Strona Kancelarii i blog o Compliance, Sygnalistach, RODO, GDPR, prawie gospodarczym, zarządzaniu, zamówieniach in house i paru innych ciekawych rzeczach
niedziela, 26 listopada 2023
ESG - jak rozpoznać ściemę część 3
niedziela, 19 listopada 2023
ESG - jak rozpoznać ściemę część 2
Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.
Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.
W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.
W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.
Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.
Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu.
Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.
niedziela, 12 listopada 2023
ESG - jak rozpoznać ściemę część 1
niedziela, 8 stycznia 2023
W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?
Ponad dwa lata temu opublikowałem post : "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.
poniedziałek, 29 listopada 2021
W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?
Ponad rok temu opublikowałem post : "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?"
Myślę, że najwyższe pora go ciut odświeżyć.
Jeżeli
nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz
już szukać tej informacji. Wystarczy, że przeczytasz tego posta.
Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:
1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,
2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,
3) RODO - ochronie danych osobowych,
4) umowach gospodarczych,
5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,
W tym zakresie świadczę pomoc prawną w tym też szkolę, audytuję i doradzam.
Moje zawodowe zainteresowania to negocjacje i mediacje, finanse, analizy, strategia i zarządzanie. I dlatego jestem nietypowym prawnikiem. Bo kocham liczby (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy.
Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fanstastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż.
Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się to nie dotykaj.
Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).
No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.
W czym mogę Ci pomóc? :-)
czwartek, 15 października 2020
W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?
Za dwa tygodnie moja kancelaria radcy prawnego będzie obchodziło pięciolecie działalności. I dużo ostatnio myślę, o początkach kancelarii, jej drodze oraz dalszych planach i celach.
Kocham rozmawiać z ludźmi, w tym z moimi klientami i partnerami. Pomagam im w różnych rzeczach. Uczę ich i uczę się od nich. Czasami inspirują mnie zachęcając np. bym napisał książkę o marketingu prawniczym lub opowiedział o tym. Bo podobno robię to nieźle. Ostatnio jeden z nich mnie zaskoczył słowami "Nie wiedziałem, że na tym też się znasz", a chodziło o prawo gospodarcze.
No cóż nie każdy musi czytać kilkaset artykułów, które napisałem, studiować mój profil na Linkedln lub stronę/bloga mojej kancelarii. Nie każdy miał szansę realizować ze mną różne projekty.
W sumie to ja powinienem zadbać o to by każdy wiedział w czym jestem ekspertem. To ja odpowiadam za budowę swej marki i reputacji. Jeżeli ktoś nie zna wszystkich moich specjalizacji to tylko mój błąd. Każdy może popełnić błąd (o tym też pisałem kiedyś) ale błędy należy naprawiać.
Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz tego posta.
Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:
1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością
2) RODO - ochronie danych osobowych
3) umowach gospodarczych
4) spółkach handlowych, w tym nadzorze właścicielskim i due diligence
5) zamówieniach in house, w szczególności w publicznym transporcie zbiorowym.
W tym zakresie świadczę pomoc prawną w tym też szkolę, audytuję i doradzam.
Moje zawodowe zainteresowania to negocjacje i mediacje, finanse, analizy, strategia i zarządzanie. I dlatego jestem nietypowym prawnikiem. Bo kocham liczby (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy.
Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fanstastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż.
Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się to nie dotykaj.
Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).
No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.
W czym mogę Ci pomóc? :-)
czwartek, 30 lipca 2020
Luźne przemyślenia prawnika - część 6 - Co są warte zapewnienia? Po co ci pomoc ekspertów?
Luźne przemyślenia prawnika - część 5 - Przyszłość prawników - fakty vs mity
poniedziałek, 9 września 2019
Skąd legalnie i za darmo czerpać podstawową wiedzę o kontrahencie?
niedziela, 21 lipca 2019
Ciekawostki z prawa handlowego i nie tylko - odcinek nr 15
Należy m.in.:
- szkolić pracowników w tym kadrę kierowniczą
- przeprowadzić audyty powdrożeniowe
- cały czas udoskonalać system ochrony danych osobowych
- traktować wydatki na ochronę danych osobowych jako niezbędną inwestycję a nie zbędny koszt
- pamiętać, że dobry Inspektor Ochrony Danych jest bezcenny. Trzeba go dobrze wynagradzać, szkolić, rozmawiać z nim i słuchać.
Ponadto audyty due diligence powinny obejmować też kwestie związane z ochroną danych osobowych (o ile jeszcze tego nie robią) oraz kwestie związane z szeroko pojętym Compliance. W przeciwnym na razie możemy wejść na minę. I to jest nauka wynikająca z czyjegoś błędu.
W dniu 17 lipca br. została opublikowana Krajowa Ocena Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu. TU znajdziesz jej treść wraz z załącznikami. Łącznie kilkaset stron do czytania. Życzę sobie i wam ciekawej lektury.
środa, 16 stycznia 2019
System Zgodności (Compliance) - na przykładzie systemów zgodności w Bankach
- normę ISO 37001 Anti-Bribery Management Systems, która stanowi globalny standard kształtowania systemów przeciwdziałania korupcji,
- normę ISO 19600 Compliance Management Systems,
- Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A.
System zarządzania ryzykiem braku zgodności, procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedury i standardy etyczne funkcjonują na podstawie strategii zarządzania, strategii zarządzania ryzykiem, polityk, procedur i planów.
System zarządzania zgodnością jest zorganizowany na trzech niezależnych poziomach
- pierwszy poziom składa się zarządzanie ryzykiem w działalności operacyjnej,
- drugi poziom składa się z działalności komórki do spraw zgodności.
- trzeci poziom składa się działalność komórki audytu wewnętrznego
Zarząd odpowiada za system zarządzania zgodnością
- zapewnienie struktury organizacyjnej dostosowanej do wielkości i profilu ponoszonego ryzyka i umożliwiającej skuteczne wykonywanie zadań;
- opracowanie, przyjęcie i powiązanie strategii zarządzania podmiotem zbiorowym z systemem zarządzania ryzykiem i systemem kontroli wewnętrznej;
- opracowanie, przyjęcie i wdrożenie strategii i polityk oraz zapewnienie wdrożenia systemu, zgodnie z przyjętymi zasadami legislacji wewnętrznej, oraz monitorowanie ich przestrzegania;
- ustanowienie odpowiednich zasad raportowania, w tym zasad raportowania zarządu do rady nadzorczej;
- zapewnienie przejrzystości działań podmiotu zbiorowego oraz przyjęcie i wprowadzenie zasad polityki informacyjnej;
- wprowadzanie niezbędnych korekt i udoskonaleń systemu zarządzania w przypadku zmiany wielkości i profilu ryzyka w działalności podmiotu oraz czynników otoczenia gospodarczego lub wykrycia nieprawidłowości w funkcjonowaniu systemu zarządzania.
- zarząd odpowiada za efektywne zarządzanie ryzykiem braku zgodności, rozumianym jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych;
- zarząd odpowiada za opracowanie polityki zgodności, zapewnienie jej przestrzegania i składanie radzie nadzorczej raportów (nie rzadziej niż raz do roku) w sprawie zarządzania ryzykiem braku zgodności;
- polityka zgodności zawiera podstawowe zasady zapewniania zgodności działania podmiotu zbiorowego z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi przez wszystkich pracowników podmiotu, w tym podstawowe zasady zapewniania zgodności na wszystkich liniach obronnych, oraz wyjaśnia główne elementy procesu zarządzania ryzykiem braku zgodności;
- w przypadku wykrycia nieprawidłowości w stosowaniu polityki zgodności zarząd podejmuje odpowiednie działania w celu usunięcia tych nieprawidłowości, w tym środki naprawcze lub dyscyplinujące.
Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu zarządzania ryzykiem oraz ocenia adekwatność i skuteczność tego systemu
Co należy do obowiązków komórki Compliance?
- opracowanie regulaminu funkcjonowania komórki do spraw zgodności, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki do spraw zgodności;
- identyfikowanie ryzyka braku zgodności, w szczególności przez analizę przepisów prawa, regulacji wewnętrznych , standardów rynkowych oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórkę do spraw zgodności;
- ocena ryzyka braku zgodności przez pomiar lub szacowanie tego ryzyka;
- projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności;
- monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności;
- okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do zarządu i rady nadzorczej,
- wykonywanie ww. czynności na podstawie regulaminu funkcjonowania komórki do spraw zgodności oraz procedur i metodyk;
- dokumentowanie ww. czynności.
Niezależność komórki Compliance, komunikacja itp.
- W podmiocie zbiorowym powinny funkcjonować mechanizmy zapewniające niezależność komórki audytu wewnętrznego oraz komórki do spraw zgodności.
- Regulamin funkcjonowania komórki do spraw zgodności powinien być zatwierdzony przez Zarząd i rada nadzorczą.
- Osoba komórką do spraw zgodności powinna mieć zapewniony bezpośredni kontakt z członkami zarządu i rady nadzorczej.
- Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach zarządu.
- Osoba kierująca komórką do spraw zgodności lub osoby je zastępujące powinna uczestniczyć w posiedzeniach rady nadzorczej, w przypadku gdy przedmiotem posiedzenia są zagadnienia związane z zapewnianiem zgodności lub zarządzaniem ryzykiem.
- Powołanie i odwołanie osoby kierującej komórką do spraw zgodności powinno odbywać się za zgodą rady nadzorczej po uprzednim wysłuchaniu tej osoby przez radę nadzorczą.
- Wynagrodzeń pracowników zatrudnionych komórce do spraw zgodności powinno zapewniać niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiać zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach.
- W podmiocie powinny istnieć mechanizmy chroniące pracowników komórki do spraw zgodności przed nieuzasadnionym wypowiedzeniem umowy o pracę.
- Komórka do spraw zgodności nie powinna być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w podmiocie zbiorowym. Pracownicy tej komórki nie powinni wykonywać innych obowiązków niż wynikające z zadań tej komórki.
- Pracownicy komórki do spraw zgodności muszą posiadać kwalifikacje, doświadczenie i umiejętności w zakresie zarządzania ryzykiem braku zgodności występującym w działalności podmiotu oraz muszą mieć dostęp do wszelkich niezbędnych informacji.
- Zarząd jest odpowiedzialny za zapewnienie środków finansowych niezbędnych do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników komórki do spraw zgodności.
Procedury anonimowego zgłaszania naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych.
- Podmiot zbiorowy powinien opracować i wdrożyć procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w podmiocie procedur i standardów etycznych. Przez obowiązujące procedury rozumie się wszelkie akty wewnętrzne, w tym regulaminy, instrukcje, systemy i rozwiązania przyjęte w danym podmiocie.
- Podmiot zbiorowy powinien zapewnić możliwość zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji.
- Procedury anonimowego zgłaszania przez pracowników naruszeń powinny określać co najmniej:
- sposób odbierania zgłoszeń w sprawie naruszeń, zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez pracownika dokonującego zgłoszenia;
- sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
- sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
- zasady zapewniające zachowanie poufności pracownikowi dokonującemu zgłoszenia, w przypadku gdy pracownik ten ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia;
- wskazanie osób odpowiedzialnych za odbieranie zgłoszeń naruszeń, z uwzględnieniem, że w przypadku gdy zgłoszenie dotyczy członka zarządu, powinno być ono przyjęte przez radę nadzorczą;
- sposób przekazywania członkowi zarządu, radzie nadzorczej oraz wyznaczonym pracownikom lub jednostkom organizacyjnym i informacji związanych ze zgłoszeniem naruszenia, niezbędnych do prawidłowej weryfikacji tego zgłoszenia, z uwzględnieniem ograniczenia zakresu przekazywanych informacji odpowiednio do celów realizowanych przez procedurę oraz treści zgłoszenia naruszenia;
- rodzaj i charakter działań następczych podejmowanych na skutek: a) odebrania zgłoszenia naruszenia, b) weryfikacji zgłoszenia naruszenia - oraz sposób koordynacji tych działań; 8) termin usunięcia przez podmiot danych osobowych zawartych w zgłoszeniach naruszeń;
- Zarząd powinien ustalić wewnętrzny podział kompetencji wskazujący członka zarządu, do którego są zgłaszane naruszenia oraz odpowiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń.
- Członek zarządu, o którym mowa powyżej lub rada nadzorcza, po otrzymaniu zgłoszenia, wyznacza pracowników, jednostki organizacyjne lub komórki organizacyjne odpowiedzialne za podejmowanie i koordynowanie weryfikacji zgłoszenia naruszenia oraz podejmowanie działań następczych.
- Zarząd jest odpowiedzialny za adekwatność i skuteczność procedur anonimowego zgłaszania przez pracowników naruszeń.
- W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia i oddalenia podejrzeń w nim zawartych członek zarządu albo rada nadzorcza, gdy zgłoszenie dotyczy członka zarządu, niezwłocznie powiadamiają osobę, której zarzucono dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, z zastrzeżeniem zachowania poufności.
- Rada nadzorcza powinna, w zależności od potrzeb, nie rzadziej jednak niż raz w roku, oceniać adekwatność i skuteczność procedury anonimowego zgłaszania przez pracowników naruszeń.
- Podmiot powinien przeprowadzać wstępne i regularne szkolenia pracowników w zakresie zgłaszania naruszeń, w szczególności obowiązujących w tym zakresie procedur.
Czy każdy system Compliance powinien tak wyglądać i czy to wszystko?
poniedziałek, 7 stycznia 2019
Czy członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance?
"Czy za brak wdrożenia i utrzymywania skutecznego systemu Compliance członkom Zarządu lub Rady Nadzorczej będzie grozić odpowiedzialność karna?"
- jest obowiązana na podstawie ustawy, decyzji właściwego organu lub umowy do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej,
- przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku,
- wyrządza jej znaczną szkodę majątkową lub sprowadza bezpośrednie niebezpieczeństwo wyrządzenia znacznej szkody majątkowej,
- za wyrządzenie znacznej szkody majątkowej odpowiada też osoba działająca nieumyślnie. Ale nie ma już w kodeksie karnym odpowiedzialności za nieumyślne sprowadzenie bezpośredniego niebezpieczeństwa wyrządzenia znacznej szkody majątkowej.
- członkowie Zarządu i Rady Nadzorczej mimo ciążącego nad nimi obowiązku nie wdrożą i nie będą utrzymywać skutecznego systemy Compliance,
- w wyniku powyższego Spółka poniesie znaczną szkodę wartości np. zapłaci karę 30 mln zł. na podstawie nowej ustawy o odpowiedzialności podmiotów zbiorowych,
Członkom Zarządów lub Rad Nadzorczych spółek kapitałowych będzie grozić odpowiedzialność karna za brak skutecznych systemów Compliance
piątek, 23 listopada 2018
Standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A. - rekomendacja czy obowiązek dla Spółek w 2019 roku?
- rekomendują by Spółki miały system zarządzania zgodnością. System ten powinien mieć na celu identyfikację oraz zarządzanie ryzykiem niezgodności z przepisami, regulacjami wewnętrznymi Spółek oraz powszechnie obowiązującymi zwyczajami i regułami etycznymi,
- rekomendują by Spółki miały wdrożony odpowiednie mechanizmy i procedury Compliance: np. kodeks antykorupcyjny (dają też zalecenia co do wdrożenia) itd.,
- dają wytyczne co do wyboru, umocowania itd. osoby zajmującej stanowisko Compliance Officera (tj. osoby odpowiedzialnej za zarządzanie ryzykiem braku zgodności lub ryzykiem korupcji). Co ciekawe rekomenduje się by była ona w randze członka Zarządu lub podlegała bezpośrednio pod Radę Nadzorczą i Zarząd, będąc jednocześnie niezależną i posiadając odpowiednie zasoby,
- zawierają rekomendacje w przedmiocie systemów zgłaszania informacji o nieprawidłowościach i ochrony sygnalistów,
- zawierają rekomendacje w zakresie postępowania ze zgłoszeniami o nieprawidłowościach.
- STWORZYĆ SYSTEM COMPLIANCE,
- WDROŻYĆ GO,
- UTRZYMAĆ
- DOKONAĆ JEGO OCENY
- ULEPSZYĆ