Procedura zarządzania zgodnością

PROCEDURA ORGANIZACYJNA FUNKCJI COMPLIANCE

W Cybernetics Sp. z o.o.

 

§1

CEL I ZAKRES PROCEDURY

1. Niniejsza Procedura określa organizację i zakresy odpowiedzialności wspierające realizację założeń wdrożonego w Cybernetics Sp. z o.o. systemu zarządzania zgodnością (systemu compliance).

2. Celem rozwiązań wprowadzanych niniejszą Procedurą jest:

2.1. zapewnienie zgodności prowadzonej przez Cybernetics Sp. z o.o. działalności z przepisami prawa, zaleceniami i wytycznymi organów nadzoru, Regulaminem Wewnętrznym oraz standardami postępowania właściwymi dla obszaru działalności Cybernetics Sp. z o.o.;

2.2. wprowadzenie procesu monitorowania i raportowania o ekspozycji na ryzyko braku zgodności prowadzonej przez Cybernetics Sp. z o.o. działalności z regulacjami i standardami wskazanymi w pkt. 2.1. powyżej;

2.3. zapobieganie stratom finansowym, reputacyjnym, sankcjom cywilnym oraz administracyjnym będącym skutkiem prowadzenia przez Cybernetics Sp. z o.o. działalności w sposób niezgodny z regulacjami i standardami wskazanymi w pkt. 2.1. powyżej poprzez ustanowienie skutecznej i właściwie umocowanej funkcji compliance i przypisanie jej odpowiednich uprawnień i odpowiedzialności.

 

§2

DEFINICJE

Użyte w niniejszej Procedurze wyrażenia pisane wielką literą oznaczają:

1) FIRMA Cybernetics Sp. z o.o.;

2) Regulamin Statut/umowa Cybernetics Sp. z o.o., polityki, procedury, regulaminy, wewnętrzny instrukcje przyjęte zgodnie z obowiązującymi w Cybernetics Sp. z o.o. zasadami legislacji wewnętrznej;

3) Wymogi Regulacyjne przepisy prawa; zalecenia, wytyczne i inne akty wydawane przez Komisję Nadzoru Finansowego, Regulamin wewnętrzny oraz standardy postępowania właściwe dla obszaru działalności Cybernetics Sp. z o.o.

4) Incydent Compliance zdarzenie związane z działalnością Cybernetics Sp. z o.o., skutkujące bezpośrednią lub potencjalną stratą, powstałą w wyniku zmaterializowania się ryzyka compliance, w szczególności:

a) działanie naruszające Wymogi regulacyjne;

b) działanie narażające FIRMĘ na szkodę lub utratę reputacji

5) Pracownik osoba zatrudniona w Cybernetics Sp. z o.o. na podstawie stosunku pracy lub innego stosunku prawnego o podobnym charakterze. Na potrzeby niniejszej Procedury za Pracownika uznaje się również członków organów Cybernetics Sp. z o.o., a także osoby odbywające w Cybernetics Sp. z o.o. staż zawodowy lub praktyki studenckie, oraz osoby współpracujące z Cybernetics Sp. z o.o. na podstawie umowy cywilnoprawnej

6) Compliance Officer Specjalista ds. Compliance odpowiedzialna/y za minimalizowanie ryzyka braku zgodności działań przedsiębiorstwa z regulacjami prawnymi, normami, bądź zestawami zaleceń. Compliance Officer nadzoruje i zarządza pracą Działu compliance;

7) Dział Jednostka organizacyjna, zarządzana przez Compliance Compliance Officera, realizująca w Cybernetics Sp. z o.o. obowiązki z zakresu zarzadzania ryzykiem zgodności;

8) Regulator niezależny organ publiczny powołany na mocy przepisów powszechnie obowiązującego prawa, umocowany do wydawania rekomendacji, wytycznych, instrukcji lub innych aktów wpływających na działalność Cybernetics Sp. z o.o.

 

§3

ORGANIZACJA FUNKCJI COMPLIANCE

1. Wdrożony w Cybernetics Sp. z o.o. system zarządzania zgodnością jest nadzorowany przez Zarząd i Radę Nadzorczą.

2. W ramach systemu zarządzania zgodnością w Cybernetics Sp. z o.o. został powołany Compliance Officer, którego rolą jest regularne monitorowanie oraz raportowanie kwestii związanych z przestrzeganiem przepisów prawa oraz procedur bezpośrednio do Zarządu Cybernetics Sp. z o.o., a także stały kontakt i wsparcie poszczególnych działów operacyjnych w kluczowych obszarach związanych z zapewnieniem zgodności z przepisami prawa.

3. Compliance Officer podlega bezpośrednio Zarządowi Cybernetics Sp. z o.o. i ma zapewnioną możliwość raportowania do Rady Nadzorczej.

4. Zawarcie i rozwiązanie umowy o pracę z Compliance Officer'em może być dokonane po uzyskaniu pozytywnej opinii Rady Nadzorczej.

 

§4

ZAKRES UPRAWNIEŃ I ODPOWIEDZIALNŚCI DZIAŁU COMPLIANCE

1. Operacyjny nadzór nad prawidłowym funkcjonowaniem systemu zarządzania zgodnością wykonuje Compliance Officer.

2. Compliance Officer jest odpowiedzialny w szczególności za:

2.1. monitorowanie ekspozycji na ryzyko braku zgodności;

2.2. przeprowadzanie analizy ryzyka regulacyjnego i monitoringu zgodności;

2.3. doradztwo oraz udzielanie bieżącej pomocy w zakresie kwestii objętych systemem zarządzania zgodnością;

2.4. opiniowanie i udział w opracowaniu tworzonych w Cybernetics Sp. z o.o. Regulaminu wewnętrznych i klauzul w relacjach z Kontrahentami;

2.5. weryfikację i analizę zgłoszonych przypadków braku zgodności;

2.6. promowanie kultury compliance w organizacji wspierającej etyczne i zgodne z prawem zachowania wśród Pracowników i Kontrahentów;

2.7. szkolenia Pracowników w zakresie kwestii pozostających w zakresie systemu compliance

3. Compliance Officer wykonuje przypisane mu zadania za pomocą pracowników podległego mu Działu compliance.

 

§5

ANALIZA WYMOgÓW REGULACYJNYCH

1. Jednym z podstawowych obowiązków Compliance Officer'a jest zapewnienie możliwości wykazania zgodności działalności Cybernetics Sp. z o.o. z przepisami prawa i Wymogami regulacyjnymi. W tym celu Compliance Officer opracowuje mapę Wymogów prawnych i regulacyjnych mających zastosowanie do zakresu działalności Cybernetics Sp. z o.o. i jej procesów biznesowych ("Rejestr Wymogów").

2. Opracowana przez Compliance Officer'a Rejestr Wymogów jest podstawą do ustalenia, we współpracy z właściwą jednostką organizacyjną (Działem) środków kontroli mających na celu zapewnienie stałej zgodności z Wymogami regulacyjnymi oraz osoby odpowiedzialne za monitorowanie zgodności w ramach danego procesu biznesowego.

3. Rejestr Wymogów podlega okresowej (nie rzadziej niż raz w kwartale) aktualizacji dokonywanej przez Compliance Officera, z uwzględnieniem zmian w Wymogach regulacyjnych oraz otoczeniu regulacyjnym i biznesowym Cybernetics Sp. z o.o.

 

§6

MONITORING ZMIAN W OTOCZENIU REGULACYJNYM I BIZNESOWYM CYBERNETICS SP. Z O.O.

1. Compliance Officer opracowuje, wdraża i wykonuje proces identyfikacji zmian w przepisach prawa oraz zaleceniach, wytycznych i innych aktach wydawanych przez KNF, a także dokonuje oceny ich potencjalnego wpływu na funkcjonowanie Cybernetics Sp. z o.o..

2. Monitoring zmian w otoczeniu regulacyjnym Cybernetics Sp. z o.o. realizowany jest w trybie ciągłym, w oparciu o powszechnie dostępne informacje (np. strony KNF, UOKiK, GIODO, informacje udostępniane przez Regulatorów lub Związek Banków Polskich).

3. O planowanej zmianie regulacyjnej Compliance Offcer informuje Pracownika odpowiedzialnego/ą za zarządzanie jednostką organizacyjną, której dotyczyć może planowana zmiana. Informacja powinna zostać przekazana na możliwie najwcześniejszym etapie procesu legislacyjnego, by zagwarantować, że właściwe obszary biznesowe będą przygotowane na zmianę oraz aby uniknąć potencjalnej niezgodności wynikającej ze zmian w regulacjach.

4. Compliance Officer pełni również rolę doradczą w procesie implementacji zmian regulacyjnych w Cybernetics Sp. z o.o..

 

§7

ZAANGAŻOWANIE W INICJATYWY STRATEGICZNE CYBERNETICS SP. Z O.O.

1. Compliance Officer musi być zaangażowany we wszelkie inicjatywy strategiczne Cybernetics Sp. z o.o. (fuzje, przejęcia, wejście na nowe rynki a także w proces wdrożenia lub istotnej zmiany produktów lub usług Cybernetics Sp. z o.o.) w celu zapewnienia właściwego uwzględnienia Wymogów regulacyjnych w tym procesie.

2. Compliance Officer jest odpowiedzialny w szczególności za identyfikację, zaadresowanie i monitorowanie ryzyk regulacyjnych związanych z realizacją danej inicjatywy oraz określenie środków umożliwiających ich ograniczanie.

 

§8

OCENA RYZYKA REGULACYJNEGO

1. Compliance Officer przeprowadza, we współpracy z Pracownikami odpowiedzialnymi/y za zarządzanie poszczególnymi jednostkami organizacyjnymi Cybernetics Sp. z o.o., okresową ocenę ryzyka zgodności działalności Cybernetics Sp. z o.o. z Wymogami regulacyjnymi.

2. Ocena dokonywana jest w oparciu o zatwierdzony przez Zarząd Cybernetics Sp. z o.o. standard, a jej wyniki - w podziale na poszczególne obszary organizacyjne Cybernetics Sp. z o.o. są prezentowane Pracownikom zarządzającym/y tymi obszarami oraz - zbiorczo - Zarządowi Cybernetics Sp. z o.o..

3. Ocena ryzyka jest podstawą do określenia przez Compliance Officera właściwych środków kontrolnych i określenia planu pracy compliance.

 

§9

KONTROLE COMPLIANCE

1. Compliance Officer opracowuje i przedstawia Zarządowi do zatwierdzenia roczny plan kontroli compliance. Plan kontroli compliance jest ustalany na każdy kolejny rok działalności Cybernetics Sp. z o.o., nie później niż do końca grudnia poprzedzajacego rok, na który ustalany jest plan. Plan zatwierdzany jest przez Zarząd Cybernetics Sp. z o.o. i przedstawiany jest Radzie Nadzorczej na pierwszym posiedzeniu tego organu odbywającym się bezpośrednio po zatwierdzeniu planu.

2. Kontrola compliance może obejmować wszystkie jednostki organizacyjne Cybernetics Sp. z o.o..

3. Compliance Officer informuje, co najmniej na tydzień przed planowanym rozpoczęciem działań kontrolnych, osoby zarządzające jednostkami organizacyjnymi podlegające kontroli o terminie i zakresie planowanej kontroli.

4. Kontrola compliance trwa maksymalnie 2 tygodnie i kończy się przedstawieniem osobie zarządzającej jednostką organizacyjną, w której realizowana była kontrola oraz Członkowi Zarządu nadzorującemu/ej obszar compliance Raportu z kontroli. Raport z kontroli powinien zostać przedstawiony osobom wskazanym w zdaniu poprzedzającym w tygodniu po zakończeniu kontroli.

5. Na podstawie Raportu z kontroli Compliance Officer sporządza rejestr nieprawidłowości, wraz z rekomendacją sposobu i terminu ich usunięcia. Rejestr podlega zatwierdzeniu przez Zarząd Cybernetics Sp. z o.o..

6. Compliance Officer przygotowuje i przedstawia Zarządowi cykliczną (nie rzadziej niż dwa razy w roku) informację o stanie realizacji planu kontroli.

 

§ 10

IDENTYFIKACJA INCYDENTÓW COMPLIANCE

1. Compliance Officer opracowuje, wdraża i realizuje monitoring Incydentów compliance.

2. Wszelkie zidentyfikowane Incydenty compliance są rejestrowane w prowadzonym przez Compliance Officer'a rejestrze naruszeń.

3. Po zidentyfikowaniu Incydentu compliance Compliance Officer podejmuje niezwłocznie działania mające na celu określenie możliwych skutków Incydentu oraz ich minimalizacji.

4. Elementem działań, o których mowa w ust. 3 jest ustalenie działań naprawczych mających na celu przywrócenie stanu zgodnego z prawem oraz przywrócenie funkcjonalności środków kontroli.

5. Plan działań naprawczych ustalany jest z Pracownikami zarządzającymi/y właściwymi jednostkami organizacyjnymi Cybernetics Sp. z o.o. i obejmuje określenie:

5.1. działań naprawczych,

5.2. osób odpowiedzialnych/e za ich zrealizowanie oraz

5.3. terminu ich realizacji.

6. Realizacja planu działań naprawczych podlega monitorowaniu przez Compliance Officer'a.

7. W przypadku, gdy w ocenie Compliance Officer'a zidentyfikowany Incydent compliance rodzi ryzyko odpowiedzialności prawnej Cybernetics Sp. z o.o. lub kar administracyjnych informuje on niezwłocznie Zarząd Cybernetics Sp. z o.o. o Incydencie oraz przedstawia plan działań naprawczych do zatwierdzenia. W pozostałych przypadkach Raport o zidentyfikowanych Incydentach compliance oraz podjętych działaniach naprawczych podlega raportowaniu okresowemu.

 

§ 11

RAPORTOWANIE

Compliance Officer realizuje obowiązki informacyjne wobec organów Cybernetics Sp. z o.o. w trybie raportowania:

1. cyklicznego - przedstawiając Zarządowi Cybernetics Sp. z o.o. i Radzie Nadzorczej raporty wskazane niniejszej Procedurze oraz innych Regulaminach wewnętrznych w formie i w częstotliwości w nich określonej

2. ad hoc - przekazując Zarządowi Cybernetics Sp. z o.o., niezwłocznie, informację o Incydentach compliance, które:

2.1. wiążą sie z możliwością odebrania licencji/zezwolenia lub jakiegokolwiek ograniczenia lub zaprzestania możliwości prowadzenia działalności gospodarczej;

2.2. skutkują lub mogą skutkować nałożeniem na Cybernetics Sp. z o.o. kary finansowej o wartości 50 000 zł;

2.3. wymagają zgłoszenia Regulatorowi;

2.4. dotyczą zidentyfikowania lub skutkują prowadzeniem działalności bez odpowiedniej rejestracji lub zgody ze strony Regulatora;

2.5. skutkują wszczęciem przez Regulatora kontroli jakiegokolwiek aspektu działalności Cybernetics Sp. z o.o.;

2.6. dotyczą manipulacji na rynku z udziałem Pracowników.

3. Na wniosek Zarządu lub Rady Nadzorczej Compliance Officer przygotowuje i przedstawia dodatkowe, inne niż wymienione powyżej informacji i raporty.

 

§ 12

OPRACOWANIE ROCZNEGO PLANU ZGODNOŚCI

1. Compliance Officer przygotowuje i przedstawia do zatwierdzenia Zarządowi roczny plan pracy Działu compliance uwzględniający realizację zadań określonych niniejszą Procedurą.

2. W rocznym planie pracy uwzględnia się konieczność zaadresowania głównych obszarów ryzyka regulacyjnego oraz środków kontroli, których wdrożenie jest niezbędne dla ograniczenia tego ryzyka.

3. Roczny plan zgodności określa również analizę sposobu, w jaki monitoruje się przestrzeganie Wymogów regulacyjnych, oraz wskazuje osoby odpowiedzialne/e za realizację poszczególnych zadań.

4. Realizacja planu raportowana jest kwartalnie Zarządowi Cybernetics Sp. z o.o. oraz Radzie Nadzorczej.

 

§ 13

PODNOSZENIE ŚWIADOMOŚCI I SZKOLENIA

1. Compliance Officer przygotowuje i udostępnia Pracownikom program szkoleń obejmujących poszczególne obszary zarządzania ryzykiem zgodności.

2. Program szkoleniowy ma na celu podnoszenie świadomości Pracowników w zakresie poszczególnych elementów systemu zarządzania ryzykiem zgodności, dostarczenie im praktycznych wytycznych co do interpretacji i zastosowania poszczególnych Regulaminów wewnętrznych, wchodzących w skład tego systemu.

3. Program szkoleniowy obejmuje szkolenia wstępne, organizowane dla nowo zatrudnianych Pracowników oraz szkolenia okresowe (przypominające).

4. Szkolenia realizowane są w terminie i trybie ustalonym w porozumieniu z Pracownikami odpowiedzialnymi/y za obszar HR w Cybernetics Sp. z o.o..

5. Program szkoleń uwzględnia konieczność dostosowania zakresu szkoleń do zakresu obowiązków i odpowiedzialności danego Pracownika i pełnionych przez niego/nią funkcji.

6. Każdy Pracownik jest zobowiązany do terminowej realizacji udostępnionego mu szkolenia compliance.

 

§ 14

POSTANOWIENIA KOŃCOWE

1) Niniejsza Procedura została zatwierdzona uchwałą Zarządu i wszelkie jej zmiany wymagają akceptacji Zarządu wyrażonej w formie uchwały.

2) Procedura będzie podlegała corocznemu przeglądowi wykonywanemu przez Compliance Officer'a.

3) Procedura wchodzi w życie z dniem 01.01.2024r.

 

Przykładowa checklista do identyfikacji ryzyk compliance

 

POTENCJALNE OBSZARY RYZYKA                                      TAK   NIE   CZĘŚCIOWO(w jakim zakresie)

Przeciwdziałanie praniu brudnych pieniędzy Cybernetics Sp. z o.o. jest podmiotem regulowanym (Ustawa AML, Rozporządzenie MF, Rekomendacje KNF).

                  Cybernetics Sp. z o.o. posiada aktualny rejestr umów i przypisane odpowiedzialności w zakresie jego uzupełniania i dostępu

                  Wdrożono procedurę obiegu korespondencji korporacyjnej zapewniającą kontrolę nad jej poufnością, spójnością i zapewnieniem archiwizacji

                  Istnieje aktualny rejestr pełnomocnictw i zasady ich udzielania.

                  Pełnomocnictwa Udzielone są zwracane po ich odwołaniu lub wygaśnięciu

                  Prace i decyzje organów Cybernetics Sp. z o.o. są należycie dokumentowane

                  Przypisano odpowiedzialność za monitorowanie terminów i czynności wynikających z przepisów prawa i statutu/umowy Cybernetics Sp. z o.o. (zwoływanie posiedzeń organów Cybernetics Sp. z o.o., walnych zgromadzeń, posiedzeń rady nadzorczej, powoływanie członków organów)

Zarządzanie ryzykiem compliance Zidentyfikowano, spisano i wprowadzono compliance monitoring zmian w regulacjach prawnych odnoszących się do działalności

                  Wdrożono procedurę zarządzania konfliktem interesów

                  Procedura jest wykonywana i podlega monitoringowi

                  Wdrożono procedurę zgłaszania nieprawidłowości

                  Zgłaszania nadużyć

                  System zapewnia anonimowość i ochronę zgłaszającego

                  W ostatnim kwartale były zgłoszenia nadużyć

                  Wdrożono system kontroli wewnętrznej

AML Cybernetics Sp. z o.o. podlega Wymogom AML

                  Zgłoszono MLRO

                  Istnieje aktualna instrukcja AML

                  Powołano oficera AML

                  Procedura AML i obowiązki ustawowe są faktycznie realizowane

                  Prowadzony jest bieżący monitoring list sankcyjnych

Dane Wdrożono procedurę ochrony danych osobowe osobowych

                  Powołano IOD

                  Dokonywana jest analiza ryzyka dla ochrony danych

                  Cybernetics Sp. z o.o. korzysta z rozwiązań chmurowych

                  szyfrowania danych

                  Zawierane są umowy powierzenia przetwarzania danych osobowych

Finanse Wdrożono system kontroli finansowej

                  Ustalono uprawnienia i limity akceptacji

                  Wprowadzono systemowe blokady uniemożliwiające akceptację z przekroczeniem ustalonego limitu

                  Każda operacja finansowa dokonywana jest zgodnie z zasadą "czterech oczu"

IT Istnieje spis wykorzystywanych systemów

                  Istnieje spis wykorzystywanych w Cybernetics Sp. z o.o. licencji i jest on regularnie weryfikowany

                  Dla wszystkich systemów wykorzystywanych w Cybernetics Sp. z o.o. istnieje dokumentacja pozwalająca na ustalenie praw do ich wykorzystania

                  Dla systemów kluczowych zapewniane jest odpowiednie wsparcie techniczne zapewniające ciągłość działania

BCP Opracowano plan ciągłości działania

                  Plan podlega cyklicznemu testowaniu

                  Pracownicy znają zasady postępowania w razie zakłóceń w ciągłości działania

HR Wdrożono polityki antymobbingowe

                  antykorupcyjne i przeciwdziałania dyskryminacji

                  Wprowadzono przejrzyste systemy rekrutacji i wynagradzania

Sprzedaż i Reklamy i materiały reklamowe podlegają Marketing uprzedniemu zatwierdzeniu pod względem zgodności z Wymogami regulacyjnymi

                  Są zdefiniowane i realizowane obowiązki informacyjne wobec klientów wynikające z ustawy o prawach konsumenta

                  Wdrożono procedurę zarządzania reklamacjami i skargami

                  Ustalono zasady i jest realizowana w praktyce kontrola jakości sprzedaży (zwłaszcza przez agentów lub podmioty współracujące)

Zawieranie i W Cybernetics Sp. z o.o. istnieje procedura zawierania umów wykonywanie określająca poszczególne wymagane umów elementy procesu zawierania umów (w tym weryfikację kontrahentów)

                  Każda umowa jest weryfikowana co najmniej przez prawnika, menedżera, osoby z obszar