Jeszcze niedawno compliance technologiczny był pojęciem kojarzonym głównie z bankami i dużymi korporacjami. Małe i średnie firmy koncentrowały się raczej na rozwoju produktów, sprzedaży i optymalizacji kosztów. Regulacje technologiczne pojawiały się gdzieś na marginesie działalności. Dziś sytuacja wygląda zupełnie inaczej. Nawet niewielkie przedsiębiorstwa korzystają z zaawansowanych systemów cyfrowych, narzędzi analitycznych i usług chmurowych. Dane klientów krążą między systemami marketingowymi, platformami sprzedażowymi i oprogramowaniem księgowym.
Wraz z cyfryzacją pojawia się jednak rosnąca liczba obowiązków regulacyjnych. Ochrona danych osobowych, regulacje dotyczące sztucznej inteligencji, cyfryzacja fakturowania, wymagania dostępności cyfrowej czy przepisy cyberbezpieczeństwa zaczynają tworzyć nowy krajobraz prawny dla biznesu. Dla wielu przedsiębiorców pojawia się więc nowe pytanie. Jak zarządzać tymi obowiązkami w sposób uporządkowany, zwłaszcza gdy firma nie posiada dużego działu prawnego ani zespołu compliance.
Regulacje technologiczne przestają być niszowe
W ostatnich latach przepisy dotyczące technologii zaczęły pojawiać się w niemal każdym obszarze działalności gospodarczej. Najbardziej znanym przykładem pozostaje ochrona danych osobowych. Wdrożenie zasad wynikających z RODO było dla wielu firm pierwszym doświadczeniem z systemowym podejściem do zarządzania ryzykiem regulacyjnym w obszarze technologii. Dziś lista regulacji jest jednak znacznie dłuższa. Coraz większe znaczenie zyskują przepisy dotyczące sztucznej inteligencji, które wymagają analizy ryzyka systemów AI oraz dokumentowania sposobu ich działania. Równolegle firmy muszą przygotować się na cyfryzację rozliczeń podatkowych w postaci Krajowego Systemu e Faktur. W praktyce oznacza to konieczność dostosowania systemów księgowych i obiegu dokumentów do nowych standardów elektronicznych.
Do tego dochodzą regulacje dotyczące dostępności cyfrowej. Coraz więcej usług online musi być projektowanych w sposób umożliwiający korzystanie z nich przez osoby z różnymi ograniczeniami.Nie można też zapominać o cyberbezpieczeństwie. Ataki na systemy informatyczne, wycieki danych czy incydenty bezpieczeństwa przestały być problemem wyłącznie największych organizacji.
Problem MŚP. Technologia rozwija się szybciej niż procedury
Małe i średnie przedsiębiorstwa często wdrażają nowe narzędzia bardzo szybko. Platforma marketingowa, nowe oprogramowanie księgowe, system CRM czy narzędzia oparte na sztucznej inteligencji pojawiają się w firmie w odpowiedzi na potrzeby biznesowe. Rzadziej towarzyszy temu analiza regulacyjna. W efekcie w wielu organizacjach powstaje charakterystyczna sytuacja. Firma korzysta z wielu systemów technologicznych, ale nikt nie ma pełnego obrazu tego, jakie obowiązki prawne się z tym wiążą. Często odpowiedzialność jest rozproszona. Dział IT zajmuje się infrastrukturą, księgowość odpowiada za systemy finansowe, marketing korzysta z narzędzi analitycznych, a kwestie prawne pojawiają się dopiero wtedy, gdy pojawia się problem. Takie podejście działa do momentu, gdy firma zaczyna się rozwijać albo gdy pojawia się kontrola regulatora.
Compliance technologiczny jako mapa ryzyka
System zarządzania zgodnością nie musi oznaczać skomplikowanej struktury organizacyjnej. W wielu przypadkach najważniejszym krokiem jest po prostu uporządkowanie wiedzy o tym, jakie technologie funkcjonują w firmie. Dobrym punktem wyjścia jest stworzenie mapy systemów i procesów technologicznych. W praktyce oznacza to zidentyfikowanie takich elementów jak systemy sprzedażowe, platformy marketingowe, narzędzia analityczne, systemy księgowe czy rozwiązania chmurowe wykorzystywane w organizacji. Taka mapa często ujawnia coś zaskakującego. W wielu firmach liczba narzędzi przetwarzających dane klientów lub pracowników jest znacznie większa, niż początkowo zakładano. Dopiero na tym etapie można powiązać technologie z konkretnymi regulacjami.
Jedna analiza ryzyka zamiast wielu osobnych projektów
Jednym z największych błędów w podejściu do compliance technologicznego jest traktowanie każdej regulacji jako osobnego projektu. Najpierw wdrażane jest RODO, później pojawia się projekt związany z cyberbezpieczeństwem, następnie firma przygotowuje się do nowych obowiązków podatkowych. W praktyce wiele z tych regulacji dotyczy tych samych procesów technologicznych. Dlatego coraz więcej organizacji zaczyna stosować zintegrowane podejście do analizy ryzyka technologicznego. Zamiast kilku odrębnych analiz powstaje jeden model oceny ryzyka obejmujący dane, systemy IT i procesy cyfrowe. Takie podejście znacząco upraszcza zarządzanie regulacjami.
Procedury, które naprawdę działają
W mniejszych firmach system compliance technologicznego powinien być przede wszystkim praktyczny.Najczęściej wystarczy kilka kluczowych zasad organizacyjnych. Pierwszą z nich jest jasne określenie odpowiedzialności za obszary technologiczne. Nawet w niewielkiej organizacji powinno być wiadomo, kto odpowiada za ochronę danych, kto za bezpieczeństwo systemów informatycznych, a kto za zgodność procesów finansowych. Drugim elementem są proste procedury dotyczące korzystania z narzędzi cyfrowych. Mogą one dotyczyć na przykład zasad korzystania z usług chmurowych, przetwarzania danych klientów czy wykorzystywania narzędzi sztucznej inteligencji. Trzecim elementem jest regularny przegląd technologii używanych w firmie. W praktyce wystarczy okresowa analiza systemów i procesów cyfrowych, która pozwala sprawdzić, czy pojawiły się nowe ryzyka regulacyjne.
Compliance jako element strategii firmy
Jeszcze kilka lat temu regulacje technologiczne były dla wielu firm tematem drugoplanowym. Dziś zaczynają odgrywać coraz większą rolę w strategii przedsiębiorstw. Dobrze zorganizowany system zarządzania ryzykiem regulacyjnym pozwala nie tylko uniknąć problemów prawnych. Pomaga także uporządkować procesy technologiczne i zwiększyć bezpieczeństwo danych. W świecie rosnącej liczby regulacji cyfrowych nawet małe i średnie firmy zaczynają potrzebować nowego podejścia do zarządzania technologią. Nie chodzi o budowanie rozbudowanych działów compliance. Często wystarczy kilka przemyślanych zasad i świadomość tego, że technologia w firmie nie jest już wyłącznie narzędziem operacyjnym. Stała się także obszarem ryzyka regulacyjnego, którym trzeba świadomie zarządzać.
