Wielkość firmy:
-- Wybierz -- Duże przedsiębiorstwo Średnie, małe, mikroprzedsiębiorstwo
Funkcja compliance i pytania ogólne 1. Prosimy o opisanie funkcjonującego u Państwa systemu zarządzania zgodnością (Compliance) oraz o wskazanie w jaki sposób został wprowadzony (np. formalna procedura/polityka, uchwała zarządu).:
2. Prosimy o wskazanie szacunkowej liczby zatrudnionych przez Państwa osób odpowiedzialnych za obszar Compliance (m.in. Compliance Officers), opisanie struktury jednostki odpowiedzialnej za ten obszar oraz wykształcenia i kwalifikacji (np. certyfikacja) osób odpowiedzialnych za ten obszar.:
3. Prosimy o opisanie kluczowych obowiązków Compliance Officera (lub osoby pełniącej równorzędną funkcję) w Państwa firmie, a także pozycji w wewnętrznej strukturze organizacyjnej, ścieżki raportowania oraz możliwość eskalowania nieprawidłowości poza bezpośredniego przełożonego.:
4. Prosimy o wskazanie, czy system compliance oparty jest w Państwa organizacji o zasadę III linii obrony i jakie funkcje wchodzą w skład każdej z linii.:
5. Prosimy o wskazanie, czy prowadzą Państwo monitoring obowiązujących regulacji, standardów rynkowych praktyki organów - w zakresie mającym zastosowanie do Państwa działalności oraz jaka jednostka/funkcja jest odpowiedzialna za ten obszar.:
Wewnętrzne polityki i procedury 6. Prosimy o wymienienie wewnętrznych polityk/procedur wdrożonych w Państwa organizacji w zakresie compliance (np. Kodeks Etyczny, Polityka Antykorupcyjna, procedura niezapowiedzianych kontroli, polityka w zakresie konfliktu interesów, polityki ESG).:
Szkolenia i akcje compliance 7. Prosimy o informację, jak wygląda w Państwa organizacji proces on-boardingu nowych pracowników w zakresie compliance – w szczególności, jakie obszary compliance i etyki biznesu obejmuje oraz przez kogo szkolenia są prowadzone.:
8. Prosimy o opisanie cyklicznych szkoleń z obszaru compliance i etyki biznesu – jak często się odbywają, kto je prowadzi, wskazanie przykładowych tematów i funkcji, które biorą udział w szkoleniach oraz ich formy (e-learningi, szkolenia stacjonarne itp.).:
9. Prosimy wskazać i opisać funkcjonujące u Państwa sposoby popularyzowania i promowania działań etycznych i compliance (np. organizacja Dnia Etyki, konkursy dla pracowników) oraz akcji/kampanii etycznych, w które są Państwo zaangażowani.:
10. Prosimy o wskazanie, czy współpracują Państwo z innymi podmiotami, organizacjami w zakresie compliance lub etyki biznesu – np. czy należą Państwo do organizacji związanych z obszarem compliance (typu Stowarzyszenia, Fundacje) oraz w jakie inicjatywy są Państwo zaangażowani.:
Akcje charytatywne, prośrodowiskowe, DEI, ESG 11. Prosimy o wskazanie i opisanie prowadzonych przez Państwa działań / akcji / kampanii prośrodowiskowych i ekologicznych (również tych zewnętrznych, w które Państwo się angażują).:
12. Prosimy o wskazanie i opisanie prowadzonych przez Państwa kluczowych działań / akcji / kampanii charytatywnych, w tym tych na rzecz lokalnych społeczności, konkretnych grup społecznych lub pro bono.:
13. Prosimy o wskazanie i opisanie prowadzonych przez Państwa działań / akcji / kampanii oraz udziału w organizacjach działających na rzecz przeciwdziałania dyskryminacji / promowania inkluzywności w miejscu pracy i w społeczeństwie.:
14. Czy w firmie przeprowadzono weryfikację zgodności działań firmy z wymogami prawnymi w zakresie ESG? Prosimy o wskazanie, w jaki sposób taka weryfikacja była przeprowadzona i przez kogo (np. wewnętrznie czy przez podmiot zewnętrzny):
15. Czy firma przyjęła formalny dokument (lub zestaw dokumentów) określający strategię firmy w obszarze ESG i zrównoważonego rozwoju? Jeżeli tak, to prosimy o zwięzłe opisanie dokumentu.:
16. Czy firma dobrowolnie raportowała lub zamierza dobrowolnie raportować wedle standardu VSME dla przedsiębiorstw zatrudniających poniżej 1.000 pracowników?:
Sankcje i cyberbezpieczeństwo 17. Prosimy opisać, w jaki sposób Państwa organizacja ocenia i zarządza ryzykami cyberbezpieczeństwa, tj. czy wprowadzone są w tym zakresie wewnętrzne polityki/procedury, stosowane są oceny ryzyka itp.:
18. Prosimy o opisanie, jakie główne rozwiązania techniczne i organizacyjne stosują Państwo, aby zapewnić ochronę danych w zakresie cyberbezpieczeństwa.:
19. Prosimy o wskazanie, jakie inicjatywy w zakresie popularyzowania wiedzy w zakresie cyberbezpieczeństwa są przez Państwa wprowadzone – np. szkolenia dla pracowników, akcje pozorujące phishing itp.:
20. Prosimy o informację, w jaki zakresie Państwa organizacja wykorzystuje sztuczną inteligencję w codziennej pracy oraz z jakich narzędzi AI Państwo korzystają.:
21. Prosimy opisać, w jaki sposób Państwa firma identyfikuje, ocenia i zarządza ryzykiem związanym z sankcjami ekonomicznymi – jakie kluczowe elementy zawiera wewnętrzny system compliance w tym obszarze, jakie narzędzia są wykorzystywane?:
22. Czy dokonują Państwo weryfikacji list sankcyjnych oraz przepisów w tym zakresie, w jaki sposób dokonywana jest weryfikacja, jak często i przez jaką funkcję w organizacji?:
23. W jaki sposób przeprowadzają Państwo screening sankcyjny kontrahentów, z jaką częstotliwością jest on przeprowadzany?:
24. Czy w umowach z kontrahentami zawierają Państwo klauzule dotyczące umieszczenia na listach sankcyjnych/objęcia konkretnych produktów lub usług sankcjami? Jeśli tak – prosimy o wskazanie wzoru takiej klauzuli.:
Poszczególne obszary compliance 25. Prosimy o opisanie funkcjonującego u Państwa systemu zgłaszania nieprawidłowości. W szczególności prosimy wskazanie ew. dodatkowych, niewymaganych przez ustawę o ochronie sygnalistów obszarów objętych zakresem zgłoszeń oraz o opisanie dostępnych kanałów zgłoszeń.:
26. Prosimy o wskazanie czy procedura zgłoszeń wewnętrznych lub inna polityka odnoszącą się do sygnalistów obejmuje a) kwestie etyczne oraz b) możliwość dokonywanie zgłoszeń anonimowych.:
27. Prosimy o wskazanie, czy w Państwa firmie obowiązuje procedura w zakresie niezapowiedzianych kontroli (dawn raid) oraz o opisanie jej głównych założeń i treści.:
28. Prosimy o wskazanie, w jaki sposób zarządzają Państwo potencjalnymi konfliktami interesów - czy w tym zakresie obowiązuje w firmie procedura, czy np. pracownicy zobowiązani są do składania oświadczeń w tym zakresie.:
Współpraca z kontrahentami 29. Prosimy o opisanie w punktach kluczowych etapów procesu weryfikacji potencjalnych partnerów biznesowych przed nawiązaniem przez Państwa stosunków gospodarczych. Prosimy o wskazanie, jakie rodzaje czynników są brane pod uwagę (np. reputacyjne, finansowe).:
30. Czy w umowach z kontrahentami zamieszczają Państwo klauzule w zakresie compliance/etyki (np. klauzule antykorupcyjne) lub dotyczące sankcji ekonomicznych? Jeśli tak, prosimy o wskazanie co obejmuje klauzula oraz w jakich rodzajach umów jest zamieszczana.:
Polityki compliance i szkolenia, inicjatywy etyczne 1. Prosimy o wymienienie wdrożonych u Państwa dokumentów wewnętrznych wspierających etyczne prowadzenie biznesu oraz obejmujących obszar compliance (np. Kodeks Etyczny, Polityka Antykorupcyjna).:
2. Prosimy o informację, z jaką częstotliwością dokonywana jest aktualizacja/przegląd ww. polityk/procedur oraz jakie funkcje są zaangażowane w te działania.:
3. Prosimy o opisanie procesu on-boardingu nowych pracowników w zakresie compliance i etycznego prowadzenia biznesu.:
4. Prosimy o wskazanie i opisanie, jakie okresowe i obowiązkowe szkolenia prowadzą Państwo dla pracowników oraz kadry zarządzającej w zakresie etyki i compliance. Prosimy o wskazanie ich tematyki, formy (np. e-learning, szkolenia stacjonarne) oraz przez kogo są prowadzone (zespół wewnętrzny czy podmiot zewnętrzny).:
5. Prosimy wskazać i opisać funkcjonujące u Państwa sposoby popularyzowania i promowania działań etycznych i compliance (np. organizacja Dnia Etyki, konkursy dla pracowników) oraz akcji/kampanii etycznych, w które są Państwo zaangażowani.:
6. Prosimy o wskazanie i opisanie prowadzonych przez Państwa kluczowych działań / akcji / kampanii charytatywnych, w tym tych na rzecz lokalnych społeczności, konkretnych grup społecznych lub pro bono.:
7. Prosimy o wskazanie i opisanie prowadzonych przez Państwa działań / akcji / kampanii pro-środowiskowych i ekologicznych (również tych zewnętrznych, w które Państwo się angażują).:
ESG 8. Czy w firmie przeprowadzono weryfikację zgodności działań firmy z wymogami prawnymi w zakresie ESG? Prosimy o wskazanie, w jaki sposób taka weryfikacja była przeprowadzona i przez kogo (np. wewnętrznie czy przez podmiot zewnętrzny):
9. Czy firma przyjęła formalny dokument (lub zestaw dokumentów) określający strategię firmy w obszarze ESG i zrównoważonego rozwoju? Jeżeli tak, to prosimy o zwięzłe opisanie dokumentu.:
10. Czy na poziomie organów zarządzających spółką wyznaczono osobę odpowiedzialną za realizację celów firmy z zakresu ESG? Jeżeli tak, prosimy o krótkie opisanie takiej funkcji.:
11. Czy wynagrodzenie członków zarządu jest powiązane z wynikami firmy w zakresie zrównoważonego rozwoju? Jeżeli tak, prosimy o opisanie modelu zachęty finansowej powiązanej z wynikami w zakresie zrównoważonej transformacji.:
12. Czy firma identyfikuje i uwzględnia ryzyka z zakresu ESG w prowadzonej działalności? Jako ryzyka ESG rozumiane są ryzyka środowiskowe, społeczne lub związane z zarządzaniem, które mogą wpłynąć na działalność firmy, w tym wyniki finansowe (np. ryzyka fizyczne - powodzie, pożary, huragany; oraz ryzyka przejścia - zmiany w zachowaniach konsumentów, zmiany prawno-regulacyjne).:
Sankcje ekonomiczne i cyberbezpieczeństwo 13. Prosimy opisać, w jaki sposób Państwa organizacja ocenia i zarządza ryzykami cyberbezpieczeństwa, tj. czy wprowadzone są w tym zakresie wewnętrzne polityki/procedury, stosowane są oceny ryzyka itp.:
14. Prosimy o opisanie, jakie główne rozwiązania techniczne i organizacyjne stosują Państwo, aby zapewnić ochronę danych w zakresie cyberbezpieczeństwa.:
15. Prosimy przedstawić Państwa plan reagowania na incydenty w zakresie cyberbezpieczeństwa - tj. jakie są kluczowe etapy oraz czy proces jest sformalizowany (w formie wytycznych/polityki).:
16. W jaki sposób firma buduje wśród pracowników świadomość i kulturę cyberbezpieczeństwa oraz wykorzystywania sztucznej inteligencji w codziennej pracy? Prosimy o wskazanie przykładów, np. szkoleń, akcji compliance, innych podobnych inicjatyw, np. szkoleń, akcji dot. phisingu.:
17. Jakie procedury i kryteria stosuje Państwa firma, aby zarządzać ryzykami cyberbezpieczeństa związanymi z dostawcami oraz innymi kontrahentami? Czy obszar cyberbezpieczeństwa jest uwzględniony w procesie due diligence kontrahentów?:
18. Jeśli Państwa firma kwalifikuje się jako podmiot objęty Dyrektywą NIS2 lub wdraża jej wymogi, prosimy opisać kluczowe działania podjęte w zakresie spełnienia tych wymogów.:
19. Prosimy o informację, w jaki zakresie Państwa organizacja wykorzystuje sztuczną inteligencję w codziennej pracy oraz z jakich narzędzi AI Państwo korzystają.:
20. Prosimy o wskazanie, w jaki sposób Państwa firma przygotowuje się do wdrożenia wymogów rozporządzenia AI Act i jakie działania w tym zakresie zostały podjęte.:
21. Jakie zasady etyczne przyjęła Państwa firma w kontekście wykorzystywania sztucznej inteligencji w codziennej pracy, czy zostały one sformalizowane (np. w postaci wytycznych dla pracowników)? Prosimy o wskazanie konkretnych przykładów.:
22. Prosimy opisać, w jaki sposób Państwa firma identyfikuje, ocenia i zarządza ryzykiem związanym z sankcjami ekonomicznymi – jakie kluczowe elementy zawiera wewnętrzny system compliance w tym obszarze, jakie narzędzia są wykorzystywane?:
23. Czy dokonują Państwo weryfikacji list sankcyjnych oraz przepisów w tym zakresie, w jaki sposób dokonywana jest weryfikacji, jak często i przez jaką funkcję w organizacji?:
24. W jaki sposób przeprowadzają Państwo screening sankcyjny kontrahentów, z jaką częstotliwością jest on przeprowadzany?:
25. Czy posiadają Państwo wewnętrzne procedury/polityki sankcyjne? Jeśli tak, prosimy o krótkie opisanie ich założeń oraz zakresu.:
26. Czy Państwa pracownicy, w szczególności pracownicy działu zakupów, kadra zarządzającą oraz dział prawny/compliance zostali przeszkoleni z zakresu sankcji ekonomicznych? Jakie obszary obejmowało szkolenie i przez kogo zostało przeprowadzone?:
27. Czy w umowach z kontrahentami zawierają Państwo klauzule dotyczące umieszczenia na listach sankcyjnych/objęcia konkretnych produktów lub usług sankcjami? Jeśli tak – prosimy o wskazanie wzoru takiej klauzuli.:
DEI 28. Prosimy o wskazanie i opisanie prowadzonych przez Państwa działań / akcji / kampanii oraz udziału w organizacjach działających na rzecz przeciwdziałania dyskryminacji / promowania inkluzywności w miejscu pracy i w społeczeństwie.:
29. Prosimy o opisanie wpływu jaki ma na ostateczną ocenę roczną pracownika ocena zgodności jego działań z wartościami firmy oraz jej wewnętrznymi regulacjami wspierającymi etyczne prowadzenie biznesu.:
Weryfikacja kontrahentów 30. Prosimy o opisanie w punktach kluczowych etapów procesu weryfikacji potencjalnych partnerów biznesowych przed nawiązaniem przez Państwa stosunków gospodarczych oraz o wskazanie głównych kryteriów, które są brane pod uwagę przy dokonywaniu oceny (np. kwestie reputacyjne, finansowe):
31. Prosimy o zamieszczenie treści przykładowego / wzorowego postanowienia umownego zobowiązującego do działania w sposób etyczny oraz zgodny z Państwa wartościami, w tym wartościami z zakresu ESG, jeśli takie jest elementem zawieranych przez Państwa umów z partnerami biznesowymi.:
32. Prosimy o wskazanie, czy i jak często dokonują Państwo okresowej weryfikacji i oceny partnerów biznesowych pod kątem zgodności z Państwa etyką biznesową oraz wartościami.:
33. Prosimy o wskazanie czy informacje dla partnerów biznesowych lub innych osób trzecich są umieszczane na Państwa stronie internetowej i dostępne w języku polskim lub innych wersjach językowych (np. Kodeks Dostawców).:
System compliance 34. Prosimy o opisanie funkcjonującego u Państwa systemu zarządzania zgodnością (Compliance) oraz wskazać jednostki pełniące funkcje poszczególnych linii obrony.:
35. Prosimy o wskazanie szacunkowej liczby zatrudnionych przez Państwa osób odpowiedzialnych za obszar Compliance (m.in. compliance officera), opisać strukturę jednostki odpowiedzialnej za ten obszar oraz wykształcenie i kwalifikacje (np. certyfikacja) odpowiedzialnych za ten obszar.:
36. Czy zespół/funkcja compliance posiada roczny (lub innego rodzaju okresowy) plan działania w zakresę compliance? Czy jest on zatwierdzany przez zarząd lub inne funkcje zarządzające?:
37. Prosimy o opisanie kluczowych aspektów funkcjonowania Compliance Officera (lub osoby pełniącej równorzędną funkcję) w Państwa firmie, w tym pozycję w wewnętrznej strukturze organizacyjnej, ścieżki raportowania oraz możliwość eskalowania nieprawidłowości poza bezpośredniego przełożonego, a także zakres obowiązków.:
38. Prosimy o wskazanie jak często przeprowadzacie Państwo okresowe audyty etyczne/compliance oraz jakiemu podmiotowi powierzane są takie audyty (np. wyznaczony zespół / podmiot zewnętrzny etc.).:
Zgłaszanie nieprawidłowości 39. Prosimy o opisanie funkcjonującego u Państwa systemu zgłaszania nieprawidłowości. W szczególności prosimy wskazanie ew. dodatkowych, niewymaganych przez ustawę o ochronie sygnalistów obszarów objętych zakresem zgłoszeń oraz o opisanie dostępnych kanałów zgłoszeń.:
40. Prosimy o wskazanie czy procedura zgłoszeń wewnętrznych lub inna polityka odnoszącą się do sygnalistów obejmuje a) kwestie etyczne oraz b) możliwość dokonywania zgłoszeń anonimowych.:
41. Prosimy o opisanie, w jaki sposób kanały do zgłaszania nieprawidłowości zapewniają anonimowość oraz poufność (w zakresie np. środków technicznych, organizacyjnych itp.).:
42. Prosimy o wskazanie, jakie funkcje/jednostki są u Państwa odpowiedzialne za przyjmowanie i rozpatrywanie zgłoszeń sygnalistów oraz jakie były motywy wyboru tych osób (np. zapewnienie bezstronności, kwalifikacje, ulokowanie w organizacji).:
43. Czy w firmie wdrożone są formalne procedury lub standardy na wypadek prowadzenia wewnętrznych postępowań wyjaśniających? Jeśli tak, prosimy o wskazanie ich głównych założeń (np. zapewnienie poufności, określenie sposobu prowadzenia przesłuchań/rozmów z osobami zaangażowanymi).:
44. Czy firma przeprowadzała szkolenia dla pracowników z nowych wymogów w zakresie ochrony sygnalistów? Jakie inne działania wewnętrzne były przeprowadzane, aby budować świadomość w tym obszarze?:
Niezapowiedziane kontrole 45. Prosimy o wskazanie, czy w Państwa firmie obowiązuje procedura w zakresie niezapowiedzianych kontroli (dawn raid) oraz o opisanie jej głównych założeń i treści.:
46. Prosimy o wskazanie, czy wewnętrzne instrukcje w zakresie dawn raid obejmują funkcje takie jak ochrona, recepcja, dział prawny, dział IT lub jakie inne osoby są zaangażowane w realizowanie tych wytycznych.:
Przejawy gościnności, konflikt interesów 47. Prosimy o wskazanie, czy w organizacji została wprowadzona formalna procedura/instrukcja w zakresie przyjmowania i wręczania prezentów oraz innych przejawów gościnności. Jeśli tak, prosimy o jej krótkie opisanie – w tym wskazanie, czy obejmuje konkretne limity kwotowe oraz czy prowadzony jest rejestr prezentów.:
48. Prosimy o wskazanie, w jaki sposób zarządzają Państwo potencjalnymi konfliktami interesów - czy w tym zakresie obowiązuje w firmie procedura, czy np. pracownicy zobowiązani są do składania oświadczeń w tym zakresie.:
49. Prosimy o wskazanie czy spółka monitoruje potencjalne konflikty interesów i jakie działania są prowadzone, by uniknąć ich występowania.:
Monitoring przepisów, matryce ryzyk 50. Prosimy o wskazanie, czy prowadzą Państwo monitoring obowiązujących regulacji oraz standardów rynkowych - w zakresie mającym zastosowanie do Państwa działalności oraz jaka jednostka/funkcja jest odpowiedzialna za ten obszar.:
51. Prosimy o wskazanie, czy prowadzą Państwo matrycę ryzyk i kontroli, zawierającą analizę ryzyk związanych z etycznym prowadzeniem biznesu oraz odpowiadających im środków ograniczających te ryzyka. Prosimy o krótkie jej opisanie.:
