Odporny Program Compliance 2026

Ałła Rycek

Chief Compliance Officer, Lead Auditor CMS ABMS (PECB CoC), GDPR Officer, QSCert Lead Auditor ISO 9001, ISO 37001

14 stycznia, 2026
5:30 pm

Odporny Program Compliance 2026: Kultura, AI i Perspektywa Norm ISO

W obliczu fragmentacji regulacyjnej, zaostrzających się kar i rosnącej złożoności operacyjnej, pytanie brzmi nie „czy”, ale „jak” zbudować program compliance odporny na wstrząsy. Eksperci z GSK, Siemens Energy i Ethics and Compliance Switzerland wskazują: resilience to nie kontrola – to kultura, technologia i zdolność do adaptacji.

Krótkie wprowadzenie na 2026 rok

Rok 2026 stawia przed funkcjami compliance bezprecedensowe wyzwania. Publikacja Risk & Compliance Magazine „Building A Resilient Compliance Programme In 2026” zbiera głosy trzech czołowych praktyków: Anthony’ego Kenny’ego (Legal Director, GSK), Dr Anity Schieffer (Group Compliance & Human Rights Officer, Siemens Energy) oraz Patricka Wellensa (Chairman, Ethics and Compliance Switzerland). Ich wspólny wniosek jest jednoznaczny: tradycyjne, sztywne podejście do compliance przestaje wystarