Czym zajmuje się compliance-analyst i na czym polega specyfika tej pracy?
Nazwa stanowiska pochodzi od angielskiego słowa „compliances”, oznaczającego „zgodność”. Compliance-analyst to specjalista, który dba o to, aby działalność firmy odpowiadała wymogom prawa, zasadom wewnętrznym, a także normom etycznym i oczekiwaniom rynku. Można powiedzieć, że analityk ds. zgodności jest uniwersalnym audytorem, głęboko zanurzonym w procesach biznesowych firmy.
Bardziej szczegółowo o tej specjalności opowiedział Alexander Kozkin, Senior Information Security Compliance Analyst w SOFTSWISS, międzynarodowej firmie z branży IT, która rozwija w Polsce dwa centra programistyczne — w Warszawie i w Poznaniu.
Spis treści
Po co jest potrzebne oddzielne stanowisko?
Na analityków ds. zgodności jest szczególne zapotrzebowanie w sferach, w których firmy zbierają wrażliwe dane personalne klientów, świadczą usługi finansowe i prawne. Są to iGaming, fintech, medtech, insurance itp.
Tam, gdzie są pieniądze i dane personalne użytkowników, są i także złoczyńcy, którzy próbują je zdobyć. Według danych IBM średnia strata w każdym przypadku wycieku danych personalnych wynosi 4,24 mln USD.
Oto dlaczego kasyna internetowe, zakłady bukmacherskie i giełdy kryptowalutowe zwracają szczególną uwagę na zapewnienie bezpieczeństwa. I to na wszystkich poziomach: zaczynając od usuwania słabych miejsc w oprogramowaniu, aż po szyfrowanie danych i przeciwdziałanie metodom inżynierii społecznej. Przy czym troska o bezpieczeństwo zaczyna się tutaj od rzeczy fundamentalnych — od surowego przestrzegania prawa.
A więc w branży iGaming licencjonowany operator, przestrzegający wszystkich wymogów prawa jest także pod ochroną państwa: przecież pracuje legalnie, uczciwie, w przestrzeni prawnej. To, żeby przestrzegano litery prawa we wszystkich kierunkach działalności firmy, zaczynając od podatków i pracy z partnerami, a kończąc na bezpieczeństwie informacyjnym, kontroluje analityk zgodności.
Wartość, którą taki analityk daje firmie to przede wszystkim minimalizacja strat finansowych i wizerunkowych. Przecież ostatecznie to biznes odpowiada finansowo za każde przewinienie. Comliance-analyst pomaga obniżyć ryzyka finansowe i wizerunkowe.
Często tę pracę dzielą między sobą prawnicy, księgowi i kierownicy oddziałów. Na pierwszy rzut oka może się wydawać, że sami widzą, czy rezultaty ich pracy odpowiadają temu, jak powinno to wyglądać z punktu widzenia prawa. Ale faktem jest, że prawa, normy i zasady („tak powinno być”) stale się zmieniają i wyraźnie wykraczają poza kompetencje i obowiązki zawodowe jednego specjalisty. Efektywne łączenie ról najprawdopodobniej nie będzie możliwe. Analityk do spraw zgodności może skupić się wyłącznie na zapewnieniu zgodności i poprawie bezpieczeństwa.
Ponadto, gdy analityk przeprowadza przeglądy i audyty, ważne jest zapewnienie niezależności i obiektywizmu jego pracy. Pomaga to zmniejszyć prawdopodobieństwo konfliktu interesów pomiędzy oddziałami firmy.
Przy wyborze kandydatów na to stanowisko preferowane są zazwyczaj osoby posiadające wiedzę techniczną z zakresu bezpieczeństwa informacji. Wśród cech osobistych ważny będzie umysł analityczny. Jeśli chodzi o rozwój kariery, dobry compliance-analyst może ubiegać się o stanowisko szefa działu, a nawet dyrektora operacyjnego/technicznego, w zależności od polityki kadrowej firmy.
Co wchodzi w obowiązki compliance-analyst?
Przyjrzyjmy się dokładniej problemom, które rozwiązuje ten specjalista.
Аudyt działalności firmy
Jest to najważniejsza czynność, którą wykonuje analityk ds. zgodności. Większość naszego czasu pracy poświęcamy na uczenie się tego, jak coś robić, czego oczekują od nas agencje rządowe, a także znajdowanie i eliminowanie niespójności między tymi realiami.
Taki regularny audyt jest bardzo przydatną procedurą, która pozwala w porę dostrzec problemy i zareagować na nie. Nie bez powodu zarówno duże firmy informatyczne, jak i rozwijające się start-upy zwracają się do niezależnych audytorów przed pozyskaniem inwestycji, fuzji i przejęć oraz kontroli organów nadzorczych. Pełnoetatowy analityk compliance pomaga stale trzymać rękę na pulsie, zapobiegając kumulacji poważnych problemów prawnych.
Zapoznawanie się z prawem i branie pod uwagę zmian
W branży IT nie da się nauczyć wszystkiego naraz. Aby pozostać kompetentnym i pożądanym specjalistą, należy stale podnosić poziom swoich umiejętności.
Ustawodawstwo, podobnie jak biblioteki wraz ich frameworkami, podlega ciągłym zmianom i uzupełnieniom. Można zatem nieświadomie złamać prawo, nie czyniąc nic złego, ale po prostu nie mając czasu na uwzględnienie zmian i dostosowanie się do nich.
Informowanie o zmianach
Jest to naturalna konsekwencja poprzedniego akapitu. Jeśli wiesz, jak to zrobić poprawnie, ale Twoi współpracownicy lub partnerzy w firmie nie, to będziesz musiał ciągle poprawiać to samo. Praca edukacyjna w tym przypadku polega na optymalizacji przyszłych procesów.
Zakłada się, że każdy specjalista powinien rozumieć niuanse legislacyjne w swojej dziedzinie. Tak powinno być w idealnym świecie, ale compliance-analyst jako przełożony kontroluje i ubezpiecza te momenty. O zmianach możesz porozmawiać w liście prywatnym lub na spotkaniu, jeśli sprawa dotyczy szerokiego grona współpracowników.
Plusem będą rozwinięte umiejętności komunikacyjne: do rozwiązywania kwestii spornych i wspierania współpracy ze wszystkimi uczestnikami, włącznie z kierownictwem firmy, zespołem programistycznym, departamentem prawnym itp.
Zgodność z przepisami
Ogólne Rozporządzenie o Ochronie Danych Osobowych, przyjęte w Unii Europejskiej w 2018 roku, jest jednym z najbardziej wymagających przepisów tego typu na świecie. I wykracza to daleko poza wyskakujące okienko „Nasza witryna przechowuje pliki cookie”. RODO ściśle reguluje wszystko, co wiąże się z gromadzeniem, przetwarzaniem, przechowywaniem i wykorzystywaniem danych osobowych klientów, użytkowników, kontrahentów i po prostu osób odwiedzających witrynę.
Firmy akceptujące płatności online lub działające w sektorze iGaming muszą dodatkowo przestrzegać przepisów przeciwdziałających oszustwom (KYC, Know Your Customer) i praniu brudnych pieniędzy (AML, Anti-Money Laundering). Oznacza to gromadzenie i przetwarzanie jeszcze bardziej wrażliwych danych, o których bezpieczeństwo należy dbać szczególnie ostrożnie. Zadaniem compliance-analyst jest monitorowanie legalności pracy z danymi osobowymi na wszystkich etapach.
Nawiasem mówiąc, po upadku amerykańskiego Silvergate Capital Corp i Signature Bank duzi europejscy gracze finansowi dosłownie rozpoczęli polowanie na najlepszych analityków ds. zgodności. Nikt nie chce ujawnić, że jego firma nie przestrzegała przepisów KYC i AML.
Jeśli chodzi o firmy iGaming, analitycy compliance rozwiązują przede wszystkim problem ochrony dużych ilości poufnych informacji graczy, w tym danych osobowych i finansowych, historii gier itp. przed potencjalnymi naruszeniami i cyberatakami.
Wiele firm z branży iGaming działa w wielu krajach, a każdy z nich ma własne ramy regulacyjne. Analitycy compliance biorą pod uwagę specyfikę różnych jurysdykcji.
Ponadto firmy iGaming muszą przechodzić regularne audyty i zdobywać certyfikaty wydawane przez organy regulacyjne. Wymaga to starannego przygotowania i komunikacji z audytorami zewnętrznymi. Zadaniem compliance-analyst jest potwierdzenie, że firma spełnia wysokie standardy.
Weryfikacja kontrahentów i umów, które są z nimi zawierane
Tutaj analityk ds. zgodności analizuje umowy pod kątem uwzględnienia wymogów bezpieczeństwa informacji i bada umowy NDA. Pod uwagę brane są także wszelkie inne dokumenty związane z aspektami bezpieczeństwa informacji (certyfikacje, architektura produktu itp.).
Przygotowanie raportów i dokumentów towarzyszących
Pomaga to kierownictwu firmy w podejmowaniu właściwych decyzji z punktu widzenia zarządzania ryzykiem. Po zidentyfikowaniu niespójności analityk sporządza swego rodzaju prawne specyfikacje techniczne i plany działania, które pomagają je wyeliminować.
Specyfika stanowiska
Duża odpowiedzialność
Rozmiary strat z tytułu niespełnienia wymogów prawnych mogą być gigantyczne. Na przykład Meta została ukarana grzywną w wysokości 1,2 miliarda euro za naruszenie zasad RODO.
Im większa firma i im większe procesy biznesowe, tym bardziej bolesny może być błąd analityka ds. zgodności. Dotyczy to zarówno sklepu spożywczego, jak i firmy outsourcingowej. Dlatego odporność na stres takiego specjalisty musi być na najwyższym poziomie.
Przyda się także doświadczenie w przeprowadzaniu ocen ryzyka, a także pracy w audycie wewnętrznym lub zewnętrznym.
Praca z dużą objętością informacji
Aby szybko i sprawnie studiować i kompilować dokumenty, potrzebny jest analityczny umysł, wytrwałość i w dobrym tego słowa znaczeniu skrupulatność. Compliance-analyst jest strategiem, ale zamiast szachów ma przed sobą prawa, kontrakty, statuty, oświadczenia i płatności. Musi umieć znaleźć ukryte powiązania i korelacje, dotrzeć do sedna przyczyn tej rozbieżności i przekształcić ją w zgodność.