Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

ESG - jak rozpoznać ściemę część 3

W trzeciej części cyklu chciałbym poruszyć kwestię różnorodności.

Wiele podmiotów lubi potwierdzać, że ceni i dba o różnorodność. 

Jak sprawdzić czy to prawda czy nie?

Przecież nie będziemy pytać o rasę, orientację seksualną itd. 

Według mnie zawsze jednak warto sprawdzić parę rzeczy.

1) pierwsza to ilość procentową kobiet w organach Spółki i na różnych stopniach zaszeregowania - powinna być miarę stała. Różnica 10-30% na różnych stopniach zaszeregowania powinna wzbudzić naszą czujność. Należy też sprawdzić trend. Jeżeli im wyższe stanowisko to tym mniejszy udział procentowy kobiet, a w Zarządzie i wśród Dyrektorów nie ma ich wcale lub jest jedna na kilkanaście mężczyzn to mamy na 99% ESG ściemę.

Oczywiście warto uwzględnić charakter branży na każdym etapie analizy.

2) po drugie warto porównać średnie pensje oraz medianę wynagrodzenia kobiet i mężczyzn w różnych stopniach zaszeregowania. I jak wyżej różnica pomiędzy 10-30% powinna wzbudzić naszą czujność. 

3) po trzecie zawsze warto sprawdzić jak podmiot podchodzi do zatrudniania osób niepełnosprawnych lub nie neurotypowych.

Czy i jakie zapewnia im wsparcie?

Na jakich stanowiskach i na jakich warunkach ich zatrudnia?

Ilu ich zatrudnia?

Jakie jest realne podejście do tych osób w danym podmiocie?

 

Chciałbym zwrócić uwagę, że czasami zostanie nam przedstawiona osoba niepełnosprawna lub nie neurotypowa jako przykład dobrych praktyk w danym podmiocie. Warto się wtedy spytać o inne takie osoby by sprawdzić czy nie mamy do czynienia z tzw. "kwiatkiem do kożucha". 

Oczywiście raportowanie będzie się odbywać według określonych, jednolitych standardów – ESRS.

Tylko papier nie wszystko nam powie.

Według mnie wdrożenie ESG powinno zmienić Kulturę organizacyjną danego podmiotu. A kulturę tworzą ludzi.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

ESG - jak rozpoznać ściemę część 1

Zgaduję, że wiesz co oznacza skrót ESG (E od Environmental to po polsku środowisko, S od Social Responsibility to po polsku społeczna odpowiedzialność i G od Corporate Governanceto po polsku Ład korporacyjny. ESG nazywany też “Kryteriami zrównoważonego i odpowiedzialnego rozwoju”).

Niedługo wiele Spółek będzie musiało raportować wskaźniki ESG.

Już powstają i działają firmy by w papierach się wszystko zgadzało. 

Jednak często to całe raportowanie i chwalenie się to większa lub mniejsza ściema.

Według mnie bowiem wdrożenie i utrzymanie systemu ESG powinno oznaczać prawdziwą zmianę Kultury organizacyjnej Spółki w każdym z trzech aspektów ESG oraz realne i praktyczne działania.

Pomyślałem sobie, że napiszę cykl artykułów jak rozpoznać ściemę ESG.

Pomyślmy, jak bym zweryfikował dużą korporację np. Allegro, Santander Bank, In post, CD Projekt?

Przeglądam sobie czasami listy pytań. 

I wymyśliłem jak zweryfikować zarazem S (społeczną odpowiedzialność) jak i G (ład korporacyjny) w praktyce.

Należy np. sprawdzić dwie rzeczy:

1) ile osób pracuje na umowy B2B a nie umowę o pracę

2) jak wygląda uzwiązkowienie i stosunek do związków zawodowych lub prób założenia takich związków zawodowych.

Zwłaszcza to drugie powinno bezwzględnie zweryfikować czy korporacja jest ESG czy ściemnia.

A dla mnie jako audytora liczy się praktyka a nie deklaracje na papierze - bo papier wszystko przyjmie i po czynach ich poznacie nie słowach.

