niedziela, 11 lutego 2024

Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO

Od blisko pięciu lat ostrzegam, że w przypadku systemów przyjmowania zgłoszeń, prowadzeniu postępowań następczych (w tym postępowań wyjaśniających) oraz ochrony sygnalistów (w skrócie systemy dla sygnalistów lub Whistleblowing) będzie w Polsce gorzej niż z wdrażaniem systemów ochrony danych osobowych po wejściu w życie RODO.

Dlaczego w Polsce wiele podmiotów nie ma skutecznych i efektywnych systemów ochrony danych osobowych? Po pierwsze wiele podmiotów w Polsce niestety nadal nie zna lub lekceważy prawo. Po drugie często za wdrożenia wzięły się kancelarie prawne, które nie miały doświadczenia w zarządzaniu systemami ochrony danych osobowych. Zaczęły one straszyć wielomilionowymi karami i wciskać klientom dokumentację RODO. Pomijając, że w RODO chodzi o ochronę praw i wolności osób, które dane się powtarza, o stworzenie skutecznego i efektywnego systemu ochrony danych osobowych (opartego na analizie ryzyka), a dokumentacja to tylko jedno z narzędzi tego systemu. Oczywiście dokumentacja u nich nie była tania. Z drugiej strony rynek psuły podmioty sprzedające dokumentację ze parek setek. W wyniku tego do dziś nawet w dużych firmach znajduję pokryte kurzem segregatory i Zarządy żyjące złudzeniem, że mają system, bo kupili dokumentację i 5 lat temu przeszli jakieś szkolenie. Na szczęście ochrona danych osobowych funkcjonuje w Polsce nie 5 lat (jak RODO) ale ćwierć wieku i mamy całe grono praktyków ochrony danych osobowych, które w zależności od wsparcia najwyższego kierownictwa zbudowali w wielu podmiotach lepsze lub gorsze systemy ochrony danych osobowych.

Od paru lat tłumaczę, że trzeba będzie w Polsce wdrożyć systemy dla sygnalistów, a procedura to akurat najłatwiejsza sprawa i nie jest to ani pierwszy ani ostatni krok. W tym roku ponieważ pojawiła się szansa, że w końcu w życie wejdzie ustawa o ochronie osób dokonujących zgłoszenia naruszeń, wiele kancelarii i firm poczuło kolejną po RODO żyłę złota. I się zaczęło pisanie i chwalenie kto to więcej i lepiej pisze procedur oraz jakie to one powinny być. Żeby było weselej robią to nawet renomowane i promujące się jako doświadczone w Compliance duże kancelarie. Ja rozumiem, że kasa musi się zgadzać i najtaniej i najłatwiej jest opchnąć klientowi procedurę lub parę procedur. Potem ewentualnie opchnąć swe usługi audytorskie, śledcze lub z zakresy obsługi sądowej (zależy jaki kto zbudował zespół).

Tylko takie podejście skończy się tym, że wiele firm będzie miało złudzenie, że spełniło wymagania, bo przecież mają kupioną za grubą kasę procedurę i ktoś ich parę lat temu przeszkolił.

W przypadku RODO, mieliśmy tysiące doświadczonych praktyków ochrony danych osobowych w sektorze publicznym i sektorze MSP. W przypadku Compliance już tak nie jest. Systemy dla sygnalistów czy compliance w sektorze publicznym czy MSP to wyjątek od reguły a nie zasada.  No i ochrona danych osobowych nie budzi takich problemów Kulturowych jak dokonywanie zgłoszeń i ochrona sygnalistów.

Piszę teraz do podmiotów, które będą wdrażały i zarządzały systemami dla sygnalistów - unikajcie jak ognia podmiotów, które będą oferować procedurę przyjmowania zgłoszeń i będą się chwalić ile to ich napisały. Szukajcie ekspertów doświadczonych we wdrażaniu i zarządzaniu systemami dla Sygnalistów i mówiących o systemach. Dostosowanych do podmiotu.

Nie chodzi by mieć procedurę. Chodzi o to by sygnaliści zgłaszali wam naruszenia, o to byście je rzetelnie wyjaśniali i podejmowali właściwe działania następcze i żebyście chronili sygnalistów. Na wyższym metapoziomie chodzi o bardziej etyczne, efektywne i skuteczne organizacje oraz bardziej zaangażowanych pracowników oraz minimalizację ryzyk.  Napisanie procedury to najłatwiejsze w tym wszystkim (a i to potrafią kancelarie popsuć pisząc długie i niezrozumiałe procedury).

Co do kanałów i aplikacji to każdy musi wybrać to co pasuje do jego Kultury. Choć to też trzeba robić z głową.

Niech moc Compliance będzie z wami

Ps a dla i wybaczcie jak się na LI przejadę publicznie po kimś kto zamiast o systemach będzie pisał  tylko o procedurach ale człowiek się męczy, tłumaczy a potem duża kancelaria lub firma doradcza wciska procedury, a nie edukuje, że potrzeba wdrożyć i zarządzać systemem. A i wymówka, że to tylko skrót myślowy nie podziała.

niedziela, 28 stycznia 2024

Luźne przemyślenia oficera Compliance - Czemy sygnaliści nie dokonują zgłoszeń?

Dwa tygodnie temu w artykule "Sygnaliści na start" opublikowanym w Newsweek`u zamieszczone moje wypowiedzi. Najważniejsza z nich dotyczyła, czemu w Polsce ludzie nie dokonują zgłoszeń naruszeń.

W mojej ocenie z trzech głównych powodów dlaczego ludzie często wolą odwrócić wzrok widząc zło niż zareagować. 

Po pierwsze boją się działań odwetowych. Niestety praktyka pokazuje, że organizacja lub koledzy i koleżanki, nie ściga tych co łamią prawo ale tych co przynoszą złe wieści lub  nazywają zło po imieniu. I niestety bez ustawy nie udaje się lub bardzo trudno jest pomóc sygnalistom, którzy spotkali się z działaniami odwetowymi.

Po drugie boją się, że zostaną uznani za donosicieli lub kapusiów – to pozostałość po latach zaborów i czasach PRL. Problemem jest nie tylko co inni mogą o nas pomyśleć ale i co sami o sobie pomyślimy. Dokonanie zgłoszenia często wiąże się z pokonaniem wewnętrznych oporów przed zabraniem głosu. Wyjścia przed szereg.

Po trzecie często nie wierzą, że ktoś się rzetelnie zajmie ich zgłoszeniem i podejmie odpowiednie działania. Jak pisałem w artykule "Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego? " bez niezależnej Prokuratury i niezależnych i pluralistycznych mediów nie ma szans na sygnalistów. Sygnaliści oczekują, że ktoś rzetelnie zajmie się ich zleceniem. Liczy, że zostanie rzetelnie przeprowadzone postępowanie wyjaśniające, a potem przestępca nie uniknie kary.

Co trzeba zrobić by ludzie nie milczeli widząc zło?

Potrzebna jest zmiana mentalności oraz zbudowanie zaufania. 

Ludzie muszą wierzyć, że nie można milczeć widząc zło lub naruszenie prawa ale trzeba reagować i alarmować. Ludzie muszą mieć pewność, że jak złożą zgłoszenie to ktoś się faktycznie nim zajmie, rzetelnie wyjaśni i podejmie odpowiednie działania następcze, a nie zamiecie sprawę pod dywan. A zgłaszającego (zwanego też sygnalistą lub demaskatorem) lub jego bliskich nie spotka odwet. To wszystko między innymi nakazuje wprowadzić dyrektywa Unijna.

Przed oficerami Compliance staje więc trudne zadanie. Muszą im zaufać pracownicy i musi im z drugiej strony zaufać najwyższe kierownictwo. Muszą oni edukować interesariuszy i budować Kulturę Compliance. 

Jak? To już temat innego postu.

 Niech moc Compliance będzie z wami.

I pamiętajcie zaufanie buduje się długo swoją codzienną działalnością, a można stracić przez jeden błąd. Kluczem jest Komunikacja i bycie Integrity.

niedziela, 21 stycznia 2024

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

niedziela, 17 grudnia 2023

Zdrowych i spokojnych Świąt Bożego Narodzenia oraz Szczęśliwego Nowego Roku

Drodzy Czytelnicy, obecni i przyszli :-)

Drodzy Klienci i Współpracownicy mojej Kancelarii Radcy Prawnego :-)

Mam nadzieję, że wszyscy będziemy mieli zdrowe i spokojne Święta Bożego Narodzenia :-) Przede wszystkim zdrowe, bo epidemia pokazała, że zdrowie jest najważniejsze. 
Naszym siostrom i braciom w Ukrainie życzę zwycięstwa. Toczą wojnę jakiej Europa nie widziała od ponad 70 lat. Jeżeli Ukraina przegra, za parę lat Rosja napadnie na Polskę. Dlatego dziś pomagając zwyciężyć Ukrainie pomagamy sami sobie.
 
Po ośmiu latach niszczenia praworządności i Państwa Polskiego przez PiS,  wybory wygrały partie prodemokratyczne. Te wybory nie były demokratyczne i nie były równe.  PiS zamienił media publiczne w partyjną tubę, kontrolował setki gazet za pośrednictwem Spółek skarbu Państwa, wykorzystał majątek publiczny i Spółek Skarbu Państwa itd. by wygrać. Ale przegrał. Przegrał z nami Polakami i Polkami. Teraz musimy  odbudować praworządność, struktury Państwa i pozycję międzynarodową Polski. Ale to był dopiero pierwszy krok. Przed nami wybory samorządowe, do europarlamentu, Prezydenckie a potem znowu parlamentarne. Ale uda nam się.
 
Niech przyszły rok, mimo wszystkich przeciwności losu, przyniesie Państwu mnóstwo sukcesów na drodze ku spełnieniu marzeń :-) oraz mnóstwo uśmiechu :-) 

Niech moc Compliance będzie z wami :-) Niestety nie doczekaliśmy się ustawy o ochronie osób zgłaszających naruszenia. Więc rok 2023 nie był ROKIEM SYGNALISTÓW. Ludzi, którzy nie milczą w obliczu zła. Ale na może rok 2024 będzie takim rokiem, choć nie jest to pewne.

Niech moc RODO będzie z wami :-)

Bardzo mnie cieszy, że Polacy zrozumieli, że jak uczciwi ludzie nie zajmują się Polityką to Polityką zajmują się nieuczciwi ludzie.
Podobnie jak rok temu, nie będę życzył Państwu aby znikły podziały, bo one zawsze były, są i będą.
Rok temu życzyłem Państwu aby Polacy nauczyli się prowadzić kulturalnie spory, zawierać kompromisy i podejmować mądre i odpowiedzialne decyzje. By nauczyli się słuchać ekspertów. By kierowali się odwagą, życzliwością i solidarnością, a nie brawurą, chciwością i egoizmem.
Żeby nauczyli się być obywatelami i zrozumieli, że Polityka to nie coś brudnego i obrzydliwego, ale obowiązek i służba.
Żeby zrozumieli, że Polityka jest taka jak Społeczeństwo i musimy ją stworzyć lepszą.
Bądźmy mądrzy, cierpliwi i spokojni. 
Bądźmy odważni i bądźmy Solidarni z tymi których chce zniszczyć lub złamać PiS.
Nie traćmy nadziei. 
I to życzenia się zaczęło sprawdzać.

W zeszłym roku podzieliłem się swoim snem.

Śniło mi się, że Polacy przypomnieli sobie że "gość w domu, Bóg w domu" i służba graniczna zamiast wywozić imigrantów z Białorusi, w tym kobiety i dzieci do lasu, udzielała im pomocy tak jak pomagaliśmy i pomagamy uchodźcom z Ukrainy.
Śniło mi się że staliśmy się Odważni i Solidarni (to się częściowo spełniło). A dzięki temu znowu staliśmy się Wielcy. Wielcy dzięki pomaganiu innym.

Śniło mi się, że Polacy nauczyli się sobie ufać, a przestali wierzyć tym co dzielą ludzi na lepszy i gorszy sort, tym co straszą Gender, LGBT+ itd. Polacy zrozumieli że każdy zasługuje na szacunek.
 
Śniło mi się, że Polacy stali się odpowiedzialni, za siebie, swe rodziny, za wszystkich. Że zaczęli się szczepić, dbać o innych. Że Polacy zaczęli słuchać ekspertów i naukowców a nie bzdur z internetu.

Śniło mi się, że Polacy odbudowali praworządność, Demokrację, niezależność Sądów i Prokuratury, apolityczność służb i media publiczne, które zamiast służyć propagandzie rządowej zaczęły służyć Społeczeństwu dostarczając obiektywnej wiedzy i informacji.

Śniło mi się, że znowu staliśmy w Centrum UE nadając jej ton i prowadząc do Zjednoczenia a nie wychodziliśmy z UE prosto w ręce Rosji.

Śniło mi się, że znowu nauczyliśmy się rozmawiać, różnić, zawierać kompromisy i dotrzymywać słowa.
 
Śniło mi się, że znowu mimo różnic znowu rozmawialiśmy i się szanować. I nikt nie słuchał Polityka który publicznie mówił "Zniszczymy tych ludzi". Miejsce ludzi, którzy wzywają innych do niszczenia ludzi, którzy grożą innym jest w więzieniu i szpitalu.
 
I ten sen zaczął się ziszczać. Szczęśliwej Polski już czas.
 
Ps Ukrainie życzę by wytrwała, zwyciężyła i przystąpiła do UE.

niedziela, 10 grudnia 2023

Ciekawostki z prawa handlowego i nie tylko - odcinek 43

Dziś chciałbym zwrócić uwagę członkom Rad Nadzorczych spółek akcyjnych, że zgodnie z art. 382 § 3w związku z § 31 Kodeksu Spółek Handlowych do obowiązków Rad Nadzorczych należy sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy, czyli sprawozdania rady nadzorczej.

Sprawozdanie rady nadzorczej powinno między innymi obejmować ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

Czyli Rada Nadzorcza musi m.in. ocenić jak Zarząd wdrożył i jak zarządza m.in. systemem Compliance (zapewnienia zgodności). A co jak system Compliance nie funkcjonuje lub funkcjonuje pozornie?

A macie członkowie Rady Nadzorczej wiedzę jak to ocenić?

Jakby co służę pomocą. Oczywiście odpłatnie.

Ponadto w sprawozdaniu rady nadzorczej Rada Nadzorcza musi ocenić:
1) sposób sporządzania lub przekazywania radzie nadzorczej przez zarząd informacji, dokumentów, sprawozdań lub wyjaśnień,
2) sposób spełniania przez Zarząd obowiązku informacyjnego, tj. przekazywania informacji o:
a) uchwałach zarządu i ich przedmiocie;
b) sytuacji spółki, w tym w zakresie jej majątku, a także istotnych okolicznościach z zakresu prowadzenia spraw spółki, w szczególności w obszarze operacyjnym, inwestycyjnym i kadrowym;
c) postępach w realizacji wyznaczonych kierunków rozwoju działalności spółki, przy czym powinien wskazać na odstępstwa od wcześniej wyznaczonych kierunków, podając zarazem uzasadnienie odstępstw;
d) transakcjach oraz innych zdarzeniach lub okolicznościach, które istotnie wpływają lub mogą wpływać na sytuację majątkową spółki, w tym na jej rentowność lub płynność;
e) zmianach uprzednio udzielonych radzie nadzorczej informacji, jeżeli zmiany te istotnie wpływają lub mogą wpływać na sytuację spółki.
 
Czyli Rada Nadzorcza nie może się tłumaczyć, że o czymś nie wiedziała.
 
Przedmiotowe przepisy obowiązują od 13 października 2022 r.  Podobnych obowiązków nie mają w KSH spółki z o.o. i proste spółki akcyjne. Osobiście nałożyłbym te obowiązki na wszystkich średnich przedsiębiorców, w których są Rady Nadzorcze.

A przy okazji, jeżeli Rada Nadzorcza zawrze w swoim sprawozdaniu, przedłożonym Walnemu Zgromadzeniu, dane nieprawdziwe to popełni czyn zabroniony zagrożony karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 
Radzę się więc przyłożyć do rzetelnego sporządzanie sprawozdania.
 
Niech moc Compliance będzie z wami.

niedziela, 26 listopada 2023

ESG - jak rozpoznać ściemę część 3

W trzeciej części cyklu chciałbym poruszyć kwestię różnorodności.
Wiele podmiotów lubi potwierdzać, że ceni i dba o różnorodność. 
Jak sprawdzić czy to prawda czy nie?
Przecież nie będziemy pytać o rasę, orientację seksualną itd. 
Według mnie zawsze jednak warto sprawdzić parę rzeczy.
1) pierwsza to ilość procentową kobiet w organach Spółki i na różnych stopniach zaszeregowania - powinna być miarę stała. Różnica 10-30% na różnych stopniach zaszeregowania powinna wzbudzić naszą czujność. Należy też sprawdzić trend. Jeżeli im wyższe stanowisko to tym mniejszy udział procentowy kobiet, a w Zarządzie i wśród Dyrektorów nie ma ich wcale lub jest jedna na kilkanaście mężczyzn to mamy na 99% ESG ściemę.
Oczywiście warto uwzględnić charakter branży na każdym etapie analizy.

2) po drugie warto porównać średnie pensje oraz medianę wynagrodzenia kobiet i mężczyzn w różnych stopniach zaszeregowania. I jak wyżej różnica pomiędzy 10-30% powinna wzbudzić naszą czujność. 

3) po trzecie zawsze warto sprawdzić jak podmiot podchodzi do zatrudniania osób niepełnosprawnych lub nie neurotypowych.
Czy i jakie zapewnia im wsparcie?
Na jakich stanowiskach i na jakich warunkach ich zatrudnia?
Ilu ich zatrudnia?
Jakie jest realne podejście do tych osób w danym podmiocie?
 
Chciałbym zwrócić uwagę, że czasami zostanie nam przedstawiona osoba niepełnosprawna lub nie neurotypowa jako przykład dobrych praktyk w danym podmiocie. Warto się wtedy spytać o inne takie osoby by sprawdzić czy nie mamy do czynienia z tzw. "kwiatkiem do kożucha". 

Oczywiście raportowanie będzie się odbywać według określonych, jednolitych standardów – ESRS.
Tylko papier nie wszystko nam powie.
Według mnie wdrożenie ESG powinno zmienić Kulturę organizacyjną danego podmiotu. A kulturę tworzą ludzi.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?
Sprawdzimy?
Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.


niedziela, 19 listopada 2023

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?
Sprawdzimy?
Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.