Izvorni termin compliance  nastao je u anglosaksonskom pravu u financijskom sektoru i sektoru osiguranja, proširio se na Njemačku, ali se ubrzo počeo upotrebljavati i u poslovnom žargonu u mnogim zemljama. Tijekom vremena termin se dalje širio i  danas je prihvaćen u nizu drugih poslovnih područja.

Ne postoji jedinstvena definicija ovog termina. Prijevod na hrvatski jezik nije jednostavan na način da zadovolji različite poglede u praksi. Glagol comply najčešće se prevodi kao poštivati. Pojmovno imenica compliance predstavlja ispunjenje obveza neke organizacije za poštivanje određenih pravila. U hrvatskom jeziku ovaj termin neki prevode kao  usklađenost, a neki kao sukladnost. Višeznačnost ovog pojma može se vidjeti u mnogim rječnicima[1].  Suprotan smisao od termina compliance je non-compliance. Rječnik sličnih riječi i sinonima https://www.kontekst.io/hrvatski/rjecnik navodi da su usklađenost i sukladnost sinonimi u 91 % slučajeva.

U našoj pravnoj praksi gotovo podjednako koriste se oba ova termina. Koji od njih koristiti, vrlo je logično pitanje? Odgovor može ići slijedećim tragom – u uvjetno rečeno „krovnim“ propisima o compliance-u, pretežito se koristi termin usklađenost. Tako npr.  Odluka Vlade RH o obvezi uvođenja funkcije praćenja usklađenosti u pravnim osobama u većinskom državnom vlasništvu (NN 99/19), koristi upravo taj termin. Isto je i u  Zakonu o unutarnjim kontrolama u javnom sektoru (NN102/19), koji termin usklađenost koristi u člancima 4, 5 i 22. Kaskadno je ovaj termin prenesen i u Pravilnik o sustavu unutarnjih kontrola u javnom sektoru (NN 56/16), kao i u prateće priručnike.

Također, i neke djelatnosti po pitanju primjene izraza compliance koriste termin usklađenost. Tako npr., u bankarstvu prijevod EBA (European Banking Autority), u dokumentu EBA/GL/2017/11 od 21.3.2018.g., u poglavljima 16 i 19, navodi obvezu da postoji i interna kontrolna funkcija, čiji je dio i compliance, a u poglavlju 21 navode se njeni poslove. Odluka o sustavu upravljanju u bankama (NN 145/2021), kojom se preuzimaju ove obveze, u glavi III, Čl. 20, koristi termin usklađenost, a u Čl. 26. navode se poslovi funkcije praćenja usklađenosti. Slična usporedba mogla bi se navesti i za neke druge slučajeve –  npr., vidjeti Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta / Zakon o provedbi kibernetičke sigurnosne certifikacije (NN 63/22[2]), Zakon o matičnom broju, Zakon o osnutku Hrvatske kontrole zračne plovidbe (NN 19/98) itd., u kojima se koristi termin usklađenost.

Pretraživanjem pravnog portala kojeg vodi tvrtka Lexpera (www.iusinfo.hr)  termin usklađenost koristi se u 11.607 dokumenta[3] i to u 1.397 zakonskih, 1.575 pod zakonskih propisa,   1.447 dokumenata sudske prakse, u 51 stručnom članku i ostalo u drugim dokumentima (međunarodni ugovori, lokalni propisi).

Međutim, navedeno ne isključuje da se u nekom drugom kontekstu koristi i termin sukladnost. Korištenjem istog izvora može se ustanoviti da postoji 9.191 dokument u kojima se koristi ovaj termin, i to u 1.397 zakona, 387 pod zakonskih akata i 24 stručna članka.  Neki od zakonskih propisa u kojima se koristi termin sukladnost  su: Zakon o komunalnom gospodarstvu (NN 32-708/2020), Zakon o državnom inspektoratu (NN 117-2006/2021), Zakon o poljoprivrednom zemljištu (NN 20-402/2018) građevinskim proizvodima, Zakon o sigurnosti i interoperabilnosti željezničkih sustava, Zakon o normizaciji itd. Donekle, ali vrlo uvjetno,  se može tvrditi da se taj  termin  ipak prvenstveno koristi u smislu tehničkih sukladnosti proizvoda i procesa, bez obzira što se u nekim od relevantnih dokumenata  u istom tekstu pojavljuju oba izraza i navodi  da  ocjenjivanje sukladnosti znači provjeravanje jesu li proizvodi, usluge, materijali, procesi, sustavi i osoblje u skladu sa zahtjevima normi, propisa ili drugih specifikacija (ISO i ocjenjivanje sukladnosti, Hrvatski zavod za norme). Međutim, ova tvrdnja nije čvrsta.

Zbog toga je naša preporuka da se s terminološkog stajališta u praksi koriste oba ova termina, pazeći pri tome na kontekst. Ukoliko je u nekoj situaciji težište na provedbi propisa u kojima se koristi termin usklađenost i u uspostavi compliance management sustava, treba koristiti ovaj termin. No, to ne isključuje i primjenu termina sukladnost, ako neki propis ili (HR) standard koristi taj izraz. Međutim, najvažnija poruka je da termin compliance nadilazi ovaj uski lingvistički fokus. Compliance je postao obvezni dio poslovne filozofije te strateškog, ali i operativnog upravljanja poslovnim sustavom.  A za cijelo područje koje o tome skrbi, preporučili bi ipak koristiti termin Sustav upravljanja usklađenostima i nema dvojbe da je ono interdisciplinarnog karaktera.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

[1] Pogledati  Webster Merriam rječnik. Za više detalja pogledati i www.enciklopedija.hr i www.glosbe.com.  Prema   englesko – hrvatskom rječnika (www.englesko.hrvatski.com), comliance  je zadovoljenje nekih pravila ili standarda. Oko ove dileme, kako na hrvatski jezik prevesti riječ compliance, može se koristiti i ISO  baza podataka terminologije https://www.iso.org/obp ili IEC Electropedia http://www.electropedia.org. Norma ISO 37301 navodi 31 osnovni termin koji se primjenjuju u CM-u  te kaže da je compliance termin koji označava potrebu postupanja u skladu s nekim pravilima, izvorima ili obvezama.

Hrvatski jezični portal  (https://hjp.znanje.hr/index.php?show=search) definira da je usklađenost stanje onoga što je usklađeno; usuglašeno, a sukladnost  ono što je u skladu s onim čime se slaže. Školski rječnik hrvatskog jezika (https://rjecnik.hr/) ne navodi termin usklađenost, a sukladnost je svojstvo onoga što je sukladno. Sinonimi su kompatibilnost, spojivost, a ant. nespojivost, nesukladnost.

[2] Zadnje izmjene

[3] Na dan pretraživanja. Taj broj se sigurno gotovo dnevno mijenja.

Odrediti obveze koje neki poslovni sustav treba ispuniti da bi pristupio uspostavi CM-a, temeljno je polazište ovog procesa i izrazito je odgovorna zadaća. Ove obveze nužno je identificirati  na sistematičan način, a da bi se to moglo, potrebno je imati cjelokupnu sliku ovog područja. Podjela ovih obveza  može se načiniti na kategorije prikazane na slici:

 Pravna regulativa (Legal Compliance)

Poznavanje pravne regulative možda je temeljno polazišta identificiranja obveza za usklađenostima. Zbog toga nužno je imati znanje i vještine pretraživanja aktualne regulative: EU propisa, hrvatskih zakona i pod zakonskih akata, ali po potrebi, i regulative drugih zemalja.  EU regulativa dijeli se u direktive, uredbe, odluke, preporuke i smjernice, i svi ovi dokumenti dostupni su na tematskim portalima EU-a. Nešto više o načinu pretraživanja ovih akata biti će opisano u odgovoru na pitanje 4.

Pravnu regulativu RH čine naši zakoni i pod zakonski akti, odluke sudova te propisi lokalnih tijela. I ove izvore moguće je pretraživati na nizu portala. Neki od njih su besplatni online izbornici, ali postoje i komercijalne baze podataka propisa. I o tome nešto više  vidjet će se u odgovoru na pitanje 4.

Za one naše tvrtke koje posluju sa zemljama koje nisu članice EU, nužno je imati znanja i vještine za pretraživanje propisa konkretne zemlje.

Nije pretjerana procjena da naše vodeće tvrtke uglavnom imaju kapacitete za praćenje ove regulative, ali zbog česte izmjene postojećih propisa, pojave velikog broja novih, te sve većih mogućnosti IKT tehnologija i specijaliziranih platformi, ovo je izuzetno važan segment CM-a.

Propisi regulatora (Regulatory Compliance)

Postoji čitav niz regulatornih tijela RH koje u okviru svojih javnih ovlasti donose propise iz svoje nadležnosti. Neki primjeri izvorišta takvih  propisa su:

• HNB kao regulator za kreditne institucije. Ona propise dijeli na zakone (donosi Hrvatski sabor), odluke, uredbe, tehničke standarde, te direktive i smjernice EBA https://www.hnb.hr/regulativa-propisi.
  • Za područje energetike HERA (hera.hr) je regulator za električnu energiju, plin, naftu, bio goriva i toplinsku energiju. Osim što skrbi o provedbi zakona i provedbenih propisa EU-a, našeg nacionalnog zakonodavstva, u okviru svojih ovlasti donosi odluke, rješenja o dozvolama itd.
  • Na isti način za tržišta kapitala treba vidjeti HANFA-u (hanfa.hr) ili za regulativu elektroničkih komunikacija, poštanskih usluga i željeznički prijevoz, vidjeti HAKOM (www.hakom.hr), koji je ovlašten za donošenje dozvola, odluka, rješenja, presuda, posebnih ovlaštenja i drugih regulatornih dokumenata iz svoje djelatnosti.

Dakle, regulatorna tijela su veliki izvor raznih oblika potrebnih usklađenosti.

Industrijski standardi (Industry Standards Compliance)

Sve djelatnosti imaju svoje de jure ili de facto strukovne standarde. Njihovom primjenom unapređuju se konkretne djelatnosti. Donose se na temelju konsenzusa različitih strana koje uključuju tvrtke, korisnike, interesne skupine, organizacije za standarde i državnu upravu. Cilj ove vrste standarda je postići kompatibilnost, interoperabilnost, sigurnost, ponovljivost i kvalitetu proizvoda ili postupka. Primjeri takve vrste standarda su:

• Standardi u kreditnoj industriji
• Standardi u elektrotehnici
• Standardi u graditeljstvu
• Standardi u farmaceutici
• Standardi u naftnoj industriji
• Standardi u automobilskoj industriji
• Standardi u zdravstvu
• Standardi u proizvodnji zdrave hrane
• Standardi u informacijsko – komunikacijskim tehnologijama
• Standardi u računovodstvu
• itd

Kaže se da je neka djelatnost toliko „zrela“, koliko je uspjela razviti svoje industrijske standarde. Sa stajališta upravljanja usklađenostima, logično je da se postavlja i pitanje koliko neka tvrtka ili ustanova iz neke konkretne djelatnosti primjenjuje svoje standarde. Primjena ovih standarda prvenstveno je domena  stručnjaka te djelatnosti. U zdravstvenoj djelatnosti takvi standardi su npr. za kvalitetu zdravstvene skrbi, akreditaciju bolnica itd. Ako se npr. radi o građevinarstvu, tada su to grupe standarda koje pokrivaju zemljane, zidarske, tesarske, krovopokrivačke i dr. radove (tako npr. standard za planiranje vijeka uporabe objekta je HRN ISO 15686).

U informacijsko – komunikacijskoj industriji može se govoriti o standardima za modeliranje poslovnih arhitektura / poslovnih procesa, standardima u proizvodnji programske opreme, standardima za upravljanje bazama podataka, standardima za mjerenje kvalitete IKT rješenja, komunikacijskim standardima, standardima povjerenja za digitalni potpis itd.

Naravno da u upravljanju usklađenostima nije potrebno da svi koji se bave ovim područjem, poznaju sve ove standarde. No, ukoliko se uspostavlja CMS konkretnog poslovnog sustava, jasno je da se mora skrbiti i o ovoj vrsti standarda. Koliko će oni biti zastupljeni u tom konkretnom poslovnom sustavu, pokazat će njihova evaluacija i procjene rizika.

Standardi sustava upravljanja (Management Systems Compliance)

Danas postoji cijeli niz standarda razvijenih za tzv. sustave upravljanja. Najčešći standardi ovog tipa[1] su oni za:

• Upravljanje rizicima (ISO 31000)
• Upravljanje kvalitetom (ISO 9001)
• Upravljanje zaštitom okoliša (ISO 14001)
• Upravljanje informacijskom sigurnošću (ISO 27001)
• Upravljanje kibernetičkom sigurnošću (ISO 37032)
• Upravljanje kontinuitetom poslovanja (ISO 22301)
• Upravljanje antikorupcijom (ISO 37001)
• Upravljanje zaštitom prijavitelja nepravilnosti (ISO 37002)
• Upravljanje zaštitom privatnosti ISO 29100)

U praksi najčešće primijenjeni sustavi upravljanja su oni za upravljanje kvalitetom, zaštitom okoliša, informacijskom sigurnošću, kontinuitetom poslovanja i kibernetičkom sigurnošću. U posljednje vrijeme sve se češće počinju upotrebljavati i standardi za upravljanje antikorupcijom, zaštitom prijavitelja nepravilnosti, zaštitom privatnosti, energetskom učinkovitosti i još neki.

Standardi ovog tipa su jamstvo da se poslovnim sustavom upravlja na: transparentan i sistematičan način, način temeljen na najboljoj praksi, upravljanju rizicima i poznatom PDCA (Plan – Do – Check – Act) krugu. Zbog toga su takvi poslovni sustavi pouzdaniji za svoje korisnike i potencijalne investitore. Iako su ovi standardi razvijeni za konkretna područja primjene, imaju i neka zajednička obilježja, npr.: razumijevanje konteksta, liderstvo, planiranje, potporu, operativnu provedbu, evaluacije performansi i poboljšanja.

Zadaća CMS-a je procijeniti da li neki konkretni poslovni sustav primjenjuje standarde ovog tipa, ili bi to trebao, koliko su uvedeni sustavi učinkoviti i međusobno povezani itd.

Drugi izvori obveza za usklađenosti (Others types of Compliance)

Osim navedenih kategorija izvori obveza za usklađenosti su ili mogu biti različite konvencije i protokoli,  licence, ovlaštenja, sporazumi, pa i ugovori.

Zaključak

Da bi se uspostavio sustav upravljanja usklađenostima, prvi korak je razumjeti kontekst organizacije (tvrtke, ustanove) za koji se to želi učiniti. Dio toga je i određivanje obveza koje je u tom smislu nužno ispuniti. Postoji više kategorija izvora tih obveza i njih je potrebno identificirati, evaluirati i načiniti procjene rizika. Ove izvore  moguće je podijeliti na one koji su obvezni za primjenu i na one čija je primjena dragovoljna, dakle nije određena nekim zakonskim propisom ali je preporučljiva zbog rizika posljedica koje neusklađenost izaziva. Viša razina usklađenosti rezultira izbjegavanjem sankcija, boljim poslovnim učincima  višom kvalitetom upravljanja, boljom reputacijom itd.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

[1] Ovdje se navode samo ISO standardi.

Neusklađenosti u praksi variraju od minornih slučajeva do globalnih skandala. Ozbiljnije neusklađenosti možemo grupirati na više načina. Jedna od ovih mogućnosti jest prema štetama koje one izazivaju, npr.:

• Financijske kazne i razne druge štete
• Gubitak posla
• Smanjenje reputacije
• Oduzimanje licence
• Smanjenje interesa investitora
• Druge poslovne posljedice

Financijske kazne zbog nepridržavanja obveza u vezi usklađenosti, mogu biti vrlo drastične i pogubne. U nastavku navodi se niz takvih primjera. Također, gubitak posla je vrlo bolna posljedica neusklađenosti, koja može uslijediti zbog toga što netko ne zadovoljava uvjete natječaja, jer ne primjenjuje tražene propise i standarde ili ih se ne pridržava u primjeni. Uslijed toga dolazi do eliminacije ponude prigodom nadmetanja za neki posao. Smanjenje reputacije, gubitak interesa potencijalnog investitora i niz drugih negativnih posljedica, redovite su pojave u praksi koje s pojavljuju zbog neispunjenih usklađenosti.

Neki vanjski primjeri nepoštivanja usklađenosti

Postoji niz dobrih izvora u kojima je moguće vidjeti niz primjera posljedica zbog nepoštivanja usklađenosti. Vrlo poznati slučajevi takvih posljedica su:

• French Bank BNP Paribas platila je OFAC-u (US Office of Assets Control) novčanu kaznu od 8,9 mld $ zbog kršenja embarga (https://www.se.com/ww/en/assets/564/document/141056/annual-compliance-report-2020.pdf)
• Google je odlukom Europske komisije platio novčanu kaznu od 5 mld $ zbog stvaranja monopolnog položaja na tržištu (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3739813)
• 5 banaka je platilo novčane kazne u iznosu od 1,2 mld $ zbog nepravilnosti u trgovanju devizama, slučaj Forex Cases (https://www.se.com/ww/en/assets/564/document/141056/annual-compliance-report-2020.pdf)
• Slučaj VolksWagen (Dieselgate Emission Skandal) https://www.bbc.com/news/business-34324772
• Slučaj Ericsson (FCPA Violation Claim) u kojem je Nokia obeštećena za 97, 2 mil $ https://www.justice.gov/opa/pr/ericsson-agrees-pay-over-1-billion-resolve-fcpa-case
• Slučaj Siemens (Case Death of man) sa svojim poznatim ishodom
• Amazon u Italiji je od strane EU Antitrust Agency  kažnjen s 1,1 mld eura,

(https://edition.cnn.com/2021/12/09/tech/amazon-italy-fine/index.html

Na adresi https://www.skillcast.com/blog/compliance-news-2021-highlights

mogu se pogledati i mnoge druge vijesti ovog tipa:

• Pandora Papers reveal secret world of offshore deals
• Southeastern loses franchise over failure to declare
• Credit Suisse £350m settlement in corruption case
• Sky Italia fined £2.7m for GDPR malpractice
• Facebook shares drop after fines & whistleblowing
• Petrofac fined £77m over historic bribery
• Manufacturer fined £40k for health & safety breach

Neki „naši“ primjeri posljedica neusklađenosti

Kakvo je stanje kod nas u pogledu nepoštivanja usklađenosti? Poznati su brojni slučajevi presuda zbog korupcije, kao jednog značajnog područja neusklađenosti. Hrvatska je u samom vrhu EU zemalja po razini svoje korupcije s procjenom da se godišnje ovim kanalom „spali“ oko 14 % GDP-a. Redovni tisak i brojni portali prepuni su vijesti ovog tipa, pa ih nije ovdje potrebno posebno navoditi. Samo kao posebni kuriozitet može se navesti zadnji slučaj INA-e s osnovanom sumnjom o pljački preko 1 mld Kn. U nastavku navode se neki primjeri iz drugih područja. Npr., slučaj Zagrebačke banke koja je rješenjem Ministarstva financija zbog prekršaja Zakona o sprječavanju pranja novca i financiranja terorizma, nakon nagodbe platila kaznu od 33.000.000,00 kn (https://www.hnb.hr/-/financijski-inspektorat-rh-izrekao-zagrebackoj-banci-d-d-kaznu-u-visini-od-33-milijuna-kuna).

Sličan karakter ima i kršenje propisa koje donose regulatorna tijela. Za područje kreditnih institucija (banaka, štednih banaka i stambenih štedionica), regulator je Hrvatska narodna banka (HNB) koja temeljem svojih ovlasti donosi odluke i prenosi uredbe, tehničke standarde, direktive i smjernice Europske centralne banke. Između ostalog, HNB provodi i supervizije. Rezultati ovih nadzora vidljivi su u obliku sažetaka o izrečenim prekršajima na adresi https://www.hnb.hr/javnost-rada/informacije-i-ocitovanja/odluke-o-povredi-propisa.

HANFA kao regulator za nadzor financijskih usluga skrbi o očuvanju stabilnosti financijskog sustava i nadzoru zakonitosti institucija koje djeluju na financijskom tržištu. Na njenim web stranicama (https://www.hanfa.hr/sudske-odluke/#) mogu se vidjeti pravomoćne sudske odluke u prekršajnim i upravno sudskim postupcima zbog kršenja propisa iz njene nadležnosti. Primjer regulatorne aktivnosti HANFA-e jesu i Smjernice za provedbu revizije informacijskih sustava subjekata nadzora od strane revizorskih tijela.

Agencija za zaštitu osobnih podataka (AZOP), kao regulator za ovo područje na svojim stranicama (https://azop.hr/rjesenja/) objavljuje rješenja zbog kršenja uredbi EZ-a i naših nacionalnih propisa u vezi s ugrožavanjem ovog prava. Jedno od zadnjih su dvije novčane kazne ukupnog iznosa od 2,18 milijuna kuna zbog propusta u zaštiti osobnih podataka voditelju obrade-pružatelju telekomunikacijskih usluga.

Hrvatska energetska regulatorna agencija (HERA) to čini za područje energetike (https://hera.hr), a HAKOM za područje elektroničkih komunikacija, poštanskih usluga i regulaciju tržišta željezničkih usluga (https://www.hakom.hr/hr/odluke-rjesenja-i-presude/1904).

Troškovi neusklađenosti različiti su od slučaja do slučaja te po industrijama, ali se može referencirati da  variraju  od 7,7 mil $ do više od 30 mld $ (Izvor:  The Thrue Costs of Compliance, Benchmark Study, Globalscape, 2017). Prema ovom izvoru navodi se da su troškovi neusklađenosti  2,7 puta veći od troškova za postizanje usklađenosti, ali po nekim drugim izvorima idu i do 10 puta.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

Kao što smo ranije naveli, izvori potreba za usklađivanjima imaju široki spektar i kreću se od pravne regulative, propisa regulatora, industrijskih standarda, standarda sustava upravljanja do drugih izvora (licenci, dozvola itd.). Kako odrediti koje su to naše konkretne obveze u tom širokom spektru? Prva asocijacija je da se radi o pravnim pitanjima i da je zbog toga to zadaća pravne službe. Neupitno je da je njena uloga nezaobilazna. Ali problem identifikacije ovih obveza je interdisciplinaran i zato mu treba pristupiti timski. Bilo bi dobro imati razrađen proces CM-a  kojeg je sastavni dio i ova faza s definiranim odgovornostima za identifikaciju i evaluaciju potencijalnih obveza, ali i za procjenjivanje rizika neusklađenosti. U razradi ove faze treba biti vidljivo koje su to i druge funkcije dužne pratiti propise i standarde iz svoje domene i inicirati  razmatranje  eventualnih potrebnih usklađivanja.

Srećom, danas za praćenje propisa i drugih compliance obveza postoji niz platformi i naprednih alata koje nam mogu pomoći u rješenju ovog problema. Zabluda je da je problem rješiv „pritiskom na gumb“. Nužno je imati znanja i vještine za tzv. napredna pretraživanja putem kojih ćemo višekratnim i upornim postupcima doći do skupa potencijalnih compliance obveza. To ne znači da sve takve obveze trebati implementirati. Koje, to će nam pokazati tek procjene rizika. No, krenimo redom u identifikaciji potencijalnih obveza.

Propisi EU-a   

Postoji niz linkova putem kojih je moguće činiti pretraživanja EU propisa. Neki od  njih su:

• https://eur-lex.europa.eu/browse/directories/legislation.html?locale=hr
• https://europa.eu/european-union/law/find-legislation_hr
• https://eur-lex.europa.eu/advanced-search-form.html?action=update&qid=1617736147804
• https://eur-lex.europa.eu/browse/summaries.html?locale=hr
• https://eur-lex.europa.eu/collection/eu-law/legislation/recent.html?locale=hr

Ukoliko koristimo prvi link, možemo na svim jezicima EU-a pretražiti sve sporazume, direktive uredbe i odluke.  Svi ovi dokumenti svrstani su u 20 kategorija. Ako nas zanima npr. energetika, vidimo da u ovom području ima 495 dokumenata, i naravno svaki od njih je dostupan. Neki od alata za pretraživanje EU regulative omogućavaju i složena pretraživanja korištenjem Boolovih operatora. Npr., želimo znati u kojim dokumentima se u naslovu pojavljuje pojam umjetna inteligencija. Bez posebnog problema tražilica će nam naći da je to u 17 slučajeva.

Pretraživanje propisa RH

Za pretraživanje propisa RH na raspolaganju nam je cijeli repertoar različitih mogućnosti. Uvjetno ih, zbog jednostavnosti, možemo podijeliti na: osnovne online izbornike i online baze za pretraživanje.

Najčešći osnovni, besplatni online izbornici su Google i Google Search Help.

Najobičnije Google pretraživanje može biti prvi prozor u ovu problematiku, dok Google Search Help predstavlja napredniji oblik pretraživanja koji ima niz tehnika i pravila

(ljevak, naopaki ljevak itd.)

Online baze za pretraživanje nude nam široki izbor raznih mogućnosti. U nastavku navode se neke od njih:

• Narodne novine (nn.hr).
• Središnji katalog službenih dokumenata RH (https://sredisnjikatalogrh.gov.hr/) u kojem su svi sporazumi, međunarodni ugovori, službena glasila tijela lokalne samouprave kao i drugi dokumenti i publikacije)

Primjer, želimo saznati u kojim se dokumentima u naslovu pokazuje izraz informacijska sigurnost. Tražilica će nam pronaći da je to u 76 dokumenta.

• Portal Ministarstva pravosuđa i uprave (https://mpu.gov.hr/pristup-informacijama-6341/zakoni-i-ostali-propisi/zakoni-i-propisi-6354/6354)
• Portal Ministarstva poljoprivrede (https://poljoprivreda.gov.hr/zakoni-i-propisi/102) koji daje pregled svih zakona i propisa u 18 područja iz nadležnosti ovog ministarstva.
• Portali drugih ministarstva obično upućuju na Središnji katalog službenih dokumenata RH, ali i na linkove propisa iz svoje nadležnosti i linkove agencija iz svog područja djelovanja.
• Već su ranije spomenuti i portali Hrvatske narodne banke (https://www.hnb.hr/temeljne-funkcije/sanacija/regulativa), HANFA-e (https://www.hanfa.hr/regulativa/), HAKOM-a (https://www.hakom.hr/hr/propisi-1916/1916) i još nekih regulatornih tijela.
• Vrlo su korisni i portal Hrvatske gospodarske komore (hgk.hr), hrcak (https://www.hrcak.hr/9, dabar https://dabar.srce.hr/repozitoriji) kao digitalni akademski arhiv i repozitorij, te niz drugih portala.
• Vrlo je koristan i portal kojeg vodi tvrtka Lexpera (iusinfo.hr), ali postoje i drugi korisni izvori ovog tipa.

Pretraživanje industrijskih standarda

Svaka struka ima svoje standarde. Ako pripremamo implementaciju usklađenosti u nekoj tvrtki koja pripada npr., informacijsko – komunikacijskoj industriji (IKT), tada nas neće zanimati standardi iz drugih područja, npr. zdravstva. No, za CMS sustav važno je znati koji su to konkretni industrijski standardi koje u toj djelatnosti imamo namjeru zadovoljiti. Budući smo uzeli IKT kao primjer pretraživanja industrijskih standarda, tada je za očekivati da su to standardi relevantni za ovu djelatnost. Ako smo proizvođači programske opreme, tada to mogu biti npr. ISO 25000 standardi, ili barem neki iz ove serije. Pristup do njih je vrlo jednostavan (https://www.iso.org/search.html?q=iso25000) i tražilica će nam pokazati da u toj kategoriji ima 46 standarda i koji su. Osim ISO standarda u ovom području „jaki“ su i IEEE, IEC, BS standardi. Svaki od njihovih „proizvođača“ na svojim stranicama ima korektne tražilice.

Pretraživanje standarda sustava upravljanja

Postoji čitav niz referentnih svjetskih organizacija koje izrađuju i objavljuju različite standarde sustava upravljanja. To su prvenstveno ISO (International Standard Organization), BSI (British Standard Organization, DIN (Deutsches Institut für Normung) i još neki. ISO je najjača i vodeća svjetska organizacija i iz njene „radionice“ izlaze najjači standardi ovog tipa.  O odgovoru na pitanje 2 navedeni su oni koji se najčešće koriste u praksi. To su: standardi za upravljanje rizicima (ISO 31000), standardi za upravljanje kvalitetom (ISO 9001), standardi za upravljanje zaštitom okoliša (ISO 14001), standardi za upravljanje informacijskom sigurnošću (ISO 27000), standardi za upravljanje kibernetičkom sigurnošću (ISO   ), standardi za  upravljanje kontinuitetom poslovanja (ISO 22301), standard za upravljanje antikorupcijom (ISO 37001), standard za upravljanje zaštitom prijavitelja nepravilnosti (ISO 37002), standard za upravljanje zaštitom privatnosti i još neki.

Dakle, da bi se identificirale obveze za usklađenost, nužno ih je znati identificirati, evaluirati i odrediti rizike njihove eventualne neprimjene. U ovom odgovoru težište je bilo na identifikaciji ovih obveza, dok druge  s njima povezane aktivnosti opisat će se u slijedećim odgovorima.

Konačni rezultat jest registar compliance obveza.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

Procjene rizika  neusklađenosti dio su procesa upravljanja rizicima. Dakle, odgovor na ovo pitanje dio je složenijeg područja  kojeg čine teme kao što su: razumijevanje rizika, upravljanje rizicima (risk management – RM),  proces RM-a, standardi za RM, benefiti RM-a,  RM plan, mjerenje rizika, najbolja praksa RM-odgovornosti za RM, trendovi u RM-u itd. Rizici neusklađenosti dio su te priče.

Za razumijevanje rizika neusklađenosti nužno je poznavati područje upravljanja rizicima. Rizici  su u principu neizvjesnost u postizanju ciljeva, kombinacija vjerojatnosti pojavljivanja nekog neželjenog događaja i  posljedice koju takav događaj može imati za ostvarenje poslovnih ciljeva. Rizik neusklađenosti je negativan utjecaj ranjivosti poslovnog sustava zbog radnji koje su trebale biti poduzete u ovom području, a nisu. Postoji više relevantnih okvira za upravljanje rizicima (ISO 31000, COSO  itd.). No, svi se oni u osnovi svode na slične faze.

Upravljanje rizicima jedna je od temeljnih obveza svakog upravljanja, pa tako i u CM-u. Postoji više načina na koje možemo klasificirati rizike. Jedna od mogućnosti je podjela na strateške, operativne, financijske i druge rizike.  Rizik neusklađenosti je vjerojatnost njene pojave i potencijalnih posljedica, kao što su: nepotrebni gubitci, povećani troškovi poslovanja,  smanjenje poslovnog ugleda / reputacije. Cilj upravljanja rizicima neusklađenosti je otkloniti, ili barem umanjiti ove posljedice.  Da bi se to moglo, treba poznavati cijeli proces ovog upravljanja. Prema normi ISO 31000 on izgleda kao na slici:

Proces upravljanja rizicima prema normi ISO 31000. Izvor: izvedeno iz ove norme.

Kontekst rizika neusklađenosti je polazna točka u procesu upravljanja rizicima CM-a. Nalaže razumijevanje ovih rizik, vanjskih i unutarnjih motiva zbog kojih je nužno provoditi CM, poslovnog modela, njegovih procesa, postojećih kontrola, odgovornosti itd.

Procjena rizika neusklađenosti je slijedeća faza procesa CM-a. Prema normi ISO 31000 sastoji se od identifikacije ovih rizika, njihove analize i vrednovanja. Za identifikaciju rizika neusklađenosti nužno je znati prepoznati koji su sve izvori takvih rizika. Neki od njih su:

• Rizici nepoštivanja legislative i regulative,
• Rizici nepoštivanja standarda,
• Koruptivni rizici,
• Rizici informacijske / kibernetičke (ne)sigurnosti
• Rizici vezani za nedovoljno dobro upravljanje i organizaciju,
• Rizici vezani za etiku,
• Rizici koji proizlaze iz sukoba interesa,
• Rizici nedovoljne razine kompetencija i nedostatnih edukacija,
• Rizici koji proizlaze iz nedovoljne kvalitete (procesa, proizvoda, usluga),
• Rizici nedovoljnog iskorištenja IT potencijala,
• Rizici vezani za pojedine djelatnosti itd.

Nakon identifikacije rizika slijedi njihova analiza. Njen cilj je odrediti  moguće posljedice, ukoliko se konkretni rizik neusklađenosti  ostvari. Postoji cijeli niz metoda kojima se one mogu načiniti. U praksi je uputno koristiti one metode koje su dobro prihvaćene. Veliku potporu u tome može predstavljati i norma ISO 31010.

Analiza rizika uključuje razumijevanje identificiranih rizika neusklađenosti.  Sadrži razmatranje uzroka i izvora rizika, njihovih pozitivnih i negativnih posljedica te vjerojatnosti njihove pojave. Također, potrebno je identificirati i čimbenike koji utječu na posljedice i vjerojatnost njihovog pojavljivanja. Rizik se analizira određivanjem posljedica neusklađenosti i njihovih vjerojatnosti, kao i drugih atributa rizika. Neki događaj neusklađenosti može imati više posljedica i može utjecati na više ciljeva.

Vrednovanje rizika neusklađenosti

Postojanje nekog rizika ne znači da je nužno poduzeti i radnje za njegovo otklanjanje ili umanjenje. Zbog toga se rizici moraju vrednovati. U ovoj fazi donose se odluke o pozicioniranju rizika i određivanju njegovih zona. Postoji više metoda vrednovanja rizika. Jedna od mogućnosti je prikazana na donjoj slici. U ovom vrednovanju obično se koristi logika semafora u kojoj se rizici neusklađenosti pozicioniraju na one koji nisu signifikantni, koji su prihvatljivi i one koji su neprihvatljivi. Za neprihvatljive rizike nužno je poduzeti mjere / kontrole njihovog otklanjanja ili umanjenja.

Postupanje s rizicima uključuje izbor i implementaciju jedne ili više mogućnosti utjecanja na rizik neusklađenosti. Uobičajene strategije postupanja s rizicima su:

• smanjenje rizika neusklađenosti – je pristup koji podrazumijeva implementaciju odgovarajućih kontrola koje umanjuju identificirani rizik;
• prenošenje rizika neusklađenosti – rizik i troškovi se prenose na treću stranu;
• prihvaćanje rizika neusklađenosti – je postupak kojim se identificirani rizik prihvaća bez implementacije kontrola. Ovaj pristup se primjenjuje ukoliko analize pokažu da je veći trošak ulagati u usklađenost nego što predstavlja potencijalni gubitak i
• izbjegavanje rizika neusklađenosti – je postupak koji podrazumijeva prekidanje ili nepokretanje aktivnosti unutar organizacije koje mogu izazvati određeni rizik. To se može primijeniti u slučaju kad se ukidanjem takvih aktivnosti ne utječe značajnije na njene poslovne procese ili kad postoji neki drugi način realizacije ovih aktivnosti.

Nakon implementacije kontrola za postizanje usklađenosti, ostaje rizik kojeg nazivamo rezidualnim rizikom. On podrazumijeva sve one prijetnje i ranjivosti usklađenostima za koje se smatra da ne zahtijevaju dodatni tretman u pogledu smanjenja postojećeg rizika. Također, rezidualni rizik može nastati kao posljedica „cost-benefit“ analize kojom je ustanovljeno da su troškovi implementacije  kontrola usklađenosti veliki i da nije isplativo ići u njihovu implementaciju.

Nadzor rizika neusklađenosti  

Tko u praksi provodi procjene rizika neusklađenosti, ili bi to trebao činiti? Primarne odgovornosti za procjene ovih rizika su: voditelj funkcije usklađenosti, voditelj funkcije upravljanja rizicima, CEO, CFO, ali to mogu biti i voditelj funkcije interne revizije / audita, pa i CIO.

Kako doći do podataka potrebnih za procjene i cijeli proces upravljanja CM rizicima? To je moguće samostalnim pregledom dokumentacije i njenim analizama, intervjuima, istraživanjem literature i raznih izvora, samo procjenama, radionicama na ovu temu itd.

Slijedeća slika prikazuje primjer procjene najrizičnijih područja neusklađenosti u jednom našem poslovnom sustavu, na nešto drugačiji način. Radi se o jednom trgovačkom društvu koje je Odlukom Vlade RH (NN 99/19) obvezno uvesti funkciju praćenja usklađenosti poslovanja i za koje su načinjene procjene razina zrelosti njenih ključnih područja. Što je razina zrelosti ključnog područja manja, to je rizik neusklađenosti veći. Cilj je sva ključna područja dovesti na primjerenu razinu zrelosti.

Na osnovi dobivenih rezultata donosi se poslovna odluka o tome kako povećati razine zrelosti, osobito najslabijih područja. No, o tome više u odgovoru na pitanje 6.

ZIH ima veliko iskustvo u projektima konzaltinga u upravljanju poslovnim rizicima, rizicima informacijske / kibernetičke sigurnosti, rizicima kontinuiteta poslovanja, pa i rizicima neusklađenosti, koruptivnim rizicima itd. Također, i u edukacijama za ovo područje. Neke od takvih naših edukacija su:

• Seminar Upravljanje poslovnim rizicima
• Seminar Certified ISO 31001 Foundation (PECB)
• Seminar Certified ISO 31001 Risk Manager (PECB)
• Seminar Certified ISO 31001 Lead Risk Manager (PECB)
• Upravljanje rizicima u specifičnim područjima (informacijska sigurnost, kibernetička sigurnost, kontinuitet poslovanja,upravljanje usklađenostima, upravljanje antikorupcijom)
• Risk Assessment using EBIOS Method (PECB)
• Risk Assessment MEHARI Method (PECB)

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

Procjena stanja područja usklađenosti u nekom poslovnom sustavu ili njegova Gap analiza je početni korak za planiranje i vođenje uspostave konzistentnog CM-a. Njena svrha je procijeniti trenutačno stanje neusklađenosti kao polazne točke prema  željenom stanju. Prijelaz iz trenutačnog u željeno stanje usmjerava se akcijskim planom i postiže njegovim ostvarenjem. Ova, na prvi pogled  jednostavna premisa, prikazana je na slici:

Ovu analizu moguće je načiniti na više razina:

• Razini cijelog poslovnog sustava,
• Za neka specifična poslovna područja i
• Na razini sustava upravljanja usklađenostima.

1. Gap analiza cijelog poslovnog sustava

Ovaj vid Gap analize čini se kad je nužno procijeniti trenutačno stanje nekog poslovnog sustava zbog ocjene njegove poslovne zrelosti, zahtjeva potencijalnog investitora, zahtjeva regulatora, zahtjeva koji vrijede u burzovnom poslovanju, zahtjeva vlastitog vršnog menadžmenta itd. Za takvu analizu postoji više referentnih metodologija, kao što su npr.: CAF, COSO, CSA, metodologije vodećih konzultantskih kuća itd. Svaka od njih je posebna tema. Sa stajališta usklađenosti cilj takvih analiza jest vidjeti koliko je konkretni poslovni sustav usklađen sa zahtjevima takvih metodologija. U nastavku daje se tek njihov kratki prikaz.

CAF (Common Assessment Framework) – European Public Administration Network)

CAF metodologija usmjerena je na postizanje maksimalnih poslovnih performansi u organizacijama javnog sektora. Sastoji se od  9 područja / kriterija prema donjoj slici i njihovih 28 podpodručja / podkriterija.

Izvor: EUPAN european public administration network

CAF se razvija od 2008. g., a u verziju 2020  ugrađene su najbolje prakse: Quality of Public Administration, European Commission (2018), Innovation in Governments Global Trends (OECD 2018), OECD Declaration on Public Sector Innovation (2019), The Principles of Public Administration, SIGMA OECD (2019), EPSA – European Public Sector Award EIPA, Observatory of Public Sector Innovation (OECD). Također, ovaj model  fokusira digitalizaciju, agilnost, održivost i raznolikost potreba javnog sektora.

Trenutačno stanje jednog poslovnog sustava (Gap) izmjerenog prema CAF-u je kako slijedi. Na apscisi su % sadašnjeg zadovoljenja zahtjeva, razlike do 100 % su neusklađenosti.

Gap analiza putem ove metodologije služi za otkrivanje slabih strana neke organizacije javnog područja i promatranim ključnim područjima. Na osnovi Gap rezultata, rade se programi poboljšanja, kako bi se utjecalo na povećanje  sposobnosti svakog od navedenih područja, njegovih pod područja, a time i poslovnog sustava u cjelini.

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Ova metodologija fokusira procjene unutarnjih kontrola u nekom poslovnom sustavu koje nužno trebaju biti integrirane u poslovne procese. Osnovni cilj je postići: obavljanje poslovanja na pravilan, etičan, djelotvoran i učinkovit način, usklađenost sa zakonima, propisima, programima, postupcima, zaštitu od nepravilnosti, jačanje odgovornosti za uspješno ostvarenje poslovnih ciljeva, pouzdanost i sveobuhvatnost financijskih i drugih izvještaja. Postoji 5 temeljnih kontrolnih komponenti  COSO-a: (Control Environment, Risk Assessment, Control Activities, Information & Communication and Monitoring Activities). Ovih 5 kontrolnih područja / komponenti ostvaruju se kroz 3 sloja: Operations, Reporting and Compliance, vidjeti sliku ispod. Njen lijevi dio prikazuje logiku COSO metodologije, a desni trenutačne razine zrelosti kontrolnih područja i udaljenosti (Gap) do željene razine.

Izvor: COSO Framework                                   Izvor: Rezultati jednog konkretnog slučaja

Korištenjem ove metodologije želi se vidjeti koliko su unutarnje kontrole promatrane u nekom poslovnom sustavu, promatrane kroz glavne kategorije, usklađene sa suvremenim zahtjevima. Procjenom prikazanih komponenti otkrivaju se slabosti u unutarnjim kontrolama, na osnovi čega se radi plan njihovog poboljšanja.

OECD S&P CSA ( Corporate Sustaninability Assessment)

Ova metodologija služi za procjenu sposobnosti nekog poslovnog sustava da predvidi negativne pojave u njegovoj okolini, te ga pripremi za moguće posljedice. Težište je na održivosti poslovanja, njegovoj reputaciji i izbjegavanju financijskih gubitaka. Posebno se preporuča za tvrtke koje su izlistane na burzama ili bi to željele biti.

Ova metodologija sastoji se od 8 cjelina prikazanih na slici. Gap analiza čini se za svaku od njih na analogan način kao i u gornjim primjerima, a u skladu s dobivenim rezultatima, sastavlja i provodi plan poboljšanja.

Izvor:  CSA Methodology Framework, 2021

2. Gap analize specifičnih područja sustava upravljanja

Postoje brojna područja u svakom poslovnom sustavu za koja je korisno načiniti njihove Gap analize. To su npr.: informacijska sigurnost, kibernetička sigurnost, upravljanje kontinuitetom poslovanja, upravljanje poslovnim procesima,  zaštita privatnosti, upravljanje kvalitetom, upravljanje zaštitom okoliša, upravljanje energetskom učinkovitosti, područje digitalizacije  itd. Svako od ovih područja danas je pokriveno svojim normama upravljanja ili specifičnim metodologijama.

ZIH je načinio svoje alate za Gap analize svakog od ovih područja, koje primjenjuje kod svojih korisnika na početku realizacije ovih projekata. Kao primjer Gap analize sustava informacijske sigurnosti (ISMS) navodi se mali dio rezultata koje takvi alati daju. Po skupinama zahtjeva ove norme (ISO 27001) vidi se stanje potpuno implementiranih, djelomično implementiranih i ne  implementiranih sigurnosnih kontrola, temeljem čega se poduzimaju adekvatne mjere.

Samo kao primjer, zbog aktualnosti teme, navodi se i Digital Maturity Model kojeg je razvio Deloitte i kojeg se može koristiti za ovaj tip određivanja Gap-a. Sastoji se od 5 osnovnih područja, 28 pod područja, a digitalna zrelost se određuje preko 179 indikatora stanja.

Primjena ovog modela na jednom konkretnom primjeru daje slijedeće razine zrelosti promatranih područja, a time i Gap rezultate:

Dakle, ukupna trenutačna digitalna zrelost ovog sustava je 2,08, a njegovih pojedinih područja, kako je prikazano. Svako od njih potrebno je poboljšati pripadajućim mjerama i postupno uskladiti ga sa zahtjevima ovog područja.

3. Gap analiza putem norme ISO 37301

Za upravljanje usklađenostima kao sustavom,  vodeća svjetska organizacija za normizaciju razvila je standard ISO 37301 – Compliance Management System – Requirements with guidance for use. Ovaj standard sastoji se od niza skupina zahtjeva[1] (Kontekst Compliance-a, Vodstvo & Compliance, Planiranje Compliance-a, Potpora Compliance-u, Operativna provedba Compliance-u, Upravljanje dokumentacijom Compliance-a, Kontrole & Eskalacija problema, Evaluacija performanci Compliance-a i Poboljšanja Compliance-a). Ukupno ovaj standard ima 95 konkretnih zahtjeva za uspostavu i primjenu konzistentnog CMS-a. Treba ga koristiti kao osnovu za Gap analizu postojećeg stanja područja (ne)usklađenosti, na osnovi koje se rade planovi poboljšanja, sve dok se ne ispune standardom predviđeni zahtjevi. Tada je poslovni sustav spreman i za certifikaciju po ovom standardu, ukoliko mu takav čin treba.

ZIH je načinio i alat za  Gap analizu temeljen na ovom standardu. Na slici u nastavku navodi se početno stanje razina zrelosti svih 9 područja Compliance-a (plavo) kao i  razine zrelosti ovih područja nakon provedenih poboljšanja (smeđe). Razine zrelosti određuju se prema kriterijima 1 – 5, pri čemu 1 označava stanje da je konkretni zahtjev tek rudimentarno ispunjen, dok 5 označava stanje potpunog zadovoljenja tog zahtjeva u praksi.

Treba znati da i navedena norma u svom Anexu B ima matricu za procjenu razine zrelosti CMS-a (CMS Maturity Matrix).

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

[1] Sama norma ima 7 takvih skupina zahtjeva, no ZIH ih je prilagodio na 9.

Postoje mnogobrojne definicije termina strategija nečega. Postoji i niz metoda kojima se one oblikuju (SWOT, Porter, PEST i dr.). U osnovi strategija predstavlja odabir neke razvojne opcije. U kontekstu CM-a  pod strategijom, kao orijentir,  možemo prihvatiti da je ona određena kroz 10 kriterija:   1. odnosom vršnog poslovodstva prema ovom području, 2. ciljevima compliance-a koji se žele ostvariti, 3. područjima primjene koja compliance treba  „pokriti“, 4. odnosom prema procjenama rizika (tradicionalni, ERM – Enterprise Risk Management, GRC – Governance, Risk, Compliance), 5.  razini CM procesa i njegovih kontrola, 6. organizaciji i odgovornostima za compliance, 7. dodijeljenim resursima za compliance, 8. mjerenjima i načinu reagiranja na noncompliance, 9. kulturi i kompetencijama za ovo područje i 10 IT potpori za compliance. U tom smislu možemo  govoriti o strategijama:  Compliance 1.0, Compliance 2.0 i Compliance 3.0. U nastavku navedene su njihove metafore i značajke promatrane kroz navedenih 10 kriterija:

Compliance 1.0 (Pasive, Defensive Compliance)

• Odnos vršnog menadžmenta – rezerviran, nezainteresiran, ignorantski
• Cilj compliance-a: usklađivanje s nekim od propisa
• Područje primjene – vrlo usko
• Procjene rizika – vezane za uski cilj
• Proces / kontrole  compliance-a – tek konture i slabo se primjenjuju
• Organizacija i odgovornosti za compliance – inicijalne
• Resursi za compliance – slabo ili nikako dodijeljeni
• Mjerenja i reagiranje na noncompliance – ne provode se, a reagiranje je reaktivno
• Kultura i kompetencije za compliance – inicijalne, u biti su niske
• IT potpora compliance-u – tek tangentna, u najboljem slučaju pokriva samo neku / neke funkcionalnosti

Ako primjena ovih kriterija odgovara ambiciji poslovnog sustava prema compliance-u, tada kao metaforu za CM strategiju možemo koristiti izraz Vrtić compliance.

Compliance 2.0 (Active, Integrated Compliance)

• Potpora vršnog menadžmenta – postoji zainteresiranost
• Cilj compliance-a – poboljšanja poslovne organizacije, a ne samo kontrola nekih obveza
• Područje primjene – uspostava i integracija više ključnih područja iz skupa npr.: zakonodavstva, regulatornih obveza, internih kontrola,  informacijske sigurnosti,  kibernetičke sigurnosti,  upravljanja antikorupcijom, upravljanja nepravilnostima, primjena etike,  težnja prema ESG-u.
• Procjene rizika – integriraju odabrana ključna područja
• Proces / kontrole  compliance-a – razvijeni i primjenjuju se
• Organizacija i odgovornosti za compliance – značajno razvijena, vidna uloga u poslovnom sustavu
• Resursi za compliance – dodijeljeni  prema potrebi
• Mjerenja i reagiranje na noncompliance – provode se aktivno
• Kultura i kompetencije za compliance – razvijeni
• IT potpora compliance-u – znatna, pokriva većinu ključnih područja, a prateća programska oprema ima niz funkcionalnosti

Ako primjena ovih kriterija odgovara ambiciji poslovnog sustava prema compliance-u, tada kao metaforu za CM strategiju možemo koristiti izraz Zreli compliance.

Compliance 3.0 (Digital, Agile Compliance)

• Potpora vršnog poslovodstva – vrlo aktivna
• Cilj compliance – pokretač bitnih promjena u načinu poslovanja s osloncem na potporu digitalnoj transformaciji
• Područje primjene – compliance pokriva sve ključne dijelove poslovnog sustava
• Procjene rizika – provodi se po ESG (Enterprise, Sustainability, Governance) principu)
• Proces / kontrole  compliance-a – vrlo su razvijeni
• Organizacija i odgovornosti za compliance – jedna od ključnih uloga u poslovnom sustavu
• Resursi za compliance – princip „koliko treba“
• Mjerenja i reagiranje na noncompliance – agilni
• Kultura i kompetencije za compliance – visoki i stalno se razvijaju
• IT potpora – pokriva sve funkcije prevencije, detekcije i digitalnog odgovora (Compliance IT Hub). Omogućava tzv. integrirani Risk Watch i digitalne odgovore.

Ako primjena ovih kriterija odgovara ambiciji poslovnog sustava prema compliance-u, tada kao metaforu za CM strategiju možemo koristiti izraz Digital Compliance.

Koju strategiju CM odabrati u konkretnom slučaju? Prema našem mišljenju to ovisi pretežito od slijedećih čimbenika:  zrelosti poslovnog sustava i njegovog vršnog poslovodstva, procjenama rizika neusklađenosti, trenutačnog stanja, te ambiciji u smjeru digitalizacije cjelokupnog poslovanja.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

Postoji više mogućih načina koje možemo koristiti za  razvoj CMS-a u nekom poslovnom sustavu. U osnovi možemo ih podijeliti na: 1. Programe upravljanja usklađenostima (CPM) 2. Korištenje standarda za upravljanje usklađenostima i 3. Korištenje nekog prilagođenog pristupa. Osim ovih pristupa, postoji i mogućnost korištenja nekog vlastitog rješenja po principu „snađi se kako znaš“, obično usmjerenog provedbi samo nekog od propisa. No, to nije put koji dovodi do uspostave CMS-a, tako da se ovdje ni ne razmatra.

Programi upravljanja usklađenostima  (Compliance Management Program – CMP)

U literaturi, a i praksi, mogu se naći slučajevi upravljanja usklađenostima koji se temelje na tzv. Compliance Management Program-u (CMP). Njegova karakteristika jest da se putem dokumenta koji se najčešće tako i zove, uspostavljaju neki dijelovi CMS-a. U tom dokumentu kaže se što je njegova svrha, koja područja pokriva, definiraju se odgovornosti za usklađenosti, vrlo kratko se opisuju nadzor i mjerenja u ovom području te postavljaju  zahtjevi za izobrazbama. CMP-ovi se mogu donekle razlikovati u svom sadržaju, ali uglavnom to je to. Dakle, oni su tek nukleusi nekog budućeg CMS-a. Ovo je „mekaniji“ pristup, ne zahtijeva veće resurse, ali su mu i učinci  ograničeni.  CMP se može formalno oblikovati i kao neki interni pravilnik, no to ne mijenja suštinu.Treba naglasiti da CMP nekog poslovnog sustava nije moguće certificirati.

Putem interneta moguće je doći do niza materijala o CMP-ovima. Npr.,  jedan od njih je i „Corporate Compliance Programs: Everything You Need to Know“ (https://www.ganintegrity.com/blog/corporate-compliance-program/).

Korištenje  standarda za upravljanje usklađenostima

Vodeći svjetski standard za uspostavu i primjenu konzistentnog sustava upravljanja usklađenostima je ISO 37301 „Compliance management system – Requirements with guidance for use“, usvojen 2021.g. Prije njega ISO je za ovo područje imao standard ISO 29100. Ovaj novi standard (ISO 37301) temelji se na uobičajenim konceptima sustava upravljanja koji vrijede i za sve druge standarde ovog tipa – PDCA ciklusu i upravljanju rizicima.