W biznesie stworzonym przez neoliberalizm lub opartym na kulturze folwarcznym (nadal zmagamy się z tym spadkiem) przyjęło się traktować związki zawodowe jako wrogie biznesowi/właścicielom. Dlatego wiele korporacji w praktyce albo zwalcza związki zawodowe ale próbuje je zamienić w posłuszne podmioty. Taki censjonowany i kontrolowany przez pracodawcę związek zawodowy lub brak związków przy zapewnieniach korporacji że szanują stronę społeczną (gdy w praktyce zwalczają związki zawodowe już w zarodku) pozwala na ESG ściemę.

Dla korporacji lepiej jak związku w ogóle nie ma. Nikt nie upomina się o podwyżki, o lepsze warunki pracy, nie broni pracowników, nie chodzi, nie pyta i nie patrzy na ręce.

Tyle, że związki zawodowe to ważna część podmiotu. Dba o:

1) komunikację pomiędzy Zarządem a pracownikami, 

2) prawa pracowników i ich dobrostan (co ciekawe ostatnio dużo się mówi, że pracownicy są najważniejsi a w praktyce korporacje zwykle traktują ich jak koszt - dlatego albo ścinają koszty albo śrubują coraz bardziej normy (KPI)),

3) równowagę pomiędzy Kapitałem a pracą,

4) itd.

Szybkie prześwietlenie prasy i blogów ujawniło nazwy paru korporacji, które raportują ESG, chcą uchodzić za etyczne i społecznie odpowiedzialne a jednocześnie zwalczają związki zawodowe lub trzymają tylko censjonowany związek zawodowy. Żeby było zabawnie dostają różne laury i odznaczenia. No bo w papierach wszystko się zgadza. 

W mojej ocenie jeżeli korporacja zwalcza związek zawodowy to jej ład korporacyjny jest ułomny a społeczna odpowiedzialność to fikcja lub w najlepszym razie jest ona ułomna.

Oczywiście z drugiej strony wiele związków zawodowych nie dorosło do swojej roli lub jej nie rozumie. Jak działacze związku zawodowego bawią się w politykę, interesują ich tylko ich stanowiska, wpływy lub nie daj Boże biznesy to dla mnie to jest parodia związku zawodowego. Ale wiem też, że są związki, które działają inaczej. Coraz częściej korzystają one z pomocy ekspertów i potrafią być prawdziwym partnerem dla Zarządu oraz zwalczać dyskryminację, mobbing itp. patologie w organizacji. Miejmy nadzieję, że staną się one standardem.

Co do umów B2B. To częsty sposób by po prostu zejść z kosztów i móc szybko pozbyć się kosztów, ups, szybko pozbyć się pracownika lub móc obchodzić prawo pracy - np. czas pracy.

Te umowy jeszcze mają sens przy wysoko opłacanych ekspertach i stanowiskach zarządczych lub kierowniczych. O ile nie są narzucane jako standard.

Poza tym to według mnie zwykle czysty wyzysk i obchodzenie przepisów.

A jak w praktyce weryfikuję ściemy?

To już mój know-how. Zdradzę tylko, że sprawdzenie papierów to tylko pierwszy krok z wielu.

Natomiast w wyniku audytów piszę jak jest, a nie wystawiam laurek. Jak chcesz laurkę to musisz poszukać innego audytora. 

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?

 

Ponad dwa lata temu opublikowałem post : "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz ten post.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,

2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,

3) RODO - ochronie danych osobowych,

4) umowach gospodarczych,

5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, pomagam we wdrożeniu, audytuję i doradzam.

Występuję też na licznych konferencjach i warsztatach. Nie licząc paru wydarzeń niekomercyjnych, organizowanych przez moich przyjaciół, które wspieram by szerzyć Kulturę Compliance lub RODO, to mój występ na konferencji lub prowadzenie przeze mnie warsztatów jest co do zasady płatne. Nawet krótkie wystąpienie wymaga ode mnie godzin przygotowań, a mój czas kosztuje. Dodatkowo reklamuję wydarzenia, w których występuję co też ma swoją wartość bo jak powiedział w październiku 2022 r., przestawiając mnie jeden z organizatorów kongresu Compliance Day - jestem najbardziej znanym oficerem Compliance w Polsce.  Według mnie nie jestem najbardziej znanym ekspertem Compliance ale niewątpliwie przez ostatnie parę lat zbudowałem swoją markę i wizerunek. Więc wiesz kim jestem.

Moje zawodowe zainteresowania to analizy, strategia i zarządzanie. Jestem nietypowym prawnikiem, bo kocham liczby i zawsze o nie pytam (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fantastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się, to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

 

Zawsze też z chęcią polecą innego radcę prawnego, adwokata lub eksperta. 

No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym TOBIE mogę pomóc? :-)

Tanio nie będzie (choć w porównaniu z wielką czwórką jestem ciut tańszy).

Zapraszam do KONTAKTU

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?

Ponad rok temu opublikowałem post : "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?"

Myślę, że najwyższe pora go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz tego posta.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,

2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,

3) RODO - ochronie danych osobowych,

4) umowach gospodarczych,

5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, audytuję i doradzam.

Moje zawodowe zainteresowania to negocjacje i mediacje, finanse, analizy, strategia i zarządzanie. I dlatego jestem nietypowym prawnikiem. Bo kocham liczby (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fanstastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

No to teraz wiesz już kim jestem i w czym się specjalizuje  Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym mogę Ci pomóc? :-)

 

Recenzja książki Joseph T. Wells "Nadużycia w firmach Vademecum - zapobieganie i wykrywanie"

Na studiach chodziłem na seminarium z prawa karnego materialnego i prawa karnego wykonawczego (w końcu pracę magisterską napisałem w katedrze prawa karnego materialnego z przestępstw komputerowych). Dziś troszkę zatoczyłem koło, ponieważ w ramach Compliance zdarza mi się zapobiegać i wykrywać nadużycia. 

Ekspert to ktoś kto łączy praktykę z teorią, a jak już czymś się zajmuję to profesjonalnie. Szukałem więc pozycji na temat zapobiegania i wykrywania nadużyć w firmach i tak trafiłem na książkę Wells`a. Notabene bibliografia w tym zakresie nie jest zbyt bogata. No ale to ma być recenzja.

Najpierw tradycyjnie test śpiocha (a co to jest test śpiocha? Jak książka jest kiepsko napisana to mnie usypia. Jak jest dobrze napisana to mnie porywa do innego świata i tracę poczucie czasu. Test śpiocha nie świadczy o zawartości merytorycznej). W tym teście książka dostaje mocne 4+. Żeby była jasność ta książka ma 440 stron, dużych stron i pisanych bardzo małą czcionką. Jakbym nie był molem książkowym mógłbym nie dać rady jej przeczytać. Jest zgrabnie napisana - storytelling (czyli kazusy z życia) są zgrabnie połączone z częścią teoretyczną, statystyką itd. Czyta się to nieźle. Ale swoje waży - jak stara dobra gruba książka telefoniczna.

A o czym jest książka? Najkrócej to vademecum wykrywania i zapobiegania nadużyciom. I tu muszę wspomnieć o pierwszej wadzie - książka jest pisana z perspektywy USA. Więc np. jest mega długi rozdział o wekslach. Po drugie, w Polsce została wydana w 2006 r. i troszkę trąci myszką. Technologia i modus operandi zmienił się znacznie - wiecie cyberzagrożenia. Jednocześnie są tam myśli i idee, które w Polsce dopiero zaczynają się przebijać. I jest tam mega dużo wiedzy, statystyk itd. 

A dla kogo jest ta książka?

Dla ludzi z wydziałów Compliance, audytu, kontroli itd.

Czas na ocenę w szkolnej skali 1-6, książkę oceniam na 5.

Czy czytać?
CZYTAĆ

Ps niestety nie ma ebook`a, w księgarniach też jej nie ma, mój egzemplarz upolowałem w antykwariacie.

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?

Za dwa tygodnie moja kancelaria radcy prawnego będzie obchodziło pięciolecie działalności. I dużo ostatnio myślę, o początkach kancelarii, jej drodze oraz dalszych planach i celach.

Kocham rozmawiać z ludźmi, w tym z moimi klientami i partnerami. Pomagam im w różnych rzeczach. Uczę ich i uczę się od nich. Czasami inspirują mnie zachęcając np. bym napisał książkę o marketingu prawniczym lub opowiedział o tym. Bo podobno robię to nieźle. Ostatnio jeden z nich mnie zaskoczył słowami "Nie wiedziałem, że na tym też się znasz", a chodziło o prawo gospodarcze. 

No cóż nie każdy musi czytać kilkaset artykułów, które napisałem, studiować mój profil na Linkedln lub stronę/bloga mojej kancelarii. Nie każdy miał szansę realizować ze mną różne projekty.

W sumie to ja powinienem zadbać o to by każdy wiedział w czym jestem ekspertem. To ja odpowiadam za budowę swej marki i reputacji. Jeżeli ktoś nie zna wszystkich moich specjalizacji to tylko mój błąd. Każdy może popełnić błąd (o tym też pisałem kiedyś) ale błędy należy  naprawiać.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz tego posta.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością

2) RODO - ochronie danych osobowych

3) umowach gospodarczych

4) spółkach handlowych, w tym nadzorze właścicielskim i due diligence

5)  zamówieniach in house, w szczególności w publicznym transporcie zbiorowym.

W tym zakresie świadczę pomoc prawną w tym też szkolę, audytuję i doradzam.

Moje zawodowe zainteresowania to negocjacje i mediacje, finanse, analizy, strategia i zarządzanie. I dlatego jestem nietypowym prawnikiem. Bo kocham liczby (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fanstastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

No to teraz wiesz już kim jestem i w czym się specjalizuje  Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym mogę Ci pomóc? :-)

Skąd legalnie i za darmo czerpać podstawową wiedzę o kontrahencie?

Każdy przedsiębiorca zadaje sobie lub powinien zadawać sobie pytanie:

"Skąd mogę legalnie i za darmo czerpać wiedzę o moim kontrahencie?"

Jeżeli nasz kontrahent prowadzi działalność na podstawie wpisu do CEIDG możemy go sprawdzić TU. Przypominam na marginesie, że od ponad roku dane osobowe w CEIDG nie są wyłączone z reżimu ochrony danych osobowych. Więc sprawdzać można ale z głową bo RODO ;-)

Jeżeli nasz kontrahent jest wpisany w KRS to po pierwsze polecam sprawdzić wpisy w KRS TU. Odpis aktualny da nam podstawową wiedzę co i jak. Odpis pełny pozwoli spojrzeć w przeszłość. Poza tym warto zajrzeć też do Rejestru Dłużników niewypłacalnych.

Oczywiście istnieje ryzyko, że wpis będzie nie aktualny lub będziemy musieli pogrzebać głębiej. Wtedy trzeba zamówić akta danego podmiotu, np. spółki SA we właściwym KRS i pofatygować się do czytelni akt.

Po drugie możemy TU sprawdzić czy zostało złożone sprawozdanie finansowe. Niestety odkąd wprowadzono format xml jest to trochę utrudnione ale i tak można się paru rzeczy dowiedzieć. Chciałbym zwrócić uwagę, że nie złożenie przez podmiot sprawozdania finansowego powinien być dla nas sygnałem ostrzegającym. 

Oczywiście sprawozdania finansowe i sprawozdania z działalności trzeba umieć czytać i analizować. Jeżeli nie potrafisz to skorzystaj z pomocy specjalisty. 

Jeżeli nasz kontrahent jest płatnikiem VAT to warto go sprawdzić TU. Przy okazji sprawdzimy na jaki rachunek powinniśmy zapłacić by uniknąć problemów. Szkoda tylko że nie podają rachunku VAT.

