Compliance – ocena wewnętrznych kanałów dokonywania zgłoszeń i procedur na potrzeby zgłoszeń następczych

Po pierwsze: „Czy wewnętrzne kanały dokonywania zgłoszeń i procedury na potrzeby zgłoszeń następczych w organizacji są odpowiednio zaprojektowany?

Aby odpowiedzieć na te pytania będą zadane pytania pomocnicze, np.:

1. Czy wewnętrzne kanały dokonywania zgłoszeń i procedury na potrzeby zgłoszeń następczych są zgodne z obowiązującymi przepisami? – czyli sprawdzam, czy spełnia wymogi prawne czy nie.
2. Czy wewnętrzne kanały dokonywania zgłoszeń i procedury na potrzeby zgłoszeń następczych są adekwatne do przeprowadzonej uprzednio w podmiocie oceny ryzyk? – system musi zapewniać maksymalną efektywność, jednocześnie nie może uniemożliwiać prowadzenie biznesu
3. Czy kanały dokonywania zgłoszeń i procedury są znane potencjalnym Sygnalistom? Czy komunikacja jest przeprowadzana odpowiednio a procedury zrozumiałe

Po drugie: Czy wewnętrzne kanały dokonywania zgłoszeń i procedury na potrzeby zgłoszeń następczych zostały efektywnie zaimplementowany?

Tak jak przy pierwszym pytaniu, pojawią się pytania pomocnicze, m.in.:

1. Jakie były motywy wdrożenia kanałów i procedur? Kiedy je wdrożono?
2. Czy było i jest odpowiednie poparcie władz podmiotu? – zgodnie z zasadą „tone at the top” – przykład idzie z góry ale to też kwestia zapewnienia odpowiednich zasobów i wsparcia,
3. Czy kanały i procedury były wdrożone na papierze czy w  dobrej wierze i są przestrzegane i aktualizowane? – wdrożenie systemu tylko na papierze jest moim zdaniem gorsze niż nie wdrożenie systemu w ogóle.

Po trzecie: Czy wewnętrzne kanały dokonywania zgłoszeń i procedury na potrzeby zgłoszeń następczych działają w praktyce?

Podobnie jak przy dwóch pierwszych pytaniach, zostaną zadane pytania pomocnicze, np.:

1. Czy kanały i procedury działają w cyklu Deminga? – czy są non-stop testowane, sprawdzane i aktualizowane oraz ulepszane.
2. Czy były audyty wewnętrzne i zewnętrzne?
3. Jak wygląda kultura zgłaszania nieprawidłowości i reagowania na zgłoszenia?
4. Jak podmiot rzeczywiście reaguje na zgłoszenia? – czy np. są odpowiednio przeprowadzane śledztwa wewnętrzne? Czy podmiot współpracuje z organami ścigania? Czy podmiot wdraża odpowiednie środki naprawcze?

Ocena wewnętrznych kanałów dokonywania zgłoszeń i procedur na potrzeby zgłoszeń następczych wymaga wiedzy, doświadczenia, umiejętności zadawania kolejnych pytań i znajdowania na nie odpowiedzi. Warto to zlecić ekspertom.

Na zakończenie, chciałbym zauważyć że:

1. pytań jest zwykle dużo, dużo więcej
2. podobnie dokonuje się np. audytu systemów Compliance lub systemów ochrony danych osobowych.

A przy okazji kto z Państwa już zrobił w tym roku audyt systemów ochrony danych osobowych lub zlecił kolejny audyt w przyszłym roku?

Jeżeli odpowiedź brzmi „nie” to skąd Państwo wiedzą, że system działa lub jakich wymaga poprawek?