Równoważenie zarządzania ryzykiem z polityką zgodności stron trzecich

Zapraszamy do lektury artykułu “Równoważenie zarządzania ryzykiem z polityką zgodności stron trzecich” przygotowanego przez Srebrnego Sponsora 10. Konferencji Compliance & AML, firmę Dun & Bradstreet.

Tekst omawia znaczenie polityki zgodności dla stron trzecich w kontekście zarządzania ryzykiem w firmach, niezależnie od branży. Współpraca z podmiotami trzecimi, takimi jak dostawcy czy sprzedawcy, jest nieodłączna dla większości organizacji, ale niesie ze sobą ryzyko, które może być coraz większe w dzisiejszym złożonym i regulowanym środowisku biznesowym.

Polityka zgodności dla stron trzecich służy jako normatywne wytyczne dotyczące oceny ryzyka związanego z partnerami biznesowymi. Umożliwia to określenie, czy dany podmiot trzeci jest odpowiednią współpracą, która przyniesie korzyści organizacji bez szkody dla jej reputacji czy rentowności.

W kontekście pandemii COVID-19, ryzyko zerwania łańcucha dostaw stało się kluczowym zmartwieniem wielu firm. Jednakże, nawet w obliczu poprawy sytuacji gospodarczej, zarządzanie ryzykiem stron trzecich pozostaje istotne.

Polityka dotycząca ryzyka stron trzecich może przyczynić się do przekształcenia modelu linii obrony w firmie. Jest to istotne, ponieważ podejście do zarządzania ryzykiem stron trzecich obejmuje wszystkie działy, które współpracują z zewnętrznymi podmiotami, a nie tylko zespół ds. zgodności.

Stworzenie spójnego podejścia do zarządzania ryzykiem stron trzecich opiera się na standaryzacji ocen ryzyka w całej firmie, co eliminuje podejście ad hoc oraz różnice w podejściu do oceny ryzyka między różnymi działami.

Zalety wprowadzenia solidnej polityki zgodności dla stron trzecich obejmują tworzenie relacji z wiarygodnymi partnerami, minimalizację niekorzystnych skutków prawnych i finansowych, oraz poprawę efektywności procesu sprawdzania i monitorowania podmiotów trzecich.

Ostatecznie, opracowanie polityki zarządzania ryzykiem stron trzecich może przynieść organizacji korzyści materialne i niematerialne, poprawiając zarówno jej reputację, jak i efektywność operacyjną.

Więcej na ten temat podczas 10. Konferencji Compliance & AML 16 i 17 marca 2024 w Warszawie.

E-book “Jak stworzyć skuteczną politykę zarządzania ryzykiem stron trzecich” oferuje praktyczne wskazówki dotyczące tworzenia i utrzymania polityki zgodności dla podmiotów trzecich, odpowiadając na kluczowe pytania związane z tym tematem.

Kluczowe terminy dotyczące zarządzania sztuczną inteligencją

 

Dziedzina sztucznej inteligencji szybko ewoluuje w różnych sektorach i branżach, pozostawiając specjalistów ds. technologicznych i zarządzania bez wspólnej terminologii używanej w zarządzaniu sztuczną inteligencją.

Nawet wyszukiwanie definicji “sztucznej inteligencji” zwraca szereg definicji i przykładów. Od filmowych, takich jak HAL 9000 z “2001: Odysei kosmicznej”, przez kreatywne, takie jak Midjourney i sztuka generatywna DALL-E, po powszechne, takie jak autokorekta wiadomości e-mail i mapy mobilne, przypadki użycia i zastosowania sztucznej inteligencji wciąż rosną i rozszerzają się na wszystkie aspekty życia.

Dzięki zgodzie Międzynarodowego Stowarzyszenia Specjalistów ds. Prywatności (IAPP) udostępniamy wszystkim osobom zainteresowanym rozwojem swoich kompetencji w obszarze sztucznej inteligencji Kluczowe terminy dotyczące zarządzania sztuczną inteligencją” opracowane przez IAPP. Niniejszy glosariusz pierwotnie ukazał się w Centrum Zasobów IAPP i został udostępniony za ich zgodą.

Tłumaczenie zostało wykonane przez Langas Regtech zostało opublikowane w 20 lipca 2023 roku.

 

Niniejszy glosariusz, opracowany w oparciu o liczne materiały, ma na celu zapewnienie zwięzłych, ale zniuansowanych definicji i wyjaśnień niektórych z najpopularniejszych terminów związanych obecnie ze sztuczną inteligencją.

Accountability / Rozliczalność

The obligation and responsibility of the creators, operators and regulators of an AI system to ensure the system operates in a manner that is ethical, fair, transparent and compliant with applicable rules and regulations (see fairness and transparency).

Accountability ensures that actions, decisions and outcomes of an AI system can be traced back to the entity responsible for it.

Obowiązek i odpowiedzialność twórców, operatorów i organów regulacyjnych systemu sztucznej inteligencji w celu zapewnienia, że system działa w sposób etyczny, uczciwy, przejrzysty i zgodny z obowiązującymi zasadami i przepisami (zob. uczciwość i przejrzystość).

Rozliczalność zapewnia, że działania, decyzje i wyniki systemu sztucznej inteligencji można prześledzić wstecz do podmiotu za nie odpowiedzialnego.

 

Active learning / Aktywne uczenie

A subfield of AI and machine learning where an algorithm can select some of the data it learns from. Instead of learning from all the data it is given, an active learning model requests additional data points that will help it learn the best.

→ Also called query learning

Poddziedzina sztucznej inteligencji i uczenia maszynowego, w której algorytm może wybrać część danych, z których się uczy. Zamiast uczyć się na podstawie wszystkich podanych danych, model aktywnego uczenia się żąda dodatkowych próbek danych, które pomogą mu uczyć się najlepiej.

→ Nazywane również uczeniem z zapytań

 

AI governance / Zarządzanie Sztuczną Inteligencją

A system of policies, practices and processes organizations implement to manage and oversee their use of AI technology and associated risks to ensure the AI aligns with an organization’s objectives, is developed and used responsibly and ethically, and complies with applicable legal requirements. System zasad, praktyk i procesów wdrażanych przez organizacje w celu zarządzania i nadzorowania wykorzystania technologii opartych na sztucznej inteligencji i związanego z tym ryzyka, aby zapewnić, że sztuczna inteligencja jest zgodna z celami organizacji, jest rozwijana i wykorzystywana w sposób odpowiedzialny i etyczny oraz jest zgodna z obowiązującymi wymogami prawnymi.

 

Algorithm / Algorytm

 

A computational procedure or set of instructions and rules designed to perform a specific task, solve a particular problem or produce a machine learning or AI model

(see machine learning model)

Procedura obliczeniowa lub zestaw instrukcji i reguł zaprojektowanych w celu wykonania określonego zadania, rozwiązania określonego problemu lub stworzenia modelu uczenia maszynowego lub sztucznej inteligencji

(zob. model uczenia maszynowego).

 

Artificial general intelligence / Ogólna sztuczna inteligencja

 

AI that is considered to have human-level intelligence and strong generalization capability to achieve goals and carry out a variety of tasks in different contexts and environments.

AGI is still considered a theoretical field of research and contrasted with “narrow” AI, which is used for specific tasks or problems.

→ Acronym: AGI

Sztuczna inteligencja, która jest uważana za posiadającą inteligencję na poziomie ludzkim i silną zdolność uogólniania do osiągania celów i wykonywania różnorodnych zadań w różnych kontekstach i środowiskach.

Ogólna sztuczna inteligencja (spotyka się też określenie “silna” – tłum.) jest nadal nadal uważana za teoretyczny obszar badań i przeciwstawiana “wąskiej” (lub “słabej” – tłum.) sztucznej inteligencji, która jest wykorzystywana do konkretnych zadań lub problemów. do konkretnych zadań lub problemów.

→ Akronim: AGI

 

Artificial intelligence / Sztuczna inteligencja

 

Artificial intelligence is a broad term used to describe an engineered system where machines learn from experience, adjusting to new inputs (see input data) and potentially performing tasks previously done by humans. More specifically, it is a field of computer science dedicated to simulating intelligent behavior in computers.

It may include automated decision-making.

→ Acronym: AI

Sztuczna inteligencja to szeroki termin używany do opisania systemu inżynieryjnego, w którym maszyny uczą się na podstawie doświadczenia, dostosowując się do nowych danych wejściowych i potencjalnie wykonując zadania wcześniej wykonywane przez ludzi. Mówiąc dokładniej, jest to dziedzina informatyki poświęcona symulowaniu inteligentnych zachowań w komputerach.

Może obejmować zautomatyzowane podejmowanie decyzji.

→ Akronim: AI

 

Automated decision-making / Zautomatyzowane podejmowanie decyzji

 

The process of making a decision by technological means without human involvement Proces podejmowania decyzji za pomocą środków technologicznych bez udziału człowieka.

 

Bias / Stronniczość

 

There are several types of bias within the AI field.

  • Computational bias is a systematic error or deviation from the true value of a prediction that originates from a model’s assumptions or the data itself (see input data).
  • Cognitive bias refers to inaccurate individual judgment or distorted thinking, while societal bias leads to systemic prejudice, favoritism, and/or discrimination in favor of or against an individual or group.

Bias can impact outcomes and pose a risk to individual rights and liberties.

W dziedzinie sztucznej inteligencji istnieje kilka rodzajów stronniczości (uprzedzeń):

  • Stronniczość obliczeniowa to systematyczny błąd lub odchylenie od prawdziwej wartości prognozy, które wynika z założeń modelu lub samych danych (patrz dane wejściowe).
  • Stronniczość poznawcza odnosi się do niedokładnej indywidualnej oceny lub zniekształconego myślenia, podczas gdy stronniczość społeczna prowadzi do systemowych uprzedzeń, faworyzowania i/lub dyskryminacji na korzyść lub przeciwko jednostce lub grupie.

Stronniczość może wpływać na wyniki i stanowić zagrożenie dla praw i wolności jednostki.

 

Bootstrap aggregating / Agregacją metodą bootstrap

 

A machine learning method that aggregates multiple versions of a model (see machine learning model) trained on random subsets of a data set. This method aims to make a model more stable and accurate.

→ Sometimes referred to as bagging

Metoda uczenia maszynowego, która agreguje wiele wersji modelu (zob. model uczenia maszynowego) wytrenowanych na losowych podzbiorach danych. Metoda ta ma na celu uczynienie modelu bardziej stabilnym i dokładnym.

→ Czasami określana jako bagging

 

Chatbot / Czatbot

 

A form of AI designed to simulate human-like conversations and interactions that uses natural language processing to understand and respond to text or other media.

Because chatbots are often used for customer service and other personal help applications, chatbots often ingest users’ personal information.

Forma sztucznej inteligencji zaprojektowana do symulowania rozmów i interakcji podobnych do ludzkich, która wykorzystuje przetwarzanie języka naturalnego do rozumienia i reagowania na tekst lub inne media.

Ponieważ chatboty są często wykorzystywane do obsługi klienta i innych aplikacji pomocy osobistej, często gromadzą one dane osobowe użytkowników.

 

Classification model (Classifiers) / Model klasyfikacyjny (klasyfikatory)

 

A type of model (see machine learning model) used in machine learning that is designed to take input data and sort it into different categories or classes. Rodzaj modelu (patrz model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który jest przeznaczony do sortowania na różne kategorie lub klasy danych wejściowych.

 

Clustering (or clustering algorithms) / Klastrowanie (lub algorytmy klastrowania)

 

An unsupervised machine learning method where patterns in the data are identified and evaluated, and data points are grouped accordingly into clusters based on their similarity. Metoda maszynowego uczenia nienadzorowanego, w której wzorce w danych są identyfikowane i oceniane, a próbki danych są odpowiednio grupowane w klastry na podstawie ich podobieństwa.

 

Computer vision / Widzenie komupterowe

 

A field of AI that enables computers to process and analyze images, videos and other visual inputs. Dziedzina sztucznej inteligencji, która umożliwia komputerom przetwarzanie i analizowanie obrazów, filmów i innych danych wizualnych.

 

Conformity assesment / Ocena zgodności

 

An analysis, often performed by a third-party body, on an AI system to determine whether requirements, such as establishing a risk management system, data governance, record-keeping, transparency and cybersecurity practices have been met Analiza, często przeprowadzana przez organ zewnętrzny, dotycząca systemu sztucznej inteligencji w celu ustalenia, czy spełniono wymagania, takie jak ustanowienie systemu zarządzania ryzykiem, zarządzanie danymi, prowadzenie dokumentacji, przejrzystość i praktyki w zakresie cyberbezpieczeństwa

 

Contestability / Możliwość sprzeciwu

 

The principle of ensuring that AI systems and their decision-making processes can be questioned or challenged. This ability to contest or challenge the outcomes, outputs and/or actions of AI systems can help promote transparency and accountability within AI governance.

Zasada zapewnienia możliwości kwestionowania lub podważania systemów sztucznej inteligencji i ich procesów decyzyjnych. Zdolność do kwestionowania lub podważania wyników, rezultatów i/lub działań systemów AI może pomóc w promowaniu przejrzystości i odpowiedzialności w ramach zarządzania AI.

 

Corpus / Korpus

 

A large collection of texts or data that a computer uses to find patterns, make predictions or generate specific outcomes.

The corpus may include structured or unstructured data and cover a specific topic or a variety of topics.

Duży zbiór tekstów lub danych wykorzystywanych do znajdowania wzorców, tworzenia prognoz lub generowania określonych wyników.

Korpus może zawierać ustrukturyzowane lub nieustrukturyzowane dane i obejmować określony temat lub różne tematy

 

Decision tree / Drzewo decyzyjne

 

A type of supervised learning model used in machine learning (see also machine learning model) that represents decisions and their potential consequences in a branching structure. Przykład modelu uczenia nadzorowanego (patrz model uczenia maszynowego), który reprezentuje decyzje i ich potencjalne konsekwencje w strukturze rozgałęzionej/drzewiastej.

 

Deep learning / Uczenie głębokie

 

A subfield of AI and machine learning that uses artificial neural networks. Deep learning is especially useful in fields where raw data needs to be processed, like image recognition, natural language processing and speech recognition. Poddziedzina sztucznej inteligencji i uczenia maszynowego, która wykorzystuje sztuczne sieci neuronowe.

Uczenie głębokie jest szczególnie przydatne w dziedzinach, w których konieczne jest przetwarzanie surowych danych, takich jak rozpoznawanie obrazów, przetwarzanie języka naturalnego i rozpoznawanie mowy.

 

Discriminative model / Model dyskryminatywny

 

A type of model (see also machine learning model) used in machine learning that directly maps input features to class labels and analyzes for patterns that can help distinguish between different classes.

It is often used for text classification tasks, like identifying the language of a piece of text. Examples are traditional neural networks, decision trees and random forest.

Typ modelu (patrz model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który bezpośrednio mapuje cechy wejściowe na etykiety klas i analizuje wzorce, które mogą pomóc w rozróżnieniu różnych klas.

Jest często używany do zadań klasyfikacji tekstu, takich jak identyfikacja języka fragmentu tekstu. Przykładami są tradycyjne sieci neuronowe, drzewa decyzyjne i lasy losowe.

 

Entropy / Entropia

 

The measure of unpredictability or randomness in a set of data used in machine learning.

A higher entropy signifies greater uncertainty in predicting outcomes.

Miara nieprzewidywalności lub losowości w zestawie danych wykorzystywanych w uczeniu maszynowym.

Wyższa entropia oznacza większą niepewność w przewidywaniu wyników.

 

Expert system / System ekspercki

 

A form of AI that draws inferences from a knowledge base to replicate the decision-making abilities of a human expert within a specific field, like a medical diagnosis. Forma sztucznej inteligencji, która korzysta z reguł i informacji stworzonych przez ekspertów dziedzinowych zapisanych w bazie wiedzy w celu odtworzenia zdolności decyzyjnych ludzkiego eksperta w określonej dziedzinie, takiej jak diagnoza medyczna.

 

Explainability / Wyjaśnialność (XAI)

 

The ability to describe or provide sufficient information about how an AI system generates a specific output or arrives at a decision in a specific context to a predetermined addressee. XAI is important in maintaining transparency and trust in AI.
Zdolność do opisania lub dostarczenia wystarczających informacji o tym, w jaki sposób system sztucznej inteligencji generuje określone dane wyjściowe lub podejmuje decyzję w określonym kontekście dla z góry określonego adresata. XAI jest ważne dla utrzymania przejrzystości i zaufania do sztucznej inteligencji.

 

Exploratory data analysis / Eksploracyjna analiza danych

 

Data discovery process techniques that take place before training a machine learning model in order to gain preliminary insights into a data set, such as identifying patterns, outliers, and anomalies and finding relationships among variables.
Techniki procesu odkrywania danych, które mają miejsce przed uczeniem modelu uczenia maszynowego w celu uzyskania wstępnego wglądu w zestaw danych, takich jak identyfikacja wzorców, wartości odstających i anomalii oraz znajdowanie relacji między zmiennymi.

 

Fairness / Niedyskryminacja

 

An attribute of an AI system that ensures equal and unbiased treatment of individuals or groups in its decisions and actions in a consistent, accurate manner.

It means the AI system’s decisions should not be affected by certain sensitive attributes like race, gender or religion.

Cecha systemu sztucznej inteligencji, która zapewnia równe i bezstronne traktowanie osób lub grup w swoich decyzjach i działaniach w spójny, dokładny sposób.

Oznacza to, że na decyzje systemu sztucznej inteligencji nie powinny mieć wpływu pewne wrażliwe cechy, takie jak rasa, płeć lub religia.

 

Federated learning / Uczenie rozproszone

 

A machine learning method that allows models (see also machine learning model) to be trained on the local data of multiple edge devices or servers.

Only the updates of the local model, not the training data itself, are sent to a central location where they get aggregated into a global model — a process that is iterated until the global model is fully trained.

Metoda uczenia maszynowego, która umożliwia trenowanie modeli (patrz  model uczenia maszynowego) na danych lokalnych wielu urządzeń końcowych lub serwerów.

Tylko aktualizacje modelu lokalnego, a nie same dane szkoleniowe, są wysyłane do centralnej lokalizacji, gdzie są agregowane w model globalny – proces ten jest powtarzany, dopóki model globalny nie zostanie w pełni przeszkolony.

 

Foundation model / Model bazowy

 

A large-scale, pretrained model for AI capabilities, such as language (see also large language model), vision, robotics, reasoning, search or human interaction, that can function as the base for other applications.

The model is trained on extensive and diverse data sets.

Wieloskalowy, wstępnie wytrenowany model dla możliwości sztucznej inteligencji, takich jak język (patrz także duży model językowy), wizja, robotyka, rozumowanie, wyszukiwanie lub interakcja międzyludzka, który może funkcjonować jako baza dla innych aplikacji.

Model jest trenowany na obszernych i zróżnicowanych zestawach danych.

 

Generalization / Uogólnianie

 

The ability of a model (see machine learning model) to understand the underlying patterns and trends in its training data and apply what it has learned to make predictions or decisions about new, unseen data. Zdolność modelu (patrz model uczenia maszynowego) do zrozumienia podstawowych wzorców i trendów w danych szkoleniowych i zastosowania tego, czego się nauczył, do przewidywania lub podejmowania decyzji dotyczących nowych, niewidocznych danych.

 

Generative AI / Generatywna Sztuczna Inteligencja

 

A field of AI that uses machine learning models trained on large data sets to create new content, such as written text, code, images, music, simulations and videos.

These models are capable of generating novel outputs based on input data or user prompts.

Dziedzina sztucznej inteligencji, która wykorzystuje modele uczenia maszynowego wyszkolone na dużych zbiorach danych do tworzenia nowych treści, takich jak tekst pisany, kod, obrazy, muzyka, symulacje i filmy.

Modele te są w stanie generować nowe wyniki w oparciu o dane wejściowe lub podpowiedzi użytkownika.

 

Greedy algorithms / Zachłanne algorytmy

 

A type of algorithm that makes the optimal choice to achieve an immediate objective at a particular step or decision point, based on the available information and without regard for the longer-term optimal solution. Rodzaj algorytmu, który dokonuje optymalnego wyboru na danym etapie lub w danym punkcie decyzyjnym, w celu osiągnięcia natychmiastowego celu, w oparciu jedynie o dostępne informacje i bez względu na długoterminowe optymalne rozwiązanie.

 

Hallucinations / Halucynacje

 

Instances where a generative AI model creates content that either contradicts the source or creates factually incorrect output under the appearance of fact. Przypadki, w których model generatywny sztucznej inteligencji tworzy treści, które są sprzeczne ze źródłem lub tworzą niepoprawne dane wyjściowe pod pozorem faktów.

 

Inference / Predykcja

 

A type of machine learning process where a trained model (see also machine learning model) is used to make predictions or decisions based on input data. Rodzaj procesu uczenia maszynowego, w którym wyszkolony model (patrz także model uczenia maszynowego) jest wykorzystywany do przewidywania lub podejmowania decyzji na podstawie danych wejściowych.

 

Input data / Dane wejściowe

 

Data provided to or directly acquired by a learning algorithm or model (see machine learning model) for the purpose of producing an output.

It forms the basis upon which the machine learning model will learn, make predictions and/or carry out tasks.

Dane dostarczane lub bezpośrednio pozyskiwane przez algorytm lub model uczący się (zob. model uczenia maszynowego) w celu uzyskania danych wyjściowych.

Stanowią one podstawę, na której model będzie się uczył, tworzył prognozy i/lub wykonywał zadania.

 

Large language model / Duży model językowy (LLM)

 

A form of AI that utilizes deep learning algorithms to create models (see also machine learning model) trained on massive text data sets to analyze and learn patterns and relationships among characters, words and phrases.

There are generally two types of LLMs: generative models that make text predictions based on the probabilities of word sequences learned from its training data (see also generative AI) and discriminative models that make classification predictions based on probabilities of data features and weights learned from its training data (see also discriminative model). The term “large” generally refers to the model’s capacity measured by the number of parameters.

Forma sztucznej inteligencji, która wykorzystuje algorytmy głębokiego uczenia do tworzenia modeli (patrz także model uczenia maszynowego) szkolonych na ogromnych zbiorach danych tekstowych w celu analizowania i uczenia się wzorców i relacji między znakami, słowami i frazami.

Zasadniczo istnieją dwa rodzaje LLM: modele generatywne, które przewidują tekst na podstawie prawdopodobieństw sekwencji słów wyuczonych z danych szkoleniowych (patrz także generatywna sztuczna inteligencja) oraz modele dyskryminatywne, które przewidują klasyfikację na podstawie prawdopodobieństw cech danych i wag wyuczonych z danych szkoleniowych (patrz także model dyskryminacyjny). Termin “duży” ogólnie odnosi się do pojemności modelu mierzonej liczbą parametrów.

 

Machine learning / Uczenie maszynowe (ML)

 

A subfield of AI involving algorithms that enable computer systems to iteratively learn from and then make decisions, inferences or predictions based on data (see input data). These algorithms build a model from training data to perform a specific task on new data without being explicitly programmed to do so.

Machine learning implements various algorithms that learn and improve by experience in a problem-solving process that includes data cleansing, feature selection, training, testing and validation.

Companies and government agencies deploy machine learning algorithms for tasks such as fraud detection, recommender systems, customer inquiries, natural language processing, health care, or transport and logistics.

Poddziedzina sztucznej inteligencji obejmująca algorytmy, które umożliwiają systemom komputerowym iteracyjne uczenie się, a następnie podejmowanie decyzji, wnioskowanie lub przewidywanie na podstawie danych (patrz dane wejściowe). Algorytmy te budują model na podstawie danych szkoleniowych, aby wykonać określone zadanie na nowych danych bez konieczności ich wyraźnego zaprogramowania.

Uczenie maszynowe wdraża różne algorytmy, które uczą się i doskonalą dzięki doświadczeniu w procesie rozwiązywania problemów, który obejmuje czyszczenie danych, wybór funkcji, szkolenie, testowanie i walidację.

Firmy i agencje rządowe wdrażają algorytmy uczenia maszynowego do zadań takich jak wykrywanie oszustw, systemy rekomendacji, zapytania klientów, przetwarzanie języka naturalnego, opieka zdrowotna lub transport i logistyka.

 

Machine learning model / Model uczenia maszynowego

 

A learned representation of underlying patterns and relationships in data, created by applying an AI algorithm to a training data set.

The model can then be used to make predictions or perform tasks on new, unseen data.

Wyuczona reprezentacja podstawowych wzorców i relacji w danych, utworzona przez zastosowanie algorytmu sztucznej inteligencji do zestawu danych szkoleniowych.

Model ten można następnie wykorzystać do prognozowania lub wykonywania zadań na nowych, niewidzianych przez model danych.

 

Multimodal models / Modele wielomodalne

 

A type of model used in machine learning (see machine learning model) that can process more than one type of input or output data, or ‘modality,’ at the same time.

For example, a multi-modal model can take both an image and text caption as input and then produce a unimodal output in the form of a score indicating how well the text caption describes the image. T

hese models are highly versatile and useful in a variety of tasks, like image captioning and speech recognition.

Rodzaj modelu używanego w uczeniu maszynowym (patrz model uczenia maszynowego), który może przetwarzać więcej niż jeden typ danych wejściowych lub wyjściowych, lub “modalność”, w tym samym czasie.

Na przykład model wielomodalny może przyjmować zarówno obraz, jak i opis tekstowy jako dane wejściowe, a następnie generować jednomodalne dane wyjściowe w postaci wyniku wskazującego, jak dobrze tekst opisuje obraz.

Modele te są bardzo wszechstronne i przydatne w różnych zadaniach, takich jak opisywanie obrazów i rozpoznawanie mowy.

 

Natural language processing / Przetwarzanie języka naturalnego

 

A subfield of AI that helps computers understand, interpret and manipulate human language by transforming information into content. It enables machines to read text or spoken language, interpret its meaning, measure sentiment, and determine which parts are important for understanding. Poddziedzina sztucznej inteligencji, która pomaga komputerom rozumieć, interpretować i manipulować ludzkim językiem poprzez przekształcanie informacji w treść. Umożliwia maszynom czytanie tekstu lub języka mówionego, interpretowanie jego znaczenia, mierzenie wydźwięku i określanie, które części są ważne dla zrozumienia.

 

Neural networks / Sieci neuronowe

 

A type of model (see  machine learning model) used in machine learning that mimics the way neurons in the brain interact with multiple processing layers, including at least one hidden layer.

This layered approach enables neural networks to model complex nonlinear relationships and patterns within data. Artificial neural networks have a range of applications, such as image recognition and medical diagnosis.

Typ modelu (zob. model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który naśladuje sposób interakcji neuronów w mózgu z wieloma warstwami przetwarzania, w tym co najmniej jedną warstwą ukrytą.

To warstwowe podejście umożliwia sieciom neuronowym modelowanie złożonych nieliniowych relacji i wzorców w danych. Sztuczne sieci neuronowe mają szereg zastosowań, takich jak rozpoznawanie obrazów i diagnostyka medyczna.

 

Overfitting / Przeuczenie

 

A concept in machine learning in which a model (see machine learning model) becomes too specific to the training data and cannot generalize to unseen data, which means it can fail to make accurate predictions on new data sets. Koncepcja w uczeniu maszynowym, w której model (patrz model uczenia maszynowego) staje się zbyt specyficzny dla danych szkoleniowych i nie może uogólniać się na niewidziane dane, co oznacza, że może nie być w stanie dokonywać dokładnych prognoz na nowych zestawach danych.

 

Oversight / Nadzór

 

The process of effectively monitoring and supervising an AI system to minimize risks, ensure regulatory compliance and uphold responsible practices.

Oversight is important for effective AI governance, and mechanisms may include certification processes, conformity assessments and regulatory authorities responsible for enforcement.

Proces skutecznego monitorowania i nadzorowania systemu sztucznej inteligencji w celu zminimalizowania ryzyka, zapewnienia zgodności z przepisami i utrzymania odpowiedzialnych praktyk.

Nadzór jest ważny dla skutecznego zarządzania sztuczną inteligencją, a mechanizmy mogą obejmować procesy certyfikacji, oceny zgodności i organy regulacyjne odpowiedzialne za egzekwowanie przepisów.

 

Post processing / Przetwarzanie końcowe

 

Steps performed after a machine learning model has been run to adjust the output of that model.

This can include adjusting a model’s outputs and/or using a holdout data set – data not used in the training of the model – to create a function that is run on the model’s predictions to improve fairness or meet business requirements.

Kroki wykonywane po uruchomieniu modelu uczenia maszynowego w celu dostosowania danych wyjściowych tego modelu.

Może to obejmować dostosowanie danych wyjściowych modelu i/lub użycie zestawu danych wstrzymanych – danych niewykorzystanych w szkoleniu modelu – w celu utworzenia funkcji, która jest uruchamiana na prognozach modelu w celu poprawy uczciwości lub spełnienia wymagań biznesowych.

 

Preprocessing / Przetwarzanie wstępne

 

Steps taken to prepare data for a machine learning model, which can include cleaning the data, handling missing values, normalization, feature extraction and encoding categorical variables.

Data preprocessing can play a crucial role in improving data quality, mitigating bias, addressing algorithmic fairness concerns, and enhancing the performance and reliability of machine learning algorithms.

Kroki podejmowane w celu przygotowania danych dla modelu uczenia maszynowego, które mogą obejmować czyszczenie danych, obsługę brakujących wartości, normalizację, ekstrakcję cech i kodowanie zmiennych kategorycznych.

Wstępne przetwarzanie danych może odgrywać kluczową rolę w poprawie jakości danych, łagodzeniu stronniczości, rozwiązywaniu problemów związanych z uczciwością algorytmów oraz zwiększaniu wydajności i niezawodności algorytmów uczenia maszynowego.

 

Random forest / Las losowy

 

A supervised machine learning (see  supervised learning) algorithm that builds multiple decision trees and merges them together to get a more accurate and stable prediction. Each decision tree is built with a random subset of the training data (see also bootstrap aggregating), hence the name “random forest.”

Random forests are helpful to use with data sets that are missing values or very complex.

Algorytm nadzorowanego uczenia maszynowego (zob.  uczenie nadzorowane), który buduje wiele drzew decyzyjnych i łączy je ze sobą, aby uzyskać dokładniejszą i stabilniejszą prognozę. Każde drzewo decyzyjne jest budowane z losowego podzbioru danych treningowych (patrz także agregacja bootstrap), stąd nazwa “las losowy”.

Lasy losowe są pomocne w przypadku zestawów danych, w których brakuje wartości lub które są bardzo złożone.

 

Reinforcement learning / Uczenie ze wzmocnieniem

 

A machine learning method that trains a model to optimize its actions within a given environment to achieve a specific goal, guided by feedback mechanisms of rewards and penalties. This training is often conducted through trial-and-error interactions or simulated experiences that do not require external data.

For example, an algorithm can be trained to earn a high score in a video game by having its efforts evaluated and rated according to success toward the goal.

Metoda uczenia maszynowego, która trenuje model w celu optymalizacji jego działań w danym środowisku, aby osiągnąć określony cel, kierując się mechanizmami sprzężenia zwrotnego nagród i kar. Trening ten jest często przeprowadzany metodą prób i błędów lub symulowanych doświadczeń, które nie wymagają zewnętrznych danych.

Przykładowo, algorytm można wytrenować tak, by osiągał wysokie wyniki w grach wideo, oceniając jego wysiłki na podstawie sukcesów w dążeniu do celu.

 

Reliability / Niezawodność

 

An attribute of an AI system that ensures it behaves as expected and performs its intended function consistently and accurately, even with new data that it has not been trained on. Cecha systemu sztucznej inteligencji, który zapewnia, że zachowuje się on zgodnie z oczekiwaniami i wykonuje swoją zamierzoną funkcję konsekwentnie i dokładnie, nawet z nowymi danymi, na których nie został przeszkolony.

 

Robotics / Robotyka

 

A multidisciplinary field that encompasses the design, construction, operation and programming of robots. Robotics allow AI systems and software to interact with the physical world. Multidyscyplinarna dziedzina obejmująca projektowanie, budowę, obsługę i programowanie robotów. Robotyka umożliwia systemom sztucznej inteligencji i oprogramowaniu interakcję ze światem fizycznym.

 

Robustness / Solidność

 

An attribute of an AI system that ensures a resilient system that maintains its functionality and performs accurately in a variety of environments and circumstances, even when faced with changed inputs or an adversarial attack. Atrybut systemu sztucznej inteligencji, który zapewnia odporność systemu, który zachowuje swoją funkcjonalność i działa dokładnie w różnych środowiskach i okolicznościach, nawet w obliczu zmienionych danych wejściowych lub ataku przeciwnika.

 

Safety / Bezpieczeństwo

 

The development of AI systems that are designed to minimize potential harm to individuals, society, property and the environment.

Rozwój systemów sztucznej inteligencji, które są zaprojektowane tak, aby zminimalizować potencjalne szkody dla osób, społeczeństwa, mienia i środowiska.

 

Supervised learning / Uczenie nadzorowane

 

A subset of machine learning where the model (see also machine learning model) is trained on input data with known desired outputs. These two groups of data are sometimes called predictors and targets, or independent and dependent variables, respectively.

This type of learning is useful for training an AI to group data into specific categories or making predictions by understanding the relationship between two variables.

Podzbiór uczenia maszynowego, w którym model (patrz także model uczenia maszynowego) jest trenowany na danych wejściowych ze znanymi pożądanymi wynikami. Te dwie grupy danych są czasami nazywane odpowiednio predyktorami i celami lub zmiennymi niezależnymi i zależnymi.

Ten rodzaj uczenia jest przydatny do szkolenia sztucznej inteligencji w celu grupowania danych w określone kategorie lub dokonywania prognoz poprzez zrozumienie związku między dwiema zmiennymi.

 

Synthetic data / Dane syntetyczne

 

Data generated by a system or model (see  machine learning model) that can mimic and resemble the structure and statistical properties of real data.

It is often used for testing or training machine learning models, particularly in cases where real-world data is limited, unavailable or too sensitive to use.

Dane generowane przez system lub model (zob. model uczenia maszynowego), które mogą naśladować i przypominać strukturę i właściwości statystyczne rzeczywistych danych.

Są one często wykorzystywane do testowania lub szkolenia modeli uczenia maszynowego, szczególnie w przypadkach, gdy dane rzeczywiste są ograniczone, niedostępne lub zbyt wrażliwe, aby je wykorzystać.

 

Testing data / Dane testowe

 

A subset of the data set used to provide an unbiased evaluation of a final model (see machine learning model).

It is used to test the performance of the machine learning model with new data at the very end of the model development process.

Podzbiór zestawu danych wykorzystywany do zapewnienia bezstronnej oceny ostatecznego modelu (patrz model uczenia maszynowego).

Służy do testowania wydajności modelu uczenia maszynowego z nowymi danymi na samym końcu procesu opracowywania modelu.

 

Training data / Dane treningowe

 

A subset of the data set that is used to train a model (see also machine learning model) until it can accurately predict outcomes, find patterns or identify structures within the training data.

Podzbiór zestawu danych, który jest używany do trenowania modelu (patrz także model uczenia maszynowego), dopóki nie będzie on w stanie dokładnie przewidywać wyników, znajdować wzorców lub identyfikować struktur w danych szkoleniowych.

 

Transfer learning model / Transferowy model uczenia

 

A type of model (see also machine learning model) used in machine learning in which an algorithm learns to perform one task, such as recognizing cats, and then uses that learned knowledge as a basis when learning a different but related task, such as recognizing dogs. Rodzaj modelu (zob. także model uczenia maszynowego) stosowany w uczeniu maszynowym, w którym algorytm uczy się wykonywać jedno zadanie, takie jak rozpoznawanie kotów, a następnie wykorzystuje tę wyuczoną wiedzę jako podstawę podczas uczenia się innego, ale powiązanego zadania, takiego jak rozpoznawanie psów.

 

Transparency / Przejrzystość

 

The extent to which information regarding an AI system is made available to stakeholders, including if one is used and an explanation of how it works.

It implies openness, comprehensibility and accountability in the way AI algorithms function and make decisions.

Zakres, w jakim informacje dotyczące systemu sztucznej inteligencji są udostępniane zainteresowanym stronom, w tym informacje o tym, czy jest on używany i wyjaśnienie jego działania.

Oznacza to otwartość, zrozumiałość i odpowiedzialność w sposobie działania i podejmowania decyzji przez algorytmy sztucznej inteligencji.

 

Trustworthy AI / Wiarygodna sztuczna inteligencja

 

In most cases used interchangeably with the terms responsible AI and ethical AI, which all refer to principle-based AI development and governance (see also AI governance), including the principles of security, safety, transparency, explainability, accountability, privacy, nondiscrimination/nonbias, among others.

W większości przypadków używane zamiennie z terminami odpowiedzialna sztuczna inteligencja i etyczna sztuczna inteligencja, które odnoszą się do rozwoju i zarządzania sztuczną inteligencją w oparciu o zasady (patrz także zarządzanie sztuczną inteligencją), w tym między innymi zasady bezpieczeństwa, przejrzystości, wyjaśnialności, odpowiedzialności, prywatności, niedyskryminacji / braku uprzedzeń.

 

Turing test / Test Turinga

 

A test of a machine’s ability to exhibit intelligent behavior equivalent to, or indistinguishable from, that of a human. Alan Turing (1912-1954) originally thought of the test to be an AI’s ability to converse through a written text. Test zdolności maszyny do wykazywania inteligentnego zachowania równoważnego lub nieodróżnialnego od ludzkiego. Alan Turing (1912-1954) pierwotnie uważał, że testem jest zdolność sztucznej inteligencji do konwersacji za pomocą tekstu pisanego.

 

Underfitting / Niedouczenie

 

A concept in machine learning in which a model (see machine learning model) fails to fully capture the complexity of the training data. This may result in poor predictive ability and/or inaccurate outputs.

Factors leading to underfitting may include too few model parameters or epochs, having too high a regularization rate, or using an inappropriate or insufficient set of features in the training data.

Koncepcja w uczeniu maszynowym, w której model (patrz model uczenia maszynowego) nie jest w stanie w pełni uchwycić złożoności danych szkoleniowych. Może to skutkować słabą zdolnością predykcyjną i/lub niedokładnymi wynikami.

Czynniki prowadzące do niedouczenia mogą obejmować zbyt małą liczbę parametrów modelu lub epok, zbyt wysoki współczynnik regularyzacji lub użycie niewłaściwego lub niewystarczającego zestawu funkcji w danych szkoleniowych.

 

Unsupervised learning / Uczenie nienadzorowane

 

A subset of machine learning where the model is trained by looking for patterns in an unclassified data set with minimal human supervision. The AI is provided with preexisting data sets and then analyzes those data sets for patterns.

This type of learning is useful for training an AI for techniques such as clustering data (outlier detection, etc.) and dimensionality reduction (feature learning, principal component analysis, etc.).

Podzbiór uczenia maszynowego, w którym model jest trenowany poprzez wyszukiwanie wzorców w niesklasyfikowanym zestawie danych przy minimalnym nadzorze człowieka. Sztuczna inteligencja otrzymuje wcześniej istniejące zestawy danych, a następnie analizuje je w poszukiwaniu wzorców.

Ten rodzaj uczenia się jest przydatny do szkolenia sztucznej inteligencji w zakresie technik takich jak grupowanie danych (wykrywanie wartości odstających itp.) i redukcja wymiarowości (uczenie się cech, analiza głównych składowych itp.).

 

Validation data / Dane walidujące

 

A subset of the data set used to assess the performance of the model (see machine learning model) during the training phase.

Validation data is used to fine-tune the parameters of a model and prevent overfitting before the final evaluation using the test data set.

Podzbiór zbioru danych wykorzystywany do oceny wydajności modelu (patrz model uczenia maszynowego) podczas fazy uczenia.

Dane walidujące są wykorzystywane do dostrajania parametrów modelu i zapobiegania nadmiernemu dopasowaniu przed ostateczną oceną przy użyciu zestawu danych testowych.

 

Variables / Zmienne

 

In the context of machine learning, a variable is a measurable attribute, characteristic or unit that can take on different values. Variables can be numerical/quantitative or categorical/qualitative.

W kontekście uczenia maszynowego zmienna jest mierzalnym atrybutem, cechą lub jednostką, która może przyjmować różne wartości. Zmienne mogą być liczbowe/ilościowe lub kategoryczne/jakościowe.

 

Variance / Wariancja

 

A statistical measure that reflects how far a set of numbers are spread out from their average value in a data set. A high variance indicates that the data points are spread widely around the mean. A low variance indicates the data points are close to the mean. In machine learning, higher variance can lead to overfitting.

The trade-off between variance and bias is a fundamental concept in machine learning. Model complexity tends to reduce bias but increase variance. Decreasing complexity reduces variance but increases bias.

Miara statystyczna, która odzwierciedla, jak daleko zestaw liczb jest rozłożony od ich średniej wartości w zestawie danych. Wysoka wariancja wskazuje, że punkty danych są szeroko rozrzucone wokół średniej. Niska wariancja wskazuje, że punkty danych znajdują się blisko średniej. W uczeniu maszynowym wyższa wariancja może prowadzić do nadmiernego dopasowania.

Kompromis między wariancją a stronniczością jest podstawową koncepcją w uczeniu maszynowym. Złożoność modelu ma tendencję do zmniejszania stronniczości, ale zwiększa wariancję. Zmniejszenie złożoności zmniejsza wariancję, ale zwiększa stronniczość modelu.

 

Powyższe tłumaczenie zweryfikował Maciej Biesek – Data Scientist zajmujący się problematyką przetwarzania języka naturalnego, uczenia maszynowego i uczenia głębokiego. Pasjonat rozwoju sztucznej inteligencji, mentor i nauczyciel technik programowania i wykorzystywania uczenia maszynowego do rozwiązywania realnych problemów.

Dziękujemy!

Key Terms for AI Governance produced by the International Association of Privacy Professionals originally appeared in the IAPP Resource Center. It is reprinted with permission.

The translation has not been provided by the IAPP and was published on 20/07/2023.

KPI (Kluczowe Wskaźniki Efektywności) w compliance

Współczesne organizacje wykorzystują kluczowe wskaźniki efektywności (KPI) do oceny swojej skuteczności w różnych obszarach działalności. KPI są miarami, które pozwalają monitorować i mierzyć stopień realizacji celów organizacji oraz ocenić jej postępy. W obszarze compliance również istnieje wiele sprawdzonych metod opracowywania tych wskaźników i zasad skutecznego zarządzania przez cele.

Kluczowe wskaźniki efektywności, są istotne dla oceny organizacji, ponieważ umożliwiają jasne rozstrzygnięcie, czy cele są osiągane i na jakim etapie się znajdują. W przypadku compliance, KPI pozwalają śledzić skuteczność działań związanych z przestrzeganiem przepisów i minimalizować ryzyko naruszeń.

Zarządzanie przez cele jest kluczowym podejściem, które wiąże się z wyznaczaniem celów strategicznych i operacyjnych, a następnie monitorowaniem ich realizacji za pomocą odpowiednio dobranych KPI. Działania podejmowane w obszarze compliance, takie jak szkolenia czy audyty, wymagają innych nakładów środków i zasobów niż cele długoterminowe. Skuteczne zarządzanie przez cele i wykorzystanie odpowiednich KPI pozwala na monitorowanie postępów w realizacji celów compliance oraz identyfikację czynników ryzyka.

Kluczowe wskaźniki efektywności w obszarze compliance obejmują między innymi liczbę otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, kompozytowy wskaźnik ryzyka, różnica w powadze ryzyka oraz retencję pracowników.

Przyjrzyjmy się tym wskaźnikom.

compliance KPI

#1 Liczba otwartych przypadków naruszeń compliance

Liczba otwartych przypadków naruszeń compliance oznacza po prostu całkowitą liczbę przypadków, w których organizacja naruszyła wymogi regulacyjne lub nie przestrzegała odpowiednich praw, polityk lub standardów. Te naruszenia mogą różnić się pod względem wielkości i nasilenia, dlatego ważne jest śledzenie tej liczby wraz z kosztami compliance i postępowań sądowych, aby uzyskać pełne zrozumienie swoich problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę otwartych przypadków naruszeń compliance?

Aby śledzić to KPI, wystarczy zidentyfikować wszystkie przypadki naruszeń przez określony okres (rok daje pełniejszy obraz) i zsumować je. Jest to kolejny wskaźnik, który warto monitorować przed i po wdrożeniu szkoleń compliance lub podjęciu większej inicjatywy związanej z compliance.

#2 Średni czas odkrycia przypadków naruszeń

Średni czas odkrycia przypadków naruszeń, znany również jako średni czas wykrycia (MTTD), oznacza po prostu czas, jaki upływa od wystąpienia problemu lub zdarzenia do jego odkrycia. Krótszy średni czas odkrycia oznacza, że problemy są wykrywane szybciej (co jest korzystne), a dłuższy średni czas odkrycia oznacza, że problemy są wykrywane wolniej (co jest niekorzystne). Średni czas odkrycia może dotyczyć różnych potencjalnych problemów, takich jak:

  • Błędy oprogramowania
  • Naruszenia w zakresie zdrowia i bezpieczeństwa
  • Problemy związane z urządzeniami
  • Ograniczenia obsługi klienta
  • Wąskie gardła w przechowywaniu informacji

Jak śledzić średni czas odkrycia przypadków naruszeń?

To bardzo łatwy KPI do śledzenia, wystarczy skorzystać z prostego obliczenia: średni czas odkrycia przypadku = ogólny czas między pojawieniem się problemu a jego wykryciem dla wszystkich przypadków / liczba wystąpień problemów. Pozwoli to uzyskać średni czas, jaki organizacja potrzebuje na wykrycie problemów, co jest pierwszym krokiem do ich naprawienia.

 

#3 Średni czas rozwiązania przypadków naruszeń

Średni czas rozwiązania przypadków naruszeń często jest używany razem z średnim czasem odkrycia. Średni czas rozwiązania przypadków oblicza się jako średni czas między zgłoszeniem problemu a całkowitym jego rozwiązaniem. Podobnie jak w przypadku średniego czasu odkrycia, krótszy średni czas rozwiązania jest korzystny, a dłuższy – niekorzystny.

Jak śledzić średni czas rozwiązania przypadków naruszeń?

Podobne obliczenie można zastosować do średniego czasu rozwiązania przypadków naruszeń: średni czas rozwiązania przypadku = ogólny czas między pierwszym zgłoszeniem problemu a całkowitym jego rozwiązaniem dla wszystkich przypadków / liczba przypadków. Ważne jest, aby zauważyć, że “całkowite rozwiązanie” oznacza, że problem już nie występuje w żadnej formie, a nie tylko to, że opracowano i testujemy rozwiązanie.

 

#4 Całkowite wydatki związane z przestrzeganiem regulacji

Całkowite wydatki związane z przestrzeganiem regulacji (znane również jako koszty przestrzegania regulacji) obejmują wszystkie koszty, jakie firma lub organizacja ponosi, aby utrzymać zgodność z przepisami. Obejmuje to wynagrodzenia pracowników pracujących w dziale compliance, koszty oprogramowania, koszty raportowania, koszty audytów oraz koszt szkoleń z zakresu compliance, które są wymagane dla uzyskania statusu zgodności. Średnie całkowite wydatki związane z przestrzeganiem regulacji różnią się w zależności od branży. Im bardziej regulowana jest branża, tym wyższe są przewidywane koszty przestrzegania regulacji przez organizację.

Jak śledzić całkowite wydatki związane z przestrzeganiem regulacji?

Aby śledzić całkowite wydatki związane z przestrzeganiem regulacji, ważne jest, aby przeprowadzić szeroko zakrojony audyt wydatków, nie zapominając o wynagrodzeniach i abonamentach na oprogramowanie. Warto skorzystać z pomocy zespołu finansowego w celu kompleksowej analizy wydatków. Całkowite wydatki związane z przestrzeganiem regulacji oblicza się jako suma wszystkich kosztów związanych z przestrzeganiem przepisów.

 

#5 Koszt przestrzegania regulacji na jeden przypadek

Koszt przestrzegania regulacji na jeden przypadek to wskaźnik mierzący efektywność budżetu na przestrzeganie przepisów. Można obliczyć koszt przestrzegania regulacji na jeden przypadek na poziomie organizacji jako całości, jak również dla różnych podsekcji szkoleń z zakresu compliance, na przykład:

  • Koszt przestrzegania regulacji związanych z RODO na jeden przypadek
  • Koszt przestrzegania regulacji związanych z bezpieczeństwem i higieną pracy na jeden przypadek
  • Koszt przestrzegania regulacji związanych z cyberbezpieczeństwem na jeden przypadek

W ten sposób można śledzić, jakie naruszenia compliance kosztują najwięcej i gdzie może być konieczne większe inwestowanie w rozwiązania.

Jak śledzić koszt przestrzegania regulacji na jeden przypadek?

Koszt przestrzegania regulacji na jeden przypadek można śledzić za pomocą poniższego wzoru: koszt przestrzegania regulacji na jeden przypadek = budżet na compliance / liczba przypadków, na które ten budżet jest przeznaczony. Jak wspomniano wcześniej, można to obliczyć dla organizacji jako całości lub dla mniejszych podsekcji szkoleń z zakresu compliance, aby uzyskać bardziej szczegółowy obraz.

 

#6 Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji to metryka mierząca średnią wartość kosztów postępowań prawnych związanych z przestrzeganiem regulacji. Pozwala to śledzić zmiany w tej metryce po wdrożeniu szkoleń z zakresu compliance. Jeśli średni koszt postępowań prawnych związanych z przestrzeganiem regulacji maleje po inwestycji w szkolenia z zakresu compliance, można przypuszczać, że podjęto odpowiednie działania.

Jak śledzić średni koszt postępowań prawnych związanych z przestrzeganiem regulacji?

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji można obliczyć za pomocą poniższego wzoru: średni koszt postępowań prawnych związanych z przestrzeganiem regulacji = ogólne koszty prawne związane z problemami compliance / liczba postępowań prawnych związanych z przestrzeganiem regulacji. Ten wskaźnik najlepiej śledzić w dłuższym okresie, ponieważ istotne jest zmniejszanie go z roku na rok.

 

#7 Liczba nierozwiązanych problemów po audycie

Liczba nierozwiązanych problemów po audycie oznacza procent problemów, które nie zostały rozwiązane podczas audytu, co podkreśla skuteczność audytów związanych z compliance. Im niższy procent nierozwiązanych problemów po audycie, tym lepiej, co świadczy o tym, że audyty są skuteczne w wykrywaniu problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę nierozwiązanych problemów po audycie?

Liczba nierozwiązanych problemów po audycie można śledzić za pomocą poniższego wzoru: liczba nierozwiązanych problemów po audycie = (liczba nierozwiązanych problemów po zakończeniu audytu / ogólna liczba zidentyfikowanych problemów) * 100. Ten wskaźnik wyraża się jako procent i doskonale nadaje się do śledzenia wyników wielu audytów w celu poprawy efektywności.

 

#8 Ważony wskaźnik ryzyka

Ważony wskaźnik ryzyka jest liczbową metodą oceny stopnia ryzyka i prawdopodobieństwa jego wystąpienia. Daje to organizacji listę priorytetów dotyczących ryzyka, na które należy się przygotować.

Jak śledzić ważony wskaźnik ryzyka?

Zacznij od spisania wszystkich potencjalnych ryzyk związanych z przestrzeganiem przepisów, z którymi organizacja może się zmierzyć w nadchodzącym roku. Następnie przypisz każdemu ryzyku wynik od 1 do 5 dla prawdopodobieństwa wystąpienia i wynik od 1 do 5 dla powagi dla firmy, jeśli ryzyko wystąpiło. To pozwoli zmapować wszystkie ryzyka compliance na siatce, z jedną osią skupiającą się na wadze, a drugą na prawdopodobieństwie. Ryzyko o wysokiej wadze i wysokim prawdopodobieństwie wymaga większej uwagi i większego budżetu niż ryzyko niskie na ważonym wskaźniku ryzyka z niskim prawdopodobieństwem i powagą.

 

#9 Różnica w powadze ryzyka

Różnica w powadze ryzyka to jeden z bardziej zaawansowanych wskaźników KPI na tej liście, ale jest stosunkowo prosty do zrozumienia, jeśli wyjaśni się go w prostych słowach. Różnica w powadze ryzyka odnosi się do różnicy między przewidywanym narażeniem na ryzyko a faktycznym narażeniem na ryzyko, co oznacza, że jest to doskonały wskaźnik do mierzenia, czy jesteś zbyt ostrożny czy też potencjalnie niewystarczająco ostrożny.

Jak śledzić różnicę w powadze ryzyka?

Ten wskaźnik wymaga pewnego planowania i przemyślenia. Najpierw musisz przeprowadzić tzw. analizę ryzyka compliance, aby ocenić przyszłe ryzyka biznesowe związane z przestrzeganiem przepisów, na przykład prawodawstwo dotyczące firmy w przypadku niewłaściwego przestrzegania przepisów. Następnie ryzyka te będą oceniane pod kątem prawdopodobieństwa wystąpienia ryzyka, zazwyczaj w skali od 1 do 5. Możesz wtedy zobaczyć obraz potencjalnych ryzyk na dany rok. Po zakończeniu roku można ocenić różnicę w powadze ryzyka, analizując najnowszą Analizę Ryzyka Compliance i sprawdzić, gdzie przeszacowano lub niedoszacowano ryzyko na dany rok, co umożliwia przekierowanie zasobów i budżetu.

 

#10 Retencja pracowników

Retencja pracowników odnosi się do tego, ile pracowników pozostaje w firmie przez okres roku. Wyższa retencja pracowników oznacza, że pracownicy zostają w firmie dłużej i zazwyczaj jest to oznaka satysfakcji z ich stanowiska i silnej kultury organizacyjnej. Retencja pracowników jest również wpływana przez compliance, ponieważ pracownicy, którzy czują się bezpieczni, docenieni i nie martwią się o problemy z przestrzeganiem przepisów, są bardziej skłonni pozostać na tym samym stanowisku przez dłuższy czas. Oznacza to również, że organizacja ma niższe koszty regulacyjne, co oznacza większy budżet na inicjatywy pracownicze i podwyżki płac, co z kolei zwiększa retencję pracowników.

Jak śledzić wskaźnik retencji pracowników?

Wskaźnik retencji pracowników można śledzić za pomocą poniższego wzoru: wskaźnik retencji pracowników = 100 – wskaźnik rotacji. Wskaźnik rotacji można śledzić za pomocą poniższego wzoru: wskaźnik rotacji = liczba zwolnień pracowników / całkowita liczba pracowników * 100.

Poprzez wykorzystanie tych kluczowych wskaźników efektywności, organizacje mogą ocenić skuteczność swoich działań compliance, identyfikować obszary wymagające poprawy i dostosowywać swoje strategie w celu minimalizacji ryzyka naruszeń przepisów. Efektywne wykorzystanie KPI wpływa również na kulturę organizacyjną, zwiększa jasność oczekiwań wobec pracowników i umożliwia podejmowanie szybkich decyzji na podstawie istotnych informacji.

W obszarze compliance istnieje wiele kluczowych wskaźników, które mogą pomóc w monitorowaniu i ocenie skuteczności procesów przestrzegania przepisów. Przytoczone powyżej przykłady to jedynie kilka z najczęściej występujących: liczba otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, złożony wskaźnik ryzyka, różnica w powadze ryzyka, retencja pracowników – to wszystko są wskaźniki, które warto monitorować i analizować w celu doskonalenia procesów compliance i minimalizowania ryzyka. Świadomość tych wskaźników i skuteczne ich wykorzystanie mogą przyczynić się do budowania silnej kultury przestrzegania przepisów i osiągnięcia sukcesu organizacyjnego.

Wiedza na temat kluczowych wskaźników efektywności w obszarze compliance jest istotna dla specjalistów ds. compliance, compliance officerów oraz AMLRO (odpowiedzialnych za przeciwdziałanie praniu pieniędzy). Pozwala to na skuteczne monitorowanie procesów przestrzegania przepisów, minimalizację ryzyka i zapewnienie, że organizacja działa zgodnie z obowiązującymi regulacjami.

KYC Officer

KYC Officer to profesjonalista odpowiedzialny za przestrzeganie procedur identyfikacji klientów w firmach finansowych. Odpowiedzialności KYC Officera obejmują: przeprowadzanie weryfikacji tożsamości klientów, analizę dokumentów i informacji, monitorowanie transakcji pod kątem podejrzanych działań oraz raportowanie wszelkich nieprawidłowości.

Ponadto, KYC Officer musi być świadomy i przestrzegać przepisów prawa, zasad regulacji oraz wewnętrznych polityk firmy. Jego zadaniem jest również prowadzenie bieżących szkoleń dla pracowników dotyczących procedur KYC i współpraca z organami regulacyjnymi.

Posiadanie certyfikatu KYC Officer zapewnia wiele korzyści. KYC Officer to specjalista w zakresie identyfikacji i weryfikacji tożsamości klientów. Dzięki temu certyfikatowi można rozpoznawać i minimalizować ryzyko prania brudnych pieniędzy, oszustw i finansowania terroryzmu. KYC Officer pomaga w utrzymaniu zgodności z przepisami prawnymi oraz w budowaniu zaufania klientów poprzez właściwe zarządzanie informacjami i danymi. To także zwiększa skuteczność działań antykorupcyjnych i chroni przed reputacyjnymi szkodami. Posiadanie certyfikatu KYC Officer jest więc ważnym atutem dla profesjonalistów działających w branży finansowej i biznesowej.

Zatrudnianie Certyfikowanego KYC Officer niesie wiele korzyści instytucjom obowiązanym do realizacji procedur AML. Przede wszystkim pomaga w zapobieganiu oszustwom i praniu pieniędzy, chroniąc reputację i wiarygodność instytucji. Dodatkowo, KYC Officer poprawia procesy identyfikacji klientów, co skraca czas potrzebny na otwarcie konta czy udzielenie pożyczki. Dzięki temu wzrasta efektywność operacyjna. Również ryzyko nałożenia kar przez organy regulacyjne zostaje ograniczone. Wreszcie, obecność certyfikowanego KYC Officera wzmacnia zaufanie klientów i zwiększa ich poczucie bezpieczeństwa.

AML & Compliance

Jak zdobyć certyfikat KYC Officer?

Certyfikat KYC Officer można zdobyć poprzez ukończenie specjalistycznego certyfikowanego szkolenia oferowanego przez Langas oraz zdanie egzaminu przygotowanego przez Stowarzyszenie Compliance Polska. Niezbędne są wiedza i umiejętności związane z obszarem Know Your Customer (KYC), czyli zidentyfikowaniem klienta, zarządzaniem ryzykiem i przeciwdziałaniem praniu pieniędzy. Szkolenie i egzamin obejmuje zagadnienia prawne, regulacyjne i procedury związane z KYC.

Jakie są wymagania do uzyskania certyfikatu KYC Officer?

W celu uzyskania certyfikatu KYC Officer, wymagane są konkretne kwalifikacje: kandydat musi posiadać wiedzę na temat procedur KYC (Know Your Customer) oraz zagadnień związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Ponadto, wymaga się doświadczenia w obszarze compliance oraz znajomości aktualnych regulacji i przepisów związanych z KYC. Osoba starająca się o certyfikat KYC Oficer powinna być również w stanie skutecznie identyfikować i oceniać ryzyko związane z klientami. Kwalifikacje należy potwierdzić egzaminem certyfikowanym przez Stowarzyszenie Compliance Polska składającym się z ok 50 pytań, uzyskując co najmniej 70% punktów. Egzamin można zdać na stronie https://langas.pl/egzaminy.

Gdzie można znaleźć szkolenia i kursy związane z certyfikacją KYC Officer?

Informacje na temat szkoleń i kursów związanych z certyfikacją KYC Officer w Polsce można znaleźć m.in. na tej stronie oraz stronie Stowarzyszenia Compliance Polska.

Langas jest organizacją specjalizującą się w szkoleniach z obszaru compliance, w tym również w zakresie KYC. Oferta szkoleniowa obejmuje kursy i szkolenia dotyczące procedur KYC, przeciwdziałania praniu pieniędzy oraz zagadnień związanych z bezpieczeństwem finansowym. Stowarzyszenie Compliance Polska jest instytucją certyfikującą, organizująca egzaminy i wydającej certyfikaty KYC Officer. Na stronach tych instytucji można znaleźć informacje o terminach i lokalizacjach szkoleń, a także o treści programów i wymaganiach certyfikacyjnych.

Jakie są podstawowe zasady i procedury KYC?

Podstawowe zasady i procedury KYC to procesy stosowane przez instytucje finansowe w celu identyfikacji, weryfikacji i oceny klientów w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. KYC ma na celu gromadzenie i sprawdzanie informacji o tożsamości klientów oraz ocenę ryzyka związanych z ich transakcjami. Procedury KYC obejmują: identyfikację klienta na podstawie dokumentów tożsamości, weryfikację źródła pochodzenia funduszy, ocenę ryzyka, monitorowanie i raportowanie podejrzanych transakcji. Celem KYC jest zapewnienie uczciwości, bezpieczeństwa i zgodności instytucji finansowej z przepisami prawnymi.

Zostały ono szczegółowo opisane w tym artykule.

Jakie dokumenty są wymagane do weryfikacji tożsamości klienta?

W celu weryfikacji tożsamości konieczne może być przedstawienie następujących dokumentów: dowodu osobistego, paszportu lub prawa jazdy, wraz z aktualnym adresem zamieszkania, np. poprzez przedstawienie rachunku za media lub wyciągu bankowego. Organizacje muszą również zbierać informacje o działalności gospodarczej klienta, takie jak dokumenty rejestracyjne firmy, umowy partnerskie czy dokumenty potwierdzające pełnomocnictwa. Ważne jest, aby każdy dokument był aktualny, ważny i niepodrobiony.

Więcej na ten temat znajdziesz w tym artykule.

Jakie są ryzyka związane z nieprzestrzeganiem zasad KYC?

Ryzyka związane z nieprzestrzeganiem zasad KYC (Know Your Customer) to:

  1. Naruszenie przepisów prawa – brak weryfikacji tożsamości klientów może prowadzić do niezgodności z przepisami AML i przepisami sankcyjnymi.
  2. Wprowadzenie do firmy nieuczciwych klientów – brak weryfikacji tożsamości zwiększa ryzyko pozyskania klientów związanych z praniem pieniędzy, oszustwami czy finansowaniem terroryzmu.
  3. Szkody finansowe i reputacyjne – niewłaściwie przeprowadzone procesy KYC mogą prowadzić do strat finansowych, utraty klientów i uszczerbku dla reputacji firmy.
  4. Poważne sankcje prawne – nieprzestrzeganie zasad KYC może skutkować nakładaniem kar i sankcji ze strony organów regulacyjnych, co wpływa negatywnie na działalność firmy.
  5. Utrudnienia w raportowaniu – brak kompletnych danych i dokumentacji utrudnia raportowanie transakcji, co prowadzi do problemów z audytem wewnętrznym i zewnętrznym.

Zostały ono szczegółowo opisane w tym artykule.

Jakie są obowiązujące przepisy i regulacje dotyczące KYC?

KYC (Know Your Customer) to procedura, której celem jest identyfikacja i weryfikacja tożsamości klienta w sektorze finansowym. W Polsce obowiązujące przepisy dotyczące KYC są głównie określone w ustawach takich jak: Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz Ustawa o działalności instytucji pieniądza elektronicznego. W Unii Europejskiej regulacje dotyczące KYC obejmują przede wszystkim Dyrektywę AML (Anti-Money Laundering) IV oraz V, a także Rozporządzenie o ochronie danych osobowych (RODO). Wymagania KYC obejmują zbieranie i weryfikację danych osobowych, sprawdzanie listy sankcji, weryfikację źródeł dochodów i celów transakcji. Przedsiębiorstwa finansowe są zobowiązane do prowadzenia skrupulatnej analizy ryzyka i monitorowania transakcji klientów. Celem tych przepisów jest zapobieganie praniu pieniędzy, finansowaniu terroryzmu oraz oszustwom finansowym.

Jakie są najnowsze trendy i wyzwania w obszarze KYC?

Najnowsze trendy i wyzwania w obszarze KYC (Know Your Customer) to procesy i regulacje mające na celu identyfikację klientów w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W ostatnich latach rozwinięcie technologii, takich jak biometria i sztuczna inteligencja, wpływa na rozwój narzędzi KYC. Ponadto, wprowadzenie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stawia większy nacisk na ochronę danych klientów. Wyzwaniem jest zatem dostosowanie się do nowych przepisów i zachowanie zgodności, jednocześnie zapewniając wygodę i skuteczność w procesach KYC.

AMLA – nowy organ nadzoru UE i jego kompetencje

​​Jedną z najistotniejszych zmian, jakie wprowadza Pakiet AML, jest utworzenie nowego Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (“AMLA”).

Organ ten będzie centralnie koordynował działania organów krajowych, przyczyniając się do rozwoju spójnej i jednolitej praktyki rynkowej. Ponadto będzie on pomagał poszczególnym organom krajowym w przeprowadzaniu analiz, przyczyniając się do usprawnienia gromadzenia danych wywiadu finansowego – kluczowego materiału dla organów ścigania.

AML Officer szkolenie

AMLA będzie koncentrować się na następujących obszarach:

  • wprowadzeniu zintegrowanego systemu nadzoru AML/CFT w całej UE opartego na ujednoliconych metodologiach i standardach nadzorczych;
  • bezpośredni nadzór nad najbardziej ryzykownymi instytucjami finansowymi, które działają w dużej liczbie państw członkowskich lub w odniesieniu do tych, w których może być wymagane natychmiastowe działanie w celu ograniczenia ryzyka AML/CFT
  • monitorowanie i koordynowanie działań krajowych organów nadzorczych odpowiedzialnych zarówno za podmioty finansowe, jak i niefinansowe
  • promowanie współpracy między krajowymi FIU oraz ułatwianie koordynacji ich pracy, jak również wspólnych analiz w celu poprawy wykrywania nielegalnych transgranicznych przepływów finansowych.

AMLA ma działać jako koordynator działań organów nadzoru krajowych oraz instytucji UE w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Jego głównym celem będzie zapewnienie jednolitych standardów i zasad działania w UE w zakresie AML/CTF.

AMLA będzie posiadał szerokie uprawnienia nadzorcze, w tym możliwość przeprowadzania inspekcji w firmach z sektorów ryzykownych, takich jak sektor bankowy czy sektor kryptowalut. Urząd będzie miał również możliwość nakładania sankcji na firmy, które nie spełnią wymogów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

AMLA będzie działał we współpracy z organami nadzoru krajowych oraz innymi instytucjami UE, takimi jak Europol czy Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF). Ma to zapewnić lepszą koordynację działań oraz wymianę informacji w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Urząd ma zostać utworzony do 2024 roku, a jego wdrożenie będzie wymagało współpracy państw członkowskich UE.

 

Pakiet AML obejmuje przepisy:

  • Rozporządzenie UE („jednolity zbiór przepisów”, „single rulebook”)

  • VI Dyrektywa AML

  • Rozporządzenie ustanawiające nowy unijny organ ds. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – AMLA ( z ang. Anti-Money Laundering Authority)

Światowe organy nadzoru badają ChatGPT

Europejska Rada Ochrony Danych powołała grupę roboczą ds. ChatGPT w celu monitorowania i zbadania kwestii jego zgodności z unijnymi regulacjami dotyczącymi ochrony danych osobowych przy m.in. generowaniu tekstów i rozmów z ludźmi.

Głównym celem grupy ds. ChatGPT jest opracowanie wytycznych dotyczących ochrony danych osobowych w związku z wykorzystaniem systemów sztucznej inteligencji do generowania tekstów i rozmów. Grupa będzie badać różne aspekty związane z ochroną danych, takie jak przetwarzanie danych osobowych, prawa użytkowników, bezpieczeństwo i odpowiedzialność za szkody wynikające z wykorzystania ChatGPT.

W skład grupy ds. ChatGPT wchodzą eksperci ds. ochrony danych osobowych, przedstawiciele różnych organów nadzorczych oraz innych zainteresowanych stron. Grupa ta będzie działać we współpracy z innymi organami i grupami roboczymi Europejskiej Rady Ochrony Danych Unii Europejskiej aby zapewnić koordynację działań i osiągnięcie celów wyznaczonych przez Radę.

Zagrożenia związane z wykorzystaniem ChatGPT do generowania tekstów i rozmów zostały zidentyfikowane przez Europejską Radę Ochrony Danych Unii Europejskiej  i mogą obejmować:

  • Naruszenie prywatności i ochrony danych osobowych: ChatGPT może zbierać i przetwarzać dane osobowe użytkowników, takie jak informacje o preferencjach, zachowaniach i intencjach. W związku z tym istnieje ryzyko naruszenia prywatności i ochrony danych osobowych.
  • Ryzyko dyskryminacji i uprzedzeń: ChatGPT może wprowadzać błędne założenia i uprzedzenia, na przykład w zakresie płci, rasy, orientacji seksualnej czy wyznania, co może prowadzić do dyskryminacji.
  • Ryzyko dezinformacji i fałszywych informacji: ChatGPT może generować nieprawdziwe lub mylące informacje, co może prowadzić do dezinformacji i manipulacji opinii publicznej.
  • Bezpieczeństwo cybernetyczne: ChatGPT może być podatny na ataki cybernetyczne, które mogą prowadzić do naruszenia bezpieczeństwa danych i prywatności użytkowników.
  • Odpowiedzialność za decyzje podejmowane przez ChatGPT: ChatGPT może podejmować decyzje, na przykład w zakresie rekomendacji produktów lub usług, co może prowadzić do odpowiedzialności prawnej za szkody wynikające z tych decyzji.

Organy publiczne na całym świecie zajmujące się ochroną danych osobowych i prywatności podejmują działania w sprawie ChatGPT.

Na poziomie europejskim, już w 2020 roku Europejska Rada Ochrony Danych Unii Europejskiej wydała wytyczne dotyczące wykorzystania sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. EDPB również powołała grupę roboczą ds. ChatGPT, o której powyżej mowa, aby badać zagadnienia związane z ochroną danych w kontekście tego systemu.

Na poziomie krajowym, w wielu krajach istnieją organy i agencje ds. ochrony prywatności, które także podejmują działania w kwestii ChatGPT. Na przykład w Stanach Zjednoczonych Federalna Komisja Handlu (Federal Trade Commission, FTC) wydała wezwanie do złożenia raportów od dziewięciu firm, które oferują narzędzia oparte o działanie sztucznej inteligencji, w tym ChatGPT, celem zbadania kwestii związanych z prywatnością i bezpieczeństwem.

Polska

W Polsce organem odpowiedzialnym za ochronę danych osobowych jest Urząd Ochrony Danych Osobowych (UODO). Zgodnie z informacjami dostępnymi na stronie internetowej UODO, w 2021 roku urząd ten wydał rekomendacje dotyczące wykorzystania sztucznej inteligencji, w tym ChatGPT, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. Urząd Ochrony Danych Osobowych wystąpił ostatnio do włoskiej agencji ochrony danych (Garante per la protezione dei dati personali) w sprawie ChatGPT. UODO chce zbadać, czy ChatGPT przestrzega europejskiej regulacji o ochronie prywatności, a także potencjalne ryzyko naruszania prywatności użytkowników.

UODO nie otrzymał do tej pory (kwiecień 2023) skarg dotyczących korzystania z ChatGPT i nie przeprowadził kontroli w związku z jego funkcjonowaniem, ale bada sprawę. Urząd liczy na uregulowanie kwestii sztucznej inteligencji na poziomie unijnym i organizuje inicjatywy edukacyjne oraz naukowe w celu lepszego zrozumienia wspomnianej technologii, a także, potencjalnych zagrożeń. UODO poprosił także włoską agencję ochrony danych o udostępnienie informacji dotyczących wykorzystania ChatGPT przez instytucje publiczne i prywatne we Włoszech.

Włochy

We Włoszech organem odpowiedzialnym za ochronę danych osobowych jest Garante per la protezione dei dati personali, czyli urząd ochrony danych osobowych. Garante zajmuje się ochroną danych osobowych oraz podejmuje działania w zakresie regulacji i nadzoru w tym obszarze.

W kontekście ChatGPT, Garante wskazuje na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, pod kątem prywatności i ochrony danych. W związku z tym, Garante opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w grudniu 2020 roku, w których dostrzegł konieczność ochrony danych osobowych i prywatności użytkowników oraz wskazał, że przed wdrożeniem takich systemów należy dokładnie zbadać ich wpływ na prywatność i ochronę danych.

Ponadto, we wrześniu 2021 roku Garante wszczął postępowanie wyjaśniające w sprawie wykorzystania przez Facebook systemu sztucznej inteligencji w tzw. smart glasses, który może naruszać prywatność i ochronę danych osobowych użytkowników. Postępowanie to ma na celu zbadać, czy Facebook przestrzega przepisów dotyczących ochrony danych osobowych i czy jego system respektuje prywatność użytkowników. Warto również dodać, że we Włoszech tematem zajmuje się również krajowe centrum ds. cyberbezpieczeństwa (Centro Nazionale Cyber ​​Difesa), które monitoruje zagrożenia związane z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Niemcy

W Niemczech organem nadzorującym ochronę danych osobowych jest Federalny Komisarz do spraw Ochrony Danych i Wolności Informacyjnej (BfDI). BfDI jest niezależnym organem nadzorczym, który zajmuje się ochroną danych osobowych, a także promuje świadomość w zakresie prywatności i bezpieczeństwa danych dla wszystkich organów publicznych rządu federalnego.

W kontekście ChatGPT, BfDI wskazuje na konieczność ochrony danych osobowych użytkowników oraz na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy. W związku z tym, BfDI opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w maju 2021 roku, w których zwrócił uwagę na konieczność przestrzegania przepisów dotyczących ochrony danych osobowych oraz na potrzebę wyjaśnialności w stosowaniu sztucznej inteligencji.

BfDI również podejmuje konkretne działania w sprawie ChatGPT. W 2021 roku, BfDI wszczął postępowanie przeciwko platformie Clubhouse, która wykorzystuje system generowania tekstów w celu automatycznego generowania transkrypcji rozmów. Postępowanie to ma na celu zbadać, czy Clubhouse przestrzega przepisów dotyczących ochrony danych osobowych oraz czy jego system generowania tekstów respektuje prywatność użytkowników. Ponadto, w Niemczech istnieje również Federalne Biuro ds. Bezpieczeństwa Sieci Informacyjnych (BSI), które jest odpowiedzialne za monitorowanie i przeciwdziałanie zagrożeniom związanym z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Francja

W kontekście ChatGPT, władze francuskie podjęły kilka działań dotyczących ochrony prywatności i danych osobowych użytkowników. Jeden z organów zajmujących się ochroną danych w Francji to Komisja ds. Informacji i Wolności (Commission nationale de l’informatique et des libertés, CNIL). W maju 2021 roku, CNIL opublikowała swoje wytyczne dotyczące sztucznej inteligencji, w których podkreśla konieczność ochrony prywatności i danych osobowych użytkowników, a także na potrzebę przejrzystości i odpowiedzialności w stosowaniu sztucznej inteligencji.

Ponadto, w lipcu 2021 roku CNIL wszczęła postępowanie przeciwko platformie do nauki języków, Duolingo, która wykorzystuje system generowania tekstu, w tym ChatGPT, do automatycznego tłumaczenia tekstów użytkowników. Postępowanie to ma na celu zbadać, czy Duolingo przestrzega przepisów dotyczących ochrony danych osobowych i prywatności użytkowników, a także czy jego system generowania tekstu respektuje prywatność użytkowników. W tym samym okresie francuski organ nadzorczy ochrony danych osobowych wydał również decyzję nakładającą na Google karę w wysokości 500 milionów euro za naruszanie przepisów dotyczących prywatności i danych osobowych użytkowników w związku z wykorzystaniem plików cookie.

W sierpniu 2021 roku, francuski rząd przedstawił projekt ustawy dotyczącej sztucznej inteligencji, który ma na celu regulację stosowania sztucznej inteligencji i ochronę danych użytkowników. Projekt ustawy zakłada, że systemy oparte na sztucznej inteligencji, w tym ChatGPT, będą musiały być transparentne i odpowiedzialne, a także przestrzegać przepisów dotyczących ochrony danych osobowych użytkowników.

Co dalej?

Jako model językowy, ChatGPT nie jest bezpośrednio regulowany przez Europejską Radę Ochrony Danych ale może podlegać przepisom dotyczącym ochrony danych osobowych. W związku z tym, kolejne kroki Rady wobec ChatGPT mogą obejmować:

  1. Monitorowanie działań ChatGPT w odniesieniu do ochrony danych osobowych, aby upewnić się, że model spełnia wymogi regulacyjne.
  2. Przeprowadzanie audytów bezpieczeństwa w celu upewnienia się, że ChatGPT przestrzega wymogów dotyczących bezpieczeństwa i prywatności danych.
  3. Współpraca z dostawcami technologii i twórcami modelu, aby zapewnić zgodność z regulacjami dotyczącymi ochrony danych.
  4. Podejmowanie działań w przypadku naruszenia prywatności lub bezpieczeństwa danych przez ChatGPT, w tym na przykład nałożenie kar lub innych sankcji.
  5. Przeprowadzanie badań dotyczących wpływu modeli językowych na prywatność i bezpieczeństwo danych, w tym na przykład badania dotyczące wykorzystania danych wrażliwych lub kwestii związanych z identyfikacją osobistą.
  6. Opracowywanie i aktualizowanie wytycznych dotyczących prywatności i bezpieczeństwa danych dla modeli językowych, takich jak ChatGPT, aby pomóc w zapewnieniu zgodności z regulacjami dotyczącymi ochrony danych i prywatności.

Jak zidentyfikować zagrożenia związane z ESG we własnym łańcuchu dostaw?

Posiadanie strategii ESG nie jest już rzeczą opcjonalną dla firm. Zagadnienie zrównoważonego rozwoju staje się strategicznym priorytetem dla firm na całym świecie. Wyjaśniamy, jak zidentyfikować zagrożenia związane z ESG we własnym łańcuchu dostaw.

Kto sprzedaje najwięcej samochodów lub osiąga największe zyski? Można powiedzieć, że przez dziesiątki lat te dane liczbowe determinowały branżę motoryzacyjną. Wielkość emisji CO2 albo rodzaj energii wykorzystywanej do zasilania fabryki – przez długi czas aspekty te nie były uważane za istotne. Dzisiaj producenci samochodów, na przykład Mercedes Benz, stawiają sobie inne cele, takie jak: zmniejszenie o połowę śladu CO2 do 2030 roku. Ten cel jest częścią strategii ESG i odzwierciedla globalny trend przechodzenia na zrównoważoną gospodarkę.

Znaczenie ESG

ESG oznacza Environment, Social, Governance, czyli środowisko naturalne, politykę społeczną i ład korporacyjny). Zagadnienia powiązane z ESG, na przykład odpowiedzialność społeczna, świadomość ekologiczna i zrównoważony rozwój, jak również przejrzyste zarządzanie przedsiębiorstwem, mają związek z działalnością biznesową. Strategia ESG obejmuje cele i działania w tych obszarach tematycznych. Co więcej, duże przedsiębiorstwa nie tylko przykładają coraz większą wagę do wykrywania i ograniczania zagrożeń ESG w obrębie własnej grupy, lecz także coraz częściej oceniają czynniki ESG u partnerów biznesowych. W związku z tym – zgodnie z niemiecką ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw (niem. LkSG) – przedsiębiorstwa mają obowiązek kontroli własnych dostawców pod kątem zagrożeń związanych z ESG.

Strategiczne podejście bazuje tutaj na tym, że wspomniane działania muszą być długofalowe i w wielu przypadkach wymagają również transformacji procesów istniejących w przedsiębiorstwie.

Ze względu na rosnące wymogi regulacyjne firmy na całym świecie muszą wykazać w oparciu o konkretne dane liczbowe, na ile dobrze spełniają kryteria ESG.

Indywidualne znaczenie kryteriów ESG  

„Dzisiaj przedsiębiorstwa potrzebują strategii ESG opartej na prawidłowych danych. W zależności od wielkości firmy i branży istnieją różne wymagania, które należy spełnić podczas nakreślania strategii i nadawania znaczenia kryteriom ESG”

wyjaśnia Carsten Ettmann, starszy konsultant ds. ryzyka i  zgodności w Dun & Bradstreet.

Podczas gdy w przypadku koncernu chemicznego duże znaczenie mają zwłaszcza aspekty środowiskowe, dostawca usług personalnych ukierunkuje swoją strategię zrównoważonego rozwoju na aspekty społeczne.

Kryteria ESG podstawą strategii przedsiębiorstw w zakresie zrównoważonego rozwoju 

Aby móc zmierzyć i ocenić zrównoważony rozwój, odpowiedzialność społeczną i ład korporacyjny oparty na wartościach, potrzebne są zdefiniowane kryteria. Do takich kryteriów zalicza się na przykład wielkość emisji CO2, wprowadzenie zasady równości szans w przedsiębiorstwie lub certyfikacja w obszarach takich jak ochrona zdrowia lub gospodarka o obiegu zamkniętym. Na podstawie tego rodzaju czynników można zmierzyć i ocenić zrównoważony rozwój przedsiębiorstwa i porównać go z konkurencją.

SASB

Czym jest Sustainability Accounting Standards Board (SASB)?

SASB to niezależna organizacja non-profit, która określa globalne zasady dotyczące publikowania informacji na temat zrównoważonego rozwoju. Istnieją już standardy dla 77 branż, podzielone według obszarów tematycznych, takich jak środowisko naturalne, polityka społeczna i  ład korporacyjny.

Dun & Bradstreet klasyfikuje dane ESG w 13 obszarach tematycznych

W oparciu o SASB i inne standardy międzynarodowe (GRI, TCFD itd.) agencja Dun & Bradstreet sklasyfikowała swoje dane ESG w 13 obszarach tematycznych. Zasoby naturalne, emisje gazów cieplarnianych i zagrożenia związane z klimatem, zagrożenia i szanse związane z ochroną środowiska, kapitał ludzki, produkty i usługi, utrzymanie klientów, zaangażowanie społeczne, zaangażowanie dostawców, certyfikaty, ład korporacyjny i odporność przedsiębiorstwa. Te obszary tematyczne dzielą się na dalsze podtypy danych.

„Dokonując klasyfikacji, kierowaliśmy się przepisami ustawowymi, np. ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw w celu przestrzegania praw człowieka, oraz Taksonomią UE. Obecnie przedsiębiorstwa są zobowiązane na przykład do pozyskiwania informacji dotyczących śladu CO2 partnerów biznesowych, warunków pracy lub zaangażowania społecznego. Oferując D&B ESG Intelligence, Dun & Bradstreet dostarcza rozwiązanie, które ułatwia dostępność tych danych”

dodaje Ettmann.

Ranking ESG na rzecz zwiększenia przejrzystości  

Ranking ESG opracowany przez Dun & Bradstreet określa, w jakim stopniu dana firma zaangażowana jest w działanie związane ze zgodnością ESG, które może skutkować stratą finansową. Do pomiaru ryzyka stosuje się skalę od 1 do 5, przy czym 1 oznacza najmniejsze, a 5 największe ryzyko. W przypadku gdy firma współpracuje z dostawcą o rankingu ESG 5, można z tego wywnioskować, że ryzyko jest bardzo wysokie.

Z rankingu ESG można również dowiedzieć się, w jakim obszarze firma posiada dobry ranking. Ranking „E” koncentruje się na ochronie środowiska, ranking „S” na polityce społecznej, a ranking „G” na aspektach związanych z ładem korporacyjnym. Dodatkowo dostępne są również branżowe dane porównawcze i informacje na temat zastosowanych danych źródłowych, dzięki czemu można bardzo dokładnie oszacować zagrożenia.

„D&B ESG Intelligence pomaga przedsiębiorstwom w identyfikacji partnerów biznesowych z dobrymi wynikami ESG, co ułatwia podejmowanie właściwych decyzji handlowych oraz umożliwia wykrywanie zagrożeń, takich jak zła reputacja albo szkody wynikające z niedostosowania do regulacji lub straty operacyjne w łańcuchu dostaw”,

mówi Carol Ettmann.

Narzędzie D&B wpisuje się w cały arsenał dostępnych na runku narzędzi wspierających procesy transparentności biznesowej, takie jak ESG  czy AML.
Inne narzędzia i technologie stosowane w AML obejmują:

  1. Systemy zarządzania ryzykiem – służą do identyfikacji, oceny i monitorowania ryzyka prania pieniędzy.
  2. Filtrowanie i analiza transakcji – wykorzystuje się narzędzia do przetwarzania dużej ilości danych transakcyjnych, identyfikacji podejrzanych wzorców i wykrywania nieprawidłowości.
  3. Weryfikacja tożsamości – technologie biometryczne, rozpoznawanie twarzy i odcisków palców pomagają w uwierzytelnianiu klientów.
  4. Rozpoznawanie tekstu – stosuje się techniki OCR (Optical Character Recognition), aby automatycznie odczytywać i analizować dokumenty identyfikacyjne.
  5. Analiza sieciowa – wykorzystuje się algorytmy do analizy powiązań między różnymi podmiotami w celu identyfikacji podejrzanych wzorców i struktur.
  6. Sztuczna inteligencja i uczenie maszynowe – wspomagają automatyczną analizę danych, identyfikację ryzyka oraz wykrywanie anomalii i nieprawidłowości.
  7. Raportowanie i monitorowanie – narzędzia do generowania raportów oraz monitorowania i raportowania transakcji podejrzanych.

Odpowiedzialność Rady Nadzorczej za wdrożenie i utrzymanie systemu compliance

Jak obecnie, po nowelizacji Kodeksu spółek handlowych, wygląda odpowiedzialność Rady Nadzorczej za wdrożenie i utrzymanie systemu compliance? A jak się do tego ma projekt nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary?

Do zakresu działania rady nadzorczej z istoty tego organu należy prowadzenie stałego nadzoru i kontroli działalności spółki, mając przede wszystkim na względzie interes spółki. Obowiązek ten sam w sobie stanowi pewien zalążek systemu compliance i pozycjonuje radę nadzorczą jako organ, który nadaje ton działaniom w tym zakresie.

Ogólnie rzecz ujmując, system compliance w spółce ma zapewniać zgodność działalności spółki z szeroko rozumianymi regulacjami prawnymi i ograniczać sytuacje wystąpienia nieprawidłowości. Jednak o ile system compliance występuje stosunkowo często w przypadku spółek publicznych w związku z Dobrymi Praktykami Spółek Notowanych na GPW 2021, o tyle w spółkach nieposiadających statusu spółek publicznych występuje on stosukowo rzadko i postrzegany jest jako element kosztowny oraz hamujący biznes. Jednak wbrew pozorom system ten bardzo często istotnie przyczynia się do ograniczenia strat w sytuacji, w której w ramach przedsiębiorstwa wystąpi delikt administracyjny czy nawet przestępstwo.

Nowelizacja KSH wprowadziła w tym zakresie istotną zmianę polegającą zasadniczo na obowiązku posiadania systemu compliance przez praktycznie każdą spółkę akcyjną, a przynajmniej na corocznej ocenie tego, czy taki system powinien być w spółce wdrożony. Rada nadzorcza w swoich rocznych sprawozdaniach musi bowiem ujmować ocenę sytuacji spółki z uwzględnieniem adekwatności i skuteczności systemu compliance.

Obowiązkiem rady nadzorczej jest zatem weryfikować, czy system compliance jest adekwatny, bądź też wymaga zmian i wzmocnienia jego roli z uwagi na np. wielkość spółki, jej obroty, narażenie na wystąpienie nieprawidłowości.

Zmiana ta ma również istotne znaczenie z dwóch powodów.

Po pierwsze, w ostatnich dwóch latach Komisja Nadzoru Finansowego („KNF”) rozpoczęła intensywne nakładanie administracyjnych kar pieniężnych na członków rad nadzorczych. W toku takich postępowań KNF ocenia należytą staranność członków tych organów
w sprawowanych przez nich obowiązkach. Ocena ta ma charakter indywidualny i dokonywana jest w perspektywie zidentyfikowanego w ramach działalności spółki naruszenia np. obowiązków sprawozdawczych. Brak oceny systemów compliance przez radę nadzorczą czy też brak rekomendacji ich wdrożenia, pomimo istnienia obiektywnie takiej potrzeby, z pewnością zostanie uznany za działanie niestaranne.

Po drugie, zmiana ta ma również istotne znaczenie w perspektywie projektowanej nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Przesłanką odpowiedzialności podmiotu zbiorowego na gruncie projektowanej nowelizacji będzie m.in. wystąpienie takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego. Za taką nieprawidłowość projekt ustawy uznaje m.in. brak wyznaczenia osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów regulujących działalność podmiotu zbiorowego – innymi słowy komórki compliance. Z kolei przesłanką wyłączającą odpowiedzialność podmiotu zbiorowego ma być dochowanie należytej staranności przez wszystkie organy tej spółki, a więc np. radę nadzorczą. Skoro tak, to brak przyjęcia systemu compliance, pomimo corocznej oceny i obiektywnej potrzeby jego wdrożenia, istotnie zwiększy ryzyko odpowiedzialności spółki na gruncie projektowanej nowelizacji.

To wszystko powoduje, że system compliance przestaje być jedynie dobrą praktyką, a staje się powoli wymogiem bezwzględnie obowiązujących przepisów prawa.

Role i obowiązki członków zarządów i rad nadzorczych oraz pracowników compliance/AML

Ustawa z 1 marca 2018 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nałożyła na instytucje obowiązek wyznaczenia osób odpowiedzialnych za należyte wykonanie przepisów ustawy.

Zgodnie z art.6 instytucje obowiązane wyznaczają kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w ustawie, w tym m.in. za czynności związane z akceptacja nawiązania albo kontynuacji relacji z klientami wysokiego ryzyka (np. PEP i RCA) lub konsultację w zakresie wewnętrznej procedury instytucji obowiązanej dotyczącej AML/CFT. Ponadto, gdy w instytucji obowiązanej działa zarząd lub inny organ zarządzający, wyznacza się spośród członków tego organu osobę odpowiedzialną za wdrażanie obowiązków określonych w Ustawy AML*.

Tomasz Wojtaszczyk

Ponadto ustawodawca przewidział obowiązek wyznaczenie pracownika zajmującego kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności działalności samej instytucji, jak też jej pracowników oraz innych osób wykonujących czynności na rzecz banku, z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. AML/Compliance Oficer).

Pracownik ten odpowiedzialny jest zarówno za przygotowanie i realizację polityki zgodności, jak i za raportowanie zawiadomień do jednostki analityki finansowej. Ciąży też na nim szereg obowiązków wynikających z ustawy, a których wspólnym mianownikiem jest potrzeby zorganizowania i nadzorowania (monitorowania) systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucji obowiązanej.

Zarówno potrzeba wyznaczenia osoby odpowiedzialnej spośród kadry kierowniczej wyższego szczebla, jak i wymagania wynikające z wymienionych (skrótowo) powyżej obowiązków obwarowane zostały karami administracyjnymi oraz przepisami karnymi zawartymi w samej ustawie celem prawidłowego ich wykonywania.

Obowiązki firmy w zakresie AML (Anti-Money Laundering) to zbiór działań podejmowanych w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. Firmy są zobowiązane do identyfikacji i weryfikacji tożsamości swoich klientów, monitorowania transakcji oraz zgłaszania podejrzanych działalności organom regulacyjnym. Dodatkowo, instytucje obowiązane muszą opracować i wdrożyć odpowiednie procedury i polityki AML, szkolić personel w zakresie identyfikacji podejrzanych działań oraz prowadzić regularne przeglądy i audyty w celu zapewnienia zgodności z przepisami.

Monitoring transakcji w zakresie zapobiegania praniu pieniędzy (AML) obejmuje różne metody. Są to:

  1. Analiza transakcji: Prześledzenie historii transakcji klienta, identyfikacja nieprawidłowości i podejrzanych wzorców.
  2. Filtracja i weryfikacja danych: Wykorzystanie narzędzi do przeglądania baz danych, list sankcji i innych źródeł informacji w celu sprawdzenia tożsamości klienta i identyfikacji podejrzanych transakcji.
  3. Monitorowanie w czasie rzeczywistym: Automatyczne monitorowanie transakcji w czasie rzeczywistym w celu wykrycia niezwykłych lub podejrzanych zachowań.
  4. Analiza wzorców: Wykorzystanie algorytmów i sztucznej inteligencji do analizy danych transakcyjnych i wykrywania nieprawidłowości w zachowaniu klientów.
  5. Raportowanie i powiadomienia: Generowanie raportów i powiadomień w przypadku podejrzanych transakcji, które mogą wymagać dalszej analizy i zgłoszenia organom regulacyjnym.

Metody te pomagają instytucjom finansowym i organizacjom weryfikować legalność transakcji, identyfikować potencjalne zagrożenia i przeciwdziałać działaniom przestępczym związanych z praniem pieniędzy.

Nowe wytyczne EBA i UKNF

Europejski Urząd Nadzoru Bankowego (The European Banking Authority – EBA) 4 czerwca 2022 roku opublikował wytyczne określające role i obowiązki AML/compliance oficera oraz organu zarządzającego w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucjach kredytowych i finansowych. Ich celem jest stworzenie jasnych zasad dotyczących zarządzania obszarem AML/CFT oraz wykonanie rekomendacji Komisji Europejskiej odnośnie sprecyzowania funkcji AML/compliance oficerów w instytucjach finansowych.

W celu doprecyzowania obowiązków określonych tych Wytycznych,  Urząd Komisji Nadzoru Finansowego wydał 1 grudnia 2022 roku stanowisko dotyczące AMLRO, które dotyczy dobrych praktyk w zakresie wypełniania obowiązków wynikających z Ustawy AML.

UKNF oczekuje, aby podmioty nadzorowane przeprowadziły analizę stopnia dostosowania do wymogów Stanowiska oraz bez zbędnej zwłoki włączyły jego zapisy do praktyki działania odpowiednio zmieniając swoje regulacje wewnętrzne oraz procesy nadzorcze, proporcjonalnie do skali, rodzaju i charakteru działalności.

Mając na uwadze powyższe zagadnienia związane z rolą i zadaniami:

  • pracownika odpowiedzialnego za zapewnienie zgodności z przepisami w zakresie AML/CFT (AML/compliance officer),
  • organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT,
  • organu nadzorującego.

przygotowaliśmy dla Państwa szkolenie „AML/CFT – role i obowiązki członków zarządów i rad nadzorczych oraz pracowników compliance/AML”.

UKNF w swoim stanowisku wskazuje na rolę i obowiązki AML Oficera, m.in.:

  • opracowanie i wdrażanie ramy oceny ryzyka prania pieniędzy i finansowania terroryzmu instytucji oraz prezentowanie wyników tej oceny wraz z mechanizmami mitygacyjnymi organowi zarządzającemu lub członkowi kadry kierowniczej wyższego szczebla odpowiedzialnemu za AML/CFT,
  • zapewnienie wprowadzenia odpowiednich polityk (strategii) i procedur AML/CFT, ich bieżące aktualizowanie i skuteczne wdrażanie (wraz z odpowiednimi mechanizmami kontrolnymi) oraz zapewnienie, aby były one regularnie poddawane przeglądowi i w razie potrzeby zmieniane lub aktualizowane, jak również przedstawiać propozycje dostosowania polityk i procedur do zmian regulacyjnych lub zmian w zakresie ryzyk ML/FT podmiotu nadzorowanego (co najmniej w zakresie elementów określonych w art. 50 ust. 2 ustawy),
  • w ramach funkcji drugiej linii obrony – odpowiadanie za monitorowanie zgodności polityk, mechanizmów kontrolnych i procedur z obowiązkami AML/CFT
  • nadzorowanie skuteczności mechanizmów kontrolnych przez linie biznesowe i jednostki organizacyjne
  • zapewnienie aktualizacji elementów procesu AML/CFT
  • ewentualne rekomendowanie organowi zarządzającemu odpowiednich działań naprawczych (w razie stwierdzenia nieprawidłowości w procesie AML/CFT, w tym przez organy informacji finansowej i nadzoru oraz audyt)
  • informowanie organu zarządzającego o środkach, jakie należy zastosować w celu zapewnienia compliance, a także ocena możliwego wpływ ewentualnych zmian w otoczeniu prawnym na działalność podmiotu nadzorowanego i jej zgodność z przepisami prawa
  • zwracanie uwagi członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT w szczególności na:
    • obszary wymagające wdrożenia nowych mechanizmów kontrolnych lub usprawnienia istniejących,
    • sprawozdania z realizacji istotnych programów naprawczych (co najmniej raz w roku),
    • adekwatność zasobów ludzkich i technicznych przydzielonych komórce ds. AML/CFT
    • kompleksowe sprawozdanie ze swojej działalności (co najmniej raz w roku)
  • w odniesieniu do obowiązku przekazywania informacji o transakcjach (w tym podejrzanych) do GIIF – zapewnić, żeby inni pracownicy zajmujący się tym obszarem byli odpowiednio kompetentni oraz uwzględnić obowiązek zachowania tajemnicy, ochronę danych i inne ograniczenia mogące mieć znaczenie w zakresie wymiany informacji – w ramach tej funkcji AML Oficer powinien m.in.:
    • znać funkcjonowanie systemu monitorowania transakcji,
    • przyjmować zgłoszenia od pracowników, pośredników lub dystrybutorów podmiotu nadzorowanego o budzących wątpliwości transakcjach, podmiotach i osobach,
    • zapewnić niezwłoczne rozpatrywanie tych zgłoszeń, przy uwzględnieniu ustalonych priorytetów,
    • prowadzić rejestr wszystkich przeprowadzonych analiz dotyczących zgłoszeń oraz informacji zwrotnych otrzymanych od GIIF,
    • zapewnić niezwłoczne przekazywanie informacji o transakcjach podejrzanych do GIIF wraz z niezbędnymi danymi i uzasadnieniem,
    • zapewnić niezwłoczne przekazywanie wyczerpującej odpowiedzi na zapytania GIIF,
    • regularnie analizować czy ostrzeżenia o nietypowej działalności lub transakcjach nie zostały przekazane na wyższy szczebel jako zgłoszenia wewnętrzne oraz, jeśli takie sytuacje zaistniały, powody dla których nie zostały przekazane
    • zapewnić, aby mechanizmy kontrolne umożliwiały stosowanie się pomiotu nadzorowanego do wytycznych wydanych przez organy informacji finansowej oraz nadzoru
  • w zakresie realizacji obowiązku szkoleniowego i podnoszenia świadomości pracowników:
    • należycie informować personel o ryzykach ML/FT, na które narażony jest podmiot nadzorowany, w tym o metodach, tendencjach i typologii prania pieniędzy i finansowania terroryzmu, a także o podejściu opartym na analizie ryzyka,
    • nadzorować przygotowanie i realizację programu szkoleniowego oraz jego udokumentowanie,
    • zapewnić, aby szkolenia były zróżnicowane i dostosowane do profilu i poziomu ryzyka ML/FT w odniesieniu do danej grupy pracowników,
    • zapewnić odpowiednią jakość i aktualność szkoleń oraz sprawdzenie stopnia opanowania wiedzy,
    • zapewnić dostosowanie programu szkoleniowego zagranicznej spółki dominującej do przepisów prawa krajowego, a także do typologii prania pieniędzy i finansowania terroryzmu oraz specyfiki działań danego podmiotu nadzorowanego.

Kolejnym ważnym obszarem jest dokumentacja całego procesu. Zasady zbierania i przechowywania danych w AML są istotne dla skutecznej walki z przestępczością finansową. W AML wymagane jest gromadzenie i przechowywanie różnorodnych danych, takich jak informacje o klientach, transakcjach i dokumentacji potwierdzającej tożsamość. Zasady te obejmują konieczność zbierania kompletnych i dokładnych informacji, w tym danych personalnych, źródeł dochodów, celu transakcji oraz informacji o ryzyku związanych z klientem.

Ważne jest również utrzymywanie poufności zgromadzonych danych, zapewniając ich odpowiednią ochronę i zabezpieczenia przed nieautoryzowanym dostępem. Dane powinny być przechowywane przez określony okres zgodnie z przepisami prawnymi, a następnie mogą być usuwane lub archiwizowane.

Przestrzeganie zasad zbierania i przechowywania danych w AML jest nie tylko obowiązkowe, ale również kluczowe dla skutecznej identyfikacji i wykrywania podejrzanych transakcji finansowych oraz wspierania działań organów ścigania.

W tym zakresie nie można przecenić systemu szkoleń i walidacji przygotowanego przez Stowarzyszenie Compliance Polska.

Program szkoleń i egzaminów certyfikujących został stworzony przez doświadczonych praktyków, z Radą Programową w skład której wchodzą szefowie działów Compliance największych instytucji finansowych, pod auspicjami stowarzyszenia, które skupia środowisko Compliance w Polsce.

Pobierz pełen katalog szkoleń i certyfikacji>>

AML & Compliance

W stanowisku UKNF podkreślono rolę organu pełniącego funkcję nadzorczą w procesie AML/CFT

Organ nadzorujący odpowiada za nadzorowanie i monitorowanie wdrażania ram zarządzania wewnętrznego i kontroli wewnętrznej dla zapewnienia zgodności z obowiązującymi wymogami w obszarze AML/ CFT, w tym m.in. powinien:

  • nadzorować i monitorować adekwatność i skuteczność realizacji polityki (strategii) i procedur AML/CFT uwzględniając specyfikę rodzajów ryzyka ML/FT, podmiotu nadzorowanego oraz powodować podjęcie działań i środków naprawczych adekwatnych do zidentyfikowanych nieprawidłowości
  • dokonywać regularnych przeglądów sprawozdań z działalności AMLRO (AML Oficera) oraz co najmniej raz w roku oceniać skuteczność działalności w zakresie AML/CFT, z uwzględnieniem wniosków systemu kontroli wewnętrznej, w tym audytu. W ramach dobrych praktyk przyjmuje się, że okresowe raporty dla zarządu powinny być generowane w cyklach miesięcznych lub kwartalnych, a dla rady nadzorczej – w cyklach kwartalnych lub półrocznych.
  • zapewnić, aby członek organu zarządzającego odpowiedzialny za proces AML/CFT (lub członek kadry kierowniczej wyższego szczebla odpowiedzialny za wykonywanie obowiązków określonych w ustawie) posiadał wiedzę, umiejętności i doświadczenie konieczne do zidentyfikowania i oceny ryzyka specyficznego dla podmiotu nadzorowanego ML/FT oraz zarządzania nim, a także otrzymywał informacje o decyzjach potencjalnie wpływających na ryzyka, na które jest narażony podmiot nadzorowany
  • mieć dostęp do stosownych danych i informacji oraz wykorzystywać je w celu skutecznej realizacji zadań z zakresu AML/CFT
  • mieć dostęp do sprawozdań AMLRO i audytu, informacji o wynikach kontroli i korespondencji z uprawnionymi organami państwowymi oraz informacji o środkach nadzorczych i nałożonych karach. Zadania i rola członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla .

Dodatkowo Stanowisko wskazuje zadania i rolę członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT

 Członek organu zarządzającego lub członek kadry kierowniczej wyższego szczebla powinien:

  • mieć odpowiednią wiedzę, umiejętności i doświadczenie w zakresie ryzyka ML/TF oraz wdrażania polityk (strategii), mechanizmów kontrolnych i procedur AML/CFT, a także dotyczącą specyfiki działalności podmiotu nadzorowanego; dotyczy to również osób zastępujących na czas nieobecności takie osoby
  • zapewnić, aby organ zarządzający lub w przypadku braku organu zarządzającego – kadra kierownicza wyższego szczebla byli świadomi wpływu ryzyk ML/FT na profil ryzyka w odniesieniu do całej działalności podmiotu nadzorowanego
  • mieć zapewniony czas, zasoby i uprawnienia niezbędne do skutecznego wypełniania obowiązków AML/CFT
  • terminowo składać kompleksowe sprawozdania z realizacji zadań oraz przekazywać informacje organowi nadzorującemu
  • zapewnić adekwatność i proporcjonalność polityk (strategii), procedur i systemu kontroli wewnętrznej w obszarze AML/CFT z uwzględnieniem specyfiki działalności oraz ryzyk ML/FT w odniesieniu do podmiotu nadzorowanego
  • zapewnić, aby AMLRO regularnie i terminowo składał organowi zarządzającemu kompleksowe raporty na temat ryzyk ML/FT i zgodności z przepisami AML/CFT niezbędne dla realizacji procesu decyzyjnego przez ten organ
  • zapewnić, aby AMLRO miał bezpośredni dostęp do informacji niezbędnych do wykonywania swoich zadań, w tym informacji o incydentach i nieprawidłowościach związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w skali całego podmiotu nadzorowanego oraz o uchybieniach stwierdzonych przez system kontroli wewnętrznej i przez krajowe (w przypadku grup – zagraniczne) organy nadzoru, a także dysponował wystarczającymi zasobami ludzkimi i technicznymi oraz narzędziami umożliwiającymi mu odpowiednie wykonywanie powierzonych zadań
  • zapewnić, aby był on dla AMLRO główną i bezpośrednią osobą kontaktową w kierownictwie podmiotu nadzorowanego oraz zapewnić odpowiednią reakcję organów podmiotu nadzorowanego na wnioski AMLRO, w tym na forum organu zarządzającego lub kadry kierowniczej wyższego szczebla, a w przypadku istotnych incydentów w obszarze AML/CFT, zabezpieczyć bezpośredni dostęp do organu nadzorującego.

Obowiązki raportowania transakcji podejrzanych obejmują zgłaszanie wszelkich transakcji, które mogą wywoływać podejrzenie lub wskazywać na potencjalne działania nielegalne, takie jak pranie pieniędzy lub finansowanie terroryzmu. Raportowanie takich transakcji jest wymagane przez organy regulacyjne – GIIF, UKNF – w celu zapobiegania i wykrywania przestępstw finansowych. Osoby odpowiedzialne za raportowanie powinny monitorować transakcje, identyfikować te, które są podejrzane lub wywołujące podejrzenia, a następnie zgłaszać je w odpowiednim czasie i formacie. Przestrzeganie tych obowiązków jest istotne dla ochrony przed nadużyciami finansowymi i utrzymania bezpieczeństwa w sektorze finansowym.

AML (Anti-Money Laundering) to zbiór zasad i procedur mających na celu zapobieganie praniu pieniędzy i finansowaniu terroryzmu. Podstawowe zasady AML obejmują identyfikację klienta, monitorowanie transakcji, raportowanie podejrzanych aktywności i przestrzeganie przepisów prawnych. Firmy finansowe i instytucje podlegające regulacjom muszą stosować te zasady, aby minimalizować ryzyko wykorzystania ich usług do celów nielegalnych.

Najważniejsze przepisy prawne dotyczące AML obejmują m.in.:

  1. Dyrektywę UE AML, która wymaga wprowadzenia procedur wewnętrznych i identyfikacji ryzyka związanego z praniem pieniędzy.
  2. Polskie ustawy, takie jak Ustawa o przeciwdziałaniu praniu pieniędzy oraz Ustawa o Krajowym Systemie Płatniczym, które nakładają obowiązki na instytucje finansowe w zakresie identyfikacji klienta, raportowania transakcji podejrzanych oraz utrzymania systemów kontroli wewnętrznej.
  3. Rekomendacje FATF (Financial Action Task Force), które stanowią międzynarodowe standardy w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Jakie są metody oceny skuteczności programów AML?

Metody oceny skuteczności programów AML to procesy, które pomagają w ustaleniu efektywności tych programów. Najczęściej stosowane metody to:

  1. Analiza wskaźników – badanie danych statystycznych, takich jak liczba zgłoszeń podejrzanych transakcji, w celu oceny skuteczności systemów AML.
  2. Ocena ryzyka – identyfikowanie i analizowanie czynników ryzyka, takich jak kraje o wysokim poziomie korupcji, aby dostosować program AML do konkretnych zagrożeń.
  3. Audyt wewnętrzny – przeprowadzanie niezależnych audytów, aby ocenić skuteczność programu AML i zidentyfikować obszary wymagające ulepszeń.
  4. Testy penetracyjne – symulowanie ataków cybernetycznych, aby sprawdzić, czy system AML skutecznie wykrywa podejrzane aktywności.
  5. Ocena zgodności – sprawdzanie, czy program AML jest zgodny z obowiązującymi przepisami i regulacjami dotyczącymi przeciwdziałania praniu brudnych pieniędzy.

Wszystkie te metody mają na celu zapewnienie skutecznej ochrony przed praniem pieniędzy i finansowaniem terroryzmu.

Metody wykrywania i zapobiegania finansowaniu terroryzmu (CFT) obejmują:

  1. Analiza transakcji: Polega na monitorowaniu podejrzanych transakcji finansowych i identyfikacji nietypowych wzorców, które mogą wskazywać na finansowanie terroryzmu.
  2. Śledzenie źródeł finansowania: Polega na badaniu źródeł pieniędzy, które mogą być wykorzystywane przez organizacje terrorystyczne, takich jak przestępczość zorganizowana, handel narkotykami czy oszustwa finansowe.
  3. Wymiana informacji: Współpraca międzynarodowa i wymiana informacji między różnymi instytucjami finansowymi, organami ścigania i agencjami rządowymi ma kluczowe znaczenie w identyfikowaniu i ściganiu działań terrorystycznych.
  4. Sankcje i regulacje: Wprowadzenie odpowiednich sankcji i regulacji prawnych, które uniemożliwiają organizacjom terrorystycznym korzystanie z systemów finansowych oraz utrudniają pranie brudnych pieniędzy.
  5. Edukacja i szkolenia: Informowanie pracowników instytucji finansowych o zagrożeniach terrorystycznych, technikach prania pieniędzy i oznakach podejrzanej działalności finansowej pomaga w identyfikacji i zgłaszaniu podejrzanych transakcji.
  6. Technologia i narzędzia analityczne: Wykorzystanie zaawansowanych narzędzi analitycznych, takich jak analiza danych i sztuczna inteligencja, może pomóc w identyfikacji wzorców i anomalii związanych z finansowaniem terroryzmu.

W celu skutecznego zwalczania finansowania terroryzmu, te metody są stosowane w kombinacji, zapewniając skuteczne narzędzia do wykrywania i zapobiegania temu zagrożeniu.

Jakie problemy w praktycznym działaniu compliance występują na poziomie grup spółek?

System compliance jest często kluczowym elementem często generującym praktyczne problemy w funkcjonowaniu grup spółek.

Są takie wymagające uregulowania kwestie, które powinny znaleźć odzwierciedlenie zarówno w politykach i procedurach obowiązujących w konkretnych podmiotach z grupy kapitałowej, jak też w tak zwanych politykach grupowych.

W związku z tym uznaliśmy, że właśnie kwestie owych regulacji grupowych będziemy chcieli poruszyć podczas 9. Ogólnopolskiej Konferencji Compliance & AML, ponieważ te akty przyjmowane na poziomie grup nastręczają w naszej opinii najwięcej problemów.

Jakie inne regulacje z obszaru compliance nastręczają problemów na poziomie grup?

Są również inne kwestie, o których wydaje się, że warto będzie wspomnieć podczas Konferencji. To jest między innymi whistleblowing, czyli ochrona tzw. sygnalistów. Do tej pory to właśnie podmioty z branży finansowej miały obowiązki związane z ochroną sygnalistów, które musiały wdrażać swoich podmiotach, ale również w grupach, tak, aby system ochrony był kompatybilny między spółkami należącymi do jednej grupy. Obecnie procedowana jest ustawa, która wdraża unijne rozwiązania w zakresie ochrony sygnalistów i tutaj też wydaje się, że warto będzie pomyśleć o tym w jaki sposób tę ochronę sygnalistów uregulować w procedurach indywidualnych każdego podmiotu, czy też w procedurach grupowych.

Oczywiście równie ważne są kwestie związane z RODO czy regulacjami AML – tutaj też przepływ informacji, w tym przepływ danych osobowych, czy też kwestie związane z zastosowaniem środków bezpieczeństwa (jeżeli podmiot jest instytucją obowiązaną w rozumieniu ustawy AML), tworzy obowiązek wdrożenia procedury grupowej. Przy konstruowaniu takiej procedury powstają pewne problemy praktyczne. Rekomendujemy pewne rozwiązania, o których będziemy z Państwem rozmawiać w trakcie konferencji.

 

mec. Katarzyna Majer – Gębska jest Koordynatorką Działu Prawa Kapitałowego Kancelarii Sadkowski i Wspólnicy, która jest partnerem merytorycznym 9. Ogólnopolskiej Konferencji Compliance & AML.

compliance