Oczywiście poza tym mamy do pomocy wujka GOOGLE. Oczywiście jeżeli jakiegoś podmiotu nie ma w internecie to nie oznacza, że w rzeczywistości też go nie ma. Z drugiej strony czasami podmiot jest w internecie a w rzeczywistości go nie ma. Google bywa prawdziwą kopalnią informacji. Oczywiście trzeba do nich podchodzić z głową.

Oprócz wyszukiwarki mamy też GOOGLE MAPS. Warto np. czasami sobie popatrzeć czy te hale naprawdę istnieją.

Jeżeli już mowa o nieruchomościach.

Polecam sprawdzanie za damo ksiąg wieczystych - TU.

I map geodezyjnych - TU lub TU. 

Jeżeli kontrahent prowadzi stronę firmową lub bloga, to warto go przejrzeć i poczytać.

Oczywiście niniejszy post nie wymienia wszystkich możliwości i źródeł pozyskiwania legalnie i za darmo informacji o kontrahencie. Nie wspomniałem choćby o Monitorze Sądowym i Gospodarczym.

W niniejszym poście wskazuję tylko podstawowe źródła informacji. Znalezienie informacji o kontrahencie to tylko pierwszy krok. Informacje trzeba jeszcze m.in. zweryfikować, przeanalizować i wyciągnąć wnioski. No ale to już inna historia.

Już na zakończenie, chciałbym tylko podkreślić, że sprawdzając kontrahenta, pamiętajmy żeby zachować równowagę. Brak zaufania nie pozwoli nam prowadzić biznesu. Zbyt duże zaufanie może nas drogo kosztować.

A teraz mała prywata ;-)

Dobrym wyjściem jest konsultowanie każdej umowy lub transakcji z prawnikiem. Dziś już nie jest to drogie i są możliwe różne sposoby rozliczeń, a wcześniejsza konsultacja z prawnikiem pozwala uniknąć czasami dużych problemów.

Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A. - rekomendacja czy obowiązek dla Spółek w 2019 roku?

Jeżeli czytasz mojego bloga lub śledzisz profil na Linkedin to wiesz, że w najbliższym czasie Compliance (czyli zarządzanie zgodnością) z zagranicznej nowinki i praktyki Banków oraz zagranicznych Korporacji stanie się obowiązkiem średnich i dużych przedsiębiorców w Polsce.

Dlaczego?

Choćby z racji nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (pisałem o tym TU).

O potrzebie wdrażania systemów zarządzania zgodnością piszę od dawna, choćby na Inforze (Link) i wielokrotnie na blogu (np TU). Mam nadzieję, że nie muszę Cię przekonywać, że jeżeli posiadasz, nadzorujesz lub zarządzasz średnim lub dużym przedsiębiorstwem to System Compliance powinieneś mieć wdrożony lub już go wdrażać (primo by podnieść Kulturę Spółki na wyższy lepszy poziom, secundo by uniknąć strat wizerunkowych oraz zminimalizować ryzyko wielomilionowych kar i innych sankcji).

Dziś jednak chciałbym napisać coś o wzorcach. A dokładniej o Standardach rekomendowanych dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemów ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie (tu masz LINK do treści ww. standardów).

Przedmiotowe Standardy m.in.:

1. rekomendują by Spółki miały system zarządzania zgodnością. System ten powinien mieć na celu identyfikację oraz zarządzanie ryzykiem niezgodności z przepisami, regulacjami wewnętrznymi Spółek oraz powszechnie obowiązującymi zwyczajami i regułami etycznymi,
2. rekomendują by Spółki miały wdrożony odpowiednie mechanizmy i procedury Compliance: np. kodeks antykorupcyjny (dają też zalecenia co do wdrożenia) itd.,
3. dają wytyczne co do wyboru, umocowania itd. osoby zajmującej stanowisko Compliance Officera (tj. osoby odpowiedzialnej za zarządzanie ryzykiem braku zgodności lub ryzykiem korupcji). Co ciekawe rekomenduje się by była ona w randze członka Zarządu lub podlegała bezpośrednio pod Radę Nadzorczą i Zarząd, będąc jednocześnie niezależną i posiadając odpowiednie zasoby,
4. zawierają rekomendacje w przedmiocie systemów zgłaszania informacji o nieprawidłowościach i ochrony sygnalistów,
5. zawierają rekomendacje w zakresie postępowania ze zgłoszeniami o nieprawidłowościach.

W tym momencie chciałbym zwrócić uwagę na dwie rzeczy.

Po pierwsze, rekomendacje zaczęły być pisane w momencie gdy trwały prace (obecnie zawieszone) nad ustawą o jawności życia publicznego (pisałem o niej TU). Dlatego W rekomendacjach jest dużo o antykorupcji. Natomiast należy pamiętać, że systemy antykorupcyjne (które mogą być wdrażane w ramach lub obok systemów Compliance) stanowią cześć systemów zarządzania zgodnością. W mojej ocenie Rekomendacje GPW stanowią wartościową ściągę nie tylko we wdrażaniu systemów antykorupcyjnych ale również systemów Compliance.

Po drugie, wielu z Państwa może powiedzieć: "Przecież moja Spółka nie jest notowana na GPW, co mi po tych standardach?". 

Powiem, tak. Systemy Compliance będą oceniane m.in. według pewnych wzorców/standardów.

Jakich wzorców? 

Norm ISO, standardów GPW.

Jak mawia młodzież: kumasz?

Wdrożenie w 2019 r. ww. standardów to będzie obowiązek czy to jest tylko rekomendacja????

De iure (według prawa) to tylko rekomendacje.

De facto (w rzeczywistości) to będzie obowiązek.  

Jeżeli już wiesz, że musisz wdrożyć system Compliance, to rekomendacje ci podpowiedzą ciut JAK.

A eksperci ds. Compliance pomogą ci: 

1. STWORZYĆ SYSTEM COMPLIANCE, 
2. WDROŻYĆ GO,
3. UTRZYMAĆ
4. DOKONAĆ JEGO OCENY
5. ULEPSZYĆ

Do usłyszenia i niech Compliance będzie z Tobą

Recenzja książki Kazimierza Turalińskiego „Jak kraść? Podręcznik złodzieja”

Przedsiębiorcy mówią „Business is business” - biznes to biznes

Amerykanie mówią “War is business” - wojna to biznes

Japończycy mówią “Business is war” biznes to wojna

 

Ostatnio biznes to często wojna z oszustami, złodziejami itp. itd.

 

Pozwolę sobie na drobną dygresję.

Nie wiem czy czytałeś o tym, że lubię grać w gry strategiczne – symulacje bitew lub wojen.

Nie będę skromny i się pochwalę, że jestem dobry w te klocki i zwykle wygrywam.

Aby wygrywać wojny potrzeba:

1) wiedzy – tą zdobywa się przez praktykę i naukę teorii

2) zdolności – te się ma większe lub mniejsze

3) szczęścia – Napoleon mawiał „Od dwóch dobrych generałów wolę jednego, który ma szczęście”

 

Od końca.

Szczęście się ma lub nie. Jeżeli polegasz zbytnio na szczęściu, opuści cię w najgorszym momencie. Dlatego lepiej nie polegać na szczęściu i zarządzać ryzykiem.

Zdolności to rzecz wrodzona. Albo je masz albo nie.

Wiedza, to jest element który zależy od Ciebie. Możesz zdobywać wiedzę przez praktykę. Możesz uczyć się na swoich błędach lub cudzych. Możesz też czytać mądre książki lub słuchać mądrych ludzi.

 

Po co się uczyć? Sun Tzu w książce Sztuka Wojny napisał: „Kto zna wroga i zna siebie, nie będzie zagrożony choćby i w stu starciach. Kto nie zna wroga, ale zna siebie, czasem odniesie zwycięstwo, a innym razem zostanie pokonany. Kto nie zna ani wroga, ani siebie, nieuchronnie ponosi klęskę w każdej walce.”.

Aby wygrywać warto poznać siebie i wroga.

 

Dziś dam drobną wskazówkę jak można ciut lepiej poznać wroga.

