LexDigital

GRC – czym jest i kogo obowiązuje

W obliczu rosnącej liczby obowiązków prawnych ciążących na przedsiębiorstwach oraz licznych ryzyk (np. ryzyko utraty reputacji), organizacje coraz częściej szukają sposobu na minimalizację i zarządzenie ryzykiem oraz zapewnienia zgodności. Jednym ze sposobów na osiągnięcie zgodności i skutecznego zarządzania ryzykiem jest opracowanie i wdrożenie strategii i struktury – systemu GRC.

GRC – czym jest i kogo obowiązuje

Czym dokładnie jest GRC? Co to znaczy GRC?

GRC jest skrótem od Governance, Risk management, and Compliance, co w tłumaczeniu na język polski oznacza ład korporacyjny, ryzyko i zgodność. GRC jest zbiorem zasad, procedur, instrukcji i polityk, które pozwalają organizacji na kontrolowanie i zarządzanie ryzykiem, zaplanowanie i ułożenie ładu korporacyjnego oraz monitorowanie i zapewnienie zgodności działalności organizacji.

GRC jest skrótem od Governance, Risk management, and Compliance.
GRC jest skrótem od Governance, Risk management, and Compliance.


 Kto jest zobowiązany do stosowania GRC?

GRC nie jest instytucją sformalizowaną, tzn. nie istnieją akty prawne lub przepisy prawa regulujące ten obszar czy nakładające na przedsiębiorców lub inne podmioty obowiązek stosowania GRC. Równocześnie należy zauważyć, że GRC może być wykorzystane jako narzędzie do realizacji obowiązków np. w zakresie compliance i systemu kontroli wewnętrznej w bankach, który to obowiązek wynika wprost z przepisów prawa bankowego.

Tak więc GRC należy traktować jako narzędzie lub instrument wspomagający realizację obowiązku prawnego w postaci np. zapewnienia zgodności działania banku z przepisami prawa, a nie odrębny obowiązek nałożony przepisami prawa.

Utrzymanie zgodności z przepisami prawa w całej firmie może przynieść wymierne korzyści.
Utrzymanie zgodności z przepisami prawa w całej firmie może przynieść wymierne korzyści.


Governance (ład korporacyjny)

Ład korporacyjny w organizacji należy rozumieć jako zbiór zasad, procesów, procedur, praktyk i wartości obowiązujących w organizacji. Obejmuje on całość działalności organizacji, a także powinien opiekować interesy wielu stron (np. udziałowcy, pracownicy, zarząd). W obszarze tym chodzi o ogólne podejście do zarządzania.

System ładu korporacyjnego

Na system ładu korporacyjnego składają się następujące elementy:

  • dystrybucja zadań wewnątrz organizacji - przypisanie zadań i odpowiedzialności poszczególnym podmiotom lub jednostkom;
  • określenie struktury organizacyjnej - zdefiniowanie struktur i zasobów odpowiedzialnych za ład korporacyjny w tym zasady raportowania;
  • kontrola zarządcza - określenie zasad sprawowania kontroli i jej zakres;
  • wartości jakimi kieruje się organizacja i zasady postępowania.

System ładu korporacyjnego pozwala organizacji przygotować swoją działalność i zasoby na sytuacje kryzysowe - zarówno te zależne od organizacji oraz te niezależne. Ład korporacyjny określa zasady, odpowiedzialności i zasoby niezbędne do zagwarantowania zgodności i przeciwdziałania sytuacjom kryzysowym. Ponadto ład korporacyjny odpowiedzialny jest równie, jak wyżej wskazano, za określenie podstawowych zasad i wartości jakimi kieruje się organizacja.

Co to jest audyt wewnętrzny? Sprawdź nasz artykuł

Cele i podstawy ładu korporacyjnego

Celami ładu korporacyjnego są:

  • skuteczne zarządzanie,
  • respektowanie praw interesariuszy,
  • spójna i jasna komunikacja zewnętrzna,
  • ustalenie podstawowych zasad i wartości,
  • efektywny nadzór.

Ład korporacyjny powinien być oparty na określeniu odpowiedzialności kadry menedżerskiej, wewnętrznej kontroli, określeniu celów krótko i długoterminowych, równym traktowaniu interesariuszy, jawności systemu, niezależności podmiotów odpowiedzialnych za nadzór i kontrolę, wartościach etycznych.

GRC to zbiór wspólnych działań, których celem jest zapewnienie przestrzegania przepisów.
GRC to zbiór wspólnych działań, których celem jest zapewnienie przestrzegania przepisów.


Ład korporacyjny - przykład

Najpopularniejszymi i publicznie dostępnym przykładem ładu korporacyjnego jest dokument opracowany i opublikowany przez Giełdę Papierów Wartościowych - DOBRE PRAKTYKI SPÓŁEK NOTOWANYCH NA GPW 2021.

Jest to zbiór zasad ładu korporacyjnego opracowany przez ekspertów wchodzących w skład Komitetu ds. Ładu Korporacyjnego. Dokument ten uwzględnia aktualny stan prawny i najnowsze trendy z obszaru corporate governance, a także reaguje na postulaty uczestników rynku zainteresowanych coraz lepszym ładem korporacyjnym w spółkach giełdowych.

GRC jest działaniem holistycznym, które obejmuje całą organizację.
GRC jest działaniem holistycznym, które obejmuje całą organizację.


Risk (zarządzanie ryzykiem)

Zarządzanie ryzykiem obejmuje następujące obszary:

  • identyfikacja ryzyka - proces polegający na uświadomieniu organizacji o istnieniu ryzyka;
  • szacowanie ryzyka - określenie poziomu ryzyka w oparciu o metodykę ustaloną w wewnętrznej dokumentacji;
  • ocena ryzyka - proces polegający na ocenie czy badane ryzyko jest np. akceptowalne, wysokie, krytyczne;
  • działania związane z ryzykiem - działania określone w wewnętrznej dokumentacji podejmowane wobec ryzyka - często działania uzależnione są od poziomu występującego ryzyka;
  • zasoby niezbędne do zarządzania ryzykiem - zasoby niezbędne do zapewnienia prawidłowego działania systemu zarządzania ryzykiem - m.in. personel, infrastruktura;
  • monitoring ryzyka - działania mające na celu śledzenie i bieżące monitorowanie poziomu ryzyka;
  • procedury i polityki związane z zarządzaniem ryzykiem - wewnętrzne dokumenty określające odpowiedzialność za zarządzanie ryzykiem, sposobowy identyfikacji, szacowania, oceny, kontroli, działań i monitoringu ryzyka, a także np. poziom akceptowalnego ryzyka.

Ryzyka obejmują wiele różnorodnych obszarów w działalności organizacji. Z tego powodu istotne jest, aby proces zarządzania ryzykiem uwzględniał specyfikę obszaru w jakim występuje ryzyko. Innego podejścia wymaga ryzyko związane z działalnością operacyjną czy ryzyko prawne.  

GRC pozwala na ocenę kosztów braku zgodności w stosunku do przewidywanych wydatków na jej osiągnięcie.
GRC pozwala na ocenę kosztów braku zgodności w stosunku do przewidywanych wydatków na jej osiągnięcie.


Korzyści z zarządzania ryzykiem

Główną korzyścią z zarządzania ryzykiem jest świadomość istnienia danego ryzyka oraz możliwość jego minimalizacji lub wyłączenia. Dzięki tej wiedzy organizacja może świadomie podejmować określone działania mając na względzie istniejące ryzyko związane z prowadzoną działalnością.

Wiedza o istniejącym ryzyku pozwala również na ustalenie konsekwencji materializacji danego ryzyka, np. konsekwencji finansowych, wizerunkowych, prawnych, administracyjnych.

Wyzwania w zarządzaniu ryzykiem

Największym wyzwaniem z obszarze zarządzania ryzykiem jest ustalenie przez organizację ewentualnych zysków lub strat związanych z akceptacją ryzyka i kontynuowaniem działań objętych tym ryzykiem.

Akceptacja ryzyka może być opłacalna dla danej organizacji, a w pewnych obszarach akceptacja ryzyka jest nawet powszechna wśród podmiotów konkurujących na danym rynku.

Podejmowanie trafnych decyzji opartych na ryzyku jest trudne. Na szczęście są procesy, które to ułatwiają.
Podejmowanie trafnych decyzji opartych na ryzyku jest trudne. Na szczęście są procesy, które to ułatwiają.


Compliance (zgodność)

Compliance można rozumieć jako zbiór opracowanych i wdrożonych zasad postępowania w organizacji, dzięki którym organizacja może działać zgodnie z przepisami prawa (zarówno prawa krajowego, wspólnotowego i międzynarodowego), a także innymi normami postępowania. Głównym celem compliance jest minimalizacja ryzyk związanych z wystąpieniem nieprawidłowości, mogących mieć negatywny wpływ na organizację.

System zarządzania zgodnością

Dla osiągnięcia zgodności w prowadzonej działalności nie jest wystarczające jedynie określenie regulacji prawnych jakim podlega organizacja. W celu osiągnięcia zgodności niezbędne jest wdrożenie systemu zarządzania zgodnością zwanego również CMS (ang. compliance management system).

Zgodność z przepisami dot. ochrony danych osobowych pozwoli na zapobieganie karom finansowym.
Zgodność z przepisami dot. ochrony danych osobowych pozwoli na zapobieganie karom finansowym.


CMS - zasady

Dla budowy skutecznego systemu compliance, zarówno w zakresie proceduralnym, jak i strukturalnym pomocne jest przestrzeganie kilku zasad związanych z budową i projektowaniem skutecznego i efektywnego systemu zarządzania zgodnością.

Niezależność

Compliance w ujęciu funkcjonalnym dla zagwarantowania skuteczności potrzebuje mieć zagwarantowaną niezależność. Przykładami niezależności są bezpośrednie raportowanie do zarządu czy brak uzależnienia premii dla osób odpowiedzialnych za compliance od wyniku finansowego organizacji. Niezależność może przejawiać się również w zagwarantowaniu niezbędnych zasobów do realizacji funkcji compliance.

Jeśli organizacja realizuje założenia GRC, musi zapewnić niezależnosć działowi compliance.
Jeśli organizacja realizuje założenia GRC, musi zapewnić niezależnosć działowi compliance.


Bezpośredni dostęp

Zasada wskazujące, że system compliance powinien mieć bezpośredni dostęp do kierownictwa organizacji, tak aby zagwarantować szybkość i skuteczność podejmowanych decyzji w obszarze zgodności, z jednoczesną ich akceptacją ze strony kierownictwa.

Ponadto zasada bezpośredniego dostępu do kierownictwa pozwala również zagwarantować możliwość pozyskiwania niezbędnych informacji do osiągnięcia zgodności.

Zasada ta ma również charakter symboliczny - wskazujący, że system i rola compliance traktowane są poważnie w organizacji.

Zasoby

Jak wspomniano wyżej, przy okazji omawiania niezależności, compliance wymaga zapewnienia niezbędnych zasobów dla realizacji tej funkcji. Przez zasoby należy rozumieć personel, sprzęt, dostęp do szkoleń i doskonalenia zawodowego. Zakres zasobów należy dostosować do wielkości i specyfiki organizacji, a także rynku na jakim prowadzi ona swoją działalność.

Elastyczność

Funkcja compliance powinna gwarantować elastyczność, przez którą należy rozumieć możliwość dostosowania się do sytuacji rynkowej, prawnej i kryzysowej, które mają wpływ na zgodność i poziom ryzyka organizacji. Elastyczność odnosi się również do możliwości redefiniowania celów krótko i długoterminowych organizacji w obszarze compliance.

Długofalowość

Przez długofalowość należy rozumieć zdefiniowanie długoterminowych celów compliance oraz sukcesywne dążenie do ich osiągnięcia przez organizację. Cele compliance mogą ulegać zmianie w związku z wyżej opisaną zasadą elastyczności, ale nie powinny one ulegać istotnej zmianie.

