Pokazywanie postów oznaczonych etykietą bezpieczeństwo prawne. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą bezpieczeństwo prawne. Pokaż wszystkie posty

niedziela, 15 września 2024

Trzeci krok we wdrożeniu systemów dla Sygnalistów

Napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?" i "Drugi krok we wdrożeniu systemów dla Sygnalistów" dziś czas napisać o trzecim kroku.

Przypomnę tylko, że w drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów. W trzecim kroku system należy wdrożyć.

W dużym skrócie należy:
1) przyjąć procedurę i zapoznać z nią osoby świadczące pracę,
2) uruchomić kanały zgłoszeń,
3) rozpocząć komunikację, w tym szkolenia w celu zmiany Kultury organizacyjnej,
4) wydać upoważnienia itd. osobom do przyjmowania zgłoszeń i prowadzenia działań następczych,
5) zacząć prowadzić rejestr itd,
6) zadbać by system przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów działał skutecznie i efektywnie.
 
Przypominam:
25 września br. muszą już funkcjonować systemy dla sygnalistów,
18 września br. jest ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników
W dniu  13 września minął ostatni możliwy termin do rozpoczęcia konsultacji procedury.
Zegar tyka, a czas się kończy.
 
Niech moc Compliance będzie z wami.


 

niedziela, 21 lipca 2024

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka? Czyli w czym mogą pomóc w związku z ustawą o ochronie sygnalistów

 


To już trzecia aktualizacja postu "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była ostatnia aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz ten post.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:
1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,
2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,
3) RODO - ochronie danych osobowych,
4) umowach gospodarczych,
5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, pomagam we wdrożeniu, audytuję i doradzam.

Występuję też na licznych konferencjach i warsztatach. Nie licząc paru wydarzeń niekomercyjnych, organizowanych przez moich przyjaciół, które wspieram by szerzyć Kulturę Compliance lub RODO, to mój występ na konferencji lub prowadzenie przeze mnie warsztatów jest co do zasady płatne. Nawet krótkie wystąpienie wymaga ode mnie godzin przygotowań, a mój czas kosztuje. Dodatkowo reklamuję wydarzenia, w których występuję co też ma swoją wartość bo jak powiedział w październiku 2022 r., przestawiając mnie jeden z organizatorów kongresu Compliance Day - jestem najbardziej znanym oficerem Compliance w Polsce.  Według mnie nie jestem najbardziej znanym ekspertem Compliance ale niewątpliwie przez ostatnie parę lat zbudowałem swoją markę i wizerunek. Więc wiesz kim jestem.

Moje zawodowe zainteresowania to analizy, strategia i zarządzanie. Jestem nietypowym prawnikiem, bo kocham liczby i zawsze o nie pytam (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fantastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się, to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).
 
Zawsze też z chęcią polecą innego radcę prawnego, adwokata lub eksperta.  Zwłaszcza jak na czymś się nie znam.

Kilkadziesiąt tysięcy podmiotów sektora prywatnego i publicznego musi do 24 września br. wdrożyć systemy przyjmowania zgłoszeń wewnętrznych, prowadzenia działań następczych i ochrony sygnalistów. Parę tysięcy organów publicznych będzie musiało do 24 grudnia br. wdrożyć systemy przyjmowania zgłoszeń zewnętrznych.
Tak się składa, że m.in. wdrożyłem jeden z pierwszych systemów dla sygnalistów w sektorze publicznym. Jeżeli potrzebujesz eksperckiej i praktycznej wiedzy jak wdrożyć i zarządzać systemem dla sygnalistów to zapraszam do kontaktu w celu ustalenia warunków współpracy. 

No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.
W czym TOBIE mogę pomóc? :-)
Tanio nie będzie (choć w porównaniu z wielką czwórką jestem ciut tańszy).
Zapraszam do KONTAKTU


niedziela, 28 kwietnia 2024

Luźne przemyślenia oficera Compliance - szykuje się znowu piękna katastrofa, jak z RODO

Już wiem jak się czuła Kasandra. Choć raz chciałbym się pomylić w ważnej sprawie, ale nie. Literówki robię co kawałek ale w ważnej rzeczy jakoś nie mogę się mylić choćbym chciał. Ech...... 

W ostatnim poście Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO pisałem dlaczego z sygnalistami będzie jak z RODO. I każdy tydzień mnie utwierdza, że mam rację.Wielu moich kolegów i koleżanek myśli że wystarczy przeczytać ustawę i par książek i już się jest ekspertem. W końcu specjalista z prawa pracy lub karnista z sygnalistami też sobie poradzi. Machnie się procedurkę i już. Tak samo było kiedy wchodziło RODO. Sporo prawników poczuło zapach pieniędzy i zaczęło sprzedawać procedury strasząc olbrzymimi karami. Efekt jest taki, że do dziś po nich trzeba poprawiać, a wiele podmiotów nie ma systemu ochrony danych osobowych tylko półkowniki. Zbierającą kurz dokumentację. Teraz zaczynamy oglądać nową odsłonę tego zjawiska w związku z sygnalistami. 

Od paru lat piszę, występuję na konferencjach i tłumaczę z koleżankami i kolegami praktykami, że trzeba będzie wdrożyć system przyjmowania zgłoszeń, prowadzenia działań następczych (w tym wyjaśniających) i chronić sygnalistów. System trzeba zaprojektować pod organizację, wdrożyć a potem nim zarządzać. Elementem systemu (jednym z wielu) jest m.im. procedura, rejestr czy kanały. Najważniejsi są jednak ludzie i komunikacja.

A potem czytam posty prawników z wielkich i znanych kancelarii, że "procedura musi być dostosowana do podmiotu", "trzeba będzie kupić procedurę" itp. posty. Dużo o procedurze, czasami coś o kanałach a zero o systemie czy zmianie Kultury.

Jak zaczynałem w 2018/2019 r. pisać w Infor.pl Compliance i sygnalistach, nie pisał o nich prawie nikt. Teraz jak w końcu pojawił się projekt ustawy o ochronie sygnalistów w Sejmie nagle o sygnalistach piszą wszyscy. Założę się, że duże kancelarie zainwestują duże pieniądze by się wypromować jako eksperci od sygnalistów. Dam wam prostą radę. Jak będą pisać o procedurze, a nie systemach to po prostu chcą waszą kasę za półkownika. Zastanówcie się wtedy czy chcecie skuteczny system chroniący was i wasze organizacje czy chcecie kupić stertę papieru za grubą kasę od sławnej kancelarii.

Na koniec wieści z frontu legislacji, bo tu dużo się działo:

1) projekt ustawy o ochronie sygnalistów w Sejmie - druk nr 317 - sygnaliści się kłaniają

2) Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - NIS 2 się kłania

3) Parlamenty Europejski przyjął  Dyrektywa w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju (Corporate Sustainability Due Diligence Directive, Dyrektywa CSDD) - ESG się kłania.

4) Na RLC mamy Projekt ustawy o zmianie ustawy o rachunkowości, ustawy o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym oraz niektórych innych ustaw - i znowu ESG się kłania

5) Na RLC mamy Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego - DORA się kłania

6) dzieje się w prawie gospodarczym, np. na RLC mamy projekt ustawy o zmianie niektórych ustaw w celu deregulacji prawa gospodarczego i administracyjnego oraz doskonalenia zasad opracowywania prawa gospodarczego

7) a oprócz tego szykują się zmiany w AML, trwają prace nad standardami ESRS, planują rozwiązać CBA  - może po 8 latach przerwy znowu zaczniemy serio walczyć z korupcją - itd.

Oj 2024 r. zapowiada się ciekawie

Niech moc Compliance będzie z wami


niedziela, 11 lutego 2024

Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO

Od blisko pięciu lat ostrzegam, że w przypadku systemów przyjmowania zgłoszeń, prowadzeniu postępowań następczych (w tym postępowań wyjaśniających) oraz ochrony sygnalistów (w skrócie systemy dla sygnalistów lub Whistleblowing) będzie w Polsce gorzej niż z wdrażaniem systemów ochrony danych osobowych po wejściu w życie RODO.

Dlaczego w Polsce wiele podmiotów nie ma skutecznych i efektywnych systemów ochrony danych osobowych? Po pierwsze wiele podmiotów w Polsce niestety nadal nie zna lub lekceważy prawo. Po drugie często za wdrożenia wzięły się kancelarie prawne, które nie miały doświadczenia w zarządzaniu systemami ochrony danych osobowych. Zaczęły one straszyć wielomilionowymi karami i wciskać klientom dokumentację RODO. Pomijając, że w RODO chodzi o ochronę praw i wolności osób, które dane się powtarza, o stworzenie skutecznego i efektywnego systemu ochrony danych osobowych (opartego na analizie ryzyka), a dokumentacja to tylko jedno z narzędzi tego systemu. Oczywiście dokumentacja u nich nie była tania. Z drugiej strony rynek psuły podmioty sprzedające dokumentację ze parek setek. W wyniku tego do dziś nawet w dużych firmach znajduję pokryte kurzem segregatory i Zarządy żyjące złudzeniem, że mają system, bo kupili dokumentację i 5 lat temu przeszli jakieś szkolenie. Na szczęście ochrona danych osobowych funkcjonuje w Polsce nie 5 lat (jak RODO) ale ćwierć wieku i mamy całe grono praktyków ochrony danych osobowych, które w zależności od wsparcia najwyższego kierownictwa zbudowali w wielu podmiotach lepsze lub gorsze systemy ochrony danych osobowych.

Od paru lat tłumaczę, że trzeba będzie w Polsce wdrożyć systemy dla sygnalistów, a procedura to akurat najłatwiejsza sprawa i nie jest to ani pierwszy ani ostatni krok. W tym roku ponieważ pojawiła się szansa, że w końcu w życie wejdzie ustawa o ochronie osób dokonujących zgłoszenia naruszeń, wiele kancelarii i firm poczuło kolejną po RODO żyłę złota. I się zaczęło pisanie i chwalenie kto to więcej i lepiej pisze procedur oraz jakie to one powinny być. Żeby było weselej robią to nawet renomowane i promujące się jako doświadczone w Compliance duże kancelarie. Ja rozumiem, że kasa musi się zgadzać i najtaniej i najłatwiej jest opchnąć klientowi procedurę lub parę procedur. Potem ewentualnie opchnąć swe usługi audytorskie, śledcze lub z zakresy obsługi sądowej (zależy jaki kto zbudował zespół).

Tylko takie podejście skończy się tym, że wiele firm będzie miało złudzenie, że spełniło wymagania, bo przecież mają kupioną za grubą kasę procedurę i ktoś ich parę lat temu przeszkolił.

W przypadku RODO, mieliśmy tysiące doświadczonych praktyków ochrony danych osobowych w sektorze publicznym i sektorze MSP. W przypadku Compliance już tak nie jest. Systemy dla sygnalistów czy compliance w sektorze publicznym czy MSP to wyjątek od reguły a nie zasada.  No i ochrona danych osobowych nie budzi takich problemów Kulturowych jak dokonywanie zgłoszeń i ochrona sygnalistów.

Piszę teraz do podmiotów, które będą wdrażały i zarządzały systemami dla sygnalistów - unikajcie jak ognia podmiotów, które będą oferować procedurę przyjmowania zgłoszeń i będą się chwalić ile to ich napisały. Szukajcie ekspertów doświadczonych we wdrażaniu i zarządzaniu systemami dla Sygnalistów i mówiących o systemach. Dostosowanych do podmiotu.

Nie chodzi by mieć procedurę. Chodzi o to by sygnaliści zgłaszali wam naruszenia, o to byście je rzetelnie wyjaśniali i podejmowali właściwe działania następcze i żebyście chronili sygnalistów. Na wyższym metapoziomie chodzi o bardziej etyczne, efektywne i skuteczne organizacje oraz bardziej zaangażowanych pracowników oraz minimalizację ryzyk.  Napisanie procedury to najłatwiejsze w tym wszystkim (a i to potrafią kancelarie popsuć pisząc długie i niezrozumiałe procedury).

Co do kanałów i aplikacji to każdy musi wybrać to co pasuje do jego Kultury. Choć to też trzeba robić z głową.