 

Aby więcej dowiedzieć się o oszustach i złodziejach zakupiłem w formie ebook`a książkę Kazimierza Turalińskiego „Jak kraść? Podręcznik złodzieja”. Wydanie I z 2012 r.

Na stronie autora znalazłem Wydanie II z 2014 r., którego nie posiadam. Porównałem spisy treści i nowych rozdziałów nie zauważyłem. Zakładam więc, że autor tylko uaktualnił swe dzieło i prawdopodobnie ciut rozszerzył.

Teraz do czegoś się przyznam. Ebook kosztuje ponad 100 zł, książka wydanie II 169 zł, ja kupiłem w jakieś mega promocji za 5 zł :-) Warto kupować ebooki i polować na promocje :-)

 

A książka? Przyznam szczerze mam mieszane uczucia. Postaram się wyjaśnić dlaczego.

 

Jak się ją czyta? Nie najgorzej. Nie zasypiałem nad nią, ale też nie wciągała mnie specjalnie.

 

Zawartość merytoryczna?

1) W książce jest sporo przydatnych informacji jak walczyć ze złodziejami, oszustami itd. Poznajemy ich modus operandi (sposób działania). Możemy więc podjąć odpowiednie środki zaradcze.

2) Informacje w książce podzieliłem na 3 kategorie – 1) zgadzam się z autorem (stanowią około 50%), 2) nie jestem w stanie ich potwierdzić i budzą me wątpliwości (stanowią około 20%), 3) nie zgadzam się z nimi (stanowią około 30%). 

3) Wnioski autora też podzieliłem na trzy kategorie – 1) mniej więcej się z nimi zgadzam (stanowią około 30%), 2) do przedyskutowania (stanowią około 40%), 3) zupełnie się z nimi nie zgadzam (stanowią około 30%).

 

Zgadzam się z autorem, że głupota lub chciwość gubi ludzi. Dlatego warto sprawdzać kontrahentów itd. itd.

Choć wiem, że zaufanie jest potrzebne dla funkcjonowania społeczeństwa i gospodarki, a jest to towar mocno deficytowy w Polsce, to zachęcam przedsiębiorców i ludzi do ostrożności.

Przedsiębiorcy, Politycy i ludzie, my wszyscy musimy starać się budować zaufanie i zmieniać Kulturę w Polsce. No ale to temat na inną dyskusję.

 

Zupełnie nie zgadzam się z autorem, że Polska to raj dla złodziei a piekło dla ludzi uczciwych.

 

Zupełnie też się nie zgadzam z oceną sądów, adwokatów i radców prawnych.

Sądy w Polsce mają swoje wady, ale zasługują na ocenę dobrą a nie mierną.

Natomiast co do radców prawnych i adwokatów. Sam jestem przykładem, że nie są to zamknięte kasty. Radcowie prawni i adwokaci służą pomocą prawną. To zawód zaufania publicznego. Jeżeli ktoś bezpodstawnie niszczy autorytet ww. zawodów zaufania publicznego, w sytuacji, gdy kultura prawna w Polsce jest niestety na niskim, to po prostu krew mnie zalewa i ................................ .

Wdech Wydech Spokój

Jeżeli ktoś czyta mojego bloga i ma problemy prawne lub wątpliwości, niech idzie po pomoc do radcy prawnego lub adwokata. Jeżeli go nie stać, są kliniki prawa, bezpłatna pomoc prawna itp. itd. Niech nie słucha autora książki.

Nikt sobie sam nie operuje wyrostka i nikt nie powinien sam np. chodzić do Sądu.

 

Autor książki, podzielił się z czytelnikami swą z wizją i filozofią prawa oraz wizją i filozofią Państwa.

Niniejszym oświadczam, że się z nią nie zgadzam.

 

Żeby nie wdawać się w polemikę powiem tak

1) Warto przeczytać tą książkę, ale należy być bardzo krytycznym.

2) Autor często wskazuje realne lub możliwe problemy i ryzyka.

3) Autor niestety czasami stawia bardzo kontrowersyjne (delikatnie rzecz ujmując) tezy.

4) Mimo tego, że w wielu punktach nie zgadzam się z Panem Kazimierzem Turalińskim, uważam, że warto przeczytać i przemyśleć jego książkę.

 

Może kiedyś Bóg da mi szansę zmierzyć się z Panem Kazimierzem Turalińskim w dyskusji. Z chęcią bym:

1) omówił szerzej niektóre jego wnioski (niektóre z nich są bardzo ciekawe),

2) spróbował mu wyjaśnić jak pobłądził w paru kwestiach.

 

Pamiętaj.

Wygrana bitwa nie oznacza dla Ciebie wygranej wojny. Za to przegrana bitwa może oznaczać dla Ciebie przegraną wojnę. Dlatego poznaj siebie i wroga by zwyciężać.

Poznaj modus operandi (po łacinie: sposób działania) przestępców, oszustów, nieuczciwych kontrahentów itd. byś był w stanie się przed nimi bronić.

 

Suma summarum polecam lekturę tej pozycji przedsiębiorcom, specjalistom od ryzyk i oficerom Compliance.

 

Jak mam się przygotować do kontroli zamówienia in house Panie Mecenasie?

W ostatnim poście udzieliłem szybkiej i krótkiej odpowiedzi na pytanie: „jak mam się przygotować do kontroli zamówienia in house?” – „potrzeba Ci pomocy ekspertów, którzy przeprowadzą szkolenie, audyt itd.”.

Przy okazji, definicję podmiotu wewnętrznego znajdziesz w jednym z moim wcześniejszych postów, a dokładnie TU.

Pierwszym krokiem aby przygotować się do kontroli zamówienia in house jest znalezienia Eksperta/Ekspertów (zwykle w skład zespołu wchodzi: prawnik, ekonomista, czasami branżowiec). 

Drugim krokiem jest zlecenie Ekspertowi by sprawdził czy wszystko było i jest de lege artis (po łacinie: „według reguł sztuki”). 

Trzecim krokiem jest ...............................................................................................

A trzeci krok to już zależy od wyników audytu.

Albo wszystko jest de lege artis albo są mniejsze lub większe rzeczy do poprawy albo masz BARDZO POWAŻNY PROBLEM.

Już słyszę: „Ale co  i jak będzie sprawdzał Ekspert?”.

Ekspert sprawdzi m.in.:

1) Czy  zamawiający sprawuje nad jednostka, której powierzył wykonanie zadania, kontrolę analogiczną do tej jaką sprawuje nad swoimi wydziałami/oddziałami?

2) Jaka część działalności kontrolowanej osoby prawnej jest prowadzone w ramach wykonywania zadań powierzonych jej przez instytucję zamawiającą sprawującą kontrolę lub przez inne osoby prawne kontrolowane przez tę instytucję zamawiającą?

3) Czy w kontrolowanej osobie prawnej nie ma bezpośredniego udziału kapitału prywatnego?

4) Czy umowa powierzeniowa (o ile jest) spełnia wymagania prawne?

 A jakie dokumenty będzie analizował Ekspert?

Pozwól, że omówię to na przykładzie Spółki z o.o.

Ekspert przeanalizuje m.in.:

1)          Akt założycielski/umowę spółki;

2)          Odpis KRS

3)          Aktualną Listę Wspólników,

4)          Regulamin Zgromadzenia Wspólników,

5)          Regulamin Rady Nadzorczej,

6)          Regulamin Zarządu,

7)          Regulamin Organizacyjny

8)          Strukturę i metody zarządzania,

9)          Skład Rady Nadzorczej,

10)      Zasady Nadzoru Właścicielskiego,

11)      Strukturę Własnościową,

12)      Uchwały Organów Spółki,

13)      Korespondencję pomiędzy Spółką a podmiotem powierzającym,

14)      Sprawozdania finansowe i Sprawozdania z działalności Spółki,

15)      Umowę powierzeniową,

16)      Itp. Itd.

To nie jest ani łatwa ani lekka praca.

No mógłbym o tym mówić parę godzin.

Na koniec dam Ci radę: najgorsze zwykle są te problemy z których nie zdajesz sobie sprawy lub z którymi nic nie robisz