Zarządzanie ryzykiem w przedsiębiorstwie to kwestia, za którą odpowiedzialność ponoszą wszyscy członkowie danej organizacji, począwszy od dyrektora naczelnego a skończywszy na szeregowym pracowniku w strukturze operacyjnej. Wszelkie słabości organizacji wynikają bowiem albo z pozornych działań w obszarze compliance albo wręcz z braku zagwarantowania odpowiedniej odpowiedzialności, strategii i przejrzystości w procesach realizowanych czynności. Najważniejszym elementem metodyki compliance w kancelarii Baraniewski & Kawa jest rozpoczęcie działań u Klienta poprzez przeprowadzenie procedury audytu wewnętrznego, która pozwala na właściwą diagnozę ryzyk związanych z prowadzoną działalnością i następnie na ich efektywną kontrolę oraz raportowanie.

Audyt wewnętrzny przeprowadzany być może albo w jednym, konkretnie określonym obszarze działania podmiotu albo w kontekście kompleksowej mapy aktywności operacyjnej przedsiębiorstwa. RODO i AML to główne obszary audytowania przedsiębiorstw, jakie poprzez realizacje kompleksowych wdrożeń departament compliance kancelarii realizował na przestrzeni ostatnich dwóch lat.

RODO stosowane jest od 25 maja 2018 roku spowodowało konieczność optymalizacji podejścia do audytu ochrony danych osobowych. Prawidłowo wykonany audyt powinien zobrazować, jakie dane osobowe i w jaki sposób są w przedmiocie przetwarzane. Wiedza ta jest podstawą w podejmowaniu dalszych decyzji w procesie wdrożenia procedur Rodo. Jedno z pierwszych pytań, które zadają inspektorzy UODO w toku kontroli, brzmi: „na jakiej podstawie ustalili Państwo ten stan faktyczny – czy możemy zobaczyć jakiś raport z audytu?”. Niezależnie wiec od tego, czy działamy własnymi siłami (wewnętrznie), czy też szukamy zewnętrznego dostawcy każde wdrożenie RODO musi zostać poprzedzone wyczerpującą analizą istniejącej mapy powiązań komórek organizacyjnych w podmiocie oraz precyzować zakres, sposób i źródło pozyskiwania danych osobowych.

Departament Compliance Kancelarii Baraniewski & Kawa w toku realizacji zlecanych wdrożeń i optymalizacji Rodo zdefiniował kilka obszernych procedur ułatwiających pracę organizacji po wykonanym wdrożeniu. Jedną z nich, jest właśnie procedura audytu, która pomaga Compliance Oficerowi w cyklicznym procesie sprawdzania jakości funkcjonujących zabezpieczeń.  Oto kilka wybranych, na których odpowiedź zgłasza ewentualną zasadność dalszych działań  sprawdzających:

Czy musimy powołać Inspektora Ochrony Danych? Jakie działania na danych osobowych mają miejsce w naszej organizacji (więcej – w kolejnych akapitach)? Czy procesy przetwarzania danych mają oparcie w przesłankach legalności RODO? Czy nie przetwarzamy zbyt dużo danych osobowych (zasada minimalizacji)? Czy obecnie stosowane rozwiązania są skuteczne i działają? Czy stosujemy tzw. profilowanie kwalifikowane? Czy nasi pracownicy znają obecnie funkcjonujące procedury i jaki jest poziom ich świadomości swoich obowiązków? Do jakich zewnętrznych podmiotów transferujemy dane osobowe (wykaz powierzeń przetwarzania danych oraz udostępnień danych). Czy transfery danych do zewnętrznych podmiotów mają oparcie w postaci umów powierzenia lub przesłanek legalności udostępnienia danych? Czy stosujemy prawidłowe obowiązki informacyjne? Czy stosujemy prawidłowe klauzule zgód? W jaki sposób realizowane są prawa osób, których dane są przetwarzane? Czy kontrolujemy zabezpieczenia informatyczne i techniczne (o tym szerzej w kolejnych akapitach)? Czy nasza organizacja ma opracowaną strukturę systemu ochrony danych? Czy każdy wie, za co odpowiada w ramach tej struktury? Czy pracownicy wiedzą, jak zachować się w razie naruszenia ochrony danych? Czy jesteśmy w stanie wykazać przestrzeganie przepisów przez naszą organizację (zasada rozliczalności)? ect.

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nie wprowadza nakazu zewnętrznego audytu procesów AML. Nie mniej jednak wymagania wobec instytucji obowiązanych w zakresie przeciwdziałania terroryzmowi rosną przez co Instytucje na własna rękę pragną zapewnić sobie niezależną opinię na temat jakości realizowanych procedur AML i w tym celu zlecają specjalistyczny audyt AML zewnętrznym firmom audytowym lub kancelariom specjalizującym się w procedurach Compliance. Może ono być jednak wykorzystane w realizacji wymogów jej przepisów.

Zgodnie z IV Dyrektywą AML instytucje obowiązane powinny zapewnić niezależną funkcję audytu, dotyczącą poprawności wewnętrznych kontroli i procedur. Wymóg ten uzależniony jest od wielkości oraz charakteru prowadzonej przez instytucję działalności i państwa członkowskie z różnym skutkiem prawnym zastosowały go w materię obowiązujących na ich terenie przepisów. Polska ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, nie zawiera wprost wymogu przeprowadzania niezależnego audytu AML nie mniej jednak w ramach aktualnych wymogów istnieje zapis dotyczący przeprowadzenia i udokumentowania oceny ryzyka AML instytucji obowiązanej. Ocena ta powinna wskazywać na słabości i silne strony systemu AML oraz wyznaczać dalsze działania, które mają za zadanie poprawić jakość polityk i systemów AML. Tym samym, sprowadza to funkcję audytu AML do konieczności wykonania szczegółowej oceny ryzyka, w której specjalizuje się mec. Jakub Baraniewski, Partner Zarządzający kancelarii Baraniewski & Kawa i szef Departamentu Compliance.

Audyt compliance to działalność doradcza i weryfikująca, której celem jest usprawnienie operacyjne organizacji i wniesienie do niej wartości dodanej. Efektem audytu jest dostarczenie organom zarządczym Klienta pełnej informacji w zakresie odpowiedniości, skuteczności i adekwatności stosowanych w strukturze organizacyjnej zabezpieczeń do realizowanych przepływów finansowych, przetwarzanych danych osobowych i procesów operacyjnych gwarantujących etyczność i legalność działań organizacji.

Departament Compliance kancelarii Baraniewski & Kawa analizuje wskazane przez Klienta i właściwe dla przedmiotu zagadnienia obszary funkcjonowania organizacji. Są nimi między innymi: system kontroli wewnętrznej, proces świadczenia usług objętych zezwoleniem odpowiednich organów KNF, UKE, NBP, obszar zgodności dokumentacji wewnętrznych dotyczących zarządzania ryzykiem w instytucji finansowej, a także obszar faktycznego funkcjonowania procesów związanych z zarządzaniem ryzykiem u Klienta, weryfikacja polityk wynagradzania w instytucjach zobowiązanych do wdrożenia przepisów UE w zakresie zmiennych składników wynagrodzeń, proces przetwarzania danych wraz z obszarem 4 zasad Rodo, sposób wdrożenia przepisów ustawy o biegłych rewidentach w zakresie procesów dotyczących analizy niezależności członków Komitetu Audytu i Rady Nadzorczej, wdrożenia MDR, wdrożenie AML.