Wspomnienia o Papieżach i kim będzie następny Papież?

Wczoraj zmarł Papież Franciszek. Niedługo odbędzie się czwarta konklawe za mojego życia.

Pierwsza konklawe wybrała parę miesięcy po moich narodzinach Jana Pawła II, pierwszego Polska Papieża.

Razem z Lechem Wałęsą to dwaj najwięksi i najbardziej znani Polacy drugiej połowy XX wieku.

Jan Paweł II ma swe zasługi i swoje grzechy. Zasługi Jana Pawła II to m.in.:

1) dodawał ducha Polakom za czasów PRL,

2) zwalczał bolszewizm (choć większość ludzi mówi że zwalczał Komunizm),

3) popierał obecność Polski w UE,

4) zwalczał nacjonalizm,

5) popierał dialog między religiami,

6) głośno popierał walkę z katastrofą klimatyczną i nie miał wątpliwości, że odpowiada za nią człowiek,

7) popierał pojednanie Polsko - Żydowskie, Polsko - Ukraińskie i Polsko - Niemieckie 

Grzechy Jana Pawła II to m.in.:

1) nie zwalczał skutecznie pedofilii w Kościele Katolickim,

2) zwalczał prawo do aborcji i antykoncepcji, 

3) był konserwatystą choćby w zakresie roli kobiet w Kościele,

4) tłumił debatę o tzw teologii Wyzwolonym i kościele obywatelskim, 

5) zapewnił dominującą rolę Kościoła w stosunkach z Państwem w Polsce.

Potem był Benedykt XVI. Papież z Niemiec, który zaczął jako postępowy teolog a skończył jako obrońca konserwatyzmu. Pierwszy Papież, który abdykował. Jego droga była pełna paradoksów. Wraz z Janem Pawłem II zamroził lub cofnął reformy soborowe. Jak poprzednik był bezradny wobec pedofili w Kościele Katolickim. Próbował jednak walczyć i próbował zreformować Kościół. Jego pontyfikat jest jednak bardzo dwuznaczny.

Potem był Franciszek Pierwszy Papież z Ameryki łacińskiej. Bardzo skromny i pokorny człowiek.

Na plusy zapisuję mu m.in.:

1) chciał Kościoła w duchu św. Franciszka, skromnego, służącego ludziom, 

2) popierał walkę z katastrofą klimatyczną,

3) upominał się o prawa LGBT, uchodźców itd.,

4) był przeciwnikiem nacjonalizmu.

Jednocześnie na minus:

1) nie nazwał Złem agresji Rosji na Ukrainę,

2) był Konserwatystą w zakresie roli kobiet w Kościele, zakazu aborcji itd., co ciekawe jednak atakowali go również Konserwatyści,

3) nie zreformował Kurii (jak poprzednicy). 

Obserwowałem trzech wielkich Papieży. Każdy był inny. Każdy był tylko i aż człowiekiem. Każdy ma swoje osiągnięcia i swoje porażki. Jaki będzie kolejny?

Konserwatysta, który uczyni z Kościoła Katolickiego zamkniętą sektę? Wielki reformator, który przywróci kapłaństwo kobiet, otworzy Kościół na osoby świeckie i dopuści małżeństwa kapłanów na wzór Kościołów wczesnochrześcijańskich?

Na pewno nowy Papież będzie musiał się zmierzyć m.in.  z:

1) reformą Kurii i Kościoła oraz starciem zwolenników Kościoła posoborowego i otwartego oraz "konserwatystami",

2) katastrofą klimatyczną i jej efektami w tym kolejną wielką wędrówką ludów,

3) wojnami w tym na wojną na Ukrainie,

4) nacjonalistami i neofaszystami, którzy chcą zagarnąć Kościół obiecując mu ochronę przed zmianami,

5) kolejną wielką rewolucją społeczną i technologiczną.

Natomiast mam takie marzenie by do Kościoła Katolickiego Papież wprowadził Compliance i by oficerami Compliance zostali świeccy i to najlepiej nie katolicy.

Chciałbym by Kościół stał się wzorem Etyki, Integrity i transparentności.

Kto wie?

Niech moc Compliance będzie z wami

Recenzja "Raport : HR Compliance w firmach w Polsce 2024" kancelarii PCS Paruch Chruściel Schiffter Stępień S.K.A.

Zdecydowanie powinienem czasami ugryźć się w język. No ale przez 47 lat się nie nauczyłem to się nie nauczę. W każdym razie obiecałem, że napiszę recenzję Raportu : HR Compliance w firmach w Polsce 2024" kancelarii PCS Paruch Chruściel Schiffter Stępień S.K.A. 

Z drugiej strony możliwe, że to Mecenas Sławomir Paruch pożałuje, że mnie do recenzji namówił. No cóż zobaczymy. A raport znajdziesz tu: LINK DO RAPORTU.

 

Najpierw test śpiocha. Raport ma 16 stron i jest o Compliance (czyli coś czym się interesuje). Parę rzeczy mnie zainteresowało ale w paru innych prawie mnie uśpił. Pod względem szaty graficznej i warstwy merytorycznej to bardzo porządne i rzetelne rzemiosło. Według mnie autorzy jednak powinni poczytać o Legal design i poprawić przystępność językową. Poza tym widać, że pisały różne osoby i się skupiły na poprawności, a nie przyjemności z czytania. 

Raport był na podstawie ankiet, jednak nie wiadomo jaka była próba (ile tych ankiet było) i jak bardzo jest tam dojrzała Kultura Compliance. Co utrudnia lub uniemożliwia wyciąganie wiarygodnych wniosków z analizy.

 

A co jakie zagadnienia były badane w raporcie.

1) Czy nastąpiło tsunami zgłoszeń? Pierwsze wnioski po wdrożeniu procedur zgłoszeń wewnętrznych

 

Bez badania mogłem powiedzieć, że tsunami zgłoszeń nie będzie. Podejrzewam, że 64% nie otrzymaliśmy żadnego zgłoszenia to nowe wdrożenia lub wadliwie wdrożone systemy, 32, że zgłoszenia na podobnym poziomie świadczą, że sporo było podmiotów świadomych i już z wdrożonymi systemami. 4%, że zgłoszeń jest więcej zaskakuje mnie swą wysokością. Ciekawie o ile więcej.

Odpowiedzi na pytanie "Który z praktycznych problemów sprawił Państwu największe wyzwanie przy wdrażaniu procedury?" trudno analizować bez znajomości próby. Natomiast jako ekspert wskazałbym na inne trudności (no dobra wdrożenie w grupie kapitałowej faktycznie jest wyzwaniem).

 

Zaskakuje, że aż 56% przyjmuje zgłoszenia anonimowe. Z moich obserwacji i rozmów z praktykami Compliance wynika, że przyjmowanie zgłoszeń anonimowych jest rzadkością (nie liczę podmiotów objętych AML lub z kapitałem zagranicznym).

2) Compliance w zakresie organizowania czasu pracy – szanse i wyzwania
 

HR to specjalizacja autorów, a nie moja. Ciekawe ale praca zdalna itp. to raczej świat Warszawki i korporacji, a nie reszty Polski.

Ciekawe, że aż 9% podmiotów jest zainteresowanych wdrożeniem 4 dniowego tygodnia pracy. 

Ogólnie niewątpliwe HR Compliance stanowi część Compliance ale według mnie jest kilkanaście bardziej krytycznych rodzajów Compliance.

 

3) Jak zarządzać zatrudnianiem cudzoziemców, aby nie narażać się na odpowiedzialność wykroczeniową?
 

HR to specjalizacja autorów, a nie moja. Natomiast dziś Polska gospodarka jest uzależniona od zatrudniania cudzoziemców. Już ponad milion ich pracuje legalnie w Polsce.

 

4) Sygnaliści a ochrona danych osobowych i informacji – co, kiedy i jak zrobić, żeby nie narazić się Prezesowi UODO?
 

Zaskakuje mnie, że aż 26% osób, które mają dostęp do danych uzyskanych w ramach systemu whistleblowingowego nie mają upoważnienia do przetwarzania danych osobowych. Jedyny przypadek gdy jest to legalne, to gdy osoby te są np. członkami Zarządu danego podmiotu. 

Z reszty pytań ciekawe tylko to, że aż/tylko 56% grup kapitałowych ma wspólny kanał zgłoszeniowy.

 

5) Zakaz konkurencji vs talent drain – na co pozwalają przepisy?
 

Temat ciekawy. Z pogranicza Compliance, HR i ochrony tajemnicy przedsiębiorstwa. Ten fragment warto przeczytać.

 

6) Ograniczenie pracy zdalnej zgodnie z zasadami compliance

 

 Odpowiedz wskazują, że ankiety wypełniły podmioty z Warszawy i głównie korporacje. Swoją drogą jestem ciekaw wyników powszechnych kontroli PIP w tym zakresie. Podejrzewam, że mogło by być "wesoło".

 

7) Krytyka pracodawcy w internecie – ujawnienie publiczne czy naruszenie dóbr osobistych?

 

Temat ważny, ciekawy i jak pokazują wyniki, nawet wśród bardziej świadomych podmiotów jest lekceważony.

 

8) „Sygnalista instrumentalista” – jak radzić sobie z instrumentalnym wykorzystywaniem zgłoszeń nieprawidłowości?
 

 1/3 deklaruje, że spotkało się z przypadkami instrumentalnego wykorzystania przez pracownika ochrony przed zwolnieniem? SERIO? Dziwne. Mam inne obserwacje. Zgaduję, że albo ktoś przesadza albo dał ciała z komunikacją (i to bardzo).

A nie zgodzę się z autorami, że procedura najlepiej zapobiegnie instrumentalnemu wykorzystywaniu przez pracownika systemu dla sygnalistów. Najskuteczniej zapobiegnie komunikacja, w tym edukacja oraz rzetelne prowadzenie działań następczych (głównie postępowania wyjaśniającego).

 

9) Multicultural teams without a multitude of problems – jak skutecznie zarządzać różnicami kulturowymi i odmienną wrażliwością w miejscu pracy wśród międzynarodowych pracowników, klientów i partnerów biznesowych? 

Ciekawe. 

Raport można poczytać jako ciekawostkę oraz by dowiedzieć się co najbardziej interesuje ekspertów od HR Compliance.

W skali  1-5 oceniam go na 4+ z plusem na zachętę dla autorów.

Czy czytać? Czytać

Ale do niego raczej nie wrócę.

Projekt "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego" autorstwa Ministerstwa Aktywów Państwowych

W zeszłym roku Ministerstwo Aktywów Państwowych w grudniu 2024 r. przeprowadzało konsultacje projekty: "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego".

Nadzór właścicielski to jeden z moich koników zawodowych. Mam w tym zakresie zarówno wiedze praktyczną jak i teoretyczną. Nie byłbym więc sobą, gdybym nie zgłosił uwag do "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego". A jakie one były?

Po pierwsze według mnie powinny się odbywać transparentne i otwarte postępowanie kwalifikacyjne na członków Rad Nadzorczych spółek Skarbu Państwa oraz spółek córek, z udziałem niezależnych podmiotów zaufania publicznego. Ponadto powinien powstać centralny portal ogłoszeń naborze/konkursach do organów Spółek Skarbu Państwa oraz ich spółek córek. 

Po drugie brak w Kodeksie zapisów o konflikcie interesów oraz ograniczenie w ilości Rad, w których można zasiadać - według mnie powinien być zapis, że nikt nie może zasiadać w więcej niż 2 Radach Nadzorczych.

Po trzecie, oprócz współpracy z audytem wewnętrznym i bezpośrednim raportowaniem przez niego do Rady nadzorczej powinny być analogiczne przepisy dotyczące:  działu zarządzania zgodnością (Compliance), działu przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów (whistleblowing), działu ochrony danych osobowych lub bezpieczeństwa, IOD, działu cyberbezpieczeństwa, działu zarządzania ryzykiem, działu zapewnienia ciągłości działania, działu zarządzania kryzysowego, działu strategii i analiz  oraz działu kontroli wewnętrznej. Osoby odpowiedzialne za te systemy powinny być powołane z udziałem Rady Nadzorczej i odwoływane tylko za jej zgodą oraz raportować bezpośrednio co najmniej raz do roku Radzie Nadzorczej.

Po czwarte w kodeksie brak zasad wynagrodzenia członków Rady Nadzorczej.

Po piąte w każdej Radzie Nadzorczej powinna zasiadać osoba posiadająca wiedzę prawną lub zakresu zarządzania zgodnością (Compliance).

Czy Ministerstwo Aktywów Państwowych uwzględni me uwagi?

A jakie ty miałbyś uwagi?

