dnes je 21.11.2019
Input:

Identifikace a analýza compliance rizik u středního podniku

5.6.2019, , Zdroj: Verlag Dashöfer

6.1
Identifikace a analýza compliance rizik u středního podniku

JUDr. Pavel Koukal

V praxi korporátní compliance paradoxně dosud není vždy věnována náležitá pozornost její výchozí fázi, kterou je identifikace a analýza compliance rizik (Compliance-Risk Identification and Analysis), jež také bývá označována jako její identifikačně analytická fáze. Bez této vstupní fáze, tradičně systematicky řazené jako „Step one”, přitom samozřejmě nemůže mít jakékoli vážně míněné úsilí o zavedení Compliance management systému reálný smysl. Takový systém totiž nelze tvořit bez toho, abychom znali současná i hrozící potencionální rizika, vyplývající pro obchodní korporaci z její podnikatelské a další související činnosti.

V tomto směru se proto identifikace a analýza compliance rizik, jakožto výchozí fáze a základ celého CMS, logicky začleňuje do širšího kontextu bezprostředně související korporátní kategorie řízení rizik (Risk Management), se kterou tvoří jednotný systém korporátně preventivních opatření, jenž je zpravidla označován a prezentován jako Governance & Risk Management & Compliance.

Přestože je identifikace a analýza soutěžních rizik nesporným východiskem a základem každé programově řádně nastavené a realizované korporátní compliance, nelze ji samozřejmě jako dílčí fázi vytrhávat z celkového kontextu jednoty a nedělitelnosti všech procesů a fází CMS. To v praxi znamená zejména kontinuální důraz na zachování jednoty a vzájemné propojenosti všech jeho složek, tj. složek sahajících od tvorby programu „slučitelnosti”, jejíž součástí je i pojmenování a hodnocení rizik a stanovení prevenčních pravidel a opatření, přes implementaci tohoto programu do vnitřního života společnosti až po nástroje zpětné kontroly (monitoringu) nastavení a efektivního fungování tohoto systému.

Jedině tím lze ve svém důsledku zabránit tomu, aby původně vážně míněné „compliance úsilí nesklouzávalo do účelového a neefektivního sestavení čistě formálního Compliance programu, který v rámci společnosti ve své podstatě nikdo nezná a nerespektuje, namísto zavedení skutečně hodnověrného a efektivního CMS vytvářeného společnosti na „míru” a na základě průběžného prosazování zcela konkrétních postupů a opatření.

Z hlediska korporátní praxe je podstatné, že compliance rizika jsou sama o sobě součástí obecných korporátních rizik, která jsou bezprostředně spojena s běžnou podnikatelskou činností každé obchodní korporace. Ačkoliv samozřejmě platí, že četnost a míra compliance rizik je z logických důvodů zcela jiná u malé anebo u středně velké obchodní společnosti s marginální nebo nevýznamnou pozicí na relevantním trhu, než je tomu u velké korporace s významným tržním postavením a s reálnou způsobilostí ovlivňovat trh, nelze compliance rizika bez dalšího zcela opomíjet prakticky u žádné společnosti.

Jak již přitom bylo konstatováno v předchozích kapitolách, je nezpochybnitelnou odpovědností vrcholového managementu obchodních korporací, a v prvé řadě pak členů statutárních orgánů, dbát na to, aby jimi řízená korporace včas identifikovala a průběžně vyhodnocovala všechna hlavní podnikatelská rizika, včetně všech relevantních compliance rizik. Z věcného hlediska přitom nejde o nic jiného než o průběžné vyhledávání systémových, organizačních a provozních nedostatků a pochybení (zjevných i skrytých rizik), které mohou ve svém důsledku vést k narušení integrity a dobré pověsti společnosti, k jejímu právnímu (sankčnímu) postihu a ve zvláště závažných případech i k ohrožení jejího dalšího podnikání. Takovou činnost je nesporně třeba považovat za základní prvek „řádné správy” (Good governance) u každé společnosti.

Jestliže hovoříme o identifikaci a analýze compliance rizik jako základu a východisku celého CMS, neznamená to automaticky, že v každé společnosti musí být hned složitě vytvářen sofistikovaný a složitý systém s formálními procedurami. U velké části společností by totiž na počátku zcela postačovala alespoň elementární znalost či povědomost o hlavních compliance rizicích spojených s podnikáním v daném oboru, která bohužel často absentuje i u klíčových členů managementu středních společností s poměrně významným tržním podílem anebo vyšším počtem zaměstnanců.

Identifikace rizik

Pokud se vrátíme zpět k praktickým otázkám vstupní identifikačně analytické fáze, významnou je zejména ta skutečnost, že v rámci korporátní compliance jde v prvé řadě vždy o identifikaci relevantních (podstatných) compliance rizik, která mohou mít na danou společnost zásadní vliv, např. z hlediska hospodářské soutěže na dotčeném relevantním trhu, korupčních rizik apod.

Z hlediska obsahové náplně a zaměření identifikačně analytické fáze korporátní compliance je třeba vždy důsledně vycházet ze zcela konkrétních a individuálních podmínek té které obchodní společnosti, neboť jedině tak má identifikace a analýza compliance rizik praktický význam ve smyslu nalezení cílového stavu „bezpečného přístavu” (Safe Harbour). Tyto předem určené konkrétní podmínky a souvislosti jsou ale na druhé straně samozřejmě posuzovány a porovnávány na základě určitých rámcových, resp. typových kritérií, která jsou dovozována jak z teoretických základů korporátní compliance, tak i z tzv. best practice.

Hodnoticí kritéria

Pokud jde o jednotlivá hodnoticí kritéria používaná pro identifikaci a analýzu možných soutěžních rizik, zde se projevuje výrazně ta zásadní okolnost, že se obě tyto relativně samostatné činnosti v rámci výchozí fáze CMS vzájemně prolínají a tvoří jeden celek. To v praxi znamená, že je nelze od sebe uměle oddělovat a jednoduše tvrdit, že nyní budeme soutěžní rizika „identifikovat” a až následně odděleně „analyzovat a vyhodnocovat”, neboť již při identifikaci rizik do značné míry provádíme jejich hodnocení a naopak. K tomu je třeba dodat, že pokud jde vůbec o otázku pojmosloví, toto je celkově v korporátní compliance nejednotné a často nedůsledné. Vedle výchozího pojmu „analýza rizik” (Risk analysis) se totiž používají i další pojmy, jako je „posuzování rizik” (Risk assessment) anebo „hodnocení rizik” (Risk evaluation).

V rámci identifikačně analytické fáze se v zásadě využívají dvě základní skupiny vstupních informací a údajů (vstupních dat), a to:

  • informace nezbytné pro zjištění systémových nedostatků a compliance rizik na straně dané společnosti,

  • informace