סיכוני ציות הנם סיכונים שכיחים, ולעתים קרובות מהותיים, היכולים להשליך על יכולת הארגון לעמוד ביעדים. במשך שנים רבות, וביתר שאת למן תחילת המילניום הנוכחי, יותר ויותר ארגונים החלו להטמיע מסגרות לתוכנית ציות ואתיקה (C&E), וזאת כדי למנוע ולאתר בזמן חריגות ומעשים אחרים של הפרת חוק.
ב-11.11.2020 פרסם COSO, גוף שהוקם ב-1985 על-ידי חמשת הגופים המקצועיים המיצגים פרופסיות פיננסיות (רו"ח, מבקרי פנים, סמנכ"לי כספים) לצורך קביעת הנחיות בנושא בקרה וניהול סיכונים, הנחיה חדשה בנושא ציות (Compliance). הנחיה זו ששמה:
'ניהול סיכוני ציות: החלת מסגרת האינטגרטיבית לניהול סיכונים כולל (ERM) של COSO לניהול סיכוני ציות' נועדה לספק הנחיות ליישום מסגרת לזיהוי, הערכה וניהול סיכוני הציות של COSO (ERM) על-ידי קישורה למסגרת אתיקה וציות (C&E), דבר המאפשר יצירת כלי רב עוצמה המשלב את המושגים העומדים בבסיס כל אחד המסגרות החשובות הללו
1.
מה זה סיכוני ציות?
הגדרה של 'סיכון' הנה רחבה כ"אפשרות שיתרחש אירוע שישפיע על יכולת הארגון לעמוד ביעדים, בעסקים ובנכסים של הארגון". הגדרה זו כוללת גם סיכוני הציות, שהנם הפגיעה בארגון עקב התממשות אירועים הקשורים להפרות של חוקים, תקנות, חוזים, סטנדרטים, או מדיניות פנימית שבהם הפרה כזו יכולה לגרום לאחריות ישירה או עקיפה, אזרחית או פלילית, לסנקציות רגולטוריות או השפעות שליליות אחרות בגין הארגון או אנשיו.
רוב הפרות הציות גורמות מטבען לנזק או שיש להם פוטנציאל לגרום לפגיעה באנשים פרטיים, בקהילות, או בארגונים. לדוגמה הפרות ציות יכולות לפגוע בלקוחות החברה (למשל, הפרות של חוקי פרטיות או אבטחת נתונים המובילים להפרה וגניבת מידע אישי, בטיחות מוצרים, הפרות שהביאו לפציעות, הפרות הגבלים עסקיים וכתוצאה מכך מחירים מנופחים), בעובדי הארגון (למשל, רגולציה בנושא בטיחות במקום העבודה הפרות וכתוצאה מכך פגיעה בעובד, העדר אפליה או הפרות חוק הגנת חושפי שחיתויות), ואף בציבור הרחב (למשל, נזק סביבתי עקב הפרות חוקי הגנת הסביבה וכתוצאה מכך גרימת מחלות או מוות).
התמורות בהכרה בחשיבות הציות
למרות שהציות לחוקים הנו היסוד לדיני התאגידים (חובת הזהירות), תחום הציות והאתיקה כמקצוע וכפונקציה בארגונים התפתח בעיקר בשני עשורים האחרונים. הקטליזטור שהביא לכך שיותר ויותר ארגונים החלו להטמיע תוכנית C&E, ולראות בהם כבעלי ערך (לארגון), היה סדרת של אירועים בשנות השמונים בארצות הברית שהביאו את הנציבות לגזרי דין בארה"ב (USSG)
2 סוכנות עצמאית שהוקמה על-ידי הקונגרס בשנת 1984 כדי להפחית את פערי העונש ולקדם שקיפות ומידתיות בגזר הדין, ולפרסם ב-1991 הנחיות בנושא 'ענישה תאגידים בגין הפרות חוק'. מסמך זה קבע, בין היתר, כי אם ארגונים שיאמצו תוכנית אכיפה עצמית אפקטיבית הם ייהנו מהפחתה משמעותית בענישה ובקנסות. בשנים 2004 ו-2010 פרסמה הנציבות תיקונים חשובים להנחיה שהבהירו מהם הרכיבים של תוכנית יעילה
3. הנחיה זו של ה-USSG קובעת גם כי על ארגונים לקדם תרבות המעודדת התנהלות אתית ומחויבות לעמידה בחוק.
חשוב להבהיר כי הנחיה זו של ה-USSG אינה מחייבת ארגונים וחברות באימוץ תוכניות C&E; אך היא כן יצרה תמריץ בקרב מנהלים להטמיע תוכניות כאלה, כאמצעי לצמצום קנסות שיכולים להיגרם אם הארגון ימצא מפר חוקים. עם הזמן גם התפתחה פסיקה הקשורה להנחיות שהוסיפה משקל נוסף לחשיבותן של תוכניות מחקר ופיתוח, במיוחד ברמה הגבוהה ביותר גופים מוסדרים, כאשר בתי משפט קבעו כי כישלון ליישם תוכנית C & E עשוי להוות גם הפרה של חובת הנאמנות. נושא זה נכלל גם בהנחיות שפרסם משרד המשפטים האמריקני
4 וסוכנויות אחרות הדגישו את החשיבות של תוכניות ציות ואתיקה.
האם יועמ"ש יכול להיות גם קצין ציות?
למרות שרוב סיכוני הציות נוגעים לחוקים ותקנות, ניהול סיכוני ציות, המחייב גם בחינה של עמידה בסטנדרטים מקצועיים פנימיים מדיניות של ארגון (כולל קודי התנהגות ואתיקה עסקית), וחובות חוזיות, וככזה הוא מהווה מקצוע נפרד. בפועל אין הוראות חד-משמעיות בנושא זה, זאת בין היתר כיוון שמקצוע זה עדין לא התגבש, אך ממה שניתן ללמוד מהרגולציה בארה"ב, פונקציית הציות צריכה להיות נפרדת מהמחלקה המשפטית.
לדוגמה, הנחיות שפורסמו על-ידי לשכת המפקח הכללי של משרד הבריאות של ארה"ב (HHS OIG) קובעות כי פונקציית הציות צריכה להיות עצמאית. בהנחיה נוספת מ-
52012 של גוף זה, שעסקה במניעה של הונאות בתחום הבריאות נקבע כי יש ל"הגן על עצמאות קצין הציות על-ידי הפרדת תפקיד זה מהייעוץ המשפטי. עוד נקבע כי "כל ההחלטות המשפיעות על מעמדו של קצין הציות בארגון או על תחום סמכותו חייבים להתאשר תחילה בדירקטוריון".
תוכניות מנחות לציות ואתיקה
בצד העשייה הרגולטורית הענפה בתחום זה בארה"ב גם מדיניות אחרות הוציאו הנחיות המנחות ארגונים לקבוע תוכנית ציות ואתיקה. ברם בעוד שתוכניות הציות בארה"ב הנן מקיפות, אלה שמחוץ לארה"ב עסקו ככלל ביישום תחומים ספציפיים בחוק, כגון שוחד ושחיתות או הגבלים עסקיים/העדר תחרות. דוגמה לכך היא הנחיה של משרד המשפטים הבריטי שסיפק הנחיות בנושא חוק שוחד 2010
5, המתאר נהלים שחברות מסחריות צריכות לאמץ כדי למזער את הסיכון למתן שוחד
6. דוגמה נוספת היא התקן הבינ"ל ISO 37001 'מערכת ניהול מניעת שוחד', וכן תקן שעסק באופן כללי למערכת ניהול ציות מ-2014, שהוחלף בתקן חדש השנה
7.
חיבור בין מסגרת לניהול סיכונים ותוכנית ציות
פונקציית הציות, הנה רכיב חשוב המופיע, הן במודל הבקרה פנימית והן במודל ניהול סיכונים של COSO. הנחיה חדשה זו מציגה כיצד ניהול סיכוני ציות משולב בכל 20 הרכיבים של מודל ה-REM של COSO, כולל רכיבי "ממשל ותרבות", אסטרטגיה וקביעת יעדים", "ביצוע", "סקירה ובחינה חוזרת" ו"מידע, תקשורת ודיווח"
8. כל אחד מתתי השלבים אלו, ברכיבי מודל ה-ERM, ניתנים ליישום בתוכנית ציות (C&E).
ללא ספק הנחיה זו, לאור מעמדו של COSO, לא זו בלבד שתעלה את קרנם של קציני הציות, אלא היא אף תחזק את הקשר שבין פונקציה זו לפונקציית ניהול הסיכונים, וכן תבוא לידי ביטוי בתכנון ובחינת מערך הבקרה הפנימית. אך מעבר לכל אלה, מסמך זה ממחיש את הצורך באסדרת מקצוע קציני הציות. בישראל פועל מזה כשנה צוות לאסדרת מקצוע קציני הציות, המקיים מו"מ עם גוף בינ"ל בשיתוף נציגים באקדמיה זאת על-מנת להקים כאן איגוד מקצועי מוסמך, להציג קוד אתי ותקינה מקצועית ולהקים מערך להסמכת קציני ציות.