אחד התמריצים להטמיע פונקציית ציות בארגונים הוא ההנחיה לתובעים לפיה בבואם לבחון העמדה לדין של תאגיד, בין מערכת השיקולים הם צריכים לקחת בחשבון את האפקטיביות של יישום פרקטיקת ציות וקיומה של תרבות ציות בארגון. גם בישראל עקרונות אלה שולבו בהנחיה 1.14 של פרקליט המדינה¹ (2019), לאחר שלראשונה בעולם פרסם ב-2/2017,משרד המשפטים האמריקני (DOJ) הנחיה כזו שמאז עודכנה ארבע פעמים, שהפעם האחרונה הייתה ב-23.9.2024. הנחיה זו, שתוקנה ב-2019, 2020 ו-2023 מבקשת לבחון האם תוכנית הציות היא: (1) מתוכננת היטב; (2) מיושמת בכובד ראש ובתום לב, תוך מתן משאבים וסמכות נאותים; ו(3) האם התוכנית פועלת. ואילו עתה בעידכון שפורסם ב 23 בספטמבר 2024, מתייחס ה-DOJ לראשונה לאופן שבו חברות מנהלות סיכונים הקשורים לטכנולוגיה חדשה ומתפתחת, כולל בינה מלאכותית. המסגרת החדשה מדגישה את חשיבות ניהול הסיכונים הכרוכים בשימוש בבינה מלאכותית. חברות נדרשות לבצע ניתוחי סיכונים מעמיקים לשימושים בטכנולוגיה זו, לנהל את הסיכונים ולוודא כי המערכות אכן פועלות בהתאם לחוק ולא מפיקות תוצאות מוטות או פוגעות בפרטיות המשתמשים. כמו-כן, יש לתעד את תהליכי הניהול והבקרה באופן ברור, כדי שניתן יהיה להוכיח את האפקטיביות של ההליכים. אם כן ה-DOJ מבקש כעת מהתובעים שלו לשקול את הצעדים שנוקטת החברה בשימוש בטכנולוגיות מקדמות כדי לנהל את עסקיהם, האם הם העריכו את הסיכונים העולים מהשימוש בטכנולוגיה הזו, והאם לאור זאת נקטו אמצעים כדי לצמצם סיכונים הקשורים לטכנולוגיה, כגון: - כיצד מעריכה החברה, אם בכלל, את ההשפעה הפוטנציאלית של AI או טכנולוגיה חדשה אחרת על יכולתה של החברה לציית לחוקים החלים. - האם מבנה ממשל התאגידי והבקרות הקיימות בחברה הולמות את השימוש שהיא עושה בטכנולוגיה. - אילו צעדים נוספים נקטה החברה כדי לצמצמם סיכונים הקשורים לטכנולוגיה ולמנוע שימוש לרעה בטכנולוגיה, - כיצד החברה מכשירה את עובדיה לשימוש בבינה מלאכותית ו/או לטכנולוגיה חדשה אחרת. אם כן מאמצי ה-DOJ לבחון את פונקציית הציות עולה דרגה, והיא תכלול גם התייחסות לאופן שבו עושה החברה שימוש בטכנולוגית AI, בדגש על ניהול סיכוני ציות הכרוכים בכך, ובהם ייבדקו: - באילו מצבים נעשה שימוש בבינה מלאכותית; - אילו שימושי בינה מלאכותית מהווים סיכון גבוה; - מי מבצע הערכת סיכונים וקובע אילו שימושים הם בסיכון גבוה ועל סמך מה; - האם היתרונות של שימוש בבינה מלאכותית עולים על הסיכונים; - האם שימושים בסיכון גבוה מנוטרים באופן שוטף; - האם התהליך הנ"ל מתועד כראוי. אך ה-DOJ לא מסתפק בבחינת המשאבים, הגישה לנתונים והסמכות הניתנת לקצין הציות אלא הוא גם יבחן כיצד החברה עושה שימוש בכלי ניתוח נתונים בישום תוכניות ציות, מבטיח את מהימנות מודל ניתוח הנתונים, וכן כדי למדוד את יעילותן של תוכניות אלה. אם כן העידכון החדש מדגיש את השימוש בטכנולוגיות ניתוח נתונים מתקדמות ככלי למדידת האפקטיביות של תוכניות הציות. חברות נדרשות לוודא כי הן משתמשות בכלים אלו בצורה נאותה ומבוססת נתונים אמינים ומדויקים, כדי למנוע כשלים ולהבטיח שהתוכניות תורמות לניהול הסיכונים בארגון.

M&A

נושא שני מהותי שזכה להתייחסות ספציפית הוא תפקוד הציות שהליכי מיזוג ורכישה (M&A), שעלה לראשונה בעידכון השני מ-2020. השינוי עתה הוא בדגש המיוחד ששם ה-DOJ על אינטגרציה של תהליכי ציות בעסקות מיזוגים ורכישות. כך שעל-פי הנחיה נדרשת עתה הפרקליטות לבחון האם קיימים נהלים ברורים לניהול סיכונים לאחר M&A וכן לבחון כיצד שולבו רכיבי הממשל התאגידי החדש במערכת הציות. בכך, קציני הציות נדרשים למלא תפקיד מרכזי בהבטחת עמידת העסק הנרכש בדרישות החוק ונהלי החברה הקולטת, וכי הוא משולב בהליכי הערכת הסיכונים של החברה.

התכנסות

נקודת המוצא של ה-DOS היא שחברה נדרשת, על-מנת לצמצם סיכונים, לקבוע תוכנית ציות מתוכננת היטב המותאמת לעסקי החברה, לזהות להעריך ולהגדיר את פרופיל הסיכון שלה, לרבות גורמים ספציפיים המפחיתים את הסיכון של החברה, והערכה זו צריכה לקחת בחשבון את הסיכונים אליהם חשופה החברה, גם מהטכנולוגיה שבה היא עושה שימוש. אשר על כן תובעים להתחקות אחרי תהליכי קבלת החלטות כדי להבין מדוע בחרה החברה להקים את תוכנית הציות כפי שהייתה, ומדוע וכיצד תוכנית הציות של החברה התפתחה עם הזמן. בעוד שהנחיה מנחה תובעים לבחון את כיסוי התוכנית (האם היא אכן מתחייבת לרגולציה ומזהה סיכוני הציות), ללקוחות החברה ולשותפיה העסקיים וכו', קציני הציות צריכים לבחון את עצמם לאור אותם פרמטרים. כך שהארגון ייבחן מחד על-פי מידת ההקפדה על תוכנית הציות ועל המשאבים שהועמדו לרשות הציות, ומאידך על החלטות שהוא קיבל גם ביחס לסיכונים הכרוכים באימוץ טכנולוגיה חדשה, וזאת כבעין נייר לקמוס הבא לבחון את הכיסוי של מפת הסיכונים בחברה. מציאות זו דוחקת עוד יותר בצורך להבטיח כי קציני הציות, המפעילים את תוכניות הציות, אכן אוחזים בידע ובמומחיות לכך. רק קציני ציות מסומכים (CCO), הפועלים בהתאם לקודקס המקצועי של קציני ציות, יכולים להבטיח כי בכוחם לעמוד באחריות זו, ועל-מנת להקל בכך תשיק בקרוב האגודה הישראלית לציות את ספר קציני הציות וקציני איסור הלבנת הון מוסמכים. לסיכום, הדרישות החדשות של ה-DOJ יוצרות צורך משמעותי בהתאמת תוכניות הציות לאתגרים המודרניים, במיוחד בסוגיות הקשורות לבינה מלאכותית ולניהול סיכונים במיזוגים ורכישות. חברות הפועלות בארה"ב שלא ייערכו בהתאם עלולות למצוא את עצמן חשופות לסיכונים רגולטוריים ומשפטיים, בעוד שאלו שישכילו להתאים את עצמן עשויות לחזק את עמדתן בשוק, כאשר קצין הציות שלהם, ככל שהוא מוסמך, יסייע להם לעמוד בכללים.