Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?


Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie):

  1. pracownicy operacyjni jako właściciele ryzyk - stanowiący tzw. pierwszą linię obrony,

  2. ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz

  3. audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

Na drugą linię obrony odpowiedzialną za nadzorowanie polityk, budowanie i doskonalenie systemów wewnętrznych, składają się także tak zwane jednostki back-office czyli funkcje takie jak m.in.: compliance, obsługa prawna, kontrola finansowa czy inne funkcje zarządzania ryzykiem.

Odpowiedzialność za realizację procesów jest przydzielona przekrojowo w model COSO czy w opublikowanej w kwietniu 2021 r. normie ISO 37301:2021 Compliance management systems – Requirements with guidance for use. Oba standardy podkreślają potrzebę dystrybucji odpowiedzialności za realizację procesów biznesowych wśród wszystkich członków organizacji. Jaką zatem rolę pełni w tym procesie zarząd oraz rada nadzorcza?

Efektywne zarządzanie ryzykiem - nadzór nad procesem

Rada nadzorcza powinna być regularnie informowana przez zarząd oraz audyt wewnętrzny o poziomie ryzyka obecnym w organizacji. Jednak to zarząd pełni kluczową rolę w procesie zarządzania ryzykiem. Tym samym odpowiedzialność za efektywne zarządzanie ryzykiem towarzyszącym procesowi zgłaszania i rozpatrywania potencjalnych naruszeń również spoczywa na zarządzie, który swoim nadzorem obejmuje cały proces. Od wdrożenia odpowiednich procesów, procedur i narzędzi, przez powołanie komórek czuwających nad drożnością kanałów raportowania w organizacji, aż do (w razie potrzeby) podejmowania rozstrzygających decyzji w indywidualnych sytuacjach.

Ten artykuł wchodzi w skład serwisu - Ochrona sygnalistów w praktyce

Z perspektywy organizacji wszystkie te domeny staną się widoczne dopiero kiedy zostaną podkreślone tonem płynącym z góry, np. w formie szerokiej komunikacji o podjętych decyzjach i działaniach. Ważne, by standardy wyznaczone przez zarząd nie pozostały jedynie deklaracjami i były poparte praktyką i konsekwencją, ponieważ – parafrazując klasyka Romana Ingardena – „słowa rzucane na wiatr są jak kamienie, o które inni się potykają”. Potwierdzają to badania empiryczne.

 

Z najnowszej edycji Światowego Badania Uczciwości w Biznesie 2022 wynika, że rośnie dysproporcja pomiędzy deklaracjami, a rzeczywistym postępowaniem w tym obszarze. Szczególnie widać wzrost poziomu tolerancji dla zachowań nieetycznych wśród najwyższej kadry kierowniczej. Globalnie ponad czterech na dziesięciu ankietowanych członków zarządu (42%) zgadza się, że nieetyczne zachowanie menedżerów wyższego szczebla lub pracowników osiągających wysokie wyniki jest tolerowane w ich organizacjach (wzrost z 34% w 2020 r.). Również większy odsetek członków zarządu (34%, w porównaniu do 25% w 2020 r.) zgadza się, że omijanie reguł biznesowych w ich firmach stało się łatwiejsze w czasie pandemii.  

 

Takie wyniki mogą sugerować, że z praktycznego punktu widzenia zapewnienie zgodności deklaracji z realnymi działaniami może być jednym z trudniejszych wyzwań, które determinują zaufanie do wewnętrznego systemu raportowania możliwych naruszeń.

 

Kluczowe zadania i odpowiedzialność w ramach procesów zgłaszania i rozpatrywania potencjalnych naruszeń zaraportowanych przez sygnalistów

FUNKCJA oraz ZADANIA I ODPOWIEDZIALNOŚCI

 

Rada Nadzorcza

  • nadzór nad realizacją obowiązków wynikających z dyrektywy o ochronie sygnalistów

Zarząd

  • wyznaczanie i manifestowanie  przyjętego standardu „tonu płynącego z góry”, w tym w kontekście zakazu działań odwetowych skierowanych przeciwko sygnalistom

  • wyznaczenie osoby / jednostki odpowiedzialnej za realizację procesów zgłaszania i rozpatrywanie potencjalnych naruszeń; zapewnienie jej niezależności i prawa do poufności prowadzonych postępowań wyjaśniających

  • zapewnienie wystarczających środków, narzędzi i kompetencji umożliwiających skuteczną realizację wymogów dyrektywy o ochronie sygnalistów

  • udostępnienie wewnątrz i na zewnątrz organizacji kanałów raportowania

  • udostępnienie listy instytucji zewnętrznych, do których sygnaliści mogą zgłosić potencjalne naruszenie

  • podejmowanie decyzji w oparciu o ustalenia postępowań wyjaśniających

  • informacja do rady nadzorczej

Compliance

  • opracowanie procedur i instrukcji odnośnie do procesów zgłaszania i rozpatrywania potencjalnych naruszeń zgodnych z wymogami dyrektywy o ochronie sygnalistów

  • promowanie wiedzy na temat zgłaszania możliwych naruszeń oraz zasad ich rozpatrywania wewnątrz organizacji; szkolenia i komunikacja członków organizacji; komunikacja do zewnętrznych partnerów biznesowych

  • przyjmowanie i obsługa zgłoszonych przypadków potencjalnych naruszeń, komunikacja z sygnalistami; obsługa kanałów raportowania

  • rozpatrywanie zgłoszeń sygnalistów; komunikacja z sygnalistami; prowadzenie dokumentacji

  • prowadzenie postępowań wyjaśniających; w razie potrzeby powoływanie wewnętrznych i zewnętrznych ekspertów merytorycznych

  • koordynacja działań naprawczych na bazie decyzji podjętych przez zarząd

  • komunikacja z zarządem i radą nadzorczą odnośnie ryzyk zidentyfikowanych na bazie zgłoszeń sygnalistów

  • w razie potrzeby komunikacja z właściwymi jednostkami zewnętrznymi

Wszyscy członkowie organizacji

  • postępowanie zgodnie z przyjętymi wartościami i zasadami

  • zgłaszanie zaobserwowanych potencjalnych naruszeń



Podsumowanie

Dyrektywa o ochronie sygnalistów nakłada na organizacje obowiązek podjęcia działań, które łącznie zapewnią skuteczny system ochrony osób zgłaszających potencjalne naruszenia. Na mocy nowych przepisów przedsiębiorstwa będą zobowiązane do aktualizacji i ustrukturyzowania procesu zgłaszania naruszeń oraz ich rozpatrywania.


Inne artykuły w tym temacie

    Kontakt
    Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

    Informacje

    Polecane artykuły

    Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

    Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie): pracownicy operacyjni jako właściciele ryzyk, ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

    Kto to jest sygnalista?

    Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.