O funkci compliance a compliance management systému

Korporátní compliance je zpravidla definována jako interní politika průběžného zajišťování souladu a slučitelnosti všech činností obchodní korporace a jejích zaměstnanců s požadavky regulatorní úpravy, obecně závazných právních předpisů, jakož i interních směrnic a související „nejlepší praxe“ (best practice).  

Velmi důležité je v této souvislosti vždy rozlišovat vlastní funkci compliance (compliance function) a její organizačně technický rámec, který je v současně době souhrnně označován jako compliance management systém (CMS).

Zatímco funkce compliance vyjadřuje funkční sledování a naplňování základního cíle korporátní compliance, tj. ono průběžné zajišťování „souladu a slučitelnosti“, tak compliance management systém představuje organizačně technické zabezpečení naplňování funkce compliance v každodenní činnosti obchodní korporace. Na tomto základě je pak CMS vymezován jako interní řídící (management) systém vzájemně propojených postupů, opatření a nástrojů organizace, jehož cílem je průběžné zajišťování souladu jejího chování s požadavky regulatorní úpravy, obecně závazných právních předpisů, jakož i interních směrnic a „best practice“.  

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

 Z hlediska začlenění korporátní compliance do kontextu řídících a kontrolních vztahů v rámci obchodních společností v České republice je klíčové, že funkce compliance je dnes považována za nedílnou součást vnitřního kontrolního systému. V této souvislosti je přitom nespornou skutečností, že výchozí a současně i finální právní odpovědnost za vnitřní kontrolní systém, a potažmo i za širší řídící a kontrolní systém, nese u obchodních společností statutární orgán, resp. jeho členové.   

Kdo odpovídá za korporátní compliance

Odpovědnost za účinné uplatňování funkce compliance a compliance management systém v obchodní společnosti je do značné míry determinována tím, že jde o právem neupravené kategorie, které, až na ojedinělé výjimky, nemají přímé vyjádření v obecně závazných právních předpisech [3].    

V tomto směru lze však vycházet ze základní a výchozí ISO normy pro compliance management systémy, kterým je ISO 37301:2021 (Compliance management systems – Requirements with guidence for use) [4], jež otázku Vedení (Leadership) a odpovědnosti za compliance management systém upravuje ve své páté kapitole.

Odpovědnost za organizaci a vedení compliance management systému je zde rozdělena následovně:

• správní a řídící orgán (governing body);
• vrcholové vedení (top management);
• osoba pověřená funkcí compliance (compliance function, standardně ale compliance officer);
• vedoucí zaměstnanci (management);
• zaměstnanci (personnel).    

Z hlediska dotčené české právní úpravy je možné odpovědnost za compliance v rámci obchodních společností dovozovat i z dotčené právní úpravy postavení, působnosti a povinností jak členů statutárního orgánu podle zákona o obchodních korporacích [5], tak i vedoucích zaměstnanců podle zákoníku práce [6]. 

Klíčová odpovědnost statutárního orgánu

Za prosazování funkce compliance jednoznačně primárně odpovídá v českém právním prostředí statutární orgán společnosti, pokud má charakter kolektivního orgánu, anebo případně všichni členové statutárního orgánu, kteří kolektivní orgán netvoří.

Tato skutečnost obecně vyplývá z postavení a působnosti statutárního orgánu, když mu náleží veškerá působnost, kterou zakladatelský dokument (společenská smlouva, zakladatelská listina, stanovy atd.) nebo zákon nesvěří jinému orgánu společnosti. Statutárnímu orgánu společnosti přitom v tomto rámci přísluší i obchodní vedení společnosti, které je ustálenou soudní judikaturou vykládáno jako komplexní „řízení společnosti, zejména organizování a řízení její podnikatelské činnosti, včetně rozhodování o podnikatelských záměrech [7]“.

Konkrétní osobní odpovědnost může být v tomto směru přirozeně komplikována tím, zda u té které společnosti dochází k vnitřní (horizontální) delegaci působnosti a pravomoci statutárního orgánu. Obdobně jako v jiných oblastech působnosti statutárního orgánu je totiž i pro oblast compliance možná delegace působnosti statutárního orgánu na jeho jednotlivé členy, kdy o otázkách spadajících do svěřené části působnosti rozhoduje pouze ten člen, na něhož byl výkon této působnosti delegován. Zpravidla by mělo o jít o toho člena, který obecně odpovídá za úsek interní správy a řízení, včetně vnitřní kontroly a vnitřního kontrolního systému.

I v tomto případě ale platí, že případné rozdělení působnosti mezi jednateli neznamená zánik jejich „společné odpovědnosti“, když rozdělení působnosti nezbavuje další členy orgánu povinnosti dohlížet, jak jsou záležitosti společnosti spravovány.

Pokud jde o působnost na úseku vnitřní kontroly a compliance, tak se i zde plně aplikuje povinnost vykonávat funkci s péčí řádného hospodáře, tj. s nezbytnou loajalitou a s potřebnými znalostmi a pečlivostí. I v tomto směru přitom jde o „střední laťku pečlivosti“ při spravování záležitostí společnosti, což znamená, že na straně statutárního orgánu nebo jeho člena nejde o péči odbornou, ale péči profesionální, když postačuje rozeznat hrozící compliance rizika nebo újmu a preventivně bránit jejich vzniku a následkům.

