[breadcrumb]
Compliance Day 2018
W dniach 6-7 lutego 2018 r. w Klubie Bankowca w Warszawie odbyła się druga edycja konferencji Compliance Day. Również tym razem wydarzenie objęte zostało patronatem Giełdy Papierów Wartościowych w Warszawie. W ramach konferencji zaprezentowane zostały wyniki pierwszego ogólnopolskiego badania stanu rozwoju compliance, które przeprowadzone zostało przez Instytut Compliance we współpracy z EY, Wolters Kluwer oraz Viadrina Compliance Center. Drugiego dnia konferencji praktycy compliance dyskutowali nt. współpracy compliance z innymi działami, aktualnych wyzwań RODO, zagadnień tax compliance management oraz o nowych wymogach antykorupcyjnych.
Przedstawienie wyników pierwszego ogólnopolskiego badania compliance
Instytut Compliance wraz z partnerami podjął się trudnego wyzwania przeprowadzenia reprezentatywnego, ogólnopolskiego badania stanu rozwoju compliance. Jego wyniki przedstawione zostały przez prof. Bartosza Makowicza z Viadrina Compliance Center w formie raportu, który zaprezentowany został na konferencji. Badanie pokazało jednoznacznie, że coraz więcej przedsiębiorstw z polskim kapitałem implementuje systemy zarządzania zgodnością – nie jest to już zatem domena jedynie przedsiębiorstw z kapitałem zagranicznym. Ponadto trend ten przestał dotyczyć już tylko przedsiębiorstw branż regulowanych, a widoczny jest ponadbranżowo. O wynikach przedstawionego przez prof. Makowicza raportu oraz o przyszłych kierunkach rozwoju compliance dyskutowali: Mariusz Witalis (EY), Maciej Krajewski (Wolters Kluwer Polska S.A.), Jacek Zdziarstek (Raiffeisen Bank Polska S.A.) Marcin Szczepański (Siemens Polska) oraz Marcin Gomoła (Komitet Compliance GPW). Ta część konferencji była moderowana przez Dr. Bartosza Jagurę (Instytut Compliance). Wszyscy referenci zgodnie uznali, że mimo relatywnie krótkiej praktyki funkcjonowania w Polsce systemów zarządzania zgodnością, wyraźne zauważalne jest ich duże znaczenie. Będzie ono przy tym stale rosnąć, na przykład z uwagi na konieczność wprowadzania i zapewniania skuteczności programów antykorupcyjnych. Podkreślany był wymóg ustawicznego kształcenia oficera compliance, który musi nie tylko być na bieżąco ze zmieniającym się otoczeniem regulacyjnym, ale także znać potrzeby biznesu i charakter organizacji, w której pracuje. Po owocnych dyskusjach zarówno goście jak i referenci mieli możliwość nieformalnej rozmowy podczas wieczornego bufetu.
Pobierz wyniki badania!
Panel 1: Współpraca compliance z innymi działami
Drugiego dnia odbyły się cztery panele merytoryczne. Pierwszy z nich, moderowany przez Wojciecha Niezgodzińskiego (EY), poświęcony był problematyce kooperacji compliance z innymi działami przedsiębiorstwa. O swoich doświadczeniach związanych z budowaniem komórki compliance jako pierwsza opowiedziała Marta Techmann (MediaMarktSatrun Polska). Prelegentka wskazała, że postawione zadanie było trudne, ponieważ wiązało się z koniecznością wprowadzenia w krótkim czasie i przy ograniczonych zasobach systemu zarządzania zgodnością, stąd pierwotne wdrażanie odbywało się w wersji small concept. W efekcie końcowym został przyjęty model scalony, w którym dochodzi do personalnego połączenia dwóch funkcje: działu prawnego i compliance.
Następne wystąpienie (Sebastiana Burgemejstera z Polskiej Agencja Żeglugi Powietrznej) poświęcone było kooperacji funkcji compliance z audytem wewnętrznym. Zdaniem prelegenta audyt wewnętrzny oraz compliance wspólnie wspierają organizację w realizacji jej celów. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienia działalności operacyjnej organizacji. Ponadto dają zapewnienie radzie i najwyższemu kierownictwu w obszarze skuteczności i efektywności systemu kontroli wewnętrznej i zarządzania ryzykiem. Co więcej, obie funkcje wykorzystują podobną metodykę działania.
Kolejny prelegent, Radosław Lewandowski z PKP Energetyka S.A., opowiedział o współpracy compliance z jednostką zajmującą się zarządzaniem ryzykiem. Compliance jest rozumiane jako proces zarządzania ryzkiem braku zgodności, które to jest konsekwencją świadomego lub nieświadomego nieprzestrzegania przez pracowników przepisów prawa, wymogów regulatorów bądź procedur wewnętrznych. W celu zapewnienia zgodności w PKP Energetyka powstało Biuro Zarządzania Ryzkiem i Regulacji, pełniącego dwie funkcję: do spraw ryzyka oraz do spraw zgodności z prawem i regulacjami. Dobre rozumienie biznesu, towarzyszących mu ryzyk i wymogów regulacyjnych pozwala na skuteczne i szybkie wdrożenie funkcji compliance. Skuteczny przepływ informacji o zmianach, incydentach i zagrożeniach zapewnia minimalizację ryzyka braku zgodności. Przy tym ważną rolę odgrywają metody i narzędzia stosowane w ogólnym zarządzaniu ryzykiem, które pozwalają ocenić skuteczność systemu zarządzania zgodnością.
W swoim wystąpieniu Maciej Łys (BSH) omówił znaczenie działu HR w realizacji funkcji compliance w organizacji. Efektywny system zarządzania zgodnością nie istnieje, jeżeli nie jest elementem kultury organizacyjnej. Rolą HR jest wspieranie działu compliance w utrwalaniu świadomości pracowników, że zgodność z regulacjami i standardami etycznymi ma istotne znaczenie w działalności organizacji. Zadaniem HR pozostaje więc budowanie oraz promowanie świadomości compliance od najniższego stopnia.
Wykład wprowadzający
Krzysztof Bączkiewicz z Ministerstwa Cyfryzacji wygłosił wykład wprowadzający na temat aktualnych zagrożeń w aspekcie informatycznego zapewnienia bezpieczeństwa danych. Z uwagi na obecny proces digitalizacji danych niewątpliwie potrzebne jest zarządzanie bezpieczeństwem informacji. Osoby odpowiedzialne za procesy informatyczne powinny być świadome potrzeby wdrażania systemu zarządzania zasobami informatycznymi, które to muszą być dostosowane do analizy ryzyka. Należy przy tym pamiętać, że bezpieczeństwo informacji to także odpowiedzialność organizacji.
Panel 2: Integralność IT i ochrona przed wyzwaniami RODO
Moderację tego panelu przejął Piotr Welenc (Wolters Kluwer Polska S. A.). Jako pierwszy prelekcję wygłosił dr Oskar Filipowski (KGHM Polska Miedź S.A.) i nawiązał do trzech kluczowych kwestii: konfliktu interesów pomiędzy compliance a nowymi technologiami, kwestia adhezyjności umów licencyjnych oraz zapisywania danych w chmurze. Referent podkreślił, że nie ma takiego systemu, którego nie da się złamać, a narzędzia IT są nośnikami przestępstw.
O software compliance opowiedział Bartłomiej Witucki (BSA Software Alliance Polska). Zdaniem prelegenta bardzo ważna jest świadomość przedsiębiorców, z jakiego oprogramowania korzystają. Niezaprzeczalnym faktem jest, że nielicencjonowane oprogramowanie jest nadal w użyciu, co za tym idzie zwiększa się prawdopodobieństwo cyberataków. Przedsiębiorstwa mogą ograniczyć cyberzagrożenia poprzez korzystanie z licencjonowanego oprogramowania oraz wdrożenie profesjonalnych procesów zarządzania oprogramowaniem. Odpowiedzialność karną ponoszą nie tylko osoby pracujące w przedsiębiorstwie na komputerach, gdy instalują samodzielnie oprogramowanie, robią dla swoich celów domowych kopię programu zainstalowanego w firmie, czy informatycy i inne osoby odpowiedzialne za systemy komputerowe, gdy instalują programy bez licencji, ale także członkowie kierownictwa organizacji i jej właściciele, gdy polecają instalację nielegalnego oprogramowania lub mając świadomość takich praktyk nie podejmują niezwłocznie działań naprawczych.
Kolejne wystąpienie (Jolanta Adamska, Asseco Poland S.A.) poświęcone było wpływowi RODO na usługi IT. Asseco jako dostawca usług IT patrzy na wyzwania stawiane przed spółkami w zakresie RODO z trzech perspektyw: administratora danych, podmiotu przetwarzającego oraz wytwórcy i oprogramowania i dostawcy usług IT. Natomiast zagrożenia można podzielić na cztery kategorie: techniczne, fizyczne, organizacyjne oraz personalne. Aplikacje, systemy oraz posiadane usługi powinny być w pełni przygotowane pod względem bezpieczeństwa przetwarzanych w nich danych, aby spełnić wymogi stawiane przez RODO.
Z pytaniem, czy po 25 maja szykuje się rewolucja czy też ewolucja w IT, zmierzyła się Barbara Sawina (Orange Polska S.A.). Zdaniem prelegentki należy zapewnić zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Ważnym aspektem pozostaje również zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu technicznego lub fizycznego. Nie można przy tym pominąć znaczenia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Panel 3: Tax Compliance Management
Kolejny panel konferencji poświęcony był zagadnieniu zyskującemu w ostatnim czasie znacząco na znaczeniu: zarządzaniu zgodnością w obszarze podatków. Jak wskazała moderatorka panelu Joanna Stolarek (Kancelaria Ożóg Tomczykowski), tax compliance to już nie tylko terminowe składanie deklaracji i zeznań podatkowych, uiszczanie podatków i zaliczek oraz wypełnianie obowiązków płatnika, ale także przestrzeganie wszystkich przepisów prawa podatkowego i posiadanie mechanizmów stałego wykrywania ryzyk i usuwania nieprawidłowości. Prelegenci: dr Przemysław Krawczyk (Dyrektor Departamentu Kontroli i Analiz w Ministerstwie Finansów), prof. dr hab. Krzysztof Lasiński-Sulecki (Ośrodek Studiów Fiskalnych, UMK), prof. dr hab. Aleksander Werner (Katedra Prawa Administracyjnego i Finansowego Przedsiębiorstw SGH) zwracali uwagę na coraz szersze uprawnienia organów kontrolnych i wymóg ustawicznego monitorowania często zmieniających się przepisów. Dzięki działaniom podejmowanym w ramach tax compliance możliwe jest zmniejszenie ryzyk negatywnych konsekwencji oraz budowanie wiarygodności i pozycji rynkowej przedsiębiorstwa.
Keynote
Ostatni panel konferencji poprzedzony był wystąpieniem Iwony Czerniec, Dyrektor Gabinetu Szefa CBA dotyczącym Rządowego Programu Przeciwdziałania Korupcji (RPPK) na lata 2018-2020. Wskazane zostało, że przewodniczącym Międzyresortowego Zespołu ds. Realizacji Programu będzie Szef CBA, a nie minister spraw wewnętrznych i administracji, także obsługą administracyjną programu zajmować będzie się CBA. Zadania wskazane w Programie to wzmocnienie jawności i przejrzystości życia publicznego, wypracowanie zasad osłony systemu stanowienia prawa, wzmocnienie przejrzystości procesu udzielania zamówień publicznych i rozwiązań ograniczających korupcję w sektorze publicznym i prywatnym, wdrażanie edukacji antykorupcyjnej dla funkcjonariuszy publicznych oraz kształtowanie świadomości społecznej poprzez edukację antykorupcyjną, wdrożenie rozwiązań dot. współdziałania i koordynacji organów w zakresie zwalczania korupcji i wzmacnianie w tym obszarze współpracy międzynarodowej.
Panel 4: Nowe wymogi antykorupcyjne
Ostatni panel konferencji, moderowany przez dr Annę Partykę-Opielę z Kancelarii DZP, poświęcony był projektowanym wymogom w zakresie programów antykorupcyjnych. Omawiane były wymagania odnośnie programów antykorupcyjnych, jakie wprowadzać będzie ustawa o jawności życia publicznego (UJŻP). Prelegenci: Emilia Bielecka-Dziubak (Chiesi Poland Sp. z o. o.), Michał Rypiński (Micheline Polska S.A.), Marcin Gomoła (T-Mobile Polska S.A.), Marcin Bryniarski (Oknoplast Sp. z o. o.) dzielili się swoimi doświadczeniami w zakresie wdrażania programów antykorupcyjnych oraz funkcjonowania systemów informowania o nieprawidłowościach – whistleblowing. Porównywane było także, jak postulowane w Polsce rozwiązania przedstawiają się na tle rozwiązań w innych krajach. Komentarz do dyskusji wygłosił Mariusz Witalis z EY, który wskazał, że walka z korupcją to ustawiczny proces, stąd organizacje muszą wdrażać rozwiązania systemowe, a nie podejmować jednorazowe inicjatywy.
Podsumowanie
Kolejna edycja konferencji Compliance Day zgromadziła prawie 150 uczestników dowodząc dużego zainteresowania reprezentantów sektora przedsiębiorstw zagadnieniami compliance i przeciwdziałania korupcji. Wyniki pierwszego ogólnopolskiego badania compliance potwierdzają ten trend: compliance to obszar, który systematycznie zyskiwać będzie na znaczeniu.
Agata Adamowicz