W obliczu COVID-19 firmy i pracownicy z dnia na dzień stanęli przed zupełnie nowymi wyzwaniami, w tym związanymi z odpowiednim zarządzaniem zgodnością.
Zamrożenie światowej gospodarki w wyniku pandemii COVID-19 jest wydarzeniem absolutnie bez precedensu. Jego skutki odczuła ponad połowa (!) globalnej populacji. Zgodnie z badaniami przeprowadzonymi przez ACCA, opublikowanymi w połowie kwietnia, 80% przedsiębiorstw ograniczyło biznes, a ponad połowa firm nie jest w stanie sporządzić jakichkolwiek prognoz na przyszłość ze względu na ogromną dynamikę zmian. Sytuacje kryzysowe sprzyjają ryzyku nadużyć. W niepewnych czasach wzmagają się zagrożenia zewnętrzne (nieuczciwa konkurencja, oszustwa gospodarcze etc.), a także mogą nasilać się wewnętrzne naruszenia pracownicze.
Zarówno pracownicy, jak i pracodawcy z dnia na dzień znaleźli się w nowej sytuacji. Wszyscy stają w obliczu zupełnie nowych wyzwań. Firmy starając się zachować ciągłość operacyjną, przechodzą szybki kurs digitalizacji i mierzą się z zagrożeniami wynikającymi z pracy zdalnej, niedojrzałych systemów cyberbezpieczeństwa czy niedostosowaniem regulacji wewnętrznych do nowej rzeczywistości. Jak zabezpieczyć dane firmowe? Jak dbać o tajemnicę handlową? Jak skutecznie chronić chociażby dane osobowe klientów? Czy ryzyko nadużyć pracowniczych wzrosło? Jak im zapobiegać i je wykrywać?
COVID a nadużycia
W niepewnych czasach jednego możemy być pewni – kryzys to złoty czas dla oszustów. Koronawirus zapewnił wszystkie okoliczności trójkąta nadużyć: presję poprzez trudną sytuację gospodarczą, okazję poprzez niski poziom kontroli wynikający z pracy zdalnej, i racjonalizację poprzez takie stereotypy jak: „uczciwi na rynku nie przetrwają”, „wszyscy tak robią” i „sam o siebie muszę zadbać”. Działy compliance muszą przygotować się na wysyp zagrożeń zewnętrznych spowodowanych atakami wszelkiego rodzaju oszustów czy działaniami nieuczciwej konkurencji oraz naruszeń wewnętrznych, dokonywanych przez pracowników chcących pójść „na skróty”. Prace zdalna, rozluźnienie kontroli i brak odpowiednich procedur określających zasady postępowania sprzyjają nadużyciom.
Cyberbezpieczeństwo a praca zdalna
Praca zdalna nie jest wymysłem ostatnich dni, ale zastosowanie jej na taką skalę i w takim wymiarze dotąd nie miało miejsca. Jest to też sprawdzian dla infrastruktury informatycznej wielu firm. Kluczową sprawą jest zabezpieczenie poufnych danych przed wyciekiem czy kradzieżą. Bezpieczne kanały do przesyłania danych i zabezpieczenie sprzętu firmowego wykorzystywanego przez pracowników stają się powoli standardem.
Ochrona tajemnicy handlowej i danych osobowych
Praca na prywatnym sprzęcie i przesyłanie „dla wygody” danych firmowych na prywatnego maila, rozmowy służbowe przy osobach postronnych, dzieci mające dostęp do komputera rodziców – to tylko niektóre z sytuacji tworzących wyzwania dla zabezpieczenia tajemnicy przedsiębiorstwa i danych osobowych. Systemy IT mogą tylko w znikomym stopniu ograniczyć te ryzyka ponieważ żadne rozwiązania technologiczne nie będą spełniać swojej funkcji, jeżeli nie zainwestujemy równolegle w budowanie świadomości i wiedzy pracowników. Jest to ogromne pole „do popisu” dla działów compliance oraz IODO – ich zadaniem będzie stworzenie adekwatnych, życiowych procedur i przekazanie ich skutecznie pracownikom oraz na koniec skontrolowanie, czy są przestrzegane.
Nieprawidłowości związane z rozliczaniem pracy zdalnej
„Czy mogę rozliczyć sobie w kosztach rower stacjonarny? W końcu jak pracuję w domu to można powiedzieć, że dojeżdżam nim do pracy…”. Ta anegdota dotyczy jednego z możliwych rodzajów nieprawidłowości związanych z praca zdalną, rozliczania kosztów i zaliczek pracowniczych. Drugim problemem jest rozliczanie czasu pracy i kontrolowanie wykonywania obowiązków służbowych. O ile pierwszy rodzaj problemów można rozwiązać przez zaostrzenie procedur, wdrożenie bezpiecznego podpisu elektronicznego czy odpowiedni system informatyczny, to sprawa rozliczania czasu pracy zdalnej jest zdecydowanie bardziej skomplikowana.
Praca zdalna wyklucza klasyczny system ewidencjonowania. Z pomocą przychodzą tu specjalne aplikacje do ewidencjonowania godzin pracy, jakie można zainstalować na komputerze lub smartfonie. Czas pracy można też wyczytać z danych komputera – dostępne są tutaj np. systemy do zbierania tego typu danych. Tylko czy na pewno warto w nie inwestować? Czy taka kontrola w ogóle ma sens?
Kultura zaufania w czasach zarazy
Głównym problemem wszystkich metod kontrolnych jest to, że kosztują. Niekoniecznie walutą są pieniądze, często jest to czas, a zwykle kombinacja obu tych zasobów. W przypadku próby kontroli czasu pracy w formule zdalnej koszty mogą przewyższyć zyski. Firma musiałaby zainwestować w dedykowanych menadżerów zajmujących się wyłącznie analizą danych zbieranych przez systemy rejestracji czasu pracy na komputerze, a ich wysiłek i tak mógłby być zniweczony poprzez na przykład proste postawienie przez pracownika kubka na klawiaturze. Próby takiej „ręcznie” sprawowanej kontroli kończą się zwykle kosztowną zabawą w kotka i myszkę, w której nie sposób mówić o jakichkolwiek zyskach dla żadnej ze stron.
Najrozsądniejszym sposobem poradzenia sobie z rozliczaniem czasu pracy w warunkach rozproszenia jest przejście na pracę zadaniową – tam, gdzie to jest możliwe ze względu na charakter wykonywanej pracy, z akcentem kontrolnym, przesuniętym z czasu na wynik danego działania. Technologia może wtedy wspierać mechanizm kontrolny, ale podstawą relacji z pracownikiem jest zaufanie do jego profesjonalizmu. Nie oznacza to rezygnacji z kontroli, a jedynie przesunięcie jej w inny punkt.
Compliance – pierwsze kroki do nowej normalności
W czasach kryzysu rola działów compliance wcale nie maleje. W ciągu paru miesięcy będziemy powoli wracać do nowej normalności – takiej, jaka będzie możliwa. Na pewno nie będzie to świat, jaki do tej pory znaliśmy. Jak się zatem do niej przygotować?
Pierwsze kroki compliance powinny być proaktywnymi działaniami zmierzającymi do wykrycia powstałych w trakcie lockdown’u nadużyć, aby móc skutecznie ograniczać ich konsekwencje. W tym bezcenną pomocą może być system anonimowego raportowania naruszeń wewnętrznych. Firmy, które wcześniej w niego zainwestowały, teraz będą miały mocno ułatwione zadanie. Można też skorzystać ze wsparcia w zbieraniu i analizie danych elektronicznych – metody wykrywania podejrzanych transakcji czy powiązań pracowników z kontrahentami to sposób pozwalający za zogniskowanie kontroli, oszczędzający czas i zasoby. Drugi krok to przegląd procedur i ich aktualizacja, celem dopasowania ich do nowej rzeczywistości oraz przygotowania firmy na nadchodzący trudny rok czy nawet powtórkę ogólnokrajowej kwarantanny. Trzecim krokiem jest budowanie świadomości pracowników dotyczącej zagrożeń oraz promocja etycznej kultury pracy. Współpraca działów compliance i HR jest w tych działaniach konieczna i od jej synergii będzie zależał ich sukces.
Stop „syndromowi frajera”
W zamieszaniu COVID-owym słychać także głosy krytycznie odnoszące się do „nadgorliwości” działów compliance. Mówiące, że na razie zgodność i etyka powinny zrobić krok wstecz i ustąpić pola drapieżnym metodom pozyskania klientów. Wycofanie się compliance, iluzoryczność kontroli i przymykanie oka, to de facto przyzwolenie dane od firmy na łamanie zasad czy prawa. Takie podejście długoterminowo sprawi, że w świadomości pracowników bycie uczciwym przestanie się opłacać. Jeżeli to „krętacze” są przez firmę akceptowani, a nawet nagradzani, ci postępujący zgodnie z zasadami będą czuć się jak „ostatni frajerzy”. Nie ma nic bardziej niszczącego dla etycznej kultury organizacyjnej niż przekonanie o bezkarności tzw. kombinatorów. Właśnie dlatego w czasie pandemii tak ważne jest, by dział compliance funkcjonował ze zdwojoną siłą.
