בעידן של רגולציה מחמירה וסיכונים משפטיים גוברים, תכנית אכיפה פנימית בארגון הפכה מאופציה להכרח. אולם, כדי שתכנית כזו תעניק הגנה משפטית, עליה להיות אפקטיבית, מותאמת ומתועדת היטב.
מהו סקר ציות ומדוע הוא חיוני?
סקר ציות הוא הלב הפועם ביישום תכנית אכיפה פנימית. זהו כלי מדויק למיפוי סיכונים, זיהוי פערים רגולטוריים, והערכת הבקרות הקיימות. הסקר חושף את האופן שבו מתנהלים תהליכים בארגון מהיבטים משפטיים, אתיים ותפעוליים, ומאפשר התאמה מדויקת של תכנית הציות לסיכונים הייחודיים של הארגון.
הארגונים הנדרשים לעריכת סקרי ציות וליישום תכניות אכיפה פנימיות כוללים, בין היתר, תאגידים מדווחים לפי רשות ניירות ערך, תאגידים פיננסיים ובהם גופים מוסדיים, בנקים וחברות ביטוח, תאגידים ציבוריים, ארגונים המחזיקים במידע אישי וגופים מפוקחים נוספים בהתאם לרגולציה החלה עליהם. בנוסף, החובה עשויה לחול גם על ארגונים ישראליים הפועלים בשיתוף פעולה עם חברות באירופה ובארה”ב או ארגונים המקיימים פעילות בינלאומית המחייבת עמידה ברגולציה זרה.
המשמעות הרגולטורית: הסטנדרט החדש
רגולטורים בארץ ובעולם הפכו את בחינת האפקטיביות לאבן בוחן מרכזית בהערכתם את התנהלות הארגון. המסר ברור: לא מספיק תכנית אכיפה על הנייר או בנהלים על המדף. הארגון יהיה מוגן משפטית רק כאשר התכנית והנהלים ייושמו ויאכפו בפועל בשגרה הארגונית היומיומית.
הסטנדרט הרגולטורי בישראל – סקר ציות תקופתי
גופים רגולטוריים מרכזיים בישראל, לרבות רשות ניירות ערך, פרקליטות המדינה, הפיקוח על הבנקים והרשות להגנת הפרטיות, פרסמו הנחיות ברורות וקבעו סטנדרטים מחייבים לעריכת תכניות אכיפה פנימיות אפקטיביות בארגונים.
כך, רשות ניירות ערך קובעת סטנדרט מחייב לביצוע סקר ציות תקופתי לפחות אחת לארבע שנים, תוך שיש לוודא כי הסקרים מתבצעים ברמה מקצועית גבוהה ואיכותית, תוך נקיטת פעולות מתקנות בהתאם לממצאים.
הפיקוח על הבנקים מחייב הערכה שוטפת של אפקטיביות הבקרות ותרבות הציות, כולל ביצוע סקרים תקופתיים. בביקורות נבחנים לעומק איכות הסקרים, תדירותם והמתודולוגיה שבה נעשה בהם שימוש.
הרשות להגנת הפרטיות מדגישה את חשיבות סקרי הציות כמנגנון מוביל לזיהוי מוקדם של סיכוני פרטיות. חשיבות זו מתעצמת נוכח סמכותה להטיל עיצומים כספיים משמעותיים (בעקבות הרחבת סמכויותיה לאחר תיקון 13 לחוק).
פרקליטות המדינה, במסגרת הנחיה 1.14, קבעה כי קיומה של תכנית אכיפה פנימית אפקטיבית בארגון עשוי לשמש כשיקול משמעותי להקלה בעת שקילת הליכים פליליים נגד תאגיד. התיעוד המדוקדק של סקרי ציות והפעולות המתקנות בעקבותיהם משמש כראיה מהותית ליישום אפקטיבי.
סטנדרטים בינלאומיים
גם בזירה הבינלאומית, גופים רגולטוריים מרכזיים מחייבים ארגונים לבצע הערכות סיכונים תקופתיות וסקרי ציות כחלק התנהלותו השוטפת של הארגון, לרבות, הנציבות האירופית לפרטיות, דירקטיבת NIS2 האירופאית ומשרד המשפטים האמריקאי (DOJ).
כך, הנציבות האירופית לפרטיות מדגישה בהנחיותיה את חשיבותן של הערכות סיכונים תקופתיות. סקרי ציות שיטתיים נתפסים כראיה מרכזית לעמידה בעיקרון האחריותיות ומשפיעים ישירות על גובה הקנסות במקרה של הפרה, שיכולים להגיע עד 4% מהמחזור העולמי של הגוף המפר (או עד 20 מיליון יורו).
דירקטיבת NIS2 האירופאית המסדירה את תחום אבטחת הסייבר, קובעת חובה מפורשת לביצוע הערכות סיכונים וסקרי ציות כחלק מדרישות ניהול הסיכונים ברמת הדירקטוריון, ויוצרת אחריות ישירה של מנהלים בכירים ליישום מנגנוני ציות אפקטיביים.
משרד המשפטים האמריקאי (DOJ) דורש יישום תכנית ציות “בתום לב” המשתקפת בתרבות הארגונית כולה. ה DOJ -בוחן את איכות סקרי הציות והשפעתם על התנהלות הארגון בפועל, כאשר תכניות ללא סקרים איכותיים נתפסות כ”מראית עין” בלבד.
איך נראה מבנה סקר ציות אפקטיבי: חמישה שלבים מובנים
- מיפוי רגולציה: סקירה יסודית של החוקים, התקנות, ההנחיות והוראות הממונים החלים על הארגון.
- מיפוי תהליכים עסקיים: זיהוי הממשקים בין התהליכים העסקיים לבין הדרישות הרגולטוריות.
- הערכת בקרות קיימות: בחינת האפקטיביות של המנגנונים למניעת הפרות, כולל מדיניות, נהלים, הדרכות ואמצעי ניטור.
- הערכת פערי ציות: זיהוי הפערים בין הדרישות לבין המצב בפועל, תוך התייחסות לחומרה, סבירות והנזק הפוטנציאלי של כל פער.
- גיבוש תכנית פעולה: המלצות אופרטיביות לסגירת הפערים, עם סדרי עדיפויות, לוחות זמנים ומדדי הצלחה ברורים.
לסיכום: סקר ציות מעניק הגנה חיונית לארגון ונושאי המשרה בעידן של אכיפה מחמירה
ארגונים כיום חשופים לסיכונים רבים, חלקם כלל אינם בשליטתם הישירה: מתקפות סייבר, התנהגות בלתי הולמת או פלילית של עובדים (מינית, פיננסית, הגבלים עסקיים), תקלות טכנולוגיות ועוד. סקרי ציות מאפשרים לארגונים לשמור על שליטה ולהוכיח התנהלות ראויה בפני הרגולטור בעת הצורך.
במשפט הישראלי והבינלאומי, ארגון המציג תכנית ציות מתועדת ומתפתחת נמצא בעמדה עדיפה משמעותית אל מול הרגולטור. היכולת להציג סקרי ציות תקופתיים ופעולות מתקנות בעקבותיהם יוצרת אמון בין הרגולטור לארגון.
חשוב מכך, יישום תכנית ציות סדורה ותקופתית המבוססת על סקר מקיף מעניק הגנה ממשית לנושאי משרה ודירקטורים. אלו שיכולים להוכיח כי אישרו והקצו משאבים לתכנית ציות אפקטיבית מפחיתים משמעותית את הסיכון לאחריות אישית במקרה של הפרות. הגנה חיונית בעידן שבו האכיפה כנגד נושאי משרה מחמירה משנה לשנה.
***