Pokud se opět vrátíme k normě ISO 37301, tak klíčovou odpovědnost statutárního orgánu anebo jeho členů za agendu compliance obecně klade v bodě 3.21 na správní a řídící orgán (governing body), který je zde definován jako osoba nebo skupina osob, která má konečnou odpovědnost a pravomoc za činnosti organizace, její správu a řízení a zásady, a které je odpovědný a jíž reportuje vrcholový management. Správní a řídící orgán v tomto směru přitom odpovídá za všechny hlavní složky compliance, tj. jak za nastavení výchozí compliance kultury (compliance culture), tak i za správu a řízení compliance (compliance governance) a za zásady compliance (compliance policies).   

Další souvislosti odpovědnosti statutárního orgánu

V širším kontextu správy a řízení obchodních korporací (Corporate governance) je třeba dále uvést, že i mezinárodní a národní kodexy správy a řízení obchodních korporací výslovně stanoví odpovědnost správních a řídících orgánů za vnitřní kontrolu a funkci compliance. To se týká i mezinárodního respektovaného kodexu G20/OECD Principles of Corporate Governance 2023 a národního  Kodexu správy a řízení obchodních společností ČR 2018.

Ačkoliv jde o kodexy, které jsou primárně určeny veřejně obchodovaným společnostem, tak jsou jejich standardy stále častěji uplatňovány i u dalších společností, a to zejména u těch, které mají povinnost uplatňovat určité standardy správy a řízení společností podle zvláštních právních předpisů, anebo u společností, u nichž taková povinnost vyplývá ze zakladatelských dokumentů či z jejich účasti v podnikatelském seskupení.

Novou dimenzi úpravy odpovědnosti statutárních orgánů za vnitřní kontrolu, compliance a agendu ESG představuje nově koncipovaná povinnost podávání zpráv o udržitelnosti, kterou přináší směrnice o podávání zpráv podniků o udržitelnosti (Corporate Sustainability Reporting Directive, CSRD), a povinnost náležité péče ve smyslu návrhu směrnice o náležité péči podniků v oblasti udržitelnosti (Corporate Sustainability Due Diligence Directive, CSDDD).

Právní odpovědnost statutárního orgánu na německém příkladu 

Problematika vyvozování osobní odpovědnosti za účinné prosazování funkce compliance a compliance management systému v rámci obchodních společností se v posledních letech stala aktuální a praktickou zejména v německém právním prostředí. Přestože ani ve Spolkové republice Německo nejsou až na výjimky v tomto směru stanoveny výslovné právní povinnosti, tak tamní soudní judikatura již ustáleně vykládá tuto odpovědnost členů představenstva a jednatelů v širším kontextu jejich povinnosti vykonávat svou funkci a obchodní vedení s náležitou péčí (Sorgfaltspflicht).

Tato základní povinnost člena statuárního orgánu, jejímž ekvivalentem je v českém právu povinnost péče řádného hospodáře, přitom podle výkladu německých soudů zahrnuje i odpovědnost za odpovídající organizační strukturu společnosti, vnitřní kontrolní systém a za funkci compliance. To poté v praxi znamená i odpovědnost za zavedení CMS a v jeho rámci i za náležitá a vhodná compliance opatření, jejichž nepřijetí je považováno za porušení náležité péče. Ačkoliv v České republice dosud taková soudní rozhodnutí nebyla vydána, lze tak v blízké době očekávat, neboť nepochybně jde o širší mezinárodní trend, který je aktuálně posilován i odpovědností statutárního orgánu za řádné vedení vnitřního oznamovacího systému a ochranu oznamovatelů.

JUDr. Pavel Koukal   
advokát / Associate Partner

Rödl & Partner

Platnéřská 2 
110 00  Praha 1

Tel.: +420 236 163 111

E-mail: pavel.koukal@roedl.com

[1] V tomto směru je vycházeno zejména z aktualizované metodiky Nejvyššího státního zastupitelství Aplikace § 8 odst. 5 zákona o trestní odpovědnosti právnických osob a řízení proti nim. Průvodce právní úpravou pro státní zástupce, 3. přepracované vydání. NSZ, Brno, 2020. K dispozici >>> zde.

[2] Zásadní impuls v tomto směru přinesla změna přístupu ze strany Úřadu pro ochranu hospodářské soutěže, která vyústila ve vydání Oznámení ÚOHS ze dne 1.1.2024 o compliance programech. K dispozici >>>zde.

[3] Takovou výslovnou úpravu funkce compliance jako právní povinnosti nalezneme v regulatorní úpravě finančních institucí, např. v ustanovení § 8b odst. 1 písm. c) bod 2. zákona č. 21/1992 Sb. , o bankách.

[4] Tato norma byla vydána i jako převzatá česká norma: ČSN ISO 37301:2023 (Systémy managementu souladu – Požadavky s návodem pro použití). 

[5] Zákon č. 90/2012 Sb. , o obchodních společnostech a družstvech (zákon o obchodních korporacích).

[6] Zákon č. 262/2006 Sb. , zákoník práce.

[7] Zde srov. rozsudek Nejvyššího soudu ze dne 25.08.2004, sp. zn. 29 Odo 479/2003. K dispozici >>>zde.