Standard ISO 37301 objedinjava dugogodišnja iskustva svojih prethodnika. Sastoji se od ukupno 98 zahtjeva da bi se uspostavio cjeloviti i konzistentni CMS. Temelji se na poznate 4 faze PDCA (Plan – Do – Check – Act) ciklusa koje se realiziraju kroz 6 koraka i 16 aktivnosti, što se vidi na slici:

Izvor: Prilagođeno prema PECB-ovoj dokumentaciji za seminar Certified ISO 37301 Lead Auditor

4 faze su: P – D – C – A , 6 koraka su: pozicioniranje CMS-a na poslovodni vrh, planiranje CMS-a, osiguranje potpore za CMS, operativna primjena CMS-a, evaluacija performansi CMS-a i unapređenje CMS-a. Svaka od ovih faza, odnosno koraka ima na slici prikazane svoje aktivnosti, njih ukupno 16.

Prema ovom pristupu moguće je, iako nije obvezno, ali je preporučljivo,  i certificirati svoj CMS sustav.

Neke zemlje donijele su svoje nacionalne standarde za ovo područje. Interesantno je primijetiti da je Engleska, vjerojatno vodeća zemlja svijeta u standardizaciji, usvojila ISO 37301 standard kao svoj nacionalni standard (EN ISO 37301). Njemačka je za ovo područje donijela standard IDW AssS 980 („Principles for the Proper Performance of Reasonable Assurance Engagements Relating to Compliance Management Systems“). Ovaj standard temelji se na 7 stupova. To su:

1. Ključni ciljevi usklađenosti
2. Kultura usklađenosti
3. Rizici usklađenosti
4. Organizacija usklađenosti
5. Politika i procedure usklađenosti
6. Komunikacije o neusklađenostima
7. Mjerenja, nadzor, poboljšanja

Hrvatska nije donijela svoj nacionalni standard za upravljanje usklađenostima, niti za to ima potrebe, jer primjenjuje relevantne svjetske standarde. Ali nekim našim organizacijama koje posluju s njemačkim tvrtkama, ovo može biti dobar pristup.

Prilagođeni pristup uspostavi CMS-a

Barem kao mogućnost, uvijek postoji varijanta razviti i koristiti neki vlastiti pristup za CMS. Kao polazište u tome mogu se koristiti neka dobra iskustva iz prakse za ovo područje, pa i dijelovi drugih standarda. Jedan od takvih primjera navodi se u nastavku.

Ključne aktivnosti ovog prilagođenog pristupu temelje se na standardu IDW AssS 980, a njegove temelje čine: razvoj politika i procedura kojima se postižu usklađenosti, razvoj metodologije upravljanja rizicima neusklađenosti, uspostava organizacije za usklađenost, osposobljavanje menadžmenta i osoblja iz usklađenosti, interni auditi i auditi dobavljača, izvještavanje o neusklađenostima, nadzor i sljedivost te korektivne radnje.  Ovi stupovi na kojima počiva ovaj prilagođeni pristup su vidljivi na slici:

Izvor: Schneider Electric Annual Compliance Report 2020).

Navedene tri mogućnosti pristupa uspostavi upravljanja usklađenostima razlikuju se prema širini sadržaja koje takav sustav obuhvaća. Međutim, pristup CMS-u može se promatrati i sa stajališta odnosa vršnog menadžmenta prema ovom sustavu. S tog stajališta u principu, postoje dva takva odnosa: 1. odnos temeljen na ispunjavanju pravila (rule based aproach) i odnos temeljen na nastanku novih vrijednosti (value based aproach). No i to je već druga tema.

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.

Za učinkovito upravljanje usklađenostima u nekom poslovnom sustavu, nužno je odrediti potrebne uloge, odgovornosti i ovlaštenja. Bez obzira na  veličinu, djelatnost i postojeću organizaciju poslovnog sustava, postoje 4 skupine takvih obveza:

• Obveze Odbora za usklađenosti i vršnog menadžmenta,
• Obveze funkcije / osobe zadužena za usklađenost,
• Obveze izvršnog menadžmenta i
• Obveze izvršnog osoblja.

Kako će se ove obveze i odgovornosti raspodijeliti, ovisi o veličini poslovnog sustava i njegovom organizacijskom modelu. U većem poslovnom sustavu obično postoji više organizacijskih entiteta. Za očekivati je da takav sustav ima svoju upravu, uobičajene poslovne funkcije, izvršni menadžment, ali i tijela u vidu odbora za neka od područja upravljanja putem kojih se usklađuju i koordiniraju posebno važne poslovne domene. To vrijedi i za CM. Moguća organizacija može imati slijedeći oblik:

Takav organizacijski model pogodan je i za određivanje obveza i odgovornosti za CM.

Odgovornost Odbora[1] i vršnog menadžmenta (uprave, predsjednika uprave) u CM-u su:

• Osigurati donošenje strategije CM-a i osigurati da je ona usklađena sa strategijom poslovnog sustava, njegovom misijom, vizijom i vrijednostima,
• Stvoriti potrebne uvjete za uspostavu i učinkovito funkcioniranje CM-a (organizacija, resursi, komunikacije i dr.),
• Provoditi ocjene uspješnosti CM-a, identificirati neusklađenosti, skrbiti o njihovom otklanjanju, pokretati i nadzirati korektivne radnje.

Odgovornosti funkcije za usklađenost / Odgovorne osobe (Compliance manager-a / officer-a)

Da li će se za područje usklađenosti uspostaviti poseban organizacijski entitet ili će ove poslove obavljati fizički jedna osoba, ovisi o racionalnosti takve odluke. Odgovornosti ove funkcije / osobe su:

• Skrbiti o tome da je pristup CM-u strateški i proaktivan,
• Skrbiti o identifikaciji obveze za usklađenostima i alocirati odgovornosti za njih,
• Skrbiti da se provode procjene rizika neusklađenosti i poduzimaju potrebne mjere,
• Skrbiti da su obveze za usklađenostima integrirane u politike i procedure poslovnog sustava,
• Osigurati uspostavu dokumentacije potrebne za CM,
• Razraditi načine izvješćivanja o neusklađenostima,
• Predložiti, analizirati i nadzirati mjerenje performanse CM-a,
• Skrbiti da se CM provjerava i ocjenjuje u planiranim intervalima,
• Predložiti načine eskalacije problema u slučaju neusklađenosti,
• Skrbiti da se osiguraju sve potrebne edukacije i treninzi iz ovog područja,
• Savjetovati druge funkcije o usklađenostima,
• Promicati potrebna poboljšanja itd.

Odgovornost izvršnog menadžmenta

Izvršni menadžment nezaobilazni je dio CM-a. Njegove odgovornosti su:

• Surađivati s funkcijom / osobom za usklađenosti,
• Osigurati da je podređeno osoblje upoznato s obvezama, politikama i procedurama CM-a,
• Identificirati rizike neusklađenosti u području svoje nadležnosti,
• Biti potpora potrebnim edukacijama i treninzima kao i razvoju svijesti o usklađenostima,
• Aktivno sudjelovati u rješavanju incidenata u vezi neusklađenosti,
• Osigurati da se provode potrebne korektivne radnje.

Odgovornost zaposlenika:

• Provoditi obveze, politike i procedure iz područja usklađenosti,
• Izvješćivati o problemima i propustima
• Sudjelovati u potrebnim treninzima i edukacijama

U malim poslovnim sustavima nije potrebno da formalno postoje navedeni dijelovi, ali se ove obveze i odgovornosti moraju se raspodijeliti na adekvatan način.

Primjedba: Razrada ovih uloga, razrađena je prema standardu ISO 37301 Compliance management system – Requirements with guidance for use, Annex  A.5.3. Roles, responsibilities and authorities.

[1] Da li će se takav odbor uspostaviti za područje usklađenosti ovisi o procjeni uprave za njegovom opravdanošću. Svakako treba izbjegavati nepotrebno „pumpanje“ organizacijskog ustroja, ali ako se procijeni da on u konkretnom slučaju nije potreban, tada funkciji / osobi za usklađenost treba dodijeliti potrebne ovlasti.

Programska oprema (PO) za potporu CM-u razvija se  vrlo intenzivno. Prema našem mišljenju tri su glavna smjera njenog razvoja. To su:

• PO za potporu pojedinim dijelovima CM-a,
• PO za potporu integriranijem pristupu CM-u i
• PO za GRC (Governance – Risk – Compliance) potporu.

1. PO za potporu pojedinim dijelovima CM-a

U ovu kategoriju pripada sva ona PO koja se može koristiti kao potpora za pojedine segmente CM-a, npr.:

• PO / platforme za pretraživanje pravnih propisa
• PO za dijagnostiku stanja / Gap analize pojedinih područja CM-a,
• PO za procjene rizika neusklađenosti,
• PO za upravljanje dokumentacijom CM-a,
• PO za vođenje audita CM-a i izvješćivanje,
• Itd.

• PO / Platforme za pretraživanje pravnih propisa

Postoji ponuda različitih alata ovog tipa. No, nije za očekivati da postoji samo jedan alat koji je sposoban pretražiti i identificirati ogroman broj različitih postojećih i novih propisa koji se pojavljuje svake godine. Procjena samo za financijske servise je da se godišnje pojavi oko 60 000 novih propisa. Ako se tome doda i problem praćenja nacionalnih propisa te propisa po pojedinim djelatnostima, jasno je da, barem za sada, ne postoji alat koji može „pritiskom na gumb“ prepoznati za nas u tom trenutku relevantne propise[1].

Zbog toga je naše mišljenje da je izlaz iz ove situacije dostići znanje i vještine za napredna pretraživanja korištenjem postojećih platformi i  alata ovog tipa. To su npr.: Google, Google Search Help, portali EU propisa, niz naših domaćih portala, uključivo i odličan portal kojeg vodi tvrtka Lexpera.   O ovoj temi je više bilo riječi u odgovoru na 4. pitanje.

• PO za dijagnostiku stanja / Gap analize pojedinih područja CM-a

Ovaj tip PO-e ima za cilj olakšati načine na koje se takve dijagnostike provode i ukazati na razliku između sadašnjeg i željenog stanja nekog od područja, pa i cijelog CM-a. Takve dijagnostike su npr.,  PO za procjene trenutačnog stanja poslovne zrelosti konkretnog sustava prema nekoj referentnoj metodologiji (CAF, COSO, CSA i dr.),  PO za procjene nekih područja sustava upravljanja (kvalitete, informacijske sigurnosti, kibernetičke sigurnosti, zaštite okoliša, upravljanja kontinuitetom poslovanja, zaštite privatnosti, razine digitalne zrelosti itd.).

Niti ovdje  nije za očekivati da postoji jedan alat koji može načiniti dijagnostike trenutačnog stanja svih područja koja su kandidati za usklađivanja u nekom poslovnom sustavu Tako npr. samo na pitanje compliance gap assessment software ili neko slično pitanje, Google će ponuditi veliko mnoštvo različitih alata za čije, barem, informativno pregledavanje treba nam nekoliko dana. A za svako od područja kandidata za usklađivanje, postoji čitav niz programskih alata[2].

O takvim dijagnostikama bilo je više riječi u odgovoru na pitanje 6.

• PO za procjene rizika (neusklađenosti)

Za procjene različitih poslovnih rizika razvijen je čitav niz metoda, od kojih za većinu od njih postoji i PO potpora. Ukoliko se npr., za Google pretraživanje koristi pojam Risk Management Software, dobit će se, između ostalog, i rezultat tzv. skraćene liste od 770 takvih alata. Međutim,  više studija upozoravaju da svega 6 % članova poslovodstva koristi relevantne metode za procjenu rizika i za njih prateću PO.

Do pregleda najčešće korištene PO ovog tipa može se doći putem poveznice https://connecteam.com/best-compliance-management-software/ ili https://peoplemanagingpeople.com/tools/best-integrated-risk-management-software/.

Nema dvojbe da PO ovog tipa ima svoju ulogu. Situacija u našoj praksi u tom pogledu je različita. Postoje djelatnosti / poslovni sustavi, koji koriste napredne metode za procjene rizika i „moćne“ alate, ali u dominantnom broju slučajeva to nije tako. Zato je naše mišljenje da je za procjene rizika (ne)usklađenosti, ukoliko o ovom važnom području ne postoje interna znanja, uputno tražiti konzultantsku uslugu, jer su one temelj za daljnje usmjeravanje i odlučivanje o uspostavi CM-a.

• PO za upravljanje CM dokumentacijom

Okosnicu CM-a s dokumentacijskog stajališta čini slijedeći dokumenti: politike, procedure, ciljevi, opis organizacije s ulogama i odgovornostima, registar relevantnih obveza za usklađivanjem, rezultati procjene rizika s planom njihovog postupanja, registar nesukladnosti s planom njihovog otklanjanja, informacije o osoblju, uključivo njihovo osposobljavanje, proces audita s planom izvođenja, rezultatima, ocjenama uprave i pokrenutim poboljšanjima.

Moguće je da se u okviru postojećeg DMS sustava (Document Management System), ukoliko takav postoji u nekoj organizaciji, uključi i ova dokumentacija. Na tržištu postoji niz različite PO za DMS. Na poveznici https://www.pcmag.com/picks/the-best-document-management-software može se vidjeti pregled 10 vodećih iz ovog skupa. No, mora se primijetiti da uobičajena PO za DMS ne sadrži i još neke funkcije koje su važne za CM kao što su: audit management, alert management, compliance reporting,  itd.

• PO za vođenje audita CM-a i izvješćivanje

Moguće je da PO za DMS sadrži i potporu za vođenje CM audita i razna izvješćivanja, no to nije česti slučaj. Druga mogućnost je koristiti specifičnu PO za vođenje audita koja je opće namjene i „pokriva“ i audite drugih sustava upravljanja (informacijske sigurnosti, kontinuiteta poslovanja, kvalitete, zaštite okoliša itd.). Pregled takve PO moguće je vidjeti putem poveznice  https://www.gartner.com/reviews/market/audit-management-solutions.

• Druga PO za potporu pojedinim funkcijama CM-a

Osim navedenih oblika PO za potporu pojedinim funkcijama CM-a postoje i još neke vrste alata koji bi se mogli kategorizirati u ovu skupinu Neke od njih su  barem tangentno već navedene.

2. PO za integriraniji pristup CM-u

Jasno je da korištenje PO koja je potpora samo pojedinim funkcijama CM-a iz  skupine 1, ima svoju ciljanu zadaću, ali zbog toga i ograničeni domet. Takvi alati su cjenovno dostupni, no nije ih moguće međusobno povezivati. Na taj način moguće je nabaviti „hrpu“ raznih međusobno nekonzistentnih alata, što dugoročnije baš i nije dobro rješenje. Zbog toga drugu skupinu PO za potporu CM-u čine oni alati koji imaju ambiciju „pokriti“ dio ili većinu funkcija iz skupine 1. Razumljivo je da je  broj razvijenih takvih alata puno manji, ali treba znati da oni postoje. Njihov pregled moguće je vidjeti npr., na poveznici https://www.getapp.com/it-management-software/integration/f/compliance-management/. Najčešće funkcije koje takvi alati pokrivaju vide se na slici u nastavku.

3. PO za GRC (Governance – Risk – Compliance) potporu.

GRC je koncept upravljanja poslovnim sustavom, njegova sposobnost da snažno provodi proces povezivanja 3 komponente:­ Governance-a, Risk Management-a i Compliance-a. Ove komponente temelje se na 7 logičkih cjelina: strateškom upravljanju, poslovnim procesima, politikama i procedurama, mjerenju performansi, upravljanju rizicima, kontrolnim strukturama / aktivnostima i auditima, što se vidi na slici:

Uloga Governance komponente je da vršni menadžment upravlja i nadzire cjelokupni poslovni sustav na način da u svakom trenutku „vidi“ sve strateški važne informacije, a među njima i sve kritične informacije putem kojih može uspoređivati ostvarenje postavljenih ciljeva i, po potrebi, momentalno donositi nove odluke.

Komponentu Risk u GRC-u  čini niz procesa kojima menadžment na svim razinama identificira njima pripadajuće rizike (strateške, operativne, sigurnosne itd.) i po potrebi inicira ili poduzima, u skladu sa svojim odgovornostima i ovlaštenjima, brze korektivne odgovore.

Komponenta Compliance je sposobnost poslovnog sustava da na svim razinama kroz kontrolne strukture / aktivnosti i audite nadzire da li se postupa u skladu s legislativnim i regulatornim zahtjevima, internim politikama, procedurama, standardima, dozvolama, licencama itd.

Vodećih 10 PO za GRC može se vidjeti na poveznici   https://thedigitalprojectmanager.com/tools/grc-tools, a očekivanja za 2022.g. na poveznici   https://www.softwaresuggest.com/us/grc-software.

Samo kao primjer, u nastavku se prikazuje slika jedne GRC platforme (isorobot-a) koju je ZIH evaluirao kao suvremeno i hrvatskom tržištu prihvatljivo cost – benefit rješenje za digitalizaciju poslovnog sustava temeljenog na GRC pristupu:

Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovih dijelova bez izričite dozvole nositelja autorskog prava. No, iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu compliance management-a.

[1] Može se očekivati da će se taj problem postupno moći riješiti putem umjetne inteligencije.

[2] Zbog toga je ZIH za svoje konzultantske aktivnosti razvio vlastite alate i prilagodio ih pojedinim područjima koja su predmet dijagnostike trenutačnog stanja (poslovne zrelosti neke organizacije, upravljanje rizicima, informacijska sigurnost, kibernetičke sigurnost, internih kontrola, zaštite privatnosti, zaštite prijavitelja nepravilnosti, antikorupcije, upravljanja kontinuitetom poslovanja itd. Naša je preporuka svakako tražiti konzultantsku potporu za ovu fazu uspostave CM-a.