Potrzebujesz pomocy przy nadzorze właścicielskim?

Zapraszam do kontaktu

Czwarty krok we wdrożeniu systemów dla Sygnalistów - czyli never ending story

Napisałem już:

1) "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?",

2) "Drugi krok we wdrożeniu systemów dla Sygnalistów" - czyli projektowanie systemu do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych (w tym postępowań wyjaśniających) i ochrona sygnalistów,

3) "Trzeci krok we wdrożeniu systemów dla Sygnalistów" - wdrażanie systemu.

Jest też krok czwarty - zarządzanie systemem, kontrola systemu i doskonalenie systemu i to jest nigdy nie kończąca się historia (Never ending story). Według mnie powinien być to proces stały i obejmujący całą organizację. Tak jak ewoluuje i zmienia się organizacja i jej Kultura, tak też powinien zmieniać się ten proces.

Czy tak będzie? To zależy od świadomości i woli najwyższego kierownictwa. Czyli wracamy do początku naszego koła i pierwszego postu.

Przypominam:

Od 25 września br. muszą już funkcjonować systemy dla sygnalistów. Ci co mają już wdrożone systemy teraz prowadzą akcję edukacyjną, zarządzają systemami i szykują się do kontroli ich działania oraz doskonalenia.

Większość podmiotów (z sektora publicznego lub prywatnego) nie ma systemów lub ma jakieś potworki. 

Zabrakło woli i świadomości najwyższego kierownictwa.

Często też zawinili prawnicy i prawniczki, którzy zapomnieli, że jak się człowiek na czymś nie zna to nie powinien się dotykać. A znajomość RODO czy prawa pracy to coś zupełnie innego niż zarządzanie zgodnością (Compliance) czy  przyjmowanie zgłoszeń o naruszeniach, podejmowanie działań następczych (w tym postępowań wyjaśniających) i ochrona sygnalistów. 

Pisząc od ponad dwóch lat, że będzie gorzej niż z RODO miałem rację. Teraz wiem jak czuła się Kasandra.

No cóż piłka nadal w grze. Kto nie wdrożył, zawsze może wdrożyć. Kto źle wdrożył, zawsze może poprawić (choć często jest to trudniejsze niż zaczynanie na dziewiczym gruncie).

Niech moc Compliance będzie z wami.

Trzeci krok we wdrożeniu systemów dla Sygnalistów

Napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?" i "Drugi krok we wdrożeniu systemów dla Sygnalistów" dziś czas napisać o trzecim kroku.

Przypomnę tylko, że w drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów. W trzecim kroku system należy wdrożyć.

W dużym skrócie należy:

1) przyjąć procedurę i zapoznać z nią osoby świadczące pracę,

2) uruchomić kanały zgłoszeń,

3) rozpocząć komunikację, w tym szkolenia w celu zmiany Kultury organizacyjnej,

4) wydać upoważnienia itd. osobom do przyjmowania zgłoszeń i prowadzenia działań następczych,

5) zacząć prowadzić rejestr itd,

6) zadbać by system przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów działał skutecznie i efektywnie.

 

Przypominam:

25 września br. muszą już funkcjonować systemy dla sygnalistów,

18 września br. jest ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników

W dniu  13 września minął ostatni możliwy termin do rozpoczęcia konsultacji procedury.

Zegar tyka, a czas się kończy.

 

Niech moc Compliance będzie z wami.

 

Drugi krok we wdrożeniu systemów dla Sygnalistów

Tydzień temu napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?".

Dziś czas na drugi krok. W drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów.

W tym celu należy przeprowadzić audyt podmiotu, w tym ryzyk naruszeń, możliwości, zasobów i potrzeb.

To pozwoli:

1) opracować projekt procedury zgłoszeń, klauzul RODO, upoważnień itd. oraz zmianę innych dokumentów (np. RCP),

2) zaprojektować odpowiednie kanały zgłoszeń,

3) zaplanować system ochrony sygnalistów,

4) zaprojektować komunikację i szkolenia,

5) znaleźć osoby do przyjmowania zgłoszeń i prowadzenia działań następczych.

 

Pozwoli to zaprojektować adekwatny system przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów.  

Jak znam życie wiele podmiotów pójdzie na skróty i kupi gotową dokumentację lub zamówi ją w kancelarii prawnej, która wcześniej tego nie robiła. I będzie jak z RODO. W wielu podmiotach dokumentacja wyląduje w segregatorze, a ten będzie się kurzył na półce.

Podmiot wyda kasę i będzie miał złudzenie, że ma system.

Odradzam.

 

Przypominam:

25 września br. muszą systemy dla sygnalistów,

18 września br. ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników

Najlepiej 6 września, a najpóźniej  13 września (jeżeli przeprowadzimy 5 dniowe a nie 10 dniowe konsultacje) muszą się zacząć konsultacje procedury.

Zegar tyka, a czas się kończy.

 

Niech moc Compliance będzie z wami.

Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?

Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń o naruszeniach prawa od sygnalistów, prowadzenia działań następczych i ochrony sygnalistów?

Najpewniej mniej świadomi powiedzą, że od napisania procedury przyjmowania zgłoszeń.

Bardziej świadomi, że od audytu.

Prawdziwi eksperci wiedzą, że zaczyna się od decyzji najwyższego kierownictwa o wdrożeniu, a poprzedza ją świadomość najwyższego kierownictwa.

W tym miejscu chciałbym zwrócić uwagę, że kluczowa kwestia to czy najwyższe kierownictwo podejmuje decyzję o wdrożeniu bo:

a) musi - bo nakazuje to ustawa lub właściciel - wtedy często podejście jest niechętne bo nikt nie lubi być zmuszany do czegoś,

b) chce - bo rozumie cele tego systemu i chce go wdrożyć i nim zarządzać.

Najczęściej na diagramie x (muszę) y (chcę) każdy podmiot jest w innym miejscu.

Im bardziej najwyższe kierownictwo chce tym daje w praktyce większe wsparcie i zasoby.

Im bardziej najwyższe kierownictwo musi tym mniej chce i tym mniejsze wsparcie. 

Choć zdarzają się wyjątki.

Dlatego warto dbać by najwyższe kierownictwo na diagramie bardziej chciało, a mniej musiało.

A skąd się bierze świadomość najwyższego kierownictwa?

Albo najwyższe kierownictwo ma świadomość bo powstała ona wcześniej albo zdobywa ją:

a) z wnętrza organizacji - np. od pracownika

b) z zewnątrz organizacji - np. na konferencji, szkolenia, artykułu itp.

