Šuplíková smernica nie je zlyhanie compliance. Niekedy je to najlepšie rozhodnutie, aké môžete urobiť.

Vieme, že to znie provokačne. Ale presne to si myslíme. Regulácia si vyžaduje smernicu. Ale medzi "mať smernicu" a "zaviesť ju do praxe" je obrovský priestor, v ktorom sa rozhoduje o skutočnej hodnote compliance. Tento newsletter vzniká pre tých, ktorí vedia rozlíšiť, kedy je smernica v šuplíku správnou odpoveďou – a kedy je to len odložený problém.

Povedzme si to rovno.

Každý compliance officer vie, čo je šuplíková smernica. Dokument, ktorý vznikol preto, lebo regulácia ho vyžaduje. Formálne bezchybný. Právne pokrytý. A uložený v systéme, kde ho nikto – vrátane tých, ktorých sa týka – nenájde, neprečíta a neuplatní.

Väčšina článkov o compliance by v tomto momente začala vysvetľovať, prečo je to zlé. My začneme inak.

Niekedy je smernica v šuplíku správnym rozhodnutím.

Nie preto, že by sme boli cynickí. Ale preto, že vieme, ako vyzerá pondelkové ráno compliance officera. Kapacity nie sú. Vedenie má iné priority. IT hovorí „možno na jeseň“. A stále pribúdajú ďalšie povinnosti.

V reálnej organizácii s reálnymi kapacitami, reálnymi prioritami a reálnym tlakom na výsledky nie je možné – ani rozumné – plne implementovať každú regulačnú požiadavku v rovnakom čase a s rovnakou intenzitou. Problém nie je šuplíková smernica. Problém je, keď sa stane nevedomým defaultom namiesto vedomého rozhodnutia.

Efektívne compliance. Čo to vlastne znamená?

"Efektívne compliance" je dnes jeden z najpoužívanejších pojmov v celej oblasti. A zároveň jeden z najvágnejších.

Pýtajte sa desiatich compliance officerov, a dostanete desať rôznych odpovedí. Väčšinou všetky správne. A väčšinou všetky neúplné. Vrátane tej vašej – aj tej mojej. Nízky počet nálezov pri audite. Vysoká účasť na školeniach. Bezincidentový rok. Rýchle schvaľovanie smerníc. Spokojnosť regulátora.

Každá z týchto odpovedí zachytáva kúsok reality. Žiadna z nich nie je celá pravda.

Pretože efektivita compliance sa nemeria počtom dokumentov, percentom absolvovaných školení ani tým, že regulátor odišiel spokojný. Meria sa tým, čo firma skutočne chránila – a za akú cenu. A práve toto meranie väčšina organizácií nemá.

Zdroj: Ponemon Institute / Comply.com – The True Cost of Non-Compliance. — *Zdroj: Ponemon Institute /* *Comply.com* *– The True Cost of Non-Compliance.*

Regulácia vyžaduje smernicu. Prax vyžaduje rozhodnutie.

Tu je realita, ktorú vidíme opakovane: regulátorná povinnosť si vyžaduje smernicu. To je jasné. Ale medzi "mať smernicu" a "zaviesť ju zmysluplne do praxe" je obrovský priestor. A v tomto priestore stojí compliance officer pred rozhodnutím, ktoré sa málokde explicitne pomenúva:

Čo s tým urobím?

Plná implementácia v tejto chvíli si vyžaduje kapacity, ktoré organizácia nemá. Vedenie má iné priority. IT systém nie je pripravený. Zmena procesov by trvala mesiace. A medzitým existujú iné riziká – reálnejšie, s vyšším dopadom – ktoré čakajú na pozornosť.

V takomto kontexte nie je šuplíková smernica zlyhanie. Je to dočasná, vedomá odpoveď na reálne obmedzenia. S jasným plánom, kedy sa k nej vrátime. A s pochopením, aké riziko tým dočasne akceptujeme.

Zlyhanie nastáva vtedy, keď toto rozhodnutie nie je vedomé. Keď smernica skončí v šuplíku nie preto, že sme sa tak rozhodli, ale preto, že sme to neriešili.

*Zdroj: LRN / Navex Global Compliance Statistics.*

Otázka, ktorú nikto nekladie dostatočne nahlas

Ktoré riziká skutočne stoja za to, aby sa im organizácia venovala práve teraz? Nie všetky riziká sú si rovné. Nie všetky regulačné povinnosti majú rovnaký dopad. A nie každé opatrenie, ktoré vyzerá správne na papieri, prináša reálnu ochranu v konkrétnom prostredí konkrétnej firmy.

Moderné myslenie o compliance – a o riadení rizík vôbec – pracuje s dvoma pojmami, ktoré za tým stoja: Impact Design a double materiality.

Impact Design je prístup, ktorý kladie otázku nie "čo musíme mať?", ale "čo skutočne chráni?" Impact Design kladie jednoduchú, no nepríjemnú otázku: Chráni toto opatrenie niečo reálne, alebo len zakrýva chrbát? Nie je to o cynizme. Je to o úprimnosti voči sebe a organizácii.

Double materiality rozširuje pohľad ešte ďalej: nielen o to, aký dopad majú externe faktory na firmu, ale aj aký dopad má firma na svoje okolie – na ľudí, prostredie, komunity, s ktorými pracuje. V compliance kontexte to znamená, že "materiálne" nie je len to, čo môže poškodiť firmu. Je to aj to, za čo firma nesie zodpovednosť navonok. V praxi: compliance nie je len o tom, čo môže poškodiť firmu. Je to aj o tom, za čo firma ručí navonok.

Tieto pojmy nie sú akademická teória. Sú to praktické nástroje pre rozhodovanie o tom, čomu venovať čas, kapacitu a zdroje.

Prečo o tom hovoríme

Compliance Couch nevzniká ako ďalší zdroj informácií o regulačných novinkách. Vzniká ako priestor pre iný pohľad na to, čo compliance skutočne robí – a ako ho robiť tak, aby malo reálny dopad.

V nasledujúcich vydaniach sa budeme venovať presne tomu: čo compliance je a čo nie, ako navrhovať opatrenia, ktoré firma skutočne unesie, ako komunikovať riziká vedeniu bez obranného reflexu, a ako rozlíšiť, kde je skutočný problém a kde je len formálna nepohoda.

Pre tých, ktorí toto rozlíšenie poznajú z vlastnej praxe – a hľadajú lepší jazyk, lepší rámec a lepšiu oporu pre rozhodnutia, ktoré denne prijímajú.

S pozdravom z "gauča", Lucie Schweizer, partner G. Lehnert.