Standardizace a certifikace CMS

4.6

Standardizace a certifikace CMS

JUDr. Pavel Koukal

V poslední době jsou v souvislosti s Compliance management systémem velmi často diskutovány a zvažovány i různé možnosti jeho standardizace a případné certifikace. Je však třeba konstatovat, že v globálním prostředí korporátní compliance to obecně není nijak nové téma, neboť nejméně již od roku 2010 se postupně prosazují různé dílčí pokusy o vytvoření určitých souborů standardů pro zavádění a hodnocení interních CMS.

Standardizací CMS se přitom v daných souvislostech zpravidla rozumí tvorba určitých kvalifikovaných souborů společných normativních požadavků na organizaci a fungování interního systému korporátní compliance, které lze považovat za obecně respektované, obvyklé a standardní. Oproti tomu za certifikaci CMS je pak označována již vlastní procedura přezkoumání (ověření) konkrétního Compliance management systému, jež poté vede, resp. může vést k udělení příslušného certifikátu (osvědčení) ze strany certifikačního nebo auditního orgánu o tom, že posuzovaný systém vyhovuje nastaveným standardům, resp. že jej lze považovat za funkční a účinný.

Současně je však nutné doplnit, že po řadu let šlo pouze o více méně lokální (národní) anebo v lepším případě o úzce "mezistátní" pokusy o standardizaci a certifikaci korporátní compliance, jejichž uznání a rozšíření se zpravidla omezovalo pouze na jeden nebo jen několik málo regionálně propojených států.

Je přitom podstatné, že ve většině případů standardizace a certifikace je předmětem zájmu a vlastního ověření funkčnosti a efektivnosti zpravidla Compliance Management System jako celek, tedy nikoliv jeho jednotlivé části zaměřené např. na dílčí oblasti typu soutěžní compliance, protikorupční compliance, compliance na úseku finanční a daňové integrity atd. To ale nic nemění na zásadním významu, který speciálně i pro dílčí oblasti compliance proces standardizace a certifikace má, neboť jedině tak lze na základě objektivních hledisek (ve formě plnění či neplnění standardů) určit, zda jsou jak celkový CMS, tak i současně konkrétní opatření a nástroje v rámci soutěžní compliance funkční a efektivní, a zda tedy vůbec mají pro společnost reálný smysl a potřebnou přidanou hodnotu.

Není v tomto směru žádným tajemstvím, že v korporátní praxi ještě stále spíše převládá pojetí korporátní compliance jako nikoli reálně fungující a efektivní složky interního systému správy a řízení obchodní korporace (Corporate Governance), nýbrž jako něco umělého, čistě formálního a odtrženého od skutečného života. Tomu víceméně odpovídá i převažující vnímání vlastní standardizace a certifikace korporátní compliance ze strany podnikatelské veřejnosti, kdy cílem často není nastavení a ověření fungujícího a efektivního systému, nýbrž jen získání formálního a občas i nic nevypovídajícího "certifikátu" o tom, že daná společnost je "comply" s určitými standardy.

Ať již však jsou konkrétní pojetí a způsoby prosazování systému soutěžní Compliance v rámci příslušné obchodní korporace jakékoli, je nespornou skutečností, že případná standardizace a certifikace CMS vždy přináší celou řadu organizačních výhod a nenahraditelných motivačních podnětů. V těchto souvislostech se pak naplno může projevit i skutečný význam korporátního CMS, která poskytuje každé korporaci značnou přidanou hodnotu, spočívající například v účinné prevenci porušení soutěžních pravidel, v přípravě možných scénářů reakce a postupů v případě obvinění z protisoutěžního chování ze strany jiného soutěžitele nebo soutěžního úřadu, v náležité a cílově zajištěné komunikaci se soutěžním úřadem, jakož i v průběžném dodržování příslušných právních povinností.

Vždy přitom musí platit, že všechny nastavené interní požadavky, opatření a nástroje korporátní compliance, jež jsou pak posuzovány z hlediska příslušných standardů, důsledně zohledňují skutečnost, že takto vytvořený systém vychází nejen z platné či připravované právní úpravy regulatorní povahy, ale současně i z obvyklé a zavedené rozhodovací praxe a doporučení orgánů veřejné správy a soudní judikatury, vyjadřovaných v rámci tzv. best practice.

V souvislosti s problematikou standardizace a certifikace CMS je přitom nejprve třeba vyjasnit základní otázky, kterými jsou:

• Jaká konkrétní forma certifikace, popř. compliance auditu má být v obchodní korporaci provedena a za jakým účelem.

• Jaký certifikační orgán, popř. auditní subjekt a jaké standardy mohou přinést korporaci nejvyšší přidanou hodnotu.

• Jak se má korporace na certifikaci, popř. na compliance audit, konkrétně připravit.

• Jak lze doporučení vzešlá z certifikace, popř. z compliance auditu, účinně převést do vnitřního života a každodenního fungování společnosti.

Před vlastním zadáním jakékoli certifikace je rovněž důležité uvážit, jaká je ve společnosti úroveň tzv. compliance kultury, resp. jaký je stav vnitřního compliance prostředí, čímž se rozumí zejména celková atmosféra a připravenost managementu a zaměstnanců ke skutečnému naplňování a plnění požadavků korporátní compliance, zejména osobní ochota přijímat a prosazovat nástroje a opatření ke snižování či eliminaci podnikatelských compliance rizik. Certifikace CMS má praktický smysl a význam pouze tehdy, pokud je CMS v dané obchodní korporaci již zaveden a po určitou dobu reálně prosazován. Potřebnou dobou se přitom rozumí řádově alespoň několik let, přičemž platí, že pokud jde o méně zavedené systémy, význam certifikace se pak zásadním způsobem snižuje.

Jak již bylo výše konstatováno, v rámci certifikace dle respektovaných a obecně zavedených standardů, jako je globální ISO 19600:2014 nebo například německý auditorský standard IDW EPS 980, je ověřován a hodnocen CMS jako celek, nikoliv samostatně jeho jednotlivé části. To však neznamená, že i v rámci takovéto celkové certifikace není věnována náležitá pozornost funkčnosti a efektivnosti opatření a nástrojů v jednotlivých dílčích oblastech, např. v oblasti soutěžní compliance.

V praktickém naplňování korporátní compliance přesto velmi často dochází k tomu, že se některé, do značné míry specifické oblasti zájmu korporátní compliance stávají předmětem samostatných, resp. zvláštních procedur ověřování správnosti a účinnosti jejich opatření a nástrojů. V těchto případech se pak podle souborů obecných standardů pro certifikaci CMS postupuje pouze částečně či podpůrně, přičemž ve své…