Pod pojmem compliance lze chápat způsob jednání v souladu s pravidly. Často pojem compliance vídáme ve spojení s pojmy governance a risk nebo je obsažen ve zkratce GRC (Governance, Risk & Compliance). Zatímco governance cílí ke kvalifikovanému a odpovědnému vedení společnosti, risk pak zahrnuje řízení rizik. Všechny tři pojmy spolu souvisejí a činnosti, které pod ně spadají, se navzájem prolínají.

Je vhodné si položit otázku, se kterými pravidly je třeba soulad zajistit. Důležité je zajistit soulad jak s pravidly vnějšími (např. zákony, nařízení, vyhlášky), tak vnitřními (interní předpisy, politika společnosti, hodnoty společnosti, dobrovolně přijaté principy). Ve společnosti by pak měly být v rámci vnitřních pravidel nastaveny kompetence a měly by existovat postupy, které zajistí prosazování preventivních opatření a jejich kontrolu.

Z hlediska nastavení kompetencí je vhodné určit osobu nebo oddělení, které bude soulad s pravidly zastřešovat, organizovat a poskytovat poradenství pro compliance témata. U malých společností mohou být tyto činnosti součástí pracovních povinností právníka. U větších společností je vhodné zřídit samostatné GRC oddělení, které řeší i otázky governance a řízení rizik.

K důležitým úkolům osoby zodpovědné za compliance patří zajištění analýzy rizik, jejímž cílem je v konkrétních podmínkách společnosti rozlišit závažná nebezpečí od těch méně závažných a více pravděpodobná nebezpečí od méně pravděpodobných. Jaké úkony nebo události bude společnost vnímat za rizikové, záleží zejména na předmětu podnikání společnosti. Vedle rizik výroby, ohrožení životního prostředí, bezpečnosti práce, IT rizik apod. lze říci, že zavedením trestní odpovědnosti právnických osob se rizikovými stávají i jednání zaměstnanců uvedená v § 7 TOPO, která jsou přičitatelná společnosti. Z takto identifikovaného seznamu rizik, z dlouhodobých cílů, politiky, kultury a filozofie společnosti by měl vycházet koncept preventivního (compliance) systému.

Koncept preventivního (compliance) systému ve společnosti vymezí hlavní oblasti, jejichž postupy, organizaci, rizika a protiopatření rizik je vhodné popsat ve vnitřních předpisech. Jednoznačné, právním předpisům odpovídající, snadno přístupné a v národním jazyce vypracované vnitřní předpisy tvoří významná compliance opatření.  Vnitřní předpis nesmí být nikdy vydán se zpětnou účinností. Zrušený předpis je třeba archivovat alespoň po dobu 10 let ode dne vypršení doby jeho účinnosti. Odborný zaměstnanec nebo oddělení by při vyhotovování každého vnitřního předpisu mělo dbát na to, aby z něj plynul popis postupu a organizace postupu, tedy kdo, co, jak a kdy bude dělat, případně i kdo, jak a kdy provede kontrolu. Odborný zaměstnanec nebo oddělení zároveň sleduje a zapracovává legislativní změny do vnitřních předpisů. 

Mezi nejvýznamnější vnitřní předpisy patří zejména pracovní řád a organizační řád. Pracovní řád podle § 306 odst. 1 zákona č. 262/2006 Sb. , zákoník práce, ve znění pozdějších předpisů, rozvádí povinnosti zaměstnanců a zaměstnavatele dané právními předpisy v konkrétních podmínkách společnosti. Tím, že zákoník práce pracovní řád přímo předpokládá, jsou povinnosti v něm uvedené v případě pracovněprávního sporu lépe vymahatelné než stejné povinnosti uvedené v jiných specializovaných vnitřních předpisech. Organizační řád, který popisuje stupně řízení a kompetence ve společnosti, pak má určovat, kdo povinnosti dané pracovním řádem a dalšími vnitřními předpisy kontroluje a vynucuje. Existenci organizačního řádu bude obvykle vyžadovat externí auditor.

Mezi další činnosti, které by měly být ve společnosti popsány, patří fungování vnitřního kontrolního systému, nastavení pravidel bezpečnosti (a to zejména ve vztahu k informačním technologiím), pravidla pro bezpečnost a ochranu zdraví při práci, úprava pravidel pro nakládání s duševním vlastnictvím, zejména know-how, nastavení povinností pro příjem a dávání darů, pozvání a pohoštění, sponzoringu, předcházení praní špinavých peněz atd.

Některá pravidla, která mají být ve společnosti dodržována, nelze popsat jako postup nebo organizační opatření. Takové obecnější zásady chování je vhodné navenek písemně deklarovat např. ve formě zásad chování či anglického „Code of Conduct“. Zásady chování zaměstnanců se opět budou lišit podle předmětu podnikání společnosti a podle hodnot, které společnost vyznává. Z hlediska hodnot lze v každé společnosti doporučit úpravu rovnosti příležitostí a vzájemného respektu, zákazu diskriminace, boje proti korupci, ochrany hospodářské soutěže, odpovědnosti za dobrou pověst společnosti, nakládání s informacemi, ochrany životního prostředí apod.

Povinností osoby zodpovědné za compliance je informovat nebo zajistit informování o novinkách v oblasti vnějších pravidel, zejména tedy české a evropské legislativy nebo legislativy, která se dotýká činností zahraničních dceřiných společností. Odpovědnost za provedení souladu s vnějšími pravidly má ale ve většině případů nést odborný zaměstnanec nebo oddělení, ne osoba odpovědná za compliance. Osoba odpovědná za compliance zde může nabídnout konzultaci.

V okamžiku, kdy činnosti společnosti, rizika těchto činností a jejich protiopatření jsou ve společnosti popsána, je třeba s nimi zaměstnance seznámit. Seznámení probíhá např. formou školení, interního časopisu, na intranetu, sdělením vedoucího, pomocí e-learningu apod. Odpovědnost za informování nových zaměstnanců o vnitřních pravidlech nese personalista nebo vedoucí odborného oddělení, do kterého zaměstnanec nastupuje. O novinkách či zrušení pravidel informuje stávající zaměstnance obvykle vedoucí odborného oddělení. Ten by měl být schopen prokazatelnou formou doložit, že jeho podřízení se s novými pravidly seznámili do 15 dní od jejich vyhlášení. V případě předávání informací pomocí školení nebo e-learningu je vhodné nechat si od zaměstnance účast potvrdit. U nejrizikovějších činností společnosti je dobré znalosti zaměstnanců i testovat, stanovit hranice úspěšnosti a výsledky testování archivovat.

Některým pro společnost zvlášť nebezpečným činnostem zaměstnanců lze předcházet jejich výslovným zákazem v pracovních smlouvách. Může to být např. výslovný zákaz podvodů, korupčního jednání či zneužití informací.

V neposlední řadě by osoba zodpovědná za compliance měla ve spolupráci s jinými odbornými odděleními nebo zaměstnanci (zejména s odděleními nákupu a prodeje) prověřovat smluvní partnery společnosti. Doporučuje se ve vnitřním předpise stanovit povinnost prověřit každý subjekt alespoň před uzavřením smluvního vztahu. Takové prověření je možné provést např. pomocí služeb veřejné správy na Internetu, v Obchodním rejstříku nebo jiném veřejném seznamu. V souvislosti s mezinárodními sankcemi byly založeny poradenské společnosti, které vytvářejí databáze rizikových subjektů a specializují se na prověřování. Některé společnosti mohou mít zájem i na prověření nových či stávajících zaměstnanců, zejména jejich profesní historie a zhodnocení rizika plynoucího z navázání zaměstnanců na konkurenci.

Dále je třeba kontrolovat, zda jsou výše uvedená preventivní opatření prováděna a dodržována. Takovou kontrolu by měl zajistit někdo jiný, než ten, kdo je odpovědný za compliance. Je vhodné takové povinnosti uložit internímu auditu, revizi nebo jinému kontrolnímu útvaru společnosti.

Ve ŠKODA AUTO a.s. existoval preventivní a kontrolní systém již před zavedením trestní odpovědnosti právnických osob. TOPO tomuto systému dalo jasný rámec. Od 2011 ve společnosti ŠKODA AUTO a.s. existuje útvar Governance, Risk & Compliance, který převzal již existující preventivní systém a podílí se na jeho zdokonalování a navázání na systém vedený v koncernu Volkswagen. Hlavním úkolem při zdokonalování preventivního systému je zamezení odpovědnosti plynoucí z TOPO, z pravidel hospodářské soutěže a ze zamezení sankcí za porušení pravidel o praní špinavých peněz. Druhým významným úkolem je pomocí prevence ochránit dobré jméno společnosti, jehož poškození může v konečném důsledku způsobit daleko závažnější ekonomické škody, než uložení peněžitého trestu nebo administrativní sankce.

Není-li ve Vaší společnosti dosud preventivní systém zaveden, věřím, že Vám výše uvedený návrh opatření poslouží jako minimální základ.

Ota Klekner,
ŠKODA AUTO a.s., Governance, Risk & Compliance

ŠKODA AUTO a.s.
Tř. Václava Klementa 869
293 60  Mladá Boleslav

Tel: +420 326 811 810
Fax: +420 326 842 713

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz