Tytułowy pogrzeb to sytuacja, w której w organizacji kumulują się cztery nieszczęśliwe okoliczności.

Po pierwsze, wewnętrzny system zarządzania ryzykiem niezgodności z przepisami błędnie alokuje ryzyko naruszenia prawa.

Po drugie, błąd dotyczy przepisów skonstruowanych według zasady risk-based approach, czyli takich, które same wymagają od organizacji oceny ryzyka, doboru adekwatnych środków, monitorowania i aktualizacji.

Po trzecie, organizacja zostaje wytypowana do kontroli — również w ramach podejścia opartego na ryzyku, tyle że tym razem stosowanego przez organ.

Po czwarte, organ kontroli dochodzi do wniosku, że organizacja nieprawidłowo zinterpretowała albo zastosowała własne obowiązki wynikające z regulacji RBA. A sąd, na deser, może tę miarę organu zaakceptować.

Ww. cztery okoliczności można — nieco naciągając terminologię — określić mianem multiplikacji albo kumulacji ryzyka prowadzącej do pogrzebu, czyli nałożenia kary administracyjnej.

Przy czym:

R1 — to ryzyko, że wewnętrzny system zarządzania ryzykiem niezgodności z przepisami niewłaściwie alokuje ryzyka.

R2 — to ryzyko niewłaściwej interpretacji lub zastosowania przepisów skonstruowanych według zasady RBA.

R3 — to ryzyko wytypowania organizacji do kontroli.

R4 — to ryzyko, że organ kontroli zastosuje inną miarę prawidłowości RBA niż organizacja, a sąd tej miary nie skoryguje.

Organizacja zarządza przede wszystkim R1 i R2.

Na R3 i R4 ma wpływ tylko częściowy — przez profil sektora, historię kontroli, jakość dokumentacji, wcześniejsze ustalenia organów, znajomość stanowisk nadzorczych oraz orzecznictwa.

Można pokusić się o przedstawienie tej sytuacji w formie wzoru:

RR = (R₁ · R₂) · P(K) · P(I|K)

gdzie:

RR — to ryzyko nałożenia kary administracyjnej, czyli ryzyko tytułowego pogrzebu,

R₁ · R₂ — to „luka compliance” tworzona przez pierwsze dwa ryzyka,

P(K) — to prawdopodobieństwo wytypowania do kontroli,

P(I|K) — to prawdopodobieństwo, że po kontroli organ zakwestionuje przyjętą przez organizację interpretację lub sposób zastosowania przepisów RBA, a sąd nie skoryguje tej oceny.

Nie jest to oczywiście model aktuarialny. Raczej publicystyczny zapis mechanizmu kumulacji ryzyk.

Ale dobrze pokazuje istotę problemu.

Inwestycja w compliance obniża RR, ale nie liniowo i nie absolutnie. Redukuje przede wszystkim R1 i R2, czasem także P(I|K), bo lepsza metodyka, lepsza dokumentacja i lepsze uzasadnienie decyzji zmniejszają ryzyko zakwestionowania stanowiska organizacji.

Nie usuwa jednak P(K).

Nie usuwa też zewnętrznej miary oceny.

Dlatego nawet przy bardzo dobrym systemie compliance ryzyko regulacyjne nie znika. Staje się jedynie lepiej zarządzane, lepiej udokumentowane i — miejmy nadzieję — lepiej bronione.

Bo w dniu kontroli zgodność mierzy się cudzą miarką.