Niech moc Compliance będzie z wami

Ps a dla i wybaczcie jak się na LI przejadę publicznie po kimś kto zamiast o systemach będzie pisał  tylko o procedurach ale człowiek się męczy, tłumaczy a potem duża kancelaria lub firma doradcza wciska procedury, a nie edukuje, że potrzeba wdrożyć i zarządzać systemem. A i wymówka, że to tylko skrót myślowy nie podziała.

niedziela, 21 stycznia 2024

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

niedziela, 10 grudnia 2023

Ciekawostki z prawa handlowego i nie tylko - odcinek 43

Dziś chciałbym zwrócić uwagę członkom Rad Nadzorczych spółek akcyjnych, że zgodnie z art. 382 § 3w związku z § 31 Kodeksu Spółek Handlowych do obowiązków Rad Nadzorczych należy sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy, czyli sprawozdania rady nadzorczej.

Sprawozdanie rady nadzorczej powinno między innymi obejmować ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

Czyli Rada Nadzorcza musi m.in. ocenić jak Zarząd wdrożył i jak zarządza m.in. systemem Compliance (zapewnienia zgodności). A co jak system Compliance nie funkcjonuje lub funkcjonuje pozornie?

A macie członkowie Rady Nadzorczej wiedzę jak to ocenić?

Jakby co służę pomocą. Oczywiście odpłatnie.

Ponadto w sprawozdaniu rady nadzorczej Rada Nadzorcza musi ocenić:
1) sposób sporządzania lub przekazywania radzie nadzorczej przez zarząd informacji, dokumentów, sprawozdań lub wyjaśnień,
2) sposób spełniania przez Zarząd obowiązku informacyjnego, tj. przekazywania informacji o:
a) uchwałach zarządu i ich przedmiocie;
b) sytuacji spółki, w tym w zakresie jej majątku, a także istotnych okolicznościach z zakresu prowadzenia spraw spółki, w szczególności w obszarze operacyjnym, inwestycyjnym i kadrowym;
c) postępach w realizacji wyznaczonych kierunków rozwoju działalności spółki, przy czym powinien wskazać na odstępstwa od wcześniej wyznaczonych kierunków, podając zarazem uzasadnienie odstępstw;
d) transakcjach oraz innych zdarzeniach lub okolicznościach, które istotnie wpływają lub mogą wpływać na sytuację majątkową spółki, w tym na jej rentowność lub płynność;
e) zmianach uprzednio udzielonych radzie nadzorczej informacji, jeżeli zmiany te istotnie wpływają lub mogą wpływać na sytuację spółki.
 
Czyli Rada Nadzorcza nie może się tłumaczyć, że o czymś nie wiedziała.
 
Przedmiotowe przepisy obowiązują od 13 października 2022 r.  Podobnych obowiązków nie mają w KSH spółki z o.o. i proste spółki akcyjne. Osobiście nałożyłbym te obowiązki na wszystkich średnich przedsiębiorców, w których są Rady Nadzorcze.

A przy okazji, jeżeli Rada Nadzorcza zawrze w swoim sprawozdaniu, przedłożonym Walnemu Zgromadzeniu, dane nieprawdziwe to popełni czyn zabroniony zagrożony karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 
Radzę się więc przyłożyć do rzetelnego sporządzanie sprawozdania.
 
Niech moc Compliance będzie z wami.

niedziela, 26 listopada 2023

ESG - jak rozpoznać ściemę część 3

W trzeciej części cyklu chciałbym poruszyć kwestię różnorodności.
Wiele podmiotów lubi potwierdzać, że ceni i dba o różnorodność. 
Jak sprawdzić czy to prawda czy nie?
Przecież nie będziemy pytać o rasę, orientację seksualną itd. 
Według mnie zawsze jednak warto sprawdzić parę rzeczy.
1) pierwsza to ilość procentową kobiet w organach Spółki i na różnych stopniach zaszeregowania - powinna być miarę stała. Różnica 10-30% na różnych stopniach zaszeregowania powinna wzbudzić naszą czujność. Należy też sprawdzić trend. Jeżeli im wyższe stanowisko to tym mniejszy udział procentowy kobiet, a w Zarządzie i wśród Dyrektorów nie ma ich wcale lub jest jedna na kilkanaście mężczyzn to mamy na 99% ESG ściemę.
Oczywiście warto uwzględnić charakter branży na każdym etapie analizy.

2) po drugie warto porównać średnie pensje oraz medianę wynagrodzenia kobiet i mężczyzn w różnych stopniach zaszeregowania. I jak wyżej różnica pomiędzy 10-30% powinna wzbudzić naszą czujność. 

3) po trzecie zawsze warto sprawdzić jak podmiot podchodzi do zatrudniania osób niepełnosprawnych lub nie neurotypowych.
Czy i jakie zapewnia im wsparcie?
Na jakich stanowiskach i na jakich warunkach ich zatrudnia?
Ilu ich zatrudnia?
Jakie jest realne podejście do tych osób w danym podmiocie?
 
Chciałbym zwrócić uwagę, że czasami zostanie nam przedstawiona osoba niepełnosprawna lub nie neurotypowa jako przykład dobrych praktyk w danym podmiocie. Warto się wtedy spytać o inne takie osoby by sprawdzić czy nie mamy do czynienia z tzw. "kwiatkiem do kożucha". 

Oczywiście raportowanie będzie się odbywać według określonych, jednolitych standardów – ESRS.
Tylko papier nie wszystko nam powie.
Według mnie wdrożenie ESG powinno zmienić Kulturę organizacyjną danego podmiotu. A kulturę tworzą ludzi.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?
Sprawdzimy?
Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.


niedziela, 19 listopada 2023

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?
Sprawdzimy?
Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

niedziela, 15 października 2023

Zaproszenie na konferencje - 20 X i 24 X

 Dziś mam przyjemność zaprosić Państwa na dwa niezwykłe wydarzenia

I. Trójmiejski Wieczór z Praktykami Compliance w dniu 20 października 2023 r.

 

„Chcesz iść szybko, to idziesz sam. Chcesz iść daleko – idziesz z innymi”.
Ta maksyma towarzyszy Praktycy Compliance Stowarzyszenie (PCS) od samego początku i jest motorem naszych działań.💪
Jako Stowarzyszenie chcemy zajść daleko m.in. w propagowaniu przydatnej wiedzy na temat compliance oraz budowaniu i integrowaniu środowiska specjalistów oraz pasjonatów z tego obszaru. Wymiana doświadczeń między praktykami oraz bieżące, merytoryczne wsparcie ekspertów z różnych dziedzin daje niezwykłą możliwość rozwoju oraz wywierania pozytywnego wpływu na nasze otoczenie nie tylko zawodowe, ale także społeczne.

💥🔥Dlatego od października br. rozpoczynamy nowy projekt, który ma przybliżyć nas do realizacji założonych celów - Wieczory z Praktykami Compliance.💥🔥
To cykliczne spotkania z członkami PCS w różnych regionach naszego kraju. Każdemu z tych spotkań, dedykowanym różnym obszarom compliance, będą towarzyszyły ciekawe wystąpienia ekspertów, wymiana doświadczeń oraz długie rozmowy, dzięki którym uczestnicy nawiążą nowe, cenne relacje. Mamy nadzieję, że tym samym, taka aktywność pomoże tworzyć i integrować lokalne i regionalne środowiska praktyków i pasjonatów compliance, między innymi w ramach naszego Stowarzyszenia.

UWAGA❗❗❗ Pierwsze otwarte spotkanie z członkami PCS odbędzie się na terenie Trójmiasta już w październiku br. i będzie poświęcone tematyce systemów zgłaszania naruszeń oraz ochrony sygnalistów. Poniżej znajduje się więcej informacji na temat tego wydarzenia.

📌 "Trójmiejski Wieczór z Praktykami Compliance"

📅 Data: 20 października 2023 r. (piątek)

🕕 Godzina: 18:00 - 21:00

🗺 Miejsce: Sopocka Akademia Nauk Stosowanych, ul. Rzemieślnicza 5 w Sopocie, Aula (1. piętro)

Temat przewodni: Praktyczne aspekty wdrażania i zarządzania systemami whistleblowingowymi

📝 Program spotkania:
1. Powitanie uczestników przez zarząd PCS i kilka słów o Stowarzyszeniu.

2. Wystąpienia ekspertów PCS
2.1 Praktyczne aspekty wdrożenia skutecznego systemu whistleblowingowego
Prelegent: ekspert ds. whistleblowingu Rafał Hryniewicz
2.2 Specyfika wdrożenia i utrzymania systemu zgłaszania naruszeń w sektorze publicznym
Prelegent: radca prawny i ekspert ds. compliance Paweł Bronisław Ludwiczak ACO, ACE, miniMBA
2.3  Działania następcze na gruncie Dyrektywy UE w sprawie ochrony osób zgłaszających naruszenia prawa Unii i projektu polskiej ustawy implementującej -  praktyczne problemy i wyzwania
Prelegent: adwokat i ekspert z zakresu prawa karnego Paweł Sawicki

3. Panel dyskusyjny

4. Podsumowanie i zakończenie spotkania

🔥🔥🔥 Wstęp wolny!

Spotkanie jest bezpłatne, prosimy o dokonanie rejestracji na wydarzenie, poniżej link do zapisu:
https://forms.office.com/e/BwXpBCzkGZ


Jeżeli chcesz poznać ciekawych, inspirujących ludzi, pogłębić swoją wiedzę z obszaru compliance, a także współtworzyć z nami Stowarzyszenie Praktyków Compliance serdecznie zapraszamy Ciebie na spotkanie oraz do samego Stowarzyszenia.
Zaangażuj się na rzecz budowania nowej jakości compliance w Polsce!

 

II.  Trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” w dniu 24 października 2023 r.

 



Zapraszam na III konferencję online DAPR "Na styku RODO i Cyberbezpieczeństwa”. Tym razem spora dawka praktycznej wiedzę z zakresu prawa, IT, #Compliance i cyberbezpieczeństwa.
Możesz się zapisać tu: 
https://3konferencjarodo.dapr.pl/

Ja oczywiście będę mówił o Compliance i RODO, a moją sentencją przewodnią będzie: "Compliance, RODO i CYBER - trzy różne systemy o wspólnym fundamencie i wspólnym celu".

Niech moc COMPLIANCE i RODO będzie z wami.

niedziela, 18 czerwca 2023

Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego?

Wszyscy eksperci (ci bardziej i ci mniej doświadczeni) piszą jak zapewnić skuteczność działań następczych w danym podmiocie w przypadku zgłoszenia wewnętrznego. Pytanie jednak „Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu  Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego?

 
W przypadku zgłoszeń zewnętrznych warunek sine qua non skutecznych działań następczych po zgłoszeniach  Sygnalistów to istnienie niezależnych służb i niezależnej prokuratury. Dam przykład z praktyki. Jeżeli porównamy dwa Państwa np. Austrię i Węgry lub USA i Rosję to jedną z różnic jest reakcja służb czy prokuratury na zgłoszenie Sygnalisty dotyczące szefa rządu czy głowy Państwa. W Austrii czy w USA, gdzie działają niezależne służby i niezależna prokuratura, po powyższym zgłoszeniu zostanie wszczęte śledztwo w celu wyjaśnienia zgłoszenia. Na przykład w październiku 2021 r. Kanclerz Austrii podał się do dymisji gdy usłyszał zarzuty o korupcję i rozpoczęło się śledztwo ponieważ Prokuratorzy uznali go za podejrzanego w aferze korupcyjnej. Wyobrażacie sobie np. Orbana, który rezygnuje, bo Prokuratorzy Węgierscy uznali go za podejrzanego w aferze korupcyjnej? Podejrzewam, że takiemu Prokuratorowi szybko by odebrano tą sprawę i wysłano do jakieś dziury na Węgrzech, a jego następca szybko by sprawę umorzył. W Rosji to pewnie sygnalista by trafił do Łagru, mimo, że Putin popełnił wiele przestępstw, a w Rosji jest mega korupcja. Po prostu w Dyktaturach czy tzw. Demokracjach wadliwych nie ma już niezależnych służb i niezależnych Prokuratur, które mogły by wyjaśnić zgłoszenia dotyczące ludzi u władzy i doprowadzić ich przed niezależny Sąd.

Podsumowując bez niezależnych służb i niezależnej prokuratury nie możliwe są skuteczne działania następcze po zgłoszeniach  Sygnalistów, zwłaszcza jeżeli dotyczą rządzącego Dyktatora czy partii (jednym z pierwszych kroków w budowie Dyktatury lub Autokracji jest przejęcie kontroli nad służbami by zapewnić bezkarność ludziom władzy i zastraszyć tych co wystąpią przeciwko niej, choćby poprzez ujawnienie jej naruszeń). Ponadto sygnalista nie będzie ufał służbom, których głównym zadaniem jest utrzymanie Dyktatury czy Autokracji.

W przypadku ujawnienia publicznego warunek sine qua non skutecznych działań następczych po zgłoszeniach  Sygnalistów to niezależność i pluralizm mediów. Media odgrywają ogromną rolę kształtując opinię publiczną. Dlatego też zwane są też czwartą władzą ponieważ mogą wpływać na rządy i parlamenty kształtując opinię publiczną oraz dostarczając Społeczeństwom wiedzę co dzieje się w danym kraju i na świecie. W Demokracjach dba się o niezależność i pluralizm mediów, natomiast w Dyktaturach zwalcza się niezależne media (wykupując je, odbierając koncesje itd. itp.) i zastępuje się je propagandowymi partyjnymi tubami – znamy takie przykłady choćby z czasów obecnych (np. Rosja, Węgry, Turcja) czy historii Polski np. Dziennik Telewizyjny za czasów PRL. Tam gdzie funkcjonują niezależne media, sygnalista może dokonać ujawnienia publicznego np. o przestępstwach popełnionych przez rząd czy partię rządzącą. Najsławniejszy taki przykład  to Afera Watergate. Sygnalista, ukrywający się pod pseudonimem Deep Throat doprowadził wraz z dziennikarzami gazety Washington Post do ujawnienia prawdy. Na końcu na Izba Reprezentantów wszczęła procedurę impeachmentu Prezydenta USA. Niestety nie udało się pociągnąć Prezydenta Nixona do odpowiedzialności karnej. Nawet więc w Demokracjach sprawiedliwość i praworządność wygrywa ale chociaż ma szanse. Oczywiście przykłady ujawnień publicznych w niezależnych mediach można mnożyć. Co ciekawe wszystkie przykłady dotyczą Demokracji. Nie dziwi mnie to, ponieważ nie wyobrażam sobie np., żeby np. w Rosji, gdzie wszystkie media są bezpośrednio lub pośrednio kontrolowane przez Kreml doszło do ujawnienia publicznego np. zbrodni wojennych dokonanych na Ukrainie przez Rosjan czy do ujawnienia publicznego przestępstw dokonanych przez Putina. Skuteczność cenzury w Chinach jest już legendarne. W końcu Dyktator po to m.in. likwiduje niezależne media by Społeczeństwo nie dowiedziało się o jego zbrodniach lub nadużyciach. Nawet jeżeli sygnalista dokona ujawnienia publicznego np. w Internecie, to zadaniem mediów kontrolowanych przez władzę jest odwrócenie uwagi Społeczeństwa, zmiana tematu lub pozbawienie sygnalisty wiarygodności. Po to choćby w Rosji powstały tzw. farmy trolli.

Oczywiście nawet w Demokracjach zdarza się, że sygnalista dokona zgłoszenia lub ujawnienia publicznego:

1) i stanie się celem działań odwetowych lub zacznie być ścigany za ujawnienie tajemnic (np. Snowden)

2) służby czy prokuratura nie podejmie odpowiednich działań lub umorzy postępowanie pod politycznymi naciskami.

Jednak po pierwsze w Demokracjach takie negatywne zdarzenia są wyjątkiem, a w Dyktaturach czy Autokracjach normą. Po drugie w Demokracjach Sygnalista ma zawsze szansę na ujawnienie publiczne, a niezależne media mogą poprzez opinię publiczną wpłynąć na władze Państwa by jednak zaczęły ścigać winnych naruszenia. W Dyktaturach czy Autokracjach ujawnienie publiczne w mediach jest niemożliwe bo nie ma niezależnych mediów.To władze decyduje co będzie w mediach.

Reasumując w praktyce, jeżeli w danym kraju nie ma niezależnych służb i niezależnej prokuratury oraz niezależnych i pluralistycznych mediów to w tym kraju nie ma też szans na skuteczne działania następcze po zgłoszeniach zewnętrznych Sygnalistów lub ujawnieniach publicznych (często w ogóle nie ma szans na działania następcze lub ujawnienie publiczne). Zwłaszcza jeżeli zgłoszenie dotyczy rządu, głowy Państwa czy rządzącej partii czy wodza.

Z  drugiej strony im większa niezależność i skuteczność służb i prokuratora oraz im większa niezależność i pluralizm mediów tym większa szansa na skuteczne działania następcze. Niestety nigdy nie ma gwarancji że zawsze i wszędzie skuteczne.