Mamy świadome najwyższe kierownictwo, podejmuje ono decyzję o wdrożeniu, bo musi bo mamy ustawę o ochronie sygnalistów. 

Następne pytania to kim i jak?

Ale o tym w następnym poście.

Niech moc Compliance będzie z wami.

A twoje najwyższe kierownictwo jest już świadome?

Dlaczego chronimy Sygnalistę? I czego nie rozumieją prawnicy teoretycy

Dlaczego organy publiczne, podmioty sektora publicznego i sektora prywatnego powinny chronić Sygnalistów?

Pierwszą odpowiedź, udzielona przez prawników teoretyków to: "bo przepisy nam nakazują". I zaraz dodają o ile:

a) zgłosi naruszenie prawa wymienione w ustawie (czyli np. jak sygnalista zgłosi wykorzystywania seksualnego kobiet, przestępstw białych kołnierzyków itd. to go nie będą chronić i nie przeprowadzą działań następczych?),

b) informację o naruszeniu sygnalista uzyskał w kontekście związanym z pracą (co więksi teoretycy chcą od sygnalisty by udowadniał że uzyskał informację o naruszeniu w kontekście związanym z pracą - a jak nie jest to co? Nie przeprowadzą działań następczych? Nie będą chronić sygnalisty?).

Druga odpowiedź, udzielona przez oficerów Compliance to: "bo tak nakazuje etyka". Skoro ktoś się naraża i zgłasza naruszenie prawa zamiast odwrócić wzrok to etyka nakazuje go chronić. Z punktu widzenia etyki widać, że nie ważne jakie naruszenie prawa zgłosi sygnalista i czy w kontekście pracy. Jak ktoś reaguje na zło to zasługuje na ochronę. Dlatego Whistleblowing świetnie pokazuje czy ktoś jest faktycznie CSR lub ESG czy też tylko ściemnia.

Trzecia odpowiedź praktyków Compliance brzmi: "bo skoro chcemy zwalczać i zapobiegać naruszeniom prawa, a najskuteczniejszy jest w tym system przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów to chronimy każdego Sygnalistę". Bo jak choć raz nie będziemy chronić Sygnalisty (bo zgłoszą naruszenie nie objęte ustawą lub nie w kontekście związanym z pracą) to nikt nam niczego nie zgłosi. Bo nam nie zaufa. Pracownik, kontrahent, stażysta itd. nie będzie się zastanawiał jakie naruszenie może zgłosić lub nie. Skoro naszym głównym celem (jak pisałem https://www.ludwiczak-radcaprawny.pl/2024/08/po-co-jest-ustawa-o-ochronie-sygnalistow.html?m=1 ) jest zwalczanie naruszeń prawa, a ochrona każdego Sygnalisty wspiera cel główny to odpowiedź dla praktyków Compliance jest prosta.

Pamiętajcie. Będziecie mieli zgłoszenia jak ludzie wam zaufają. Jak nie będzie chronić choć jednego Sygnalistę to stracicie zaufanie ludzi. Jak stracicie zaufanie ludzi to nie będzie zgłoszeń. Jak nie będzie zgłoszeń to nie będziecie wykrywać, zapobiegać i zwalczać naruszeń prawa.

Niech moc Compliance będzie z wami.

Po co jest ustawa o ochronie sygnalistów?

Zastanawiam się:

1) czemu ustawa o ochronie sygnalistów to taki bubel prawny,

2) czemu tyłu ekspertów non stop wypisuje tyle głupot o systemach dla sygnalistów lub ich wdrażaniu,

3) czemu systemy do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów są tak powoli i niechętnie wdrażane.

Według mnie wynika to z tego, że mało kto wie po co jest ta regulacja.

Ustawa o ochronie sygnalistów i wcześniejsza dyrektywa za swój główny cel ma: ochronę dóbr publicznych poprzez zwalczanie naruszeń prawa.

W tym celu powinny być wdrażane i zarządzane systemy do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów.

Przedmiotowe systemy mają:

1) pozwalać szybciej i efektywniej wykrywać naruszenia prawa,

2) zapobiegać naruszeniom prawa.

Wbrew nazwie to nie ochrona sygnalistów jest głównym celem. Ochrona sygnalistów też ma służyć celowi głównemu - ochronie dóbr publicznych poprzez wykrywanie, zapobieganie i zwalczanie naruszeń prawa. 

Ochrona sygnalistów po prostu zachęca kolejne osoby do zgłaszania naruszeń. Tak jak działania odwetowe zniechęcają sygnalistów do zgłoszenia naruszeń.

Oczywiście ochrona sygnalisty i innych osób jest bardzo ważna. Oczywiście RODO jest bardzo ważne.

Ale najważniejszym celem tej regulacji jest ochrona dobra publicznego i zwalczanie naruszeń prawa.  A wszyscy się skupiają na ochronie sygnalisty i RODO. Owszem to jest ważne ale nie to jest według mnie priorytet i cel główny.

Co do tego co może zgłaszać sygnalista.

Ograniczenia listy kategorii naruszeń prawa, jakie może zgłaszać sygnalista lub ograniczanie kim może być sygnalista służy tylko przestępcom i nie służy celowi głównemu - ochronie dóbr publicznych i walki z naruszeniami prawa.

To, że PIP i przedsiębiorcy zwalczali np. zgłaszanie naruszeń prawa pracy jest dla mnie abbercją. Przecież:

1) PIP jest m.in. od zwalczania naruszeń prawa, dlaczego więc pozbywa się najbardziej efektywnego narzędzia,?

2) przedsiębiorcom powinno zależeć by zwalczać łamanie prawa. Jak można być ESG lub odpowiedzialnym społecznie i nie chcieć zwalczać naruszeń prawa?

Dyrektywa ustawia standard minimum.

Nikt nie zabraniał byśmy w Polsce objęli ustawą zgłaszanie: wszystkich czynów zabronionych z kodeksu karnego, kodeksu karnego skarbowego, kodeksu wykroczeń, pozakodeksowych przepisów karnych, mobbingu, dyskryminacji oraz przepisów wymienionych w Dyrektywie.

Z możliwością objęcia systemem zgłoszeń innych przepisów w tym kodeksów etyki i przepisów wewnętrznych. 

W ten sposób najskuteczniej byśmy chronili dobra publiczne i zwalczali naruszenia prawa.

Bycie przedsiębiorcą to też obowiązki. Również ochrona dóbr publicznych. Tak jak każdego innego obywatela.

 

W interesie przedsiębiorcy jest jak najszybciej wykryć naruszenie prawa i podjąć działania następcze. Czyli w interesie przedsiębiorcy jest wdrożyć i zarządzać system dla sygnalistów. To inwestycja. 

 

A jak ktoś się chwali że jest ESG lub CSR i nie ma skutecznego systemu do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów to tylko maluje trawę na zielono. 

 

Już z kilkadziesiąt osób pytało mnie kiedy ustawa wchodzi i życie? Kiedy mogą zacząć pisać procedury i mogą je uzgadniać? Od kiedy muszą chronić sygnalistów.

Odpowiem, krótko:

1) ustawa wchodzi w życie 25 września

2) nie ważne ile masz pracowników, każdy podmiot publiczny i prywatny musi chronić sygnalistów (nawet jak nie ma procedury),

3) podmioty zobowiązane ustawą muszą przyjąć i wdrożyć procedurę do 25 września br. W dniu 25 września powinny u nich działać systemy przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów.

 

25 WRZEŚNIA 2024 r. 

Niech moc Compliance będzie z wami

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka? Czyli w czym mogą pomóc w związku z ustawą o ochronie sygnalistów

 

To już trzecia aktualizacja postu "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była ostatnia aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz ten post.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,

2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,

3) RODO - ochronie danych osobowych,

4) umowach gospodarczych,

5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, pomagam we wdrożeniu, audytuję i doradzam.

Występuję też na licznych konferencjach i warsztatach. Nie licząc paru wydarzeń niekomercyjnych, organizowanych przez moich przyjaciół, które wspieram by szerzyć Kulturę Compliance lub RODO, to mój występ na konferencji lub prowadzenie przeze mnie warsztatów jest co do zasady płatne. Nawet krótkie wystąpienie wymaga ode mnie godzin przygotowań, a mój czas kosztuje. Dodatkowo reklamuję wydarzenia, w których występuję co też ma swoją wartość bo jak powiedział w październiku 2022 r., przestawiając mnie jeden z organizatorów kongresu Compliance Day - jestem najbardziej znanym oficerem Compliance w Polsce.  Według mnie nie jestem najbardziej znanym ekspertem Compliance ale niewątpliwie przez ostatnie parę lat zbudowałem swoją markę i wizerunek. Więc wiesz kim jestem.

Moje zawodowe zainteresowania to analizy, strategia i zarządzanie. Jestem nietypowym prawnikiem, bo kocham liczby i zawsze o nie pytam (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fantastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się, to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

 

Zawsze też z chęcią polecą innego radcę prawnego, adwokata lub eksperta.  Zwłaszcza jak na czymś się nie znam.

Kilkadziesiąt tysięcy podmiotów sektora prywatnego i publicznego musi do 24 września br. wdrożyć systemy przyjmowania zgłoszeń wewnętrznych, prowadzenia działań następczych i ochrony sygnalistów. Parę tysięcy organów publicznych będzie musiało do 24 grudnia br. wdrożyć systemy przyjmowania zgłoszeń zewnętrznych.

Tak się składa, że m.in. wdrożyłem jeden z pierwszych systemów dla sygnalistów w sektorze publicznym. Jeżeli potrzebujesz eksperckiej i praktycznej wiedzy jak wdrożyć i zarządzać systemem dla sygnalistów to zapraszam do kontaktu w celu ustalenia warunków współpracy. 

No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym TOBIE mogę pomóc? :-)

Tanio nie będzie (choć w porównaniu z wielką czwórką jestem ciut tańszy).

Zapraszam do KONTAKTU

Luźne przemyślenia oficera Compliance - szykuje się znowu piękna katastrofa, jak z RODO

Już wiem jak się czuła Kasandra. Choć raz chciałbym się pomylić w ważnej sprawie, ale nie. Literówki robię co kawałek ale w ważnej rzeczy jakoś nie mogę się mylić choćbym chciał. Ech...... 

W ostatnim poście Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO pisałem dlaczego z sygnalistami będzie jak z RODO. I każdy tydzień mnie utwierdza, że mam rację.Wielu moich kolegów i koleżanek myśli że wystarczy przeczytać ustawę i par książek i już się jest ekspertem. W końcu specjalista z prawa pracy lub karnista z sygnalistami też sobie poradzi. Machnie się procedurkę i już. Tak samo było kiedy wchodziło RODO. Sporo prawników poczuło zapach pieniędzy i zaczęło sprzedawać procedury strasząc olbrzymimi karami. Efekt jest taki, że do dziś po nich trzeba poprawiać, a wiele podmiotów nie ma systemu ochrony danych osobowych tylko półkowniki. Zbierającą kurz dokumentację. Teraz zaczynamy oglądać nową odsłonę tego zjawiska w związku z sygnalistami. 

Od paru lat piszę, występuję na konferencjach i tłumaczę z koleżankami i kolegami praktykami, że trzeba będzie wdrożyć system przyjmowania zgłoszeń, prowadzenia działań następczych (w tym wyjaśniających) i chronić sygnalistów. System trzeba zaprojektować pod organizację, wdrożyć a potem nim zarządzać. Elementem systemu (jednym z wielu) jest m.im. procedura, rejestr czy kanały. Najważniejsi są jednak ludzie i komunikacja.

A potem czytam posty prawników z wielkich i znanych kancelarii, że "procedura musi być dostosowana do podmiotu", "trzeba będzie kupić procedurę" itp. posty. Dużo o procedurze, czasami coś o kanałach a zero o systemie czy zmianie Kultury.

Jak zaczynałem w 2018/2019 r. pisać w Infor.pl Compliance i sygnalistach, nie pisał o nich prawie nikt. Teraz jak w końcu pojawił się projekt ustawy o ochronie sygnalistów w Sejmie nagle o sygnalistach piszą wszyscy. Założę się, że duże kancelarie zainwestują duże pieniądze by się wypromować jako eksperci od sygnalistów. Dam wam prostą radę. Jak będą pisać o procedurze, a nie systemach to po prostu chcą waszą kasę za półkownika. Zastanówcie się wtedy czy chcecie skuteczny system chroniący was i wasze organizacje czy chcecie kupić stertę papieru za grubą kasę od sławnej kancelarii.

Na koniec wieści z frontu legislacji, bo tu dużo się działo:

1) projekt ustawy o ochronie sygnalistów w Sejmie - druk nr 317 - sygnaliści się kłaniają

2) Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - NIS 2 się kłania

3) Parlamenty Europejski przyjął  Dyrektywa w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju (Corporate Sustainability Due Diligence Directive, Dyrektywa CSDD) - ESG się kłania.

4) Na RLC mamy Projekt ustawy o zmianie ustawy o rachunkowości, ustawy o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym oraz niektórych innych ustaw - i znowu ESG się kłania

5) Na RLC mamy Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego - DORA się kłania

6) dzieje się w prawie gospodarczym, np. na RLC mamy projekt ustawy o zmianie niektórych ustaw w celu deregulacji prawa gospodarczego i administracyjnego oraz doskonalenia zasad opracowywania prawa gospodarczego

7) a oprócz tego szykują się zmiany w AML, trwają prace nad standardami ESRS, planują rozwiązać CBA  - może po 8 latach przerwy znowu zaczniemy serio walczyć z korupcją - itd.

Oj 2024 r. zapowiada się ciekawie

Niech moc Compliance będzie z wami

Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO

Od blisko pięciu lat ostrzegam, że w przypadku systemów przyjmowania zgłoszeń, prowadzeniu postępowań następczych (w tym postępowań wyjaśniających) oraz ochrony sygnalistów (w skrócie systemy dla sygnalistów lub Whistleblowing) będzie w Polsce gorzej niż z wdrażaniem systemów ochrony danych osobowych po wejściu w życie RODO.

Dlaczego w Polsce wiele podmiotów nie ma skutecznych i efektywnych systemów ochrony danych osobowych? Po pierwsze wiele podmiotów w Polsce niestety nadal nie zna lub lekceważy prawo. Po drugie często za wdrożenia wzięły się kancelarie prawne, które nie miały doświadczenia w zarządzaniu systemami ochrony danych osobowych. Zaczęły one straszyć wielomilionowymi karami i wciskać klientom dokumentację RODO. Pomijając, że w RODO chodzi o ochronę praw i wolności osób, które dane się powtarza, o stworzenie skutecznego i efektywnego systemu ochrony danych osobowych (opartego na analizie ryzyka), a dokumentacja to tylko jedno z narzędzi tego systemu. Oczywiście dokumentacja u nich nie była tania. Z drugiej strony rynek psuły podmioty sprzedające dokumentację ze parek setek. W wyniku tego do dziś nawet w dużych firmach znajduję pokryte kurzem segregatory i Zarządy żyjące złudzeniem, że mają system, bo kupili dokumentację i 5 lat temu przeszli jakieś szkolenie. Na szczęście ochrona danych osobowych funkcjonuje w Polsce nie 5 lat (jak RODO) ale ćwierć wieku i mamy całe grono praktyków ochrony danych osobowych, które w zależności od wsparcia najwyższego kierownictwa zbudowali w wielu podmiotach lepsze lub gorsze systemy ochrony danych osobowych.

Od paru lat tłumaczę, że trzeba będzie w Polsce wdrożyć systemy dla sygnalistów, a procedura to akurat najłatwiejsza sprawa i nie jest to ani pierwszy ani ostatni krok. W tym roku ponieważ pojawiła się szansa, że w końcu w życie wejdzie ustawa o ochronie osób dokonujących zgłoszenia naruszeń, wiele kancelarii i firm poczuło kolejną po RODO żyłę złota. I się zaczęło pisanie i chwalenie kto to więcej i lepiej pisze procedur oraz jakie to one powinny być. Żeby było weselej robią to nawet renomowane i promujące się jako doświadczone w Compliance duże kancelarie. Ja rozumiem, że kasa musi się zgadzać i najtaniej i najłatwiej jest opchnąć klientowi procedurę lub parę procedur. Potem ewentualnie opchnąć swe usługi audytorskie, śledcze lub z zakresy obsługi sądowej (zależy jaki kto zbudował zespół).

Tylko takie podejście skończy się tym, że wiele firm będzie miało złudzenie, że spełniło wymagania, bo przecież mają kupioną za grubą kasę procedurę i ktoś ich parę lat temu przeszkolił.

W przypadku RODO, mieliśmy tysiące doświadczonych praktyków ochrony danych osobowych w sektorze publicznym i sektorze MSP. W przypadku Compliance już tak nie jest. Systemy dla sygnalistów czy compliance w sektorze publicznym czy MSP to wyjątek od reguły a nie zasada.  No i ochrona danych osobowych nie budzi takich problemów Kulturowych jak dokonywanie zgłoszeń i ochrona sygnalistów.

Piszę teraz do podmiotów, które będą wdrażały i zarządzały systemami dla sygnalistów - unikajcie jak ognia podmiotów, które będą oferować procedurę przyjmowania zgłoszeń i będą się chwalić ile to ich napisały. Szukajcie ekspertów doświadczonych we wdrażaniu i zarządzaniu systemami dla Sygnalistów i mówiących o systemach. Dostosowanych do podmiotu.

Nie chodzi by mieć procedurę. Chodzi o to by sygnaliści zgłaszali wam naruszenia, o to byście je rzetelnie wyjaśniali i podejmowali właściwe działania następcze i żebyście chronili sygnalistów. Na wyższym metapoziomie chodzi o bardziej etyczne, efektywne i skuteczne organizacje oraz bardziej zaangażowanych pracowników oraz minimalizację ryzyk.  Napisanie procedury to najłatwiejsze w tym wszystkim (a i to potrafią kancelarie popsuć pisząc długie i niezrozumiałe procedury).

Co do kanałów i aplikacji to każdy musi wybrać to co pasuje do jego Kultury. Choć to też trzeba robić z głową.

Niech moc Compliance będzie z wami

Ps a dla i wybaczcie jak się na LI przejadę publicznie po kimś kto zamiast o systemach będzie pisał  tylko o procedurach ale człowiek się męczy, tłumaczy a potem duża kancelaria lub firma doradcza wciska procedury, a nie edukuje, że potrzeba wdrożyć i zarządzać systemem. A i wymówka, że to tylko skrót myślowy nie podziała.

Luźne przemyślenia oficera Compliance - Czemy sygnaliści nie dokonują zgłoszeń?

Dwa tygodnie temu w artykule "Sygnaliści na start" opublikowanym w Newsweek`u zamieszczone moje wypowiedzi. Najważniejsza z nich dotyczyła, czemu w Polsce ludzie nie dokonują zgłoszeń naruszeń.

W mojej ocenie z trzech głównych powodów dlaczego ludzie często wolą odwrócić wzrok widząc zło niż zareagować. 

Po pierwsze boją się działań odwetowych. Niestety praktyka pokazuje, że organizacja lub koledzy i koleżanki, nie ściga tych co łamią prawo ale tych co przynoszą złe wieści lub  nazywają zło po imieniu. I niestety bez ustawy nie udaje się lub bardzo trudno jest pomóc sygnalistom, którzy spotkali się z działaniami odwetowymi.

Po drugie boją się, że zostaną uznani za donosicieli lub kapusiów – to pozostałość po latach zaborów i czasach PRL. Problemem jest nie tylko co inni mogą o nas pomyśleć ale i co sami o sobie pomyślimy. Dokonanie zgłoszenia często wiąże się z pokonaniem wewnętrznych oporów przed zabraniem głosu. Wyjścia przed szereg.

Po trzecie często nie wierzą, że ktoś się rzetelnie zajmie ich zgłoszeniem i podejmie odpowiednie działania. Jak pisałem w artykule "Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego? " bez niezależnej Prokuratury i niezależnych i pluralistycznych mediów nie ma szans na sygnalistów. Sygnaliści oczekują, że ktoś rzetelnie zajmie się ich zleceniem. Liczy, że zostanie rzetelnie przeprowadzone postępowanie wyjaśniające, a potem przestępca nie uniknie kary.

Co trzeba zrobić by ludzie nie milczeli widząc zło?

Potrzebna jest zmiana mentalności oraz zbudowanie zaufania. 

Ludzie muszą wierzyć, że nie można milczeć widząc zło lub naruszenie prawa ale trzeba reagować i alarmować. Ludzie muszą mieć pewność, że jak złożą zgłoszenie to ktoś się faktycznie nim zajmie, rzetelnie wyjaśni i podejmie odpowiednie działania następcze, a nie zamiecie sprawę pod dywan. A zgłaszającego (zwanego też sygnalistą lub demaskatorem) lub jego bliskich nie spotka odwet. To wszystko między innymi nakazuje wprowadzić dyrektywa Unijna.

Przed oficerami Compliance staje więc trudne zadanie. Muszą im zaufać pracownicy i musi im z drugiej strony zaufać najwyższe kierownictwo. Muszą oni edukować interesariuszy i budować Kulturę Compliance. 

Jak? To już temat innego postu.

 Niech moc Compliance będzie z wami.

I pamiętajcie zaufanie buduje się długo swoją codzienną działalnością, a można stracić przez jeden błąd. Kluczem jest Komunikacja i bycie Integrity.

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

Ciekawostki z prawa handlowego i nie tylko - odcinek 43

Dziś chciałbym zwrócić uwagę członkom Rad Nadzorczych spółek akcyjnych, że zgodnie z art. 382 § 3w związku z § 3¹ Kodeksu Spółek Handlowych do obowiązków Rad Nadzorczych należy sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy, czyli sprawozdania rady nadzorczej.

Sprawozdanie rady nadzorczej powinno między innymi obejmować ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

Czyli Rada Nadzorcza musi m.in. ocenić jak Zarząd wdrożył i jak zarządza m.in. systemem Compliance (zapewnienia zgodności). A co jak system Compliance nie funkcjonuje lub funkcjonuje pozornie?

A macie członkowie Rady Nadzorczej wiedzę jak to ocenić?

Jakby co służę pomocą. Oczywiście odpłatnie.

Ponadto w sprawozdaniu rady nadzorczej Rada Nadzorcza musi ocenić:

1) sposób sporządzania lub przekazywania radzie nadzorczej przez zarząd informacji, dokumentów, sprawozdań lub wyjaśnień,

2) sposób spełniania przez Zarząd obowiązku informacyjnego, tj. przekazywania informacji o:

a) uchwałach zarządu i ich przedmiocie;

b) sytuacji spółki, w tym w zakresie jej majątku, a także istotnych okolicznościach z zakresu prowadzenia spraw spółki, w szczególności w obszarze operacyjnym, inwestycyjnym i kadrowym;

c) postępach w realizacji wyznaczonych kierunków rozwoju działalności spółki, przy czym powinien wskazać na odstępstwa od wcześniej wyznaczonych kierunków, podając zarazem uzasadnienie odstępstw;

d) transakcjach oraz innych zdarzeniach lub okolicznościach, które istotnie wpływają lub mogą wpływać na sytuację majątkową spółki, w tym na jej rentowność lub płynność;

e) zmianach uprzednio udzielonych radzie nadzorczej informacji, jeżeli zmiany te istotnie wpływają lub mogą wpływać na sytuację spółki.

 

Czyli Rada Nadzorcza nie może się tłumaczyć, że o czymś nie wiedziała.

 

Przedmiotowe przepisy obowiązują od 13 października 2022 r.  Podobnych obowiązków nie mają w KSH spółki z o.o. i proste spółki akcyjne. Osobiście nałożyłbym te obowiązki na wszystkich średnich przedsiębiorców, w których są Rady Nadzorcze.

A przy okazji, jeżeli Rada Nadzorcza zawrze w swoim sprawozdaniu, przedłożonym Walnemu Zgromadzeniu, dane nieprawdziwe to popełni czyn zabroniony zagrożony karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 

Radzę się więc przyłożyć do rzetelnego sporządzanie sprawozdania.

 

Niech moc Compliance będzie z wami.

ESG - jak rozpoznać ściemę część 3

W trzeciej części cyklu chciałbym poruszyć kwestię różnorodności.

Wiele podmiotów lubi potwierdzać, że ceni i dba o różnorodność. 

Jak sprawdzić czy to prawda czy nie?

Przecież nie będziemy pytać o rasę, orientację seksualną itd. 

Według mnie zawsze jednak warto sprawdzić parę rzeczy.

1) pierwsza to ilość procentową kobiet w organach Spółki i na różnych stopniach zaszeregowania - powinna być miarę stała. Różnica 10-30% na różnych stopniach zaszeregowania powinna wzbudzić naszą czujność. Należy też sprawdzić trend. Jeżeli im wyższe stanowisko to tym mniejszy udział procentowy kobiet, a w Zarządzie i wśród Dyrektorów nie ma ich wcale lub jest jedna na kilkanaście mężczyzn to mamy na 99% ESG ściemę.

Oczywiście warto uwzględnić charakter branży na każdym etapie analizy.

2) po drugie warto porównać średnie pensje oraz medianę wynagrodzenia kobiet i mężczyzn w różnych stopniach zaszeregowania. I jak wyżej różnica pomiędzy 10-30% powinna wzbudzić naszą czujność. 

3) po trzecie zawsze warto sprawdzić jak podmiot podchodzi do zatrudniania osób niepełnosprawnych lub nie neurotypowych.

Czy i jakie zapewnia im wsparcie?

Na jakich stanowiskach i na jakich warunkach ich zatrudnia?

Ilu ich zatrudnia?

Jakie jest realne podejście do tych osób w danym podmiocie?

 

Chciałbym zwrócić uwagę, że czasami zostanie nam przedstawiona osoba niepełnosprawna lub nie neurotypowa jako przykład dobrych praktyk w danym podmiocie. Warto się wtedy spytać o inne takie osoby by sprawdzić czy nie mamy do czynienia z tzw. "kwiatkiem do kożucha". 

Oczywiście raportowanie będzie się odbywać według określonych, jednolitych standardów – ESRS.

Tylko papier nie wszystko nam powie.

Według mnie wdrożenie ESG powinno zmienić Kulturę organizacyjną danego podmiotu. A kulturę tworzą ludzi.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

ESG - jak rozpoznać ściemę część 1

Zgaduję, że wiesz co oznacza skrót ESG (E od Environmental to po polsku środowisko, S od Social Responsibility to po polsku społeczna odpowiedzialność i G od Corporate Governanceto po polsku Ład korporacyjny. ESG nazywany też “Kryteriami zrównoważonego i odpowiedzialnego rozwoju”).

Niedługo wiele Spółek będzie musiało raportować wskaźniki ESG.

Już powstają i działają firmy by w papierach się wszystko zgadzało. 

Jednak często to całe raportowanie i chwalenie się to większa lub mniejsza ściema.

Według mnie bowiem wdrożenie i utrzymanie systemu ESG powinno oznaczać prawdziwą zmianę Kultury organizacyjnej Spółki w każdym z trzech aspektów ESG oraz realne i praktyczne działania.

Pomyślałem sobie, że napiszę cykl artykułów jak rozpoznać ściemę ESG.

Pomyślmy, jak bym zweryfikował dużą korporację np. Allegro, Santander Bank, In post, CD Projekt?

Przeglądam sobie czasami listy pytań. 

I wymyśliłem jak zweryfikować zarazem S (społeczną odpowiedzialność) jak i G (ład korporacyjny) w praktyce.

Należy np. sprawdzić dwie rzeczy:

1) ile osób pracuje na umowy B2B a nie umowę o pracę

2) jak wygląda uzwiązkowienie i stosunek do związków zawodowych lub prób założenia takich związków zawodowych.

Zwłaszcza to drugie powinno bezwzględnie zweryfikować czy korporacja jest ESG czy ściemnia.

A dla mnie jako audytora liczy się praktyka a nie deklaracje na papierze - bo papier wszystko przyjmie i po czynach ich poznacie nie słowach.

W biznesie stworzonym przez neoliberalizm lub opartym na kulturze folwarcznym (nadal zmagamy się z tym spadkiem) przyjęło się traktować związki zawodowe jako wrogie biznesowi/właścicielom. Dlatego wiele korporacji w praktyce albo zwalcza związki zawodowe ale próbuje je zamienić w posłuszne podmioty. Taki censjonowany i kontrolowany przez pracodawcę związek zawodowy lub brak związków przy zapewnieniach korporacji że szanują stronę społeczną (gdy w praktyce zwalczają związki zawodowe już w zarodku) pozwala na ESG ściemę.

Dla korporacji lepiej jak związku w ogóle nie ma. Nikt nie upomina się o podwyżki, o lepsze warunki pracy, nie broni pracowników, nie chodzi, nie pyta i nie patrzy na ręce.

Tyle, że związki zawodowe to ważna część podmiotu. Dba o:

1) komunikację pomiędzy Zarządem a pracownikami, 

2) prawa pracowników i ich dobrostan (co ciekawe ostatnio dużo się mówi, że pracownicy są najważniejsi a w praktyce korporacje zwykle traktują ich jak koszt - dlatego albo ścinają koszty albo śrubują coraz bardziej normy (KPI)),

3) równowagę pomiędzy Kapitałem a pracą,

4) itd.

Szybkie prześwietlenie prasy i blogów ujawniło nazwy paru korporacji, które raportują ESG, chcą uchodzić za etyczne i społecznie odpowiedzialne a jednocześnie zwalczają związki zawodowe lub trzymają tylko censjonowany związek zawodowy. Żeby było zabawnie dostają różne laury i odznaczenia. No bo w papierach wszystko się zgadza. 

W mojej ocenie jeżeli korporacja zwalcza związek zawodowy to jej ład korporacyjny jest ułomny a społeczna odpowiedzialność to fikcja lub w najlepszym razie jest ona ułomna.

Oczywiście z drugiej strony wiele związków zawodowych nie dorosło do swojej roli lub jej nie rozumie. Jak działacze związku zawodowego bawią się w politykę, interesują ich tylko ich stanowiska, wpływy lub nie daj Boże biznesy to dla mnie to jest parodia związku zawodowego. Ale wiem też, że są związki, które działają inaczej. Coraz częściej korzystają one z pomocy ekspertów i potrafią być prawdziwym partnerem dla Zarządu oraz zwalczać dyskryminację, mobbing itp. patologie w organizacji. Miejmy nadzieję, że staną się one standardem.

Co do umów B2B. To częsty sposób by po prostu zejść z kosztów i móc szybko pozbyć się kosztów, ups, szybko pozbyć się pracownika lub móc obchodzić prawo pracy - np. czas pracy.

Te umowy jeszcze mają sens przy wysoko opłacanych ekspertach i stanowiskach zarządczych lub kierowniczych. O ile nie są narzucane jako standard.

Poza tym to według mnie zwykle czysty wyzysk i obchodzenie przepisów.

A jak w praktyce weryfikuję ściemy?

To już mój know-how. Zdradzę tylko, że sprawdzenie papierów to tylko pierwszy krok z wielu.

Natomiast w wyniku audytów piszę jak jest, a nie wystawiam laurek. Jak chcesz laurkę to musisz poszukać innego audytora. 

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.