiedzialność organu nadzoru i najwyższego kierownictwa

Według mnie, w przepisie na sukces jest pięć składników. Pierwszym z nich jest PRZYWÓDZTWO. Czyli zgodnie z zasadą tone from the top (przykład idzie z góry) wdrożenie i utrzymanie skutecznego systemu Compliance (w dalszej części artykułu będzie mowa tylko o systemach Compliance, ale te same zasady obowiązują również w przypadku systemów przyjmowania i reagowania na zgłoszenia Sygnalistów, systemów antykorupcyjnych lub  systemów Zarządzania Bezpieczeństwem Danych Osobowych) to odpowiedzialność najwyższego kierownictwa i organu nadzoru. To najwyższe kierownictwo i organ nadzoru mają największy wpływ na Kulturę organizacji, dlatego muszą oni dawać przykład stosując się do i aktywnie wspierając system Compliance. Powołanie oficera Compliance (lub IOD`a w przypadku ochrony danych osobowych) nie zwalnia najwyższego kierownictwa i organu nadzorczego z ich obowiązków w zakresie Compliance.

Najwyższe kierownictwo wraz z organem nadzoru powinno m.in.:

1. przydzielić odpowiednie zasoby w celu ustanowienia, opracowania, wdrożenia, oceny, utrzymania i doskonalenia Systemy Compliance,
2. ustanowić odpowiednie polityki i procedury,
3. zapewnić aby zaangażowanie na rzecz Compliance było utrzymywane w organizacji, a noncompliance i niezgodne zachowania spotykały się niezwłoczną i odpowiednią reakcją,
4. włączyć odpowiednio obowiązki Compliance do zakresu odpowiedzialności wszystkich pracowników,
5. wyznaczyć odpowiednią osobę na stanowisko oficera Compliance z:

1. upoważnieniem i odpowiedzialnością za spójność i integralność Systemu Compliance
2. mocnym i niewątpliwym wsparciem oraz bezpośrednim dostępem do organu nadzoru i najwyższego kierownictwa,
3. dostępem do:

• wszystkich decydentów i możliwością uczestnictwa w procesach decyzyjnych od wczesnych etapów,
• całej organizacji i wszystkich pracowników,
• wszystkich dokumentów, informacji i danych niezbędnych do realizacji zadań,
• porad ekspertów, 

4. udziałem w istotnych procesach decyzyjnych z możliwością pokazania wszystkich ich konsekwencji dla Compliance

6. zapewnić by funkcja Compliance była niezależna i nie była zagrożona możliwością powstania konfliktu interesów,
7. dawać przykład stosując się i aktywnie wspierając oficera Compliance i system Compliance
8. zapewnić właściwą komunikację w organizacji i na zewnątrz.

Jeżeli nie uda się wdrożyć systemu Compliance  w organizacji lub zostanie on wdrożony wadliwie to jest to ZAWSZE odpowiedzialność najwyższego kierownictwa i organu nadzoru. Nie ważne czy wynikało to z ich działania lub zaniechania, wybory nieodpowiedniej osoby na stanowisko oficera Compliance (lub IOD`a), nie zapewnienia właściwych zasobów, błędów w komunikacji itd. Niezależnie od powodów to jest ZAWSZE odpowiedzialność najwyższego kierownictwa i organu nadzoru.

Brak sukcesu we wdrożeniu lub utrzymaniu Systemu Compliance oznacza, że najwyższe kierownictwo i organ nadzoru nie wykonały lub nienależycie wykonały jeden lub kilka ze swoich obowiązków.

Należy zauważyć, że najwyższemu kierownictwu i organowi nadzoru grozi w razie niedopełnienia obowiązków odpowiedzialność:

1. karna (np. na podstawie art. 296 k.k.),
2. cywilna,
3. dyscyplinarna.

Na zakończenie przypomnę tylko, że:

1. Systemy Zarządzania Bezpieczeństwem Danych Osobowych zgodne z RODO powinny funkcjonować od ponad 18 miesięcy,
2. na wdrożenie systemów przyjmowania i reagowania na zgłoszenia Sygnalistów jest niecałe dwa lata,
3. pomimo braku expressis verbis obowiązku ustawowego wdrażania Systemów antykorupcyjnych lub szerzej Systemów Compliance, to brak ich wdrożenia może być uznany za niedopełnienie obowiązków ciążących na najwyższym kierownictwie i organie nadzoru.