Brak działu compliance nie zwalnia z obowiązku działania zgodnie z prawem i etyką. Dziś liczy się nie struktura, lecz dowód, że potrafisz zarządzać ryzykiem.

Dlaczego „brak działu compliance” nie jest wymówką

CSRD, NIS2, AML oraz zasady należytej staranności OECD sprowadzają się do jednego: zarządzania ryzykiem i odpowiedzialnością. Choć wiele firm nie ma formalnego działu compliance, przepisy, inwestorzy i kontrahenci oczekują, że ktoś nadzoruje zgodność z prawem i standardami etycznymi.
Wystarczy jedna ankieta od dużego klienta – pytania o etykę, sygnalistów, bezpieczeństwo danych czy antykorupcję – by zrozumieć, że to wymóg biznesowy.

Obowiązki bez działu – jak to zrobić proporcjonalnie

Regulacje (CSRD, AML, wytyczne OECD i wiele innych) wskazują na konieczność posiadania mechanizmów zgodności również w MŚP. Nie potrzeba rozbudowanego działu: wystarczy proporcjonalny system, który identyfikuje kluczowe ryzyka, wyznacza odpowiedzialne osoby i dokumentuje działania.
W praktyce: podstawowe polityki (etyki, BHP, ochrona danych, antykorupcja), osoba odpowiedzialna za nadzór oraz prosta matryca ryzyk.

Compliance w praktyce – ochrona, nie biurokracja

Compliance to sposób na prowadzenie firmy bezpieczniej i spokojniej – z jasnymi zasadami, przejrzystą komunikacją i dowodami reakcji na incydenty. Audytorzy i kontrahenci coraz częściej weryfikują także obszary zgodności i bezpieczeństwa informacji. Brak dowodów (np. polityki sygnalistów, analizy ryzyk) może oznaczać utratę kontraktu. Compliance to inwestycja w wiarygodność.

Checklist: czy Twoja firma jest gotowa na compliance – nawet bez działu compliance?

1. Czy wiesz, kto odpowiada za zgodność i etykę?
   Czy ta osoba ma wsparcie zarządu przy wdrażaniu zmian?
2. Czy rozumiesz, z jakimi przepisami styka się firma?
   Masz listę obszarów: dane osobowe, BHP, podatki, środowisko, etyka, sygnaliści?
3. Czy zasady postępowania są spisane i zrozumiałe dla pracowników?
   Nie tylko dla urzędników?
4. Czy pracownicy wiedzą, jak reagować na problemy?
   Czy wiedzą, do kogo je zgłosić?
5.  Czy masz zidentyfikowane słabe punkty i listę „co może pójść nie tak”?
   Oraz sposoby zapobiegania?
6. Czy masz dowody działań zgodności?
   Np. maile przypominające, rejestry szkoleń, klauzule etyczne w umowach?
7. Czy ktoś regularnie przegląda dokumenty i procedury?
   By unikać przestarzałych zasad?
8. Czy kontrahenci pytają o polityki/ankiety ESG?
   Jak dziś wypadłaby Twoja firma?
9. Czy masz plan działania na kontrolę/incydent/zapytanie regulatora?
   Kto odpowiada, jakie dokumenty pokazujesz, jak komunikujesz zespół?
10. Czy compliance jest procesem, a nie projektem jednorazowym?
    Czy wyciągasz wnioski i doskonalisz zasady?

Wskazówka

Jeśli choć na kilka pytań odpowiedziałeś „nie wiem” – to znaczy, że jesteś w dobrym miejscu, żeby zacząć.
Compliance to nie cel sam w sobie, lecz proces uczenia się, jak prowadzić firmę bezpieczniej, mądrzej i bardziej odpowiedzialnie.

Nie chodzi o perfekcję – chodzi o świadomość i gotowość do reagowania.
To właśnie ona buduje zaufanie kontrahentów, klientów i regulatorów.

Dowiedz się więcej:
Szkolenie: Due diligence w łańcuchu dostaw

Masz pytania? Skontaktuj się z nami: praktycznieoesg.pl/doradztwo