GRC oznacza także pamięć o monitorowaniu długoterminowych celów compliance w przedsiębiorstwie.
GRC oznacza także pamięć o monitorowaniu długoterminowych celów compliance w przedsiębiorstwie.


Transparentność

Zasada odnosząca się do przejrzystości działań funkcji compliance oraz całej organizacji, dotyczy to zarówno transparentności wewnątrz organizacji, ale także transparentności na zewnątrz organziacji w niezbędny lub wymaganym zakresie.

Czy compliance officer może być inspektorem ochrony danych? Sprawdź nasz artykuł

Proporcjonalność

Organizacja planując funkcję compliance powinna zagwarantować proporcjonalność przy planowaniu zasobów czy zakresu odpowiedzialności tej funkcji. Przez proporcjonalność należy rozumieć dostosowanie wielkości komórki compliance do wielkości organizacji oraz zasobów jakie ta komórka będzie miała zagwarantowane.

Kultura compliance

Bardzo istotnym dla osiągnięcia celów założonych dla systemu compliance jest kultura compliance obowiązująca w danej organizacji i świadomość personelu w zakresie potencjalnych zysków i strat skutecznego sytemu compliance. Organizacja powinna nie tylko budować świadomość potrzeby zgodności poprzez szkolenia i akcje uświadamiające personel, ale również zadbać o to, aby osoby decyzyjne (kierownictwo) również postępowało zgodnie z założeniami systemu compliance i dawało przykład pozostałej części organizacji.

Zaangażowanie personelu prowadzi do znacznego zwiększenia szans nadążenia za nowymi regulacjami.
Zaangażowanie personelu prowadzi do znacznego zwiększenia szans nadążenia za nowymi regulacjami.


Zgodność na przykładzie (otrzymywanie informacji handlowych) 

Marketing obecnie stanowi bardzo istotną część każdej działalności gospodarczej. Prowadzenie działań marketingowych przynosi często wymierne korzyści organizacjom, jednak aby działania marketingowe były prowadzone zgodnie z przepisami prawa konieczne jest zadbanie o posiadanie podstaw prawnych np. do prowadzenia komunikacji marketingowej bezpośrednio z klientem (marketing bezpośredni).

Przykładem może być przesyłanie treści marketingowych na adres e-mail klienta, jednak aby takie działania były zgodne z prawem, organizacja powinna posiadać zgodę klienta na taką formę kontaktu. Zgoda powinna być dobrowolna i wyrażona w konkretnym celu (marketing) i na rzecz konkretnego podmiotu - wymóg ten wynika z prawa telekomunikacyjnego.

Wymóg posiadania dobrowolnej zgody klienta często utrudnia organizacjom prowadzenie działań marketingowych, dlatego też na rynku można spotkać przypadki prowadzenia działań marketingowych bez posiadanej zgody lub w oparciu o zgodę, której treść nie spełnia wymogów prawa lub została odebrana bez zachowania wymogu dobrowolności.

W przypadku prowadzenia działań marketingowych potencjalne ryzyko braku zgodności często jest porównywane do możliwych do osiągnięcia korzyści wynikających z prowadzenia działań marketingowych.

Oprogramowanie GRC pozwala na analizę danych i usprawnia proces identyfikacji ryzyka.
Oprogramowanie GRC pozwala na analizę danych i usprawnia proces identyfikacji ryzyka.


GRC - podsumowanie

 GRC stanowi drogę do zapewnienia zgodności, skutecznego zarządzania ryzykiem i ustalenia ładu korporacyjnego, które pozwalają organizacji na prowadzenie działalności zgodnie z prawem i uwzględnieniem ryzyka z jego równoczesną minimalizacją.

Każda organizacja powinna odpowiedzieć na pytanie czy system GRC jest im niezbędny i w jakim zakresie, punktem wyjścia do takiego pytania powinno być określenie obowiązków prawnych ciążących na organizacji oraz ryzyka związane z tymi obowiązkami oraz z codzienną działalnością organizacji. 

Dowiedz się więcej:

Rekrutacja w dobie AI Act i RODO

Czym zajmuje się compliance? Wszystko, co musisz wiedzieć

Nowa era cyfryzacji to sztuczna inteligencja

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk