Audyty i ich rodzaje – wszystko, co musisz wiedzieć, aby skutecznie zarządzać zgodnością i ryzykiem w firmie

Audyty to coś więcej niż formalny obowiązek – to narzędzie, które pozwala firmom działać zgodnie z prawem, minimalizować ryzyka i zwiększać efektywność. W biznesie, gdzie przepisy zmieniają się często, a oczekiwania interesariuszy rosną, audyt staje się kluczowym elementem zarządzania. Czy Twoja organizacja jest gotowa na kontrolę zgodności z AML? A może zastanawiasz się, jak przygotować się do raportowania ESG zgodnie z nowymi dyrektywami UE? Odpowiedzi zaczynają się od audytu.

W Langas Group od lat pomagamy menedżerom, członkom zarządów i specjalistom zrozumieć i wdrożyć procesy audytowe dzięki naszym szkoleniom biznesowym dla firm. Ten artykuł to kompleksowe wprowadzenie do tematyki audytów – od definicji audytów po rodzaje i praktyczne wskazówki. To także początek serii, w której przyjrzymy się bliżej każdemu typowi audytu.

Czym jest audyt i dlaczego jest ważny?

Audyt to systematyczne i niezależne badanie procesów, procedur, danych czy systemów w celu oceny ich zgodności z określonymi standardami – prawnymi, wewnętrznymi czy branżowymi. To nie tylko sposób na spełnienie wymogów regulacyjnych, ale także szansa na poprawę działania organizacji.

Dlaczego audyty są tak istotne?

Po pierwsze, zapewniają zgodność z prawem – od Kodeksu Spółek Handlowych (KSH) po regulacje AML czy RODO.

Po drugie, pomagają zidentyfikować ryzyka, zanim staną się problemem, np. nieprawidłowości w raportach finansowych czy niezgodności w procesach produkcyjnych.

Po trzecie, budują zaufanie – zarówno wśród klientów, jak i inwestorów czy organów nadzorczych.

Wreszcie, audyt może być katalizatorem zmian, wskazując obszary do optymalizacji.

W Langas Group wiemy, jak ważne jest przygotowanie do audytu. Nasze szkolenia, takie jak Szkolenie Compliance i AML czy Szkolenia ESG (Atestacja sprawozdań ESG), dostarczają praktycznej wiedzy, by sprostać tym wyzwaniom. W otoczeniu ciągłych zmian legislacyjnych planowanych nowelizacji – audyt to nie opcja, a konieczność.

Sprawdź ofertę – Szkolenia menedżerskie

Rodzaje audytów – przegląd

Audyty różnią się w zależności od celu, zakresu i branży. Poniżej przedstawiamy najpopularniejsze typy, które spotykamy w pracy z naszymi klientami, wraz z przykładami, jak odnoszą się do naszej oferty szkoleniowej.

  1. Audyty zgodności (Compliance)

    • Czym są? To sprawdzenie, czy firma działa zgodnie z przepisami – od ustaw AML po ochronę sygnalistów czy wymogi KSH.
    • Dlaczego ważne? Niezgodność może skutkować karami lub utratą reputacji.
    • Wsparcie Langas – Szkolenia takie jak Certyfikowany AML Officer czy Budowanie działu Compliance w organizacji przygotowują do audytów zgodności na najwyższym poziomie.
  2. Audyty finansowe

    • Czym są? Analiza sprawozdań finansowych i ksiąg rachunkowych pod kątem zgodności z normami rachunkowości.
    • Dlaczego ważne? Kluczowe dla transparentności i wiarygodności wobec inwestorów.
    • Wsparcie Langas – „Finanse dla zarządzających niefinansistów” pomaga zrozumieć, jak przygotować się do współpracy z audytorami finansowymi.
  3. Audyty ESG (środowiskowe, społeczne i zarządcze)

    • Czym są? Ocena wpływu firmy na środowisko, społeczeństwo i ład korporacyjny, często w kontekście raportowania niefinansowego.
    • Dlaczego ważne? Rosnące wymogi UE sprawiają, że audyty ESG stają się standardem.
    • Wsparcie Langas – „Analiza podwójnej istotności” czy „Certyfikowany specjalista ds. raportowania ESG” to must-have dla firm w tej dziedzinie.

Dowiedz się więcej o – Audytach ESG

  1. Audyty operacyjne

    • Czym są? Badanie procesów wewnętrznych – od produkcji po zakupy – w celu poprawy efektywności.
    • Dlaczego ważne? Optymalizacja procesów przekłada się na realne oszczędności.
    • Wsparcie Langas – „Lean Toolbox – szkolenie + Wizyta studyjna w fabryce” uczy, jak audytować i doskonalić operacje.
  2. Audyty IT i bezpieczeństwa danych

    • Czym są? Ocena systemów informatycznych i ochrony danych, np. w kontekście RODO czy cyberbezpieczeństwa.
    • Dlaczego ważne? W dobie cyfryzacji wyciek danych może zniszczyć firmę.
    • Langas wspiera: „RODO dla AML” czy „AI dla Office Managerów” dostarczają wiedzy do audytów IT.

Audyty wewnętrzne i zewnętrzne – czym się różnią?

  • Audyty wewnętrzne przeprowadza firma własnymi siłami, np. dział compliance sprawdza zgodność z procedurami AML przed kontrolą zewnętrzną. Przykład: zespół produkcyjny analizuje efektywność linii produkcyjnej.
  • Audyty zewnętrzne realizują niezależni eksperci, np. biegły rewident weryfikuje sprawozdania finansowe przed walnym zgromadzeniem. Przykład: firma audytorska ocenia raport ESG na zgodność z dyrektywą UE,

Każdy z nich wymaga innych kompetencji.

Jak przygotować się do audytu?

Przygotowanie do audytu to proces, który wymaga planowania i zaangażowania. Oto praktyczne kroki, które pomogą Ci przejść go z sukcesem:

  • Zrozum cel audytu – czy chodzi o zgodność z AML, raportowanie ESG, czy kontrolę procesów produkcyjnych? Jasny cel ułatwia przygotowania.
  • Zbierz dokumentację – protokoły zebrań zarządu, raporty finansowe czy dane ESG – upewnij się, że wszystko jest aktualne i kompletne.
  • Wyszkol zespół – pracownicy muszą wiedzieć, czego się spodziewać i jak współpracować z audytorami.
  • Skorzystaj z ekspertów – w razie potrzeby zaangażuj specjalistów zewnętrznych lub podnieś kwalifikacje wewnętrzne.

W Langas Group oferujemy szkolenia, które wspierają każdy z tych etapów. „Protokółowanie z uwzględnieniem nowelizacji” przygotuje Cię do dokumentowania procesów, a „Certyfikowany specjalista ds. raportowania ESG” nauczy, jak sprostać wymogom audytów zrównoważonego rozwoju. W obliczu zmian, takich jak nowelizacje KSH czy nowe dyrektywy UE, ciągłe doskonalenie kompetencji jest kluczem. Sprawdź naszą ofertę szkoleń i przygotuj swoją firmę na każdy audyt!

Audyty – konieczność i obowiązek

Audyty są nieodłącznym elementem zarządzania nowoczesną organizacją. Od zgodności z prawem, przez raportowanie ESG, po optymalizację procesów – ich różnorodność pozwala sprostać specyficznym potrzebom każdej firmy. W Langas Group wierzymy, że kluczem do sukcesu jest wiedza i przygotowanie, dlatego od lat dostarczamy szkolenia na najwyższym poziomie.

Chcesz zgłębić temat? Śledź nasz blog. A jeśli już teraz chcesz podnieść swoje kompetencje, zapisz się na nasze szkolenia – sprawdź aktualne szkolenia. Razem przygotujemy Twoją firmę na każde wyzwanie!

ESG i HR – transformacja w trzewiach firmy

Zarządzanie ESG wymaga nie tylko podejścia strategicznego, ale także zaangażowania zespołów w organizacji, szczególnie HR.

Zrównoważony rozwój nie ogranicza się do działań ekologicznych.

To także troska o różnorodność, inkluzję, transparentność płac oraz budowanie kultury organizacyjnej opartej na wartościach społecznych. HR w tym procesie ma fundamentalną rolę – od rekrutacji, przez szkolenia, po budowanie systemów motywacyjnych, które wspierają realizację celów ESG​. W ramach projektu „Pracownicy – najlepsza inwestycja dla firmy”, w którym opracowaliśmy 120 już strategii HR dla MŚP, widzimy jak istotna jest rola działów personalnych w procesie transformacji ESG.

Jednym z kluczowych wyzwań dla działów HR w 2024 roku będzie wdrażanie raportowania zgodnie z Dyrektywą CSRD. Te działania wymagają zebrania danych nie tylko z obszarów finansowych, ale także z obszarów społecznych i pracowniczych. Dobrze przygotowana strategia HR, wspierająca ESG, może pomóc firmie przyciągnąć talenty, które coraz częściej zwracają uwagę na wartości firm w obszarach społecznych i środowiskowych​.

Transformacja ESG to także okazja dla HR do przegrupowania swoich zasobów i automatyzacji procesów. Umożliwia to poświęcenie większej uwagi strategicznym działaniom, które realnie wpłyną na rozwój zrównoważonych praktyk w firmie. Wprowadzanie zielonych rekrutacji oraz edukacja pracowników w zakresie ESG to nie tylko odpowiedź na wymogi prawne, ale także inwestycja w przyszłość organizacji. Wraz z rosnącą świadomością na temat ESG, firmy, które wcześnie podejmą działania, zyskają przewagę na rynku​.

Co obejmuje obszar S w raportowaniu ESG?

Raportowanie ESG oparte na European Sustainability Reporting Standards (ESRS) obejmuje kilka obszarów dotyczących kwestii społecznych, które w ramach ESG określa się jako „S”. Standardy te pomagają firmom zrozumieć, jakie dane społeczne powinny być raportowane, aby spełniać wymogi unijnej Dyrektywy CSRD.

Główne obszary raportowania „S” to:

 S1: Pracownicy firmy (Own Workforce)

Ten obszar obejmuje wszystkie zagadnienia związane z bezpośrednio zatrudnionymi pracownikami przedsiębiorstwa. W ramach tego standardu firmy muszą raportować m.in.:

  • Warunki pracy, takie jak zdrowie i bezpieczeństwo w miejscu pracy, wynagrodzenia, godziny pracy i work-life balance.
  • Różnorodność i inkluzję, czyli działania na rzecz równości płci, równości płacowej, różnorodności etnicznej i włączania pracowników z różnych środowisk.
  • Rozwój zawodowy i możliwości awansu, w tym szkolenia i programy rozwoju kariery dla pracowników.
  • Dialog społeczny, w tym współpraca z organizacjami pracowniczymi i związkami zawodowymi.
  • Dobrostan pracowników, obejmujący zarówno zdrowie fizyczne, jak i psychiczne.

S2: Pracownicy w łańcuchu wartości (Workers in the Value Chain)

Obszar ten odnosi się do warunków pracy osób zatrudnionych przez dostawców i inne podmioty w łańcuchu wartości firmy. Firma powinna raportować, jakie kroki podejmuje w celu zapewnienia odpowiednich warunków pracy dla tych pracowników. W ramach tego standardu raportowanie obejmuje:

  • Ocenę i monitorowanie przestrzegania praw pracowniczych przez dostawców, w tym przeciwdziałanie przymusowej pracy i pracy dzieci.
  • Działania podejmowane na rzecz zapewnienia sprawiedliwych wynagrodzeń i bezpiecznych warunków pracy w łańcuchu dostaw.
  • Inicjatywy mające na celu poprawę warunków socjalnych i ekonomicznych pracowników u dostawców i partnerów biznesowych.

S3: Społeczności lokalne (Affected Communities)

Ten obszar dotyczy wpływu działalności przedsiębiorstwa na społeczności lokalne. Raportowanie obejmuje m.in.:

  • Ocenę wpływu działalności firmy na społeczności w regionach, w których działa, w tym na kwestie zdrowia, bezpieczeństwa, dostępu do zasobów i infrastruktury.
  • Działania związane z angażowaniem społeczności lokalnych, tworzeniem miejsc pracy, wspieraniem edukacji i innymi inicjatywami społecznymi.
  • Ochronę praw człowieka w kontekście lokalnym, np. w regionach zagrożonych konfliktami, ubóstwem czy dyskryminacją.

S4: Konsumenci i użytkownicy produktów oraz usług (Consumers and End-users)

Ten obszar obejmuje zagadnienia związane z ochroną praw konsumentów i użytkowników produktów oraz usług oferowanych przez firmę. Raportowanie w tym zakresie może obejmować:

  • Bezpieczeństwo produktów i usług oraz działania firmy w celu zapewnienia zgodności z normami i regulacjami.
  • Odpowiedzialny marketing i etyczne praktyki sprzedaży.
  • Inicjatywy na rzecz ochrony prywatności i danych osobowych konsumentów.
  • Działania edukacyjne i transparentność informacji o produktach, szczególnie w kontekście ich wpływu na zdrowie i środowisko.

Raportowanie tych obszarów ma na celu nie tylko ocenę działalności firmy, ale również pokazanie, jak przedsiębiorstwa podejmują działania na rzecz zrównoważonego rozwoju społecznego i przestrzegania praw człowieka w całym swoim łańcuchu wartości.

ESG w MŚP

ESG, czyli zarządzanie kwestiami środowiskowymi, społecznymi i ładem korporacyjnym, staje się kluczowym elementem strategii wielu firm. Choć zazwyczaj kojarzy się z dużymi organizacjami, jego znaczenie dla małych i średnich przedsiębiorstw (MŚP) rośnie w szybkim tempie.

Jako doradca strategiczny oraz szef zespołu ekspertów w projekcie „Pracownicy – najlepsza inwestycja dla firmy”, mam możliwość współpracy z MŚP w regionie Małopolski, gdzie opracowaliśmy już 120 strategii HR (a przed nami kolejne 80). Pracując z naszymi klientami, widzimy, jak regulacja ESG wpłynie na przyszłość tych firm, nawet jeśli same jeszcze tego nie dostrzegają.

Jarosław Petz

Dlaczego MŚP powinny działać już teraz?

Na poziomie unijnym Dyrektywa CSRD wprowadza wymóg raportowania działań niefinansowych w określonym standardzie.

Choć niektóre MŚP, szczególnie te notowane na giełdzie, będą musiały dostosować się do tych wymagań dopiero w 2026 roku (z raportem w 2027), warto, aby już teraz podejmować odpowiednie kroki. Po pierwsze, ESG przynosi korzyści, takie jak zwiększona atrakcyjność dla inwestorów, lepsza reputacja, efektywniejsze zarządzanie ryzykiem i poprawa operacyjna. Co więcej, więksi partnerzy biznesowi już teraz oczekują od swoich dostawców wiarygodnych danych ESG, aby móc spełniać własne zobowiązania raportowe.

ESG w MŚP – na co realnie wpływa nowy model opowiadania o biznesie?

Zarządzanie środowiskowe (E)

Włączenie standardów ESG do zarządzania środowiskowego może wpływać na koszty funkcjonowania firmy (a dla niektórych firm z sektora GOZ zarządzanie środowiskowe stanowi trzon modelu biznesowego).

Przykładem wpływu ESG na model biznesu może być też np. obliczanie śladu węglowego: w firmach produkcyjnych zmniejszenie emisji CO₂ i optymalizacja zużycia zasobów naturalnych to nie tylko wymagania regulacyjne, ale także sposób na obniżenie kosztów operacyjnych. Z kolei w firmach usługowych, redukcja emisji może być osiągnięta poprzez zmiany w logistyce, pracę zdalną i bardziej efektywne zarządzanie energią. Ślad węglowy to okazja do strategicznego przekształcenia nie tylko postrzeganie firmy przez klientów, ale także na zmiany układu sił na rynkach, gdzie zrównoważone działania są coraz bardziej wymagane.

Zarządzanie społeczne (S) i HR

Poważne podejście do ESG i transparentność w zakresie społecznej odpowiedzialności (S) znacząco zwiększają atrakcyjność firmy w procesach HR, zarówno pod kątem rekrutacji, jak i motywacji pracowników. Obecnie wielu kandydatów wybiera pracodawców, których wartości są zgodne z ich własnymi przekonaniami. Firmy promujące różnorodność, równość płacową i dbające o dobrostan pracowników, mogą łatwiej przyciągać talenty.

ESG w procesach HR ma jednak nie tylko wpływ na rekrutację talentów, ale również na motywację i retencję pracowników – co jest szczególnie istotne na dzisiejszym rynku pracy, gdzie dobry pracownik jest „dobrem rzadkim”.

ESG w kontekście motywacji i retencji pracowników to przede wszystkim:

Długofalowe zaangażowanie

Pracownicy, którzy widzą i mogą sprawdzić (weryfikowalność twardych danych w raportach ESG to inny poziom, niż deklaracje z raportów CSR), że ich firma działa zgodnie z deklarowanymi wartościami, są bardziej zmotywowani do długoterminowej współpracy i zaangażowania wykraczającego poza rutynowe wykonywanie zadań. Firmy, które promują różnorodność, równość / transparentność płacową, dbałość o prawa pracowników i ich dobrostan budują silniejsze więzi z zespołem. Zrównoważona i społecznie odpowiedzialna kultura organizacyjna sprawia, że pracownicy utożsamiają się z misją firmy, co przekłada się na wyższy poziom zaangażowania. Organizacje te mają także mniejszą rotację pracowników, ponieważ osoby czują się doceniane i rozumieją, że ich praca ma realny wpływ na społeczeństwo i środowisko

Równość i włączenie społeczne

Firmy, które aktywnie wdrażają polityki związane z ESG, zwłaszcza te promujące różnorodność i włączenie społeczne, oferują środowisko pracy, w którym pracownicy czują się akceptowani, niezależnie od ich pochodzenia, wieku, płci czy orientacji. Zwiększenie transparentności w kwestiach takich jak równość wynagrodzeń i dostępność awansów eliminują poczucie niesprawiedliwości, co sprzyja lojalności. Badania pokazują, że organizacje, które realizują zasady równości i transparentności, notują wyższą satysfakcję pracowników oraz lepsze wyniki biznesowe. Znajduje też to regularne potwierdzenie w firmach, dla których przygotowujemy strategie HR – transparentność wzmacnia retencję, nawet jeżeli wiadomości nie są optymistyczne!

Wellbeing i zrównoważone warunki pracy

Zrównoważony rozwój, w tym troska o warunki pracy i wellbeing, staje się kluczowym elementem ESG, który wpływa na retencję pracowników. Firmy, które w ramach swojej strategii ESG promują zdrowie psychiczne i fizyczne, elastyczne formy pracy oraz work-life balance, mają niższe wskaźniki wypalenia zawodowego i absencji. Przykładem może być wdrożenie programów wsparcia psychologicznego, dodatkowych dni wolnych lub elastycznych godzin pracy, co pozwala pracownikom lepiej zarządzać swoimi obowiązkami zawodowymi i prywatnymi. Firmy takie stają się bardziej atrakcyjne dla obecnych pracowników, którzy nie tylko zostają w firmie dłużej, ale także stają się jej ambasadorami na rynku pracy.

Szkolenia i rozwój w duchu ESG

Pracownicy oczekują dziś nie tylko atrakcyjnych wynagrodzeń, ale także możliwości rozwoju i zdobywania nowych kompetencji. Firmy, które w ramach ESG inwestują w rozwój pracowników poprzez programy szkoleniowe, np. dotyczące zrównoważonego rozwoju, innowacji ekologicznych czy różnorodności, mogą liczyć na większe zaangażowanie ze strony zespołu. Dbanie o rozwój zawodowy i osobisty w kontekście ESG sprawia, że pracownicy widzą perspektywę długoterminowego rozwoju w firmie i czują się bardziej związani z organizacją.

Kultura odpowiedzialności

Tworzenie kultury organizacyjnej opartej na zasadach odpowiedzialności i transparentności buduje silniejsze relacje z pracownikami. Kiedy firmy stosują uczciwe praktyki biznesowe i jasno komunikują cele ESG, pracownicy czują, że są częścią czegoś większego, dlatego komunikacja wartości firmy jest absolutnie kluczowa od etapu rekrutacji aż po exbording. Uczestnictwo w wolontariatach, inicjatywach ekologicznych czy działaniach na rzecz lokalnych społeczności nie tylko motywuje, ale także wzmacnia poczucie przynależności i wspólnoty wśród pracowników.

Innym wymiarem nieoczywistego wejścia zarządzania ESG w obszary HR jest praca zdalna – mimo że obniża ślad węglowy związany z dojazdami do biura, to w modelu raportowania ESG może pojawić się wyzwanie związane z liczeniem emisji związanej z użytkowaniem energii w gospodarstwach domowych pracowników. Odpowiednie narzędzia mogą pomóc w bilansowaniu tego wpływu, co z kolei wpłynie na pełniejsze raportowanie ESG, ale postawi też przed HRami nowe pytanie o opłacalność modelu pracy zdalnej.

Zarządzanie ładem korporacyjnym (G)

Wdrożenie zasad ESG w obszarze ładu korporacyjnego znacząco zwiększa wiarygodność firmy w oczach partnerów biznesowych, inwestorów oraz instytucji finansowych. Przejrzyste struktury zarządzania i odpowiedzialności mogą istotnie obniżyć koszty finansowania firmy np. przez instytucje finansowe. Tradycyjnie w MŚP, zwłaszcza w firmach zarządzanych przez właścicieli, gdzie decyzje są podejmowane w sposób hierarchiczny, gdzie „szef ma zawsze rację”, wdrożenie zasad transparentności wynikających z ESG oznacza niekiedy radykalne zmiany, ale skutkujące przejrzystością procesu decyzyjnego, większym zaangażowaniem zespołu w zarządzanie i monitorowanie wyników działań. Zazwyczaj przynosi to bardzo szybko wymierne korzyści i buduje zaufanie wśród kluczowych interesariuszy.

Czego dotyczy zmiana w obszarze zarządzania?

Po pierwsze trzeba pamiętać, że ESG to nie jest wymóg prowadzenia biznesu w taki czy inny sposób. Nadal nikt nie dyktuje nam jak prowadzić własną firmę. ESG to jedynie (lub aż) obowiązek pokazania w uporządkowany sposób jak ten model zarządzania wygląda.

W obszarze G (Governance – Ład Korporacyjny) w ramach raportowania ESG, zgodnie z europejskimi standardami ESRS (European Sustainability Reporting Standards), firmy muszą dostarczać informacji na temat zasad zarządzania oraz praktyk, które wpływają na ich działanie. Obszar ten dotyczy transparentności procesów decyzyjnych, odpowiedzialności za prowadzenie firmy i relacji z interesariuszami.

Zatem raportowanie w obszarze G obejmuje:

Struktura i skład zarządu oraz rady nadzorczej

Firmy muszą przedstawić strukturę zarządzania, w tym o składzie zarządu, rady nadzorczej oraz komitetów (o ile je mają). Ważne informacje do umieszczenia w raporcie obejmują:

  • Różnorodność w organach korporacyjnych (np. różnorodność płci, wieku, doświadczeń, wykształcenia).
  • Kwalifikacje i kompetencje członków zarządu oraz rady nadzorczej, w kontekście wyzwań ESG.
  • Role i odpowiedzialności poszczególnych członków organów korporacyjnych oraz ich zaangażowanie w zarządzanie ESG.

Procesy decyzyjne i nadzorcze

Raportowanie obejmuje sposób w jaki firma podejmuje decyzje strategiczne, jakie procesy decyzyjne i nadzorcze są stosowane, oraz jak zarządzanie ESG jest włączone w te procesy.
Kluczowe kwestie to:

  • Jak firma monitoruje swoje wyniki w zakresie ESG.
  • Jakie procesy decyzyjne dotyczące ESG są stosowane na poziomie zarządu i rady nadzorczej.
  • Sposoby angażowania interesariuszy w procesy zarządzania i podejmowania decyzji.

Ryzyko i zarządzanie ryzykiem

Firmy przedstawiają mechanizmy zarządzania ryzykiem jakich używają, szczególnie w kontekście ryzyk związanych z ESG. To może obejmować:

  • Identyfikację i ocenę ryzyk związanych z klimatem, prawami człowieka, zmianami społecznymi czy technologicznymi.
  • Mechanizmy zarządzania ryzykiem, w tym polityki przeciwdziałania korupcji, oszustwom czy nieetycznym praktykom.
  • Ocena ryzyka i sposoby reagowania na zagrożenia zewnętrzne i wewnętrzne, w tym te wynikające z działalności operacyjnej oraz z łańcucha dostaw.

Etyka i integralność

Raportowanie obejmuje też zasady etyczne i wartości, których firma przestrzega w swojej działalności. W tym kontekście raporty ESG obejmują:

  • Zasady dotyczące przeciwdziałania korupcji, oszustwom oraz konfliktom interesów (np. czy mamy politykę dotyczącą zakupów ograniczającą możliwości korupcji)
  • Polityki i kodeksy etyczne obowiązujące w firmie oraz działania mające na celu ich wdrażanie i egzekwowanie
  • Sposoby monitorowania i zgłaszania naruszeń zasad etyki (np. czy firma wdrożyła wymagany od 25 września 2024 roku system obsługi sygnalistów)

Polityki i procedury dotyczące ESG

Firmy będę też przedstawiać informacje o zasadach (politykach i procedurach), które wprowadzają w celu zarządzania kwestiami ESG, w tym:

  • Sposoby integrowania ESG w strategii firmy.
  • Konkretne polityki dotyczące zarządzania środowiskowego, społecznego i ładu korporacyjnego.
  • Mechanizmy wdrażania i monitorowania realizacji celów ESG.

Relacje z interesariuszami i transparentność

Raportowanie obejmuje sposób, w jaki firma angażuje swoich interesariuszy, w tym pracowników, klientów, dostawców, społeczności lokalne oraz inwestorów. Ważne kwestie to:

  • Jakie mechanizmy komunikacji są stosowane.
  • Transparentność w zakresie udostępniania informacji o działaniach ESG.
  • Reakcje na uwagi i potrzeby interesariuszy, szczególnie w kontekście zarządzania zrównoważonym rozwojem.

Zgodność z regulacjami (compliance)

Firmy muszą przedstawić w raporcie, w jaki sposób przestrzegają przepisów i regulacji, w tym tych związanych z ESG, oraz jak monitorują zgodność swoich działań z obowiązującymi standardami prawnymi:

  • Przestrzeganie krajowych i międzynarodowych przepisów dotyczących praw człowieka, środowiska i odpowiedzialności społecznej.
  • Polityki zgodności (compliance) oraz procedury monitorowania zgodności działań z regulacjami.

Wynagrodzenia i polityka motywacyjna

Firmy muszą opisywać swoje systemy wynagrodzeń i motywacji powiązanych z realizacją celów ESG:

  • Informacje na temat wynagrodzeń zarządu i kadry kierowniczej (nie kwoty, ale zasady wyliczenia), szczególnie jeśli są one związane z realizacją strategii ESG.
  • Zasady wynagradzania, które promują działania proekologiczne i prospołeczne, np. programy motywacyjne zależne od wyników ESG.

Raportowanie w obszarze G pozwala inwestorom, klientom i innym interesariuszom ocenić, na ile firma działa zgodnie z zasadami dobrego ładu korporacyjnego, a także jak efektywnie zarządza ryzykiem oraz integruje wartości ESG w swoje procesy decyzyjne.

Dużo? No dużo, ale „krew pot i łzy” poleją się tylko w firmach, które zostawią ten temat na ostatnią chwilę. Pozostałe, które podejdą do tego zagadnienia z wyprzedzeniem i procesowo, raportowanie ESG nie spowoduje trzęsienia ziemi tylko będzie świetną okazją do gruntownej rewizji strategii i modelu biznesowego.

Podstawy prawne obowiązku raportowania ESG

W Unii Europejskiej kluczowym aktem prawnym jest Dyrektywa CSRD (Corporate Sustainability Reporting Directive), która wprowadza jednolite standardy raportowania ESG. Zastępując wcześniejszą Dyrektywę NFRD, CSRD znacząco rozszerza zakres firm zobowiązanych do raportowania i podnosi standardy raportowania. Obowiązek ten obejmie również wybrane MŚP notowane na giełdzie, które będą musiały raportować zarówno wpływ swojej działalności na środowisko, kwestie społeczne, jak i zarządzanie korporacyjne.

Kluczowe elementy dyrektywy to:

  • Zakres podmiotów

Dyrektywa CSRD rozszerza obowiązek raportowania na duże przedsiębiorstwa oraz niektóre MŚP, głównie te notowane na giełdzie. Terminy wprowadzenia obowiązku raportowania ESG w poszczególnych grupach są następujące:

Za 2024 (raportowanie w 2025 roku): duże jednostki interesu publicznego (JIP) – firmy, które obecnie podlegają dyrektywie NFRD, takie jak banki, ubezpieczyciele oraz duże spółki giełdowe zatrudniające ponad 500 pracowników.

Za 2025 (raportowanie w 2026 roku): duże przedsiębiorstwa, czyli takie, które spełniają co najmniej dwa z trzech kryteriów:

  • Przychody powyżej 40 milionów €.
  • Suma bilansowa pow. 20 milionów €
  • Zatrudnienie pow. 250 pracowników.

Za 2026 (raportowanie w 2027 roku): małe i średnie przedsiębiorstwa notowane na giełdzie, a także małe i niezłożone instytucje kredytowe oraz zakłady ubezpieczeń.

Za 2028 (raportowanie w 2029 roku): firmy spoza Unii Europejskiej, które prowadzą działalność na rynku unijnym i generują ponad 150 milionów euro przychodów w UE.

  • Zakres raportowania

Firmy muszą raportować dane dotyczące wpływu ich działalności na środowisko, społeczeństwo oraz zarządzanie, w tym emisje gazów cieplarnianych, różnorodność zatrudnienia, przestrzeganie praw człowieka i standardy ładu korporacyjnego.

  • Audyt i certyfikacja

Raporty ESG będą musiały być audytowane przez niezależne podmioty, co zapewni ich rzetelność (ustawa wprowadzająca zasady audytu podobno już wkrótce!).

Równoważenie zarządzania ryzykiem z polityką zgodności stron trzecich

Zapraszamy do lektury artykułu „Równoważenie zarządzania ryzykiem z polityką zgodności stron trzecich” przygotowanego przez Srebrnego Sponsora 10. Konferencji Compliance & AML, firmę Dun & Bradstreet.

Tekst omawia znaczenie polityki zgodności dla stron trzecich w kontekście zarządzania ryzykiem w firmach, niezależnie od branży. Współpraca z podmiotami trzecimi, takimi jak dostawcy czy sprzedawcy, jest nieodłączna dla większości organizacji, ale niesie ze sobą ryzyko, które może być coraz większe w dzisiejszym złożonym i regulowanym środowisku biznesowym.

Polityka zgodności dla stron trzecich służy jako normatywne wytyczne dotyczące oceny ryzyka związanego z partnerami biznesowymi. Umożliwia to określenie, czy dany podmiot trzeci jest odpowiednią współpracą, która przyniesie korzyści organizacji bez szkody dla jej reputacji czy rentowności.

W kontekście pandemii COVID-19, ryzyko zerwania łańcucha dostaw stało się kluczowym zmartwieniem wielu firm. Jednakże, nawet w obliczu poprawy sytuacji gospodarczej, zarządzanie ryzykiem stron trzecich pozostaje istotne.

Polityka dotycząca ryzyka stron trzecich może przyczynić się do przekształcenia modelu linii obrony w firmie. Jest to istotne, ponieważ podejście do zarządzania ryzykiem stron trzecich obejmuje wszystkie działy, które współpracują z zewnętrznymi podmiotami, a nie tylko zespół ds. zgodności.

Stworzenie spójnego podejścia do zarządzania ryzykiem stron trzecich opiera się na standaryzacji ocen ryzyka w całej firmie, co eliminuje podejście ad hoc oraz różnice w podejściu do oceny ryzyka między różnymi działami.

Zalety wprowadzenia solidnej polityki zgodności dla stron trzecich obejmują tworzenie relacji z wiarygodnymi partnerami, minimalizację niekorzystnych skutków prawnych i finansowych, oraz poprawę efektywności procesu sprawdzania i monitorowania podmiotów trzecich.

Ostatecznie, opracowanie polityki zarządzania ryzykiem stron trzecich może przynieść organizacji korzyści materialne i niematerialne, poprawiając zarówno jej reputację, jak i efektywność operacyjną.

Więcej na ten temat podczas 10. Konferencji Compliance & AML 16 i 17 marca 2024 w Warszawie.

E-book „Jak stworzyć skuteczną politykę zarządzania ryzykiem stron trzecich” oferuje praktyczne wskazówki dotyczące tworzenia i utrzymania polityki zgodności dla podmiotów trzecich, odpowiadając na kluczowe pytania związane z tym tematem.

Kluczowe terminy dotyczące zarządzania sztuczną inteligencją

 

Dziedzina sztucznej inteligencji szybko ewoluuje w różnych sektorach i branżach, pozostawiając specjalistów ds. technologicznych i zarządzania bez wspólnej terminologii używanej w zarządzaniu sztuczną inteligencją.

Nawet wyszukiwanie definicji „sztucznej inteligencji” zwraca szereg definicji i przykładów. Od filmowych, takich jak HAL 9000 z „2001: Odysei kosmicznej”, przez kreatywne, takie jak Midjourney i sztuka generatywna DALL-E, po powszechne, takie jak autokorekta wiadomości e-mail i mapy mobilne, przypadki użycia i zastosowania sztucznej inteligencji wciąż rosną i rozszerzają się na wszystkie aspekty życia.

Dzięki zgodzie Międzynarodowego Stowarzyszenia Specjalistów ds. Prywatności (IAPP) udostępniamy wszystkim osobom zainteresowanym rozwojem swoich kompetencji w obszarze sztucznej inteligencji Kluczowe terminy dotyczące zarządzania sztuczną inteligencją” opracowane przez IAPP. Niniejszy glosariusz pierwotnie ukazał się w Centrum Zasobów IAPP i został udostępniony za ich zgodą.

Tłumaczenie zostało wykonane przez Langas Regtech zostało opublikowane w 20 lipca 2023 roku.

 

Niniejszy glosariusz, opracowany w oparciu o liczne materiały, ma na celu zapewnienie zwięzłych, ale zniuansowanych definicji i wyjaśnień niektórych z najpopularniejszych terminów związanych obecnie ze sztuczną inteligencją.

Accountability / Rozliczalność

The obligation and responsibility of the creators, operators and regulators of an AI system to ensure the system operates in a manner that is ethical, fair, transparent and compliant with applicable rules and regulations (see fairness and transparency).

Accountability ensures that actions, decisions and outcomes of an AI system can be traced back to the entity responsible for it.

Obowiązek i odpowiedzialność twórców, operatorów i organów regulacyjnych systemu sztucznej inteligencji w celu zapewnienia, że system działa w sposób etyczny, uczciwy, przejrzysty i zgodny z obowiązującymi zasadami i przepisami (zob. uczciwość i przejrzystość).

Rozliczalność zapewnia, że działania, decyzje i wyniki systemu sztucznej inteligencji można prześledzić wstecz do podmiotu za nie odpowiedzialnego.

 

Active learning / Aktywne uczenie

A subfield of AI and machine learning where an algorithm can select some of the data it learns from. Instead of learning from all the data it is given, an active learning model requests additional data points that will help it learn the best.

→ Also called query learning

Poddziedzina sztucznej inteligencji i uczenia maszynowego, w której algorytm może wybrać część danych, z których się uczy. Zamiast uczyć się na podstawie wszystkich podanych danych, model aktywnego uczenia się żąda dodatkowych próbek danych, które pomogą mu uczyć się najlepiej.

→ Nazywane również uczeniem z zapytań

 

AI governance / Zarządzanie Sztuczną Inteligencją

A system of policies, practices and processes organizations implement to manage and oversee their use of AI technology and associated risks to ensure the AI aligns with an organization’s objectives, is developed and used responsibly and ethically, and complies with applicable legal requirements. System zasad, praktyk i procesów wdrażanych przez organizacje w celu zarządzania i nadzorowania wykorzystania technologii opartych na sztucznej inteligencji i związanego z tym ryzyka, aby zapewnić, że sztuczna inteligencja jest zgodna z celami organizacji, jest rozwijana i wykorzystywana w sposób odpowiedzialny i etyczny oraz jest zgodna z obowiązującymi wymogami prawnymi.

 

Algorithm / Algorytm

 

A computational procedure or set of instructions and rules designed to perform a specific task, solve a particular problem or produce a machine learning or AI model

(see machine learning model)

Procedura obliczeniowa lub zestaw instrukcji i reguł zaprojektowanych w celu wykonania określonego zadania, rozwiązania określonego problemu lub stworzenia modelu uczenia maszynowego lub sztucznej inteligencji

(zob. model uczenia maszynowego).

 

Artificial general intelligence / Ogólna sztuczna inteligencja

 

AI that is considered to have human-level intelligence and strong generalization capability to achieve goals and carry out a variety of tasks in different contexts and environments.

AGI is still considered a theoretical field of research and contrasted with „narrow” AI, which is used for specific tasks or problems.

→ Acronym: AGI

Sztuczna inteligencja, która jest uważana za posiadającą inteligencję na poziomie ludzkim i silną zdolność uogólniania do osiągania celów i wykonywania różnorodnych zadań w różnych kontekstach i środowiskach.

Ogólna sztuczna inteligencja (spotyka się też określenie „silna” – tłum.) jest nadal nadal uważana za teoretyczny obszar badań i przeciwstawiana „wąskiej” (lub „słabej” – tłum.) sztucznej inteligencji, która jest wykorzystywana do konkretnych zadań lub problemów. do konkretnych zadań lub problemów.

→ Akronim: AGI

 

Artificial intelligence / Sztuczna inteligencja

 

Artificial intelligence is a broad term used to describe an engineered system where machines learn from experience, adjusting to new inputs (see input data) and potentially performing tasks previously done by humans. More specifically, it is a field of computer science dedicated to simulating intelligent behavior in computers.

It may include automated decision-making.

→ Acronym: AI

Sztuczna inteligencja to szeroki termin używany do opisania systemu inżynieryjnego, w którym maszyny uczą się na podstawie doświadczenia, dostosowując się do nowych danych wejściowych i potencjalnie wykonując zadania wcześniej wykonywane przez ludzi. Mówiąc dokładniej, jest to dziedzina informatyki poświęcona symulowaniu inteligentnych zachowań w komputerach.

Może obejmować zautomatyzowane podejmowanie decyzji.

→ Akronim: AI

 

Automated decision-making / Zautomatyzowane podejmowanie decyzji

 

The process of making a decision by technological means without human involvement Proces podejmowania decyzji za pomocą środków technologicznych bez udziału człowieka.

 

Bias / Stronniczość

 

There are several types of bias within the AI field.

  • Computational bias is a systematic error or deviation from the true value of a prediction that originates from a model’s assumptions or the data itself (see input data).
  • Cognitive bias refers to inaccurate individual judgment or distorted thinking, while societal bias leads to systemic prejudice, favoritism, and/or discrimination in favor of or against an individual or group.

Bias can impact outcomes and pose a risk to individual rights and liberties.

W dziedzinie sztucznej inteligencji istnieje kilka rodzajów stronniczości (uprzedzeń):

  • Stronniczość obliczeniowa to systematyczny błąd lub odchylenie od prawdziwej wartości prognozy, które wynika z założeń modelu lub samych danych (patrz dane wejściowe).
  • Stronniczość poznawcza odnosi się do niedokładnej indywidualnej oceny lub zniekształconego myślenia, podczas gdy stronniczość społeczna prowadzi do systemowych uprzedzeń, faworyzowania i/lub dyskryminacji na korzyść lub przeciwko jednostce lub grupie.

Stronniczość może wpływać na wyniki i stanowić zagrożenie dla praw i wolności jednostki.

 

Bootstrap aggregating / Agregacją metodą bootstrap

 

A machine learning method that aggregates multiple versions of a model (see machine learning model) trained on random subsets of a data set. This method aims to make a model more stable and accurate.

→ Sometimes referred to as bagging

Metoda uczenia maszynowego, która agreguje wiele wersji modelu (zob. model uczenia maszynowego) wytrenowanych na losowych podzbiorach danych. Metoda ta ma na celu uczynienie modelu bardziej stabilnym i dokładnym.

→ Czasami określana jako bagging

 

Chatbot / Czatbot

 

A form of AI designed to simulate human-like conversations and interactions that uses natural language processing to understand and respond to text or other media.

Because chatbots are often used for customer service and other personal help applications, chatbots often ingest users’ personal information.

Forma sztucznej inteligencji zaprojektowana do symulowania rozmów i interakcji podobnych do ludzkich, która wykorzystuje przetwarzanie języka naturalnego do rozumienia i reagowania na tekst lub inne media.

Ponieważ chatboty są często wykorzystywane do obsługi klienta i innych aplikacji pomocy osobistej, często gromadzą one dane osobowe użytkowników.

 

Classification model (Classifiers) / Model klasyfikacyjny (klasyfikatory)

 

A type of model (see machine learning model) used in machine learning that is designed to take input data and sort it into different categories or classes. Rodzaj modelu (patrz model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który jest przeznaczony do sortowania na różne kategorie lub klasy danych wejściowych.

 

Clustering (or clustering algorithms) / Klastrowanie (lub algorytmy klastrowania)

 

An unsupervised machine learning method where patterns in the data are identified and evaluated, and data points are grouped accordingly into clusters based on their similarity. Metoda maszynowego uczenia nienadzorowanego, w której wzorce w danych są identyfikowane i oceniane, a próbki danych są odpowiednio grupowane w klastry na podstawie ich podobieństwa.

 

Computer vision / Widzenie komupterowe

 

A field of AI that enables computers to process and analyze images, videos and other visual inputs. Dziedzina sztucznej inteligencji, która umożliwia komputerom przetwarzanie i analizowanie obrazów, filmów i innych danych wizualnych.

 

Conformity assesment / Ocena zgodności

 

An analysis, often performed by a third-party body, on an AI system to determine whether requirements, such as establishing a risk management system, data governance, record-keeping, transparency and cybersecurity practices have been met Analiza, często przeprowadzana przez organ zewnętrzny, dotycząca systemu sztucznej inteligencji w celu ustalenia, czy spełniono wymagania, takie jak ustanowienie systemu zarządzania ryzykiem, zarządzanie danymi, prowadzenie dokumentacji, przejrzystość i praktyki w zakresie cyberbezpieczeństwa

 

Contestability / Możliwość sprzeciwu

 

The principle of ensuring that AI systems and their decision-making processes can be questioned or challenged. This ability to contest or challenge the outcomes, outputs and/or actions of AI systems can help promote transparency and accountability within AI governance.

Zasada zapewnienia możliwości kwestionowania lub podważania systemów sztucznej inteligencji i ich procesów decyzyjnych. Zdolność do kwestionowania lub podważania wyników, rezultatów i/lub działań systemów AI może pomóc w promowaniu przejrzystości i odpowiedzialności w ramach zarządzania AI.

 

Corpus / Korpus

 

A large collection of texts or data that a computer uses to find patterns, make predictions or generate specific outcomes.

The corpus may include structured or unstructured data and cover a specific topic or a variety of topics.

Duży zbiór tekstów lub danych wykorzystywanych do znajdowania wzorców, tworzenia prognoz lub generowania określonych wyników.

Korpus może zawierać ustrukturyzowane lub nieustrukturyzowane dane i obejmować określony temat lub różne tematy

 

Decision tree / Drzewo decyzyjne

 

A type of supervised learning model used in machine learning (see also machine learning model) that represents decisions and their potential consequences in a branching structure. Przykład modelu uczenia nadzorowanego (patrz model uczenia maszynowego), który reprezentuje decyzje i ich potencjalne konsekwencje w strukturze rozgałęzionej/drzewiastej.

 

Deep learning / Uczenie głębokie

 

A subfield of AI and machine learning that uses artificial neural networks. Deep learning is especially useful in fields where raw data needs to be processed, like image recognition, natural language processing and speech recognition. Poddziedzina sztucznej inteligencji i uczenia maszynowego, która wykorzystuje sztuczne sieci neuronowe.

Uczenie głębokie jest szczególnie przydatne w dziedzinach, w których konieczne jest przetwarzanie surowych danych, takich jak rozpoznawanie obrazów, przetwarzanie języka naturalnego i rozpoznawanie mowy.

 

Discriminative model / Model dyskryminatywny

 

A type of model (see also machine learning model) used in machine learning that directly maps input features to class labels and analyzes for patterns that can help distinguish between different classes.

It is often used for text classification tasks, like identifying the language of a piece of text. Examples are traditional neural networks, decision trees and random forest.

Typ modelu (patrz model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który bezpośrednio mapuje cechy wejściowe na etykiety klas i analizuje wzorce, które mogą pomóc w rozróżnieniu różnych klas.

Jest często używany do zadań klasyfikacji tekstu, takich jak identyfikacja języka fragmentu tekstu. Przykładami są tradycyjne sieci neuronowe, drzewa decyzyjne i lasy losowe.

 

Entropy / Entropia

 

The measure of unpredictability or randomness in a set of data used in machine learning.

A higher entropy signifies greater uncertainty in predicting outcomes.

Miara nieprzewidywalności lub losowości w zestawie danych wykorzystywanych w uczeniu maszynowym.

Wyższa entropia oznacza większą niepewność w przewidywaniu wyników.

 

Expert system / System ekspercki

 

A form of AI that draws inferences from a knowledge base to replicate the decision-making abilities of a human expert within a specific field, like a medical diagnosis. Forma sztucznej inteligencji, która korzysta z reguł i informacji stworzonych przez ekspertów dziedzinowych zapisanych w bazie wiedzy w celu odtworzenia zdolności decyzyjnych ludzkiego eksperta w określonej dziedzinie, takiej jak diagnoza medyczna.

 

Explainability / Wyjaśnialność (XAI)

 

The ability to describe or provide sufficient information about how an AI system generates a specific output or arrives at a decision in a specific context to a predetermined addressee. XAI is important in maintaining transparency and trust in AI.
Zdolność do opisania lub dostarczenia wystarczających informacji o tym, w jaki sposób system sztucznej inteligencji generuje określone dane wyjściowe lub podejmuje decyzję w określonym kontekście dla z góry określonego adresata. XAI jest ważne dla utrzymania przejrzystości i zaufania do sztucznej inteligencji.

 

Exploratory data analysis / Eksploracyjna analiza danych

 

Data discovery process techniques that take place before training a machine learning model in order to gain preliminary insights into a data set, such as identifying patterns, outliers, and anomalies and finding relationships among variables.
Techniki procesu odkrywania danych, które mają miejsce przed uczeniem modelu uczenia maszynowego w celu uzyskania wstępnego wglądu w zestaw danych, takich jak identyfikacja wzorców, wartości odstających i anomalii oraz znajdowanie relacji między zmiennymi.

 

Fairness / Niedyskryminacja

 

An attribute of an AI system that ensures equal and unbiased treatment of individuals or groups in its decisions and actions in a consistent, accurate manner.

It means the AI system’s decisions should not be affected by certain sensitive attributes like race, gender or religion.

Cecha systemu sztucznej inteligencji, która zapewnia równe i bezstronne traktowanie osób lub grup w swoich decyzjach i działaniach w spójny, dokładny sposób.

Oznacza to, że na decyzje systemu sztucznej inteligencji nie powinny mieć wpływu pewne wrażliwe cechy, takie jak rasa, płeć lub religia.

 

Federated learning / Uczenie rozproszone

 

A machine learning method that allows models (see also machine learning model) to be trained on the local data of multiple edge devices or servers.

Only the updates of the local model, not the training data itself, are sent to a central location where they get aggregated into a global model — a process that is iterated until the global model is fully trained.

Metoda uczenia maszynowego, która umożliwia trenowanie modeli (patrz  model uczenia maszynowego) na danych lokalnych wielu urządzeń końcowych lub serwerów.

Tylko aktualizacje modelu lokalnego, a nie same dane szkoleniowe, są wysyłane do centralnej lokalizacji, gdzie są agregowane w model globalny – proces ten jest powtarzany, dopóki model globalny nie zostanie w pełni przeszkolony.

 

Foundation model / Model bazowy

 

A large-scale, pretrained model for AI capabilities, such as language (see also large language model), vision, robotics, reasoning, search or human interaction, that can function as the base for other applications.

The model is trained on extensive and diverse data sets.

Wieloskalowy, wstępnie wytrenowany model dla możliwości sztucznej inteligencji, takich jak język (patrz także duży model językowy), wizja, robotyka, rozumowanie, wyszukiwanie lub interakcja międzyludzka, który może funkcjonować jako baza dla innych aplikacji.

Model jest trenowany na obszernych i zróżnicowanych zestawach danych.

 

Generalization / Uogólnianie

 

The ability of a model (see machine learning model) to understand the underlying patterns and trends in its training data and apply what it has learned to make predictions or decisions about new, unseen data. Zdolność modelu (patrz model uczenia maszynowego) do zrozumienia podstawowych wzorców i trendów w danych szkoleniowych i zastosowania tego, czego się nauczył, do przewidywania lub podejmowania decyzji dotyczących nowych, niewidocznych danych.

 

Generative AI / Generatywna Sztuczna Inteligencja

 

A field of AI that uses machine learning models trained on large data sets to create new content, such as written text, code, images, music, simulations and videos.

These models are capable of generating novel outputs based on input data or user prompts.

Dziedzina sztucznej inteligencji, która wykorzystuje modele uczenia maszynowego wyszkolone na dużych zbiorach danych do tworzenia nowych treści, takich jak tekst pisany, kod, obrazy, muzyka, symulacje i filmy.

Modele te są w stanie generować nowe wyniki w oparciu o dane wejściowe lub podpowiedzi użytkownika.

 

Greedy algorithms / Zachłanne algorytmy

 

A type of algorithm that makes the optimal choice to achieve an immediate objective at a particular step or decision point, based on the available information and without regard for the longer-term optimal solution. Rodzaj algorytmu, który dokonuje optymalnego wyboru na danym etapie lub w danym punkcie decyzyjnym, w celu osiągnięcia natychmiastowego celu, w oparciu jedynie o dostępne informacje i bez względu na długoterminowe optymalne rozwiązanie.

 

Hallucinations / Halucynacje

 

Instances where a generative AI model creates content that either contradicts the source or creates factually incorrect output under the appearance of fact. Przypadki, w których model generatywny sztucznej inteligencji tworzy treści, które są sprzeczne ze źródłem lub tworzą niepoprawne dane wyjściowe pod pozorem faktów.

 

Inference / Predykcja

 

A type of machine learning process where a trained model (see also machine learning model) is used to make predictions or decisions based on input data. Rodzaj procesu uczenia maszynowego, w którym wyszkolony model (patrz także model uczenia maszynowego) jest wykorzystywany do przewidywania lub podejmowania decyzji na podstawie danych wejściowych.

 

Input data / Dane wejściowe

 

Data provided to or directly acquired by a learning algorithm or model (see machine learning model) for the purpose of producing an output.

It forms the basis upon which the machine learning model will learn, make predictions and/or carry out tasks.

Dane dostarczane lub bezpośrednio pozyskiwane przez algorytm lub model uczący się (zob. model uczenia maszynowego) w celu uzyskania danych wyjściowych.

Stanowią one podstawę, na której model będzie się uczył, tworzył prognozy i/lub wykonywał zadania.

 

Large language model / Duży model językowy (LLM)

 

A form of AI that utilizes deep learning algorithms to create models (see also machine learning model) trained on massive text data sets to analyze and learn patterns and relationships among characters, words and phrases.

There are generally two types of LLMs: generative models that make text predictions based on the probabilities of word sequences learned from its training data (see also generative AI) and discriminative models that make classification predictions based on probabilities of data features and weights learned from its training data (see also discriminative model). The term „large” generally refers to the model’s capacity measured by the number of parameters.

Forma sztucznej inteligencji, która wykorzystuje algorytmy głębokiego uczenia do tworzenia modeli (patrz także model uczenia maszynowego) szkolonych na ogromnych zbiorach danych tekstowych w celu analizowania i uczenia się wzorców i relacji między znakami, słowami i frazami.

Zasadniczo istnieją dwa rodzaje LLM: modele generatywne, które przewidują tekst na podstawie prawdopodobieństw sekwencji słów wyuczonych z danych szkoleniowych (patrz także generatywna sztuczna inteligencja) oraz modele dyskryminatywne, które przewidują klasyfikację na podstawie prawdopodobieństw cech danych i wag wyuczonych z danych szkoleniowych (patrz także model dyskryminacyjny). Termin „duży” ogólnie odnosi się do pojemności modelu mierzonej liczbą parametrów.

 

Machine learning / Uczenie maszynowe (ML)

 

A subfield of AI involving algorithms that enable computer systems to iteratively learn from and then make decisions, inferences or predictions based on data (see input data). These algorithms build a model from training data to perform a specific task on new data without being explicitly programmed to do so.

Machine learning implements various algorithms that learn and improve by experience in a problem-solving process that includes data cleansing, feature selection, training, testing and validation.

Companies and government agencies deploy machine learning algorithms for tasks such as fraud detection, recommender systems, customer inquiries, natural language processing, health care, or transport and logistics.

Poddziedzina sztucznej inteligencji obejmująca algorytmy, które umożliwiają systemom komputerowym iteracyjne uczenie się, a następnie podejmowanie decyzji, wnioskowanie lub przewidywanie na podstawie danych (patrz dane wejściowe). Algorytmy te budują model na podstawie danych szkoleniowych, aby wykonać określone zadanie na nowych danych bez konieczności ich wyraźnego zaprogramowania.

Uczenie maszynowe wdraża różne algorytmy, które uczą się i doskonalą dzięki doświadczeniu w procesie rozwiązywania problemów, który obejmuje czyszczenie danych, wybór funkcji, szkolenie, testowanie i walidację.

Firmy i agencje rządowe wdrażają algorytmy uczenia maszynowego do zadań takich jak wykrywanie oszustw, systemy rekomendacji, zapytania klientów, przetwarzanie języka naturalnego, opieka zdrowotna lub transport i logistyka.

 

Machine learning model / Model uczenia maszynowego

 

A learned representation of underlying patterns and relationships in data, created by applying an AI algorithm to a training data set.

The model can then be used to make predictions or perform tasks on new, unseen data.

Wyuczona reprezentacja podstawowych wzorców i relacji w danych, utworzona przez zastosowanie algorytmu sztucznej inteligencji do zestawu danych szkoleniowych.

Model ten można następnie wykorzystać do prognozowania lub wykonywania zadań na nowych, niewidzianych przez model danych.

 

Multimodal models / Modele wielomodalne

 

A type of model used in machine learning (see machine learning model) that can process more than one type of input or output data, or 'modality,’ at the same time.

For example, a multi-modal model can take both an image and text caption as input and then produce a unimodal output in the form of a score indicating how well the text caption describes the image. T

hese models are highly versatile and useful in a variety of tasks, like image captioning and speech recognition.

Rodzaj modelu używanego w uczeniu maszynowym (patrz model uczenia maszynowego), który może przetwarzać więcej niż jeden typ danych wejściowych lub wyjściowych, lub „modalność”, w tym samym czasie.

Na przykład model wielomodalny może przyjmować zarówno obraz, jak i opis tekstowy jako dane wejściowe, a następnie generować jednomodalne dane wyjściowe w postaci wyniku wskazującego, jak dobrze tekst opisuje obraz.

Modele te są bardzo wszechstronne i przydatne w różnych zadaniach, takich jak opisywanie obrazów i rozpoznawanie mowy.

 

Natural language processing / Przetwarzanie języka naturalnego

 

A subfield of AI that helps computers understand, interpret and manipulate human language by transforming information into content. It enables machines to read text or spoken language, interpret its meaning, measure sentiment, and determine which parts are important for understanding. Poddziedzina sztucznej inteligencji, która pomaga komputerom rozumieć, interpretować i manipulować ludzkim językiem poprzez przekształcanie informacji w treść. Umożliwia maszynom czytanie tekstu lub języka mówionego, interpretowanie jego znaczenia, mierzenie wydźwięku i określanie, które części są ważne dla zrozumienia.

 

Neural networks / Sieci neuronowe

 

A type of model (see  machine learning model) used in machine learning that mimics the way neurons in the brain interact with multiple processing layers, including at least one hidden layer.

This layered approach enables neural networks to model complex nonlinear relationships and patterns within data. Artificial neural networks have a range of applications, such as image recognition and medical diagnosis.

Typ modelu (zob. model uczenia maszynowego) wykorzystywany w uczeniu maszynowym, który naśladuje sposób interakcji neuronów w mózgu z wieloma warstwami przetwarzania, w tym co najmniej jedną warstwą ukrytą.

To warstwowe podejście umożliwia sieciom neuronowym modelowanie złożonych nieliniowych relacji i wzorców w danych. Sztuczne sieci neuronowe mają szereg zastosowań, takich jak rozpoznawanie obrazów i diagnostyka medyczna.

 

Overfitting / Przeuczenie

 

A concept in machine learning in which a model (see machine learning model) becomes too specific to the training data and cannot generalize to unseen data, which means it can fail to make accurate predictions on new data sets. Koncepcja w uczeniu maszynowym, w której model (patrz model uczenia maszynowego) staje się zbyt specyficzny dla danych szkoleniowych i nie może uogólniać się na niewidziane dane, co oznacza, że może nie być w stanie dokonywać dokładnych prognoz na nowych zestawach danych.

 

Oversight / Nadzór

 

The process of effectively monitoring and supervising an AI system to minimize risks, ensure regulatory compliance and uphold responsible practices.

Oversight is important for effective AI governance, and mechanisms may include certification processes, conformity assessments and regulatory authorities responsible for enforcement.

Proces skutecznego monitorowania i nadzorowania systemu sztucznej inteligencji w celu zminimalizowania ryzyka, zapewnienia zgodności z przepisami i utrzymania odpowiedzialnych praktyk.

Nadzór jest ważny dla skutecznego zarządzania sztuczną inteligencją, a mechanizmy mogą obejmować procesy certyfikacji, oceny zgodności i organy regulacyjne odpowiedzialne za egzekwowanie przepisów.

 

Post processing / Przetwarzanie końcowe

 

Steps performed after a machine learning model has been run to adjust the output of that model.

This can include adjusting a model’s outputs and/or using a holdout data set – data not used in the training of the model – to create a function that is run on the model’s predictions to improve fairness or meet business requirements.

Kroki wykonywane po uruchomieniu modelu uczenia maszynowego w celu dostosowania danych wyjściowych tego modelu.

Może to obejmować dostosowanie danych wyjściowych modelu i/lub użycie zestawu danych wstrzymanych – danych niewykorzystanych w szkoleniu modelu – w celu utworzenia funkcji, która jest uruchamiana na prognozach modelu w celu poprawy uczciwości lub spełnienia wymagań biznesowych.

 

Preprocessing / Przetwarzanie wstępne

 

Steps taken to prepare data for a machine learning model, which can include cleaning the data, handling missing values, normalization, feature extraction and encoding categorical variables.

Data preprocessing can play a crucial role in improving data quality, mitigating bias, addressing algorithmic fairness concerns, and enhancing the performance and reliability of machine learning algorithms.

Kroki podejmowane w celu przygotowania danych dla modelu uczenia maszynowego, które mogą obejmować czyszczenie danych, obsługę brakujących wartości, normalizację, ekstrakcję cech i kodowanie zmiennych kategorycznych.

Wstępne przetwarzanie danych może odgrywać kluczową rolę w poprawie jakości danych, łagodzeniu stronniczości, rozwiązywaniu problemów związanych z uczciwością algorytmów oraz zwiększaniu wydajności i niezawodności algorytmów uczenia maszynowego.

 

Random forest / Las losowy

 

A supervised machine learning (see  supervised learning) algorithm that builds multiple decision trees and merges them together to get a more accurate and stable prediction. Each decision tree is built with a random subset of the training data (see also bootstrap aggregating), hence the name „random forest.”

Random forests are helpful to use with data sets that are missing values or very complex.

Algorytm nadzorowanego uczenia maszynowego (zob.  uczenie nadzorowane), który buduje wiele drzew decyzyjnych i łączy je ze sobą, aby uzyskać dokładniejszą i stabilniejszą prognozę. Każde drzewo decyzyjne jest budowane z losowego podzbioru danych treningowych (patrz także agregacja bootstrap), stąd nazwa „las losowy”.

Lasy losowe są pomocne w przypadku zestawów danych, w których brakuje wartości lub które są bardzo złożone.

 

Reinforcement learning / Uczenie ze wzmocnieniem

 

A machine learning method that trains a model to optimize its actions within a given environment to achieve a specific goal, guided by feedback mechanisms of rewards and penalties. This training is often conducted through trial-and-error interactions or simulated experiences that do not require external data.

For example, an algorithm can be trained to earn a high score in a video game by having its efforts evaluated and rated according to success toward the goal.

Metoda uczenia maszynowego, która trenuje model w celu optymalizacji jego działań w danym środowisku, aby osiągnąć określony cel, kierując się mechanizmami sprzężenia zwrotnego nagród i kar. Trening ten jest często przeprowadzany metodą prób i błędów lub symulowanych doświadczeń, które nie wymagają zewnętrznych danych.

Przykładowo, algorytm można wytrenować tak, by osiągał wysokie wyniki w grach wideo, oceniając jego wysiłki na podstawie sukcesów w dążeniu do celu.

 

Reliability / Niezawodność

 

An attribute of an AI system that ensures it behaves as expected and performs its intended function consistently and accurately, even with new data that it has not been trained on. Cecha systemu sztucznej inteligencji, który zapewnia, że zachowuje się on zgodnie z oczekiwaniami i wykonuje swoją zamierzoną funkcję konsekwentnie i dokładnie, nawet z nowymi danymi, na których nie został przeszkolony.

 

Robotics / Robotyka

 

A multidisciplinary field that encompasses the design, construction, operation and programming of robots. Robotics allow AI systems and software to interact with the physical world. Multidyscyplinarna dziedzina obejmująca projektowanie, budowę, obsługę i programowanie robotów. Robotyka umożliwia systemom sztucznej inteligencji i oprogramowaniu interakcję ze światem fizycznym.

 

Robustness / Solidność

 

An attribute of an AI system that ensures a resilient system that maintains its functionality and performs accurately in a variety of environments and circumstances, even when faced with changed inputs or an adversarial attack. Atrybut systemu sztucznej inteligencji, który zapewnia odporność systemu, który zachowuje swoją funkcjonalność i działa dokładnie w różnych środowiskach i okolicznościach, nawet w obliczu zmienionych danych wejściowych lub ataku przeciwnika.

 

Safety / Bezpieczeństwo

 

The development of AI systems that are designed to minimize potential harm to individuals, society, property and the environment.

Rozwój systemów sztucznej inteligencji, które są zaprojektowane tak, aby zminimalizować potencjalne szkody dla osób, społeczeństwa, mienia i środowiska.

 

Supervised learning / Uczenie nadzorowane

 

A subset of machine learning where the model (see also machine learning model) is trained on input data with known desired outputs. These two groups of data are sometimes called predictors and targets, or independent and dependent variables, respectively.

This type of learning is useful for training an AI to group data into specific categories or making predictions by understanding the relationship between two variables.

Podzbiór uczenia maszynowego, w którym model (patrz także model uczenia maszynowego) jest trenowany na danych wejściowych ze znanymi pożądanymi wynikami. Te dwie grupy danych są czasami nazywane odpowiednio predyktorami i celami lub zmiennymi niezależnymi i zależnymi.

Ten rodzaj uczenia jest przydatny do szkolenia sztucznej inteligencji w celu grupowania danych w określone kategorie lub dokonywania prognoz poprzez zrozumienie związku między dwiema zmiennymi.

 

Synthetic data / Dane syntetyczne

 

Data generated by a system or model (see  machine learning model) that can mimic and resemble the structure and statistical properties of real data.

It is often used for testing or training machine learning models, particularly in cases where real-world data is limited, unavailable or too sensitive to use.

Dane generowane przez system lub model (zob. model uczenia maszynowego), które mogą naśladować i przypominać strukturę i właściwości statystyczne rzeczywistych danych.

Są one często wykorzystywane do testowania lub szkolenia modeli uczenia maszynowego, szczególnie w przypadkach, gdy dane rzeczywiste są ograniczone, niedostępne lub zbyt wrażliwe, aby je wykorzystać.

 

Testing data / Dane testowe

 

A subset of the data set used to provide an unbiased evaluation of a final model (see machine learning model).

It is used to test the performance of the machine learning model with new data at the very end of the model development process.

Podzbiór zestawu danych wykorzystywany do zapewnienia bezstronnej oceny ostatecznego modelu (patrz model uczenia maszynowego).

Służy do testowania wydajności modelu uczenia maszynowego z nowymi danymi na samym końcu procesu opracowywania modelu.

 

Training data / Dane treningowe

 

A subset of the data set that is used to train a model (see also machine learning model) until it can accurately predict outcomes, find patterns or identify structures within the training data.

Podzbiór zestawu danych, który jest używany do trenowania modelu (patrz także model uczenia maszynowego), dopóki nie będzie on w stanie dokładnie przewidywać wyników, znajdować wzorców lub identyfikować struktur w danych szkoleniowych.

 

Transfer learning model / Transferowy model uczenia

 

A type of model (see also machine learning model) used in machine learning in which an algorithm learns to perform one task, such as recognizing cats, and then uses that learned knowledge as a basis when learning a different but related task, such as recognizing dogs. Rodzaj modelu (zob. także model uczenia maszynowego) stosowany w uczeniu maszynowym, w którym algorytm uczy się wykonywać jedno zadanie, takie jak rozpoznawanie kotów, a następnie wykorzystuje tę wyuczoną wiedzę jako podstawę podczas uczenia się innego, ale powiązanego zadania, takiego jak rozpoznawanie psów.

 

Transparency / Przejrzystość

 

The extent to which information regarding an AI system is made available to stakeholders, including if one is used and an explanation of how it works.

It implies openness, comprehensibility and accountability in the way AI algorithms function and make decisions.

Zakres, w jakim informacje dotyczące systemu sztucznej inteligencji są udostępniane zainteresowanym stronom, w tym informacje o tym, czy jest on używany i wyjaśnienie jego działania.

Oznacza to otwartość, zrozumiałość i odpowiedzialność w sposobie działania i podejmowania decyzji przez algorytmy sztucznej inteligencji.

 

Trustworthy AI / Wiarygodna sztuczna inteligencja

 

In most cases used interchangeably with the terms responsible AI and ethical AI, which all refer to principle-based AI development and governance (see also AI governance), including the principles of security, safety, transparency, explainability, accountability, privacy, nondiscrimination/nonbias, among others.

W większości przypadków używane zamiennie z terminami odpowiedzialna sztuczna inteligencja i etyczna sztuczna inteligencja, które odnoszą się do rozwoju i zarządzania sztuczną inteligencją w oparciu o zasady (patrz także zarządzanie sztuczną inteligencją), w tym między innymi zasady bezpieczeństwa, przejrzystości, wyjaśnialności, odpowiedzialności, prywatności, niedyskryminacji / braku uprzedzeń.

 

Turing test / Test Turinga

 

A test of a machine’s ability to exhibit intelligent behavior equivalent to, or indistinguishable from, that of a human. Alan Turing (1912-1954) originally thought of the test to be an AI’s ability to converse through a written text. Test zdolności maszyny do wykazywania inteligentnego zachowania równoważnego lub nieodróżnialnego od ludzkiego. Alan Turing (1912-1954) pierwotnie uważał, że testem jest zdolność sztucznej inteligencji do konwersacji za pomocą tekstu pisanego.

 

Underfitting / Niedouczenie

 

A concept in machine learning in which a model (see machine learning model) fails to fully capture the complexity of the training data. This may result in poor predictive ability and/or inaccurate outputs.

Factors leading to underfitting may include too few model parameters or epochs, having too high a regularization rate, or using an inappropriate or insufficient set of features in the training data.

Koncepcja w uczeniu maszynowym, w której model (patrz model uczenia maszynowego) nie jest w stanie w pełni uchwycić złożoności danych szkoleniowych. Może to skutkować słabą zdolnością predykcyjną i/lub niedokładnymi wynikami.

Czynniki prowadzące do niedouczenia mogą obejmować zbyt małą liczbę parametrów modelu lub epok, zbyt wysoki współczynnik regularyzacji lub użycie niewłaściwego lub niewystarczającego zestawu funkcji w danych szkoleniowych.

 

Unsupervised learning / Uczenie nienadzorowane

 

A subset of machine learning where the model is trained by looking for patterns in an unclassified data set with minimal human supervision. The AI is provided with preexisting data sets and then analyzes those data sets for patterns.

This type of learning is useful for training an AI for techniques such as clustering data (outlier detection, etc.) and dimensionality reduction (feature learning, principal component analysis, etc.).

Podzbiór uczenia maszynowego, w którym model jest trenowany poprzez wyszukiwanie wzorców w niesklasyfikowanym zestawie danych przy minimalnym nadzorze człowieka. Sztuczna inteligencja otrzymuje wcześniej istniejące zestawy danych, a następnie analizuje je w poszukiwaniu wzorców.

Ten rodzaj uczenia się jest przydatny do szkolenia sztucznej inteligencji w zakresie technik takich jak grupowanie danych (wykrywanie wartości odstających itp.) i redukcja wymiarowości (uczenie się cech, analiza głównych składowych itp.).

 

Validation data / Dane walidujące

 

A subset of the data set used to assess the performance of the model (see machine learning model) during the training phase.

Validation data is used to fine-tune the parameters of a model and prevent overfitting before the final evaluation using the test data set.

Podzbiór zbioru danych wykorzystywany do oceny wydajności modelu (patrz model uczenia maszynowego) podczas fazy uczenia.

Dane walidujące są wykorzystywane do dostrajania parametrów modelu i zapobiegania nadmiernemu dopasowaniu przed ostateczną oceną przy użyciu zestawu danych testowych.

 

Variables / Zmienne

 

In the context of machine learning, a variable is a measurable attribute, characteristic or unit that can take on different values. Variables can be numerical/quantitative or categorical/qualitative.

W kontekście uczenia maszynowego zmienna jest mierzalnym atrybutem, cechą lub jednostką, która może przyjmować różne wartości. Zmienne mogą być liczbowe/ilościowe lub kategoryczne/jakościowe.

 

Variance / Wariancja

 

A statistical measure that reflects how far a set of numbers are spread out from their average value in a data set. A high variance indicates that the data points are spread widely around the mean. A low variance indicates the data points are close to the mean. In machine learning, higher variance can lead to overfitting.

The trade-off between variance and bias is a fundamental concept in machine learning. Model complexity tends to reduce bias but increase variance. Decreasing complexity reduces variance but increases bias.

Miara statystyczna, która odzwierciedla, jak daleko zestaw liczb jest rozłożony od ich średniej wartości w zestawie danych. Wysoka wariancja wskazuje, że punkty danych są szeroko rozrzucone wokół średniej. Niska wariancja wskazuje, że punkty danych znajdują się blisko średniej. W uczeniu maszynowym wyższa wariancja może prowadzić do nadmiernego dopasowania.

Kompromis między wariancją a stronniczością jest podstawową koncepcją w uczeniu maszynowym. Złożoność modelu ma tendencję do zmniejszania stronniczości, ale zwiększa wariancję. Zmniejszenie złożoności zmniejsza wariancję, ale zwiększa stronniczość modelu.

 

Powyższe tłumaczenie zweryfikował Maciej Biesek – Data Scientist zajmujący się problematyką przetwarzania języka naturalnego, uczenia maszynowego i uczenia głębokiego. Pasjonat rozwoju sztucznej inteligencji, mentor i nauczyciel technik programowania i wykorzystywania uczenia maszynowego do rozwiązywania realnych problemów.

Dziękujemy!

Key Terms for AI Governance produced by the International Association of Privacy Professionals originally appeared in the IAPP Resource Center. It is reprinted with permission.

The translation has not been provided by the IAPP and was published on 20/07/2023.

KPI (Kluczowe Wskaźniki Efektywności) w compliance

Współczesne organizacje wykorzystują kluczowe wskaźniki efektywności (KPI) do oceny swojej skuteczności w różnych obszarach działalności. KPI są miarami, które pozwalają monitorować i mierzyć stopień realizacji celów organizacji oraz ocenić jej postępy. W obszarze compliance również istnieje wiele sprawdzonych metod opracowywania tych wskaźników i zasad skutecznego zarządzania przez cele.

Kluczowe wskaźniki efektywności, są istotne dla oceny organizacji, ponieważ umożliwiają jasne rozstrzygnięcie, czy cele są osiągane i na jakim etapie się znajdują. W przypadku compliance, KPI pozwalają śledzić skuteczność działań związanych z przestrzeganiem przepisów i minimalizować ryzyko naruszeń.

Zarządzanie przez cele jest kluczowym podejściem, które wiąże się z wyznaczaniem celów strategicznych i operacyjnych, a następnie monitorowaniem ich realizacji za pomocą odpowiednio dobranych KPI. Działania podejmowane w obszarze compliance, takie jak szkolenia czy audyty, wymagają innych nakładów środków i zasobów niż cele długoterminowe. Skuteczne zarządzanie przez cele i wykorzystanie odpowiednich KPI pozwala na monitorowanie postępów w realizacji celów compliance oraz identyfikację czynników ryzyka.

Kluczowe wskaźniki efektywności w obszarze compliance obejmują między innymi liczbę otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, kompozytowy wskaźnik ryzyka, różnica w powadze ryzyka oraz retencję pracowników.

Przyjrzyjmy się tym wskaźnikom.

compliance KPI

#1 Liczba otwartych przypadków naruszeń compliance

Liczba otwartych przypadków naruszeń compliance oznacza po prostu całkowitą liczbę przypadków, w których organizacja naruszyła wymogi regulacyjne lub nie przestrzegała odpowiednich praw, polityk lub standardów. Te naruszenia mogą różnić się pod względem wielkości i nasilenia, dlatego ważne jest śledzenie tej liczby wraz z kosztami compliance i postępowań sądowych, aby uzyskać pełne zrozumienie swoich problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę otwartych przypadków naruszeń compliance?

Aby śledzić to KPI, wystarczy zidentyfikować wszystkie przypadki naruszeń przez określony okres (rok daje pełniejszy obraz) i zsumować je. Jest to kolejny wskaźnik, który warto monitorować przed i po wdrożeniu szkoleń compliance lub podjęciu większej inicjatywy związanej z compliance.

#2 Średni czas odkrycia przypadków naruszeń

Średni czas odkrycia przypadków naruszeń, znany również jako średni czas wykrycia (MTTD), oznacza po prostu czas, jaki upływa od wystąpienia problemu lub zdarzenia do jego odkrycia. Krótszy średni czas odkrycia oznacza, że problemy są wykrywane szybciej (co jest korzystne), a dłuższy średni czas odkrycia oznacza, że problemy są wykrywane wolniej (co jest niekorzystne). Średni czas odkrycia może dotyczyć różnych potencjalnych problemów, takich jak:

  • Błędy oprogramowania
  • Naruszenia w zakresie zdrowia i bezpieczeństwa
  • Problemy związane z urządzeniami
  • Ograniczenia obsługi klienta
  • Wąskie gardła w przechowywaniu informacji

Jak śledzić średni czas odkrycia przypadków naruszeń?

To bardzo łatwy KPI do śledzenia, wystarczy skorzystać z prostego obliczenia: średni czas odkrycia przypadku = ogólny czas między pojawieniem się problemu a jego wykryciem dla wszystkich przypadków / liczba wystąpień problemów. Pozwoli to uzyskać średni czas, jaki organizacja potrzebuje na wykrycie problemów, co jest pierwszym krokiem do ich naprawienia.

 

#3 Średni czas rozwiązania przypadków naruszeń

Średni czas rozwiązania przypadków naruszeń często jest używany razem z średnim czasem odkrycia. Średni czas rozwiązania przypadków oblicza się jako średni czas między zgłoszeniem problemu a całkowitym jego rozwiązaniem. Podobnie jak w przypadku średniego czasu odkrycia, krótszy średni czas rozwiązania jest korzystny, a dłuższy – niekorzystny.

Jak śledzić średni czas rozwiązania przypadków naruszeń?

Podobne obliczenie można zastosować do średniego czasu rozwiązania przypadków naruszeń: średni czas rozwiązania przypadku = ogólny czas między pierwszym zgłoszeniem problemu a całkowitym jego rozwiązaniem dla wszystkich przypadków / liczba przypadków. Ważne jest, aby zauważyć, że „całkowite rozwiązanie” oznacza, że problem już nie występuje w żadnej formie, a nie tylko to, że opracowano i testujemy rozwiązanie.

 

#4 Całkowite wydatki związane z przestrzeganiem regulacji

Całkowite wydatki związane z przestrzeganiem regulacji (znane również jako koszty przestrzegania regulacji) obejmują wszystkie koszty, jakie firma lub organizacja ponosi, aby utrzymać zgodność z przepisami. Obejmuje to wynagrodzenia pracowników pracujących w dziale compliance, koszty oprogramowania, koszty raportowania, koszty audytów oraz koszt szkoleń z zakresu compliance, które są wymagane dla uzyskania statusu zgodności. Średnie całkowite wydatki związane z przestrzeganiem regulacji różnią się w zależności od branży. Im bardziej regulowana jest branża, tym wyższe są przewidywane koszty przestrzegania regulacji przez organizację.

Jak śledzić całkowite wydatki związane z przestrzeganiem regulacji?

Aby śledzić całkowite wydatki związane z przestrzeganiem regulacji, ważne jest, aby przeprowadzić szeroko zakrojony audyt wydatków, nie zapominając o wynagrodzeniach i abonamentach na oprogramowanie. Warto skorzystać z pomocy zespołu finansowego w celu kompleksowej analizy wydatków. Całkowite wydatki związane z przestrzeganiem regulacji oblicza się jako suma wszystkich kosztów związanych z przestrzeganiem przepisów.

 

#5 Koszt przestrzegania regulacji na jeden przypadek

Koszt przestrzegania regulacji na jeden przypadek to wskaźnik mierzący efektywność budżetu na przestrzeganie przepisów. Można obliczyć koszt przestrzegania regulacji na jeden przypadek na poziomie organizacji jako całości, jak również dla różnych podsekcji szkoleń z zakresu compliance, na przykład:

  • Koszt przestrzegania regulacji związanych z RODO na jeden przypadek
  • Koszt przestrzegania regulacji związanych z bezpieczeństwem i higieną pracy na jeden przypadek
  • Koszt przestrzegania regulacji związanych z cyberbezpieczeństwem na jeden przypadek

W ten sposób można śledzić, jakie naruszenia compliance kosztują najwięcej i gdzie może być konieczne większe inwestowanie w rozwiązania.

Jak śledzić koszt przestrzegania regulacji na jeden przypadek?

Koszt przestrzegania regulacji na jeden przypadek można śledzić za pomocą poniższego wzoru: koszt przestrzegania regulacji na jeden przypadek = budżet na compliance / liczba przypadków, na które ten budżet jest przeznaczony. Jak wspomniano wcześniej, można to obliczyć dla organizacji jako całości lub dla mniejszych podsekcji szkoleń z zakresu compliance, aby uzyskać bardziej szczegółowy obraz.

 

#6 Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji to metryka mierząca średnią wartość kosztów postępowań prawnych związanych z przestrzeganiem regulacji. Pozwala to śledzić zmiany w tej metryce po wdrożeniu szkoleń z zakresu compliance. Jeśli średni koszt postępowań prawnych związanych z przestrzeganiem regulacji maleje po inwestycji w szkolenia z zakresu compliance, można przypuszczać, że podjęto odpowiednie działania.

Jak śledzić średni koszt postępowań prawnych związanych z przestrzeganiem regulacji?

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji można obliczyć za pomocą poniższego wzoru: średni koszt postępowań prawnych związanych z przestrzeganiem regulacji = ogólne koszty prawne związane z problemami compliance / liczba postępowań prawnych związanych z przestrzeganiem regulacji. Ten wskaźnik najlepiej śledzić w dłuższym okresie, ponieważ istotne jest zmniejszanie go z roku na rok.

 

#7 Liczba nierozwiązanych problemów po audycie

Liczba nierozwiązanych problemów po audycie oznacza procent problemów, które nie zostały rozwiązane podczas audytu, co podkreśla skuteczność audytów związanych z compliance. Im niższy procent nierozwiązanych problemów po audycie, tym lepiej, co świadczy o tym, że audyty są skuteczne w wykrywaniu problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę nierozwiązanych problemów po audycie?

Liczba nierozwiązanych problemów po audycie można śledzić za pomocą poniższego wzoru: liczba nierozwiązanych problemów po audycie = (liczba nierozwiązanych problemów po zakończeniu audytu / ogólna liczba zidentyfikowanych problemów) * 100. Ten wskaźnik wyraża się jako procent i doskonale nadaje się do śledzenia wyników wielu audytów w celu poprawy efektywności.

 

#8 Ważony wskaźnik ryzyka

Ważony wskaźnik ryzyka jest liczbową metodą oceny stopnia ryzyka i prawdopodobieństwa jego wystąpienia. Daje to organizacji listę priorytetów dotyczących ryzyka, na które należy się przygotować.

Jak śledzić ważony wskaźnik ryzyka?

Zacznij od spisania wszystkich potencjalnych ryzyk związanych z przestrzeganiem przepisów, z którymi organizacja może się zmierzyć w nadchodzącym roku. Następnie przypisz każdemu ryzyku wynik od 1 do 5 dla prawdopodobieństwa wystąpienia i wynik od 1 do 5 dla powagi dla firmy, jeśli ryzyko wystąpiło. To pozwoli zmapować wszystkie ryzyka compliance na siatce, z jedną osią skupiającą się na wadze, a drugą na prawdopodobieństwie. Ryzyko o wysokiej wadze i wysokim prawdopodobieństwie wymaga większej uwagi i większego budżetu niż ryzyko niskie na ważonym wskaźniku ryzyka z niskim prawdopodobieństwem i powagą.

 

#9 Różnica w powadze ryzyka

Różnica w powadze ryzyka to jeden z bardziej zaawansowanych wskaźników KPI na tej liście, ale jest stosunkowo prosty do zrozumienia, jeśli wyjaśni się go w prostych słowach. Różnica w powadze ryzyka odnosi się do różnicy między przewidywanym narażeniem na ryzyko a faktycznym narażeniem na ryzyko, co oznacza, że jest to doskonały wskaźnik do mierzenia, czy jesteś zbyt ostrożny czy też potencjalnie niewystarczająco ostrożny.

Jak śledzić różnicę w powadze ryzyka?

Ten wskaźnik wymaga pewnego planowania i przemyślenia. Najpierw musisz przeprowadzić tzw. analizę ryzyka compliance, aby ocenić przyszłe ryzyka biznesowe związane z przestrzeganiem przepisów, na przykład prawodawstwo dotyczące firmy w przypadku niewłaściwego przestrzegania przepisów. Następnie ryzyka te będą oceniane pod kątem prawdopodobieństwa wystąpienia ryzyka, zazwyczaj w skali od 1 do 5. Możesz wtedy zobaczyć obraz potencjalnych ryzyk na dany rok. Po zakończeniu roku można ocenić różnicę w powadze ryzyka, analizując najnowszą Analizę Ryzyka Compliance i sprawdzić, gdzie przeszacowano lub niedoszacowano ryzyko na dany rok, co umożliwia przekierowanie zasobów i budżetu.

 

#10 Retencja pracowników

Retencja pracowników odnosi się do tego, ile pracowników pozostaje w firmie przez okres roku. Wyższa retencja pracowników oznacza, że pracownicy zostają w firmie dłużej i zazwyczaj jest to oznaka satysfakcji z ich stanowiska i silnej kultury organizacyjnej. Retencja pracowników jest również wpływana przez compliance, ponieważ pracownicy, którzy czują się bezpieczni, docenieni i nie martwią się o problemy z przestrzeganiem przepisów, są bardziej skłonni pozostać na tym samym stanowisku przez dłuższy czas. Oznacza to również, że organizacja ma niższe koszty regulacyjne, co oznacza większy budżet na inicjatywy pracownicze i podwyżki płac, co z kolei zwiększa retencję pracowników.

Jak śledzić wskaźnik retencji pracowników?

Wskaźnik retencji pracowników można śledzić za pomocą poniższego wzoru: wskaźnik retencji pracowników = 100 – wskaźnik rotacji. Wskaźnik rotacji można śledzić za pomocą poniższego wzoru: wskaźnik rotacji = liczba zwolnień pracowników / całkowita liczba pracowników * 100.

Poprzez wykorzystanie tych kluczowych wskaźników efektywności, organizacje mogą ocenić skuteczność swoich działań compliance, identyfikować obszary wymagające poprawy i dostosowywać swoje strategie w celu minimalizacji ryzyka naruszeń przepisów. Efektywne wykorzystanie KPI wpływa również na kulturę organizacyjną, zwiększa jasność oczekiwań wobec pracowników i umożliwia podejmowanie szybkich decyzji na podstawie istotnych informacji.

W obszarze compliance istnieje wiele kluczowych wskaźników, które mogą pomóc w monitorowaniu i ocenie skuteczności procesów przestrzegania przepisów. Przytoczone powyżej przykłady to jedynie kilka z najczęściej występujących: liczba otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, złożony wskaźnik ryzyka, różnica w powadze ryzyka, retencja pracowników – to wszystko są wskaźniki, które warto monitorować i analizować w celu doskonalenia procesów compliance i minimalizowania ryzyka. Świadomość tych wskaźników i skuteczne ich wykorzystanie mogą przyczynić się do budowania silnej kultury przestrzegania przepisów i osiągnięcia sukcesu organizacyjnego.

Wiedza na temat kluczowych wskaźników efektywności w obszarze compliance jest istotna dla specjalistów ds. compliance, compliance officerów oraz AMLRO (odpowiedzialnych za przeciwdziałanie praniu pieniędzy). Pozwala to na skuteczne monitorowanie procesów przestrzegania przepisów, minimalizację ryzyka i zapewnienie, że organizacja działa zgodnie z obowiązującymi regulacjami.

KYC Officer

KYC Officer to profesjonalista odpowiedzialny za przestrzeganie procedur identyfikacji klientów w firmach finansowych. Odpowiedzialności KYC Officera obejmują: przeprowadzanie weryfikacji tożsamości klientów, analizę dokumentów i informacji, monitorowanie transakcji pod kątem podejrzanych działań oraz raportowanie wszelkich nieprawidłowości.

Ponadto, KYC Officer musi być świadomy i przestrzegać przepisów prawa, zasad regulacji oraz wewnętrznych polityk firmy. Jego zadaniem jest również prowadzenie bieżących szkoleń dla pracowników dotyczących procedur KYC i współpraca z organami regulacyjnymi.

Posiadanie certyfikatu KYC Officer zapewnia wiele korzyści. KYC Officer to specjalista w zakresie identyfikacji i weryfikacji tożsamości klientów. Dzięki temu certyfikatowi można rozpoznawać i minimalizować ryzyko prania brudnych pieniędzy, oszustw i finansowania terroryzmu. KYC Officer pomaga w utrzymaniu zgodności z przepisami prawnymi oraz w budowaniu zaufania klientów poprzez właściwe zarządzanie informacjami i danymi. To także zwiększa skuteczność działań antykorupcyjnych i chroni przed reputacyjnymi szkodami. Posiadanie certyfikatu KYC Officer jest więc ważnym atutem dla profesjonalistów działających w branży finansowej i biznesowej.

Zatrudnianie Certyfikowanego KYC Officer niesie wiele korzyści instytucjom obowiązanym do realizacji procedur AML. Przede wszystkim pomaga w zapobieganiu oszustwom i praniu pieniędzy, chroniąc reputację i wiarygodność instytucji. Dodatkowo, KYC Officer poprawia procesy identyfikacji klientów, co skraca czas potrzebny na otwarcie konta czy udzielenie pożyczki. Dzięki temu wzrasta efektywność operacyjna. Również ryzyko nałożenia kar przez organy regulacyjne zostaje ograniczone. Wreszcie, obecność certyfikowanego KYC Officera wzmacnia zaufanie klientów i zwiększa ich poczucie bezpieczeństwa.

AML & Compliance

Jak zdobyć certyfikat KYC Officer?

Certyfikat KYC Officer można zdobyć poprzez ukończenie specjalistycznego certyfikowanego szkolenia oferowanego przez Langas oraz zdanie egzaminu przygotowanego przez Stowarzyszenie Compliance Polska. Niezbędne są wiedza i umiejętności związane z obszarem Know Your Customer (KYC), czyli zidentyfikowaniem klienta, zarządzaniem ryzykiem i przeciwdziałaniem praniu pieniędzy. Szkolenie i egzamin obejmuje zagadnienia prawne, regulacyjne i procedury związane z KYC.

Jakie są wymagania do uzyskania certyfikatu KYC Officer?

W celu uzyskania certyfikatu KYC Officer, wymagane są konkretne kwalifikacje: kandydat musi posiadać wiedzę na temat procedur KYC (Know Your Customer) oraz zagadnień związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Ponadto, wymaga się doświadczenia w obszarze compliance oraz znajomości aktualnych regulacji i przepisów związanych z KYC. Osoba starająca się o certyfikat KYC Oficer powinna być również w stanie skutecznie identyfikować i oceniać ryzyko związane z klientami. Kwalifikacje należy potwierdzić egzaminem certyfikowanym przez Stowarzyszenie Compliance Polska składającym się z ok 50 pytań, uzyskując co najmniej 70% punktów. Egzamin można zdać na stronie https://langas.pl/egzaminy.

Gdzie można znaleźć szkolenia i kursy związane z certyfikacją KYC Officer?

Informacje na temat szkoleń i kursów związanych z certyfikacją KYC Officer w Polsce można znaleźć m.in. na tej stronie oraz stronie Stowarzyszenia Compliance Polska.

Langas jest organizacją specjalizującą się w szkoleniach z obszaru compliance, w tym również w zakresie KYC. Oferta szkoleniowa obejmuje kursy i szkolenia dotyczące procedur KYC, przeciwdziałania praniu pieniędzy oraz zagadnień związanych z bezpieczeństwem finansowym. Stowarzyszenie Compliance Polska jest instytucją certyfikującą, organizująca egzaminy i wydającej certyfikaty KYC Officer. Na stronach tych instytucji można znaleźć informacje o terminach i lokalizacjach szkoleń, a także o treści programów i wymaganiach certyfikacyjnych.

Jakie są podstawowe zasady i procedury KYC?

Podstawowe zasady i procedury KYC to procesy stosowane przez instytucje finansowe w celu identyfikacji, weryfikacji i oceny klientów w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. KYC ma na celu gromadzenie i sprawdzanie informacji o tożsamości klientów oraz ocenę ryzyka związanych z ich transakcjami. Procedury KYC obejmują: identyfikację klienta na podstawie dokumentów tożsamości, weryfikację źródła pochodzenia funduszy, ocenę ryzyka, monitorowanie i raportowanie podejrzanych transakcji. Celem KYC jest zapewnienie uczciwości, bezpieczeństwa i zgodności instytucji finansowej z przepisami prawnymi.

Zostały ono szczegółowo opisane w tym artykule.

Jakie dokumenty są wymagane do weryfikacji tożsamości klienta?

W celu weryfikacji tożsamości konieczne może być przedstawienie następujących dokumentów: dowodu osobistego, paszportu lub prawa jazdy, wraz z aktualnym adresem zamieszkania, np. poprzez przedstawienie rachunku za media lub wyciągu bankowego. Organizacje muszą również zbierać informacje o działalności gospodarczej klienta, takie jak dokumenty rejestracyjne firmy, umowy partnerskie czy dokumenty potwierdzające pełnomocnictwa. Ważne jest, aby każdy dokument był aktualny, ważny i niepodrobiony.

Więcej na ten temat znajdziesz w tym artykule.

Jakie są ryzyka związane z nieprzestrzeganiem zasad KYC?

Ryzyka związane z nieprzestrzeganiem zasad KYC (Know Your Customer) to:

  1. Naruszenie przepisów prawa – brak weryfikacji tożsamości klientów może prowadzić do niezgodności z przepisami AML i przepisami sankcyjnymi.
  2. Wprowadzenie do firmy nieuczciwych klientów – brak weryfikacji tożsamości zwiększa ryzyko pozyskania klientów związanych z praniem pieniędzy, oszustwami czy finansowaniem terroryzmu.
  3. Szkody finansowe i reputacyjne – niewłaściwie przeprowadzone procesy KYC mogą prowadzić do strat finansowych, utraty klientów i uszczerbku dla reputacji firmy.
  4. Poważne sankcje prawne – nieprzestrzeganie zasad KYC może skutkować nakładaniem kar i sankcji ze strony organów regulacyjnych, co wpływa negatywnie na działalność firmy.
  5. Utrudnienia w raportowaniu – brak kompletnych danych i dokumentacji utrudnia raportowanie transakcji, co prowadzi do problemów z audytem wewnętrznym i zewnętrznym.

Zostały ono szczegółowo opisane w tym artykule.

Jakie są obowiązujące przepisy i regulacje dotyczące KYC?

KYC (Know Your Customer) to procedura, której celem jest identyfikacja i weryfikacja tożsamości klienta w sektorze finansowym. W Polsce obowiązujące przepisy dotyczące KYC są głównie określone w ustawach takich jak: Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz Ustawa o działalności instytucji pieniądza elektronicznego. W Unii Europejskiej regulacje dotyczące KYC obejmują przede wszystkim Dyrektywę AML (Anti-Money Laundering) IV oraz V, a także Rozporządzenie o ochronie danych osobowych (RODO). Wymagania KYC obejmują zbieranie i weryfikację danych osobowych, sprawdzanie listy sankcji, weryfikację źródeł dochodów i celów transakcji. Przedsiębiorstwa finansowe są zobowiązane do prowadzenia skrupulatnej analizy ryzyka i monitorowania transakcji klientów. Celem tych przepisów jest zapobieganie praniu pieniędzy, finansowaniu terroryzmu oraz oszustwom finansowym.

Jakie są najnowsze trendy i wyzwania w obszarze KYC?

Najnowsze trendy i wyzwania w obszarze KYC (Know Your Customer) to procesy i regulacje mające na celu identyfikację klientów w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W ostatnich latach rozwinięcie technologii, takich jak biometria i sztuczna inteligencja, wpływa na rozwój narzędzi KYC. Ponadto, wprowadzenie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stawia większy nacisk na ochronę danych klientów. Wyzwaniem jest zatem dostosowanie się do nowych przepisów i zachowanie zgodności, jednocześnie zapewniając wygodę i skuteczność w procesach KYC.

AMLA – nowy organ nadzoru UE i jego kompetencje

​​Jedną z najistotniejszych zmian, jakie wprowadza Pakiet AML, jest utworzenie nowego Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (“AMLA”).

Organ ten będzie centralnie koordynował działania organów krajowych, przyczyniając się do rozwoju spójnej i jednolitej praktyki rynkowej. Ponadto będzie on pomagał poszczególnym organom krajowym w przeprowadzaniu analiz, przyczyniając się do usprawnienia gromadzenia danych wywiadu finansowego – kluczowego materiału dla organów ścigania.

AML Officer szkolenie

AMLA będzie koncentrować się na następujących obszarach:

  • wprowadzeniu zintegrowanego systemu nadzoru AML/CFT w całej UE opartego na ujednoliconych metodologiach i standardach nadzorczych;
  • bezpośredni nadzór nad najbardziej ryzykownymi instytucjami finansowymi, które działają w dużej liczbie państw członkowskich lub w odniesieniu do tych, w których może być wymagane natychmiastowe działanie w celu ograniczenia ryzyka AML/CFT
  • monitorowanie i koordynowanie działań krajowych organów nadzorczych odpowiedzialnych zarówno za podmioty finansowe, jak i niefinansowe
  • promowanie współpracy między krajowymi FIU oraz ułatwianie koordynacji ich pracy, jak również wspólnych analiz w celu poprawy wykrywania nielegalnych transgranicznych przepływów finansowych.

AMLA ma działać jako koordynator działań organów nadzoru krajowych oraz instytucji UE w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Jego głównym celem będzie zapewnienie jednolitych standardów i zasad działania w UE w zakresie AML/CTF.

AMLA będzie posiadał szerokie uprawnienia nadzorcze, w tym możliwość przeprowadzania inspekcji w firmach z sektorów ryzykownych, takich jak sektor bankowy czy sektor kryptowalut. Urząd będzie miał również możliwość nakładania sankcji na firmy, które nie spełnią wymogów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

AMLA będzie działał we współpracy z organami nadzoru krajowych oraz innymi instytucjami UE, takimi jak Europol czy Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF). Ma to zapewnić lepszą koordynację działań oraz wymianę informacji w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Urząd ma zostać utworzony do 2024 roku, a jego wdrożenie będzie wymagało współpracy państw członkowskich UE.

 

Pakiet AML obejmuje przepisy:

  • Rozporządzenie UE („jednolity zbiór przepisów”, „single rulebook”)

  • VI Dyrektywa AML

  • Rozporządzenie ustanawiające nowy unijny organ ds. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – AMLA ( z ang. Anti-Money Laundering Authority)

Światowe organy nadzoru badają ChatGPT

Europejska Rada Ochrony Danych powołała grupę roboczą ds. ChatGPT w celu monitorowania i zbadania kwestii jego zgodności z unijnymi regulacjami dotyczącymi ochrony danych osobowych przy m.in. generowaniu tekstów i rozmów z ludźmi.

Głównym celem grupy ds. ChatGPT jest opracowanie wytycznych dotyczących ochrony danych osobowych w związku z wykorzystaniem systemów sztucznej inteligencji do generowania tekstów i rozmów. Grupa będzie badać różne aspekty związane z ochroną danych, takie jak przetwarzanie danych osobowych, prawa użytkowników, bezpieczeństwo i odpowiedzialność za szkody wynikające z wykorzystania ChatGPT.

W skład grupy ds. ChatGPT wchodzą eksperci ds. ochrony danych osobowych, przedstawiciele różnych organów nadzorczych oraz innych zainteresowanych stron. Grupa ta będzie działać we współpracy z innymi organami i grupami roboczymi Europejskiej Rady Ochrony Danych Unii Europejskiej aby zapewnić koordynację działań i osiągnięcie celów wyznaczonych przez Radę.

Zagrożenia związane z wykorzystaniem ChatGPT do generowania tekstów i rozmów zostały zidentyfikowane przez Europejską Radę Ochrony Danych Unii Europejskiej  i mogą obejmować:

  • Naruszenie prywatności i ochrony danych osobowych: ChatGPT może zbierać i przetwarzać dane osobowe użytkowników, takie jak informacje o preferencjach, zachowaniach i intencjach. W związku z tym istnieje ryzyko naruszenia prywatności i ochrony danych osobowych.
  • Ryzyko dyskryminacji i uprzedzeń: ChatGPT może wprowadzać błędne założenia i uprzedzenia, na przykład w zakresie płci, rasy, orientacji seksualnej czy wyznania, co może prowadzić do dyskryminacji.
  • Ryzyko dezinformacji i fałszywych informacji: ChatGPT może generować nieprawdziwe lub mylące informacje, co może prowadzić do dezinformacji i manipulacji opinii publicznej.
  • Bezpieczeństwo cybernetyczne: ChatGPT może być podatny na ataki cybernetyczne, które mogą prowadzić do naruszenia bezpieczeństwa danych i prywatności użytkowników.
  • Odpowiedzialność za decyzje podejmowane przez ChatGPT: ChatGPT może podejmować decyzje, na przykład w zakresie rekomendacji produktów lub usług, co może prowadzić do odpowiedzialności prawnej za szkody wynikające z tych decyzji.

Organy publiczne na całym świecie zajmujące się ochroną danych osobowych i prywatności podejmują działania w sprawie ChatGPT.

Na poziomie europejskim, już w 2020 roku Europejska Rada Ochrony Danych Unii Europejskiej wydała wytyczne dotyczące wykorzystania sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. EDPB również powołała grupę roboczą ds. ChatGPT, o której powyżej mowa, aby badać zagadnienia związane z ochroną danych w kontekście tego systemu.

Na poziomie krajowym, w wielu krajach istnieją organy i agencje ds. ochrony prywatności, które także podejmują działania w kwestii ChatGPT. Na przykład w Stanach Zjednoczonych Federalna Komisja Handlu (Federal Trade Commission, FTC) wydała wezwanie do złożenia raportów od dziewięciu firm, które oferują narzędzia oparte o działanie sztucznej inteligencji, w tym ChatGPT, celem zbadania kwestii związanych z prywatnością i bezpieczeństwem.

Polska

W Polsce organem odpowiedzialnym za ochronę danych osobowych jest Urząd Ochrony Danych Osobowych (UODO). Zgodnie z informacjami dostępnymi na stronie internetowej UODO, w 2021 roku urząd ten wydał rekomendacje dotyczące wykorzystania sztucznej inteligencji, w tym ChatGPT, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. Urząd Ochrony Danych Osobowych wystąpił ostatnio do włoskiej agencji ochrony danych (Garante per la protezione dei dati personali) w sprawie ChatGPT. UODO chce zbadać, czy ChatGPT przestrzega europejskiej regulacji o ochronie prywatności, a także potencjalne ryzyko naruszania prywatności użytkowników.

UODO nie otrzymał do tej pory (kwiecień 2023) skarg dotyczących korzystania z ChatGPT i nie przeprowadził kontroli w związku z jego funkcjonowaniem, ale bada sprawę. Urząd liczy na uregulowanie kwestii sztucznej inteligencji na poziomie unijnym i organizuje inicjatywy edukacyjne oraz naukowe w celu lepszego zrozumienia wspomnianej technologii, a także, potencjalnych zagrożeń. UODO poprosił także włoską agencję ochrony danych o udostępnienie informacji dotyczących wykorzystania ChatGPT przez instytucje publiczne i prywatne we Włoszech.

Włochy

We Włoszech organem odpowiedzialnym za ochronę danych osobowych jest Garante per la protezione dei dati personali, czyli urząd ochrony danych osobowych. Garante zajmuje się ochroną danych osobowych oraz podejmuje działania w zakresie regulacji i nadzoru w tym obszarze.

W kontekście ChatGPT, Garante wskazuje na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, pod kątem prywatności i ochrony danych. W związku z tym, Garante opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w grudniu 2020 roku, w których dostrzegł konieczność ochrony danych osobowych i prywatności użytkowników oraz wskazał, że przed wdrożeniem takich systemów należy dokładnie zbadać ich wpływ na prywatność i ochronę danych.

Ponadto, we wrześniu 2021 roku Garante wszczął postępowanie wyjaśniające w sprawie wykorzystania przez Facebook systemu sztucznej inteligencji w tzw. smart glasses, który może naruszać prywatność i ochronę danych osobowych użytkowników. Postępowanie to ma na celu zbadać, czy Facebook przestrzega przepisów dotyczących ochrony danych osobowych i czy jego system respektuje prywatność użytkowników. Warto również dodać, że we Włoszech tematem zajmuje się również krajowe centrum ds. cyberbezpieczeństwa (Centro Nazionale Cyber ​​Difesa), które monitoruje zagrożenia związane z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Niemcy

W Niemczech organem nadzorującym ochronę danych osobowych jest Federalny Komisarz do spraw Ochrony Danych i Wolności Informacyjnej (BfDI). BfDI jest niezależnym organem nadzorczym, który zajmuje się ochroną danych osobowych, a także promuje świadomość w zakresie prywatności i bezpieczeństwa danych dla wszystkich organów publicznych rządu federalnego.

W kontekście ChatGPT, BfDI wskazuje na konieczność ochrony danych osobowych użytkowników oraz na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy. W związku z tym, BfDI opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w maju 2021 roku, w których zwrócił uwagę na konieczność przestrzegania przepisów dotyczących ochrony danych osobowych oraz na potrzebę wyjaśnialności w stosowaniu sztucznej inteligencji.

BfDI również podejmuje konkretne działania w sprawie ChatGPT. W 2021 roku, BfDI wszczął postępowanie przeciwko platformie Clubhouse, która wykorzystuje system generowania tekstów w celu automatycznego generowania transkrypcji rozmów. Postępowanie to ma na celu zbadać, czy Clubhouse przestrzega przepisów dotyczących ochrony danych osobowych oraz czy jego system generowania tekstów respektuje prywatność użytkowników. Ponadto, w Niemczech istnieje również Federalne Biuro ds. Bezpieczeństwa Sieci Informacyjnych (BSI), które jest odpowiedzialne za monitorowanie i przeciwdziałanie zagrożeniom związanym z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Francja

W kontekście ChatGPT, władze francuskie podjęły kilka działań dotyczących ochrony prywatności i danych osobowych użytkowników. Jeden z organów zajmujących się ochroną danych w Francji to Komisja ds. Informacji i Wolności (Commission nationale de l’informatique et des libertés, CNIL). W maju 2021 roku, CNIL opublikowała swoje wytyczne dotyczące sztucznej inteligencji, w których podkreśla konieczność ochrony prywatności i danych osobowych użytkowników, a także na potrzebę przejrzystości i odpowiedzialności w stosowaniu sztucznej inteligencji.

Ponadto, w lipcu 2021 roku CNIL wszczęła postępowanie przeciwko platformie do nauki języków, Duolingo, która wykorzystuje system generowania tekstu, w tym ChatGPT, do automatycznego tłumaczenia tekstów użytkowników. Postępowanie to ma na celu zbadać, czy Duolingo przestrzega przepisów dotyczących ochrony danych osobowych i prywatności użytkowników, a także czy jego system generowania tekstu respektuje prywatność użytkowników. W tym samym okresie francuski organ nadzorczy ochrony danych osobowych wydał również decyzję nakładającą na Google karę w wysokości 500 milionów euro za naruszanie przepisów dotyczących prywatności i danych osobowych użytkowników w związku z wykorzystaniem plików cookie.

W sierpniu 2021 roku, francuski rząd przedstawił projekt ustawy dotyczącej sztucznej inteligencji, który ma na celu regulację stosowania sztucznej inteligencji i ochronę danych użytkowników. Projekt ustawy zakłada, że systemy oparte na sztucznej inteligencji, w tym ChatGPT, będą musiały być transparentne i odpowiedzialne, a także przestrzegać przepisów dotyczących ochrony danych osobowych użytkowników.

Co dalej?

Jako model językowy, ChatGPT nie jest bezpośrednio regulowany przez Europejską Radę Ochrony Danych ale może podlegać przepisom dotyczącym ochrony danych osobowych. W związku z tym, kolejne kroki Rady wobec ChatGPT mogą obejmować:

  1. Monitorowanie działań ChatGPT w odniesieniu do ochrony danych osobowych, aby upewnić się, że model spełnia wymogi regulacyjne.
  2. Przeprowadzanie audytów bezpieczeństwa w celu upewnienia się, że ChatGPT przestrzega wymogów dotyczących bezpieczeństwa i prywatności danych.
  3. Współpraca z dostawcami technologii i twórcami modelu, aby zapewnić zgodność z regulacjami dotyczącymi ochrony danych.
  4. Podejmowanie działań w przypadku naruszenia prywatności lub bezpieczeństwa danych przez ChatGPT, w tym na przykład nałożenie kar lub innych sankcji.
  5. Przeprowadzanie badań dotyczących wpływu modeli językowych na prywatność i bezpieczeństwo danych, w tym na przykład badania dotyczące wykorzystania danych wrażliwych lub kwestii związanych z identyfikacją osobistą.
  6. Opracowywanie i aktualizowanie wytycznych dotyczących prywatności i bezpieczeństwa danych dla modeli językowych, takich jak ChatGPT, aby pomóc w zapewnieniu zgodności z regulacjami dotyczącymi ochrony danych i prywatności.

Jak zidentyfikować zagrożenia związane z ESG we własnym łańcuchu dostaw?

Posiadanie strategii ESG nie jest już rzeczą opcjonalną dla firm. Zagadnienie zrównoważonego rozwoju staje się strategicznym priorytetem dla firm na całym świecie. Wyjaśniamy, jak zidentyfikować zagrożenia związane z ESG we własnym łańcuchu dostaw.

Kto sprzedaje najwięcej samochodów lub osiąga największe zyski? Można powiedzieć, że przez dziesiątki lat te dane liczbowe determinowały branżę motoryzacyjną. Wielkość emisji CO2 albo rodzaj energii wykorzystywanej do zasilania fabryki – przez długi czas aspekty te nie były uważane za istotne. Dzisiaj producenci samochodów, na przykład Mercedes Benz, stawiają sobie inne cele, takie jak: zmniejszenie o połowę śladu CO2 do 2030 roku. Ten cel jest częścią strategii ESG i odzwierciedla globalny trend przechodzenia na zrównoważoną gospodarkę.

Znaczenie ESG

ESG oznacza Environment, Social, Governance, czyli środowisko naturalne, politykę społeczną i ład korporacyjny). Zagadnienia powiązane z ESG, na przykład odpowiedzialność społeczna, świadomość ekologiczna i zrównoważony rozwój, jak również przejrzyste zarządzanie przedsiębiorstwem, mają związek z działalnością biznesową. Strategia ESG obejmuje cele i działania w tych obszarach tematycznych. Co więcej, duże przedsiębiorstwa nie tylko przykładają coraz większą wagę do wykrywania i ograniczania zagrożeń ESG w obrębie własnej grupy, lecz także coraz częściej oceniają czynniki ESG u partnerów biznesowych. W związku z tym – zgodnie z niemiecką ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw (niem. LkSG) – przedsiębiorstwa mają obowiązek kontroli własnych dostawców pod kątem zagrożeń związanych z ESG.

Strategiczne podejście bazuje tutaj na tym, że wspomniane działania muszą być długofalowe i w wielu przypadkach wymagają również transformacji procesów istniejących w przedsiębiorstwie.

Ze względu na rosnące wymogi regulacyjne firmy na całym świecie muszą wykazać w oparciu o konkretne dane liczbowe, na ile dobrze spełniają kryteria ESG.

Indywidualne znaczenie kryteriów ESG  

„Dzisiaj przedsiębiorstwa potrzebują strategii ESG opartej na prawidłowych danych. W zależności od wielkości firmy i branży istnieją różne wymagania, które należy spełnić podczas nakreślania strategii i nadawania znaczenia kryteriom ESG”

wyjaśnia Carsten Ettmann, starszy konsultant ds. ryzyka i  zgodności w Dun & Bradstreet.

Podczas gdy w przypadku koncernu chemicznego duże znaczenie mają zwłaszcza aspekty środowiskowe, dostawca usług personalnych ukierunkuje swoją strategię zrównoważonego rozwoju na aspekty społeczne.

Kryteria ESG podstawą strategii przedsiębiorstw w zakresie zrównoważonego rozwoju 

Aby móc zmierzyć i ocenić zrównoważony rozwój, odpowiedzialność społeczną i ład korporacyjny oparty na wartościach, potrzebne są zdefiniowane kryteria. Do takich kryteriów zalicza się na przykład wielkość emisji CO2, wprowadzenie zasady równości szans w przedsiębiorstwie lub certyfikacja w obszarach takich jak ochrona zdrowia lub gospodarka o obiegu zamkniętym. Na podstawie tego rodzaju czynników można zmierzyć i ocenić zrównoważony rozwój przedsiębiorstwa i porównać go z konkurencją.

SASB

Czym jest Sustainability Accounting Standards Board (SASB)?

SASB to niezależna organizacja non-profit, która określa globalne zasady dotyczące publikowania informacji na temat zrównoważonego rozwoju. Istnieją już standardy dla 77 branż, podzielone według obszarów tematycznych, takich jak środowisko naturalne, polityka społeczna i  ład korporacyjny.

Dun & Bradstreet klasyfikuje dane ESG w 13 obszarach tematycznych

W oparciu o SASB i inne standardy międzynarodowe (GRI, TCFD itd.) agencja Dun & Bradstreet sklasyfikowała swoje dane ESG w 13 obszarach tematycznych. Zasoby naturalne, emisje gazów cieplarnianych i zagrożenia związane z klimatem, zagrożenia i szanse związane z ochroną środowiska, kapitał ludzki, produkty i usługi, utrzymanie klientów, zaangażowanie społeczne, zaangażowanie dostawców, certyfikaty, ład korporacyjny i odporność przedsiębiorstwa. Te obszary tematyczne dzielą się na dalsze podtypy danych.

„Dokonując klasyfikacji, kierowaliśmy się przepisami ustawowymi, np. ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw w celu przestrzegania praw człowieka, oraz Taksonomią UE. Obecnie przedsiębiorstwa są zobowiązane na przykład do pozyskiwania informacji dotyczących śladu CO2 partnerów biznesowych, warunków pracy lub zaangażowania społecznego. Oferując D&B ESG Intelligence, Dun & Bradstreet dostarcza rozwiązanie, które ułatwia dostępność tych danych”

dodaje Ettmann.

Ranking ESG na rzecz zwiększenia przejrzystości  

Ranking ESG opracowany przez Dun & Bradstreet określa, w jakim stopniu dana firma zaangażowana jest w działanie związane ze zgodnością ESG, które może skutkować stratą finansową. Do pomiaru ryzyka stosuje się skalę od 1 do 5, przy czym 1 oznacza najmniejsze, a 5 największe ryzyko. W przypadku gdy firma współpracuje z dostawcą o rankingu ESG 5, można z tego wywnioskować, że ryzyko jest bardzo wysokie.

Z rankingu ESG można również dowiedzieć się, w jakim obszarze firma posiada dobry ranking. Ranking „E” koncentruje się na ochronie środowiska, ranking „S” na polityce społecznej, a ranking „G” na aspektach związanych z ładem korporacyjnym. Dodatkowo dostępne są również branżowe dane porównawcze i informacje na temat zastosowanych danych źródłowych, dzięki czemu można bardzo dokładnie oszacować zagrożenia.

„D&B ESG Intelligence pomaga przedsiębiorstwom w identyfikacji partnerów biznesowych z dobrymi wynikami ESG, co ułatwia podejmowanie właściwych decyzji handlowych oraz umożliwia wykrywanie zagrożeń, takich jak zła reputacja albo szkody wynikające z niedostosowania do regulacji lub straty operacyjne w łańcuchu dostaw”,

mówi Carol Ettmann.

Narzędzie D&B wpisuje się w cały arsenał dostępnych na runku narzędzi wspierających procesy transparentności biznesowej, takie jak ESG  czy AML.
Inne narzędzia i technologie stosowane w AML obejmują:

  1. Systemy zarządzania ryzykiem – służą do identyfikacji, oceny i monitorowania ryzyka prania pieniędzy.
  2. Filtrowanie i analiza transakcji – wykorzystuje się narzędzia do przetwarzania dużej ilości danych transakcyjnych, identyfikacji podejrzanych wzorców i wykrywania nieprawidłowości.
  3. Weryfikacja tożsamości – technologie biometryczne, rozpoznawanie twarzy i odcisków palców pomagają w uwierzytelnianiu klientów.
  4. Rozpoznawanie tekstu – stosuje się techniki OCR (Optical Character Recognition), aby automatycznie odczytywać i analizować dokumenty identyfikacyjne.
  5. Analiza sieciowa – wykorzystuje się algorytmy do analizy powiązań między różnymi podmiotami w celu identyfikacji podejrzanych wzorców i struktur.
  6. Sztuczna inteligencja i uczenie maszynowe – wspomagają automatyczną analizę danych, identyfikację ryzyka oraz wykrywanie anomalii i nieprawidłowości.
  7. Raportowanie i monitorowanie – narzędzia do generowania raportów oraz monitorowania i raportowania transakcji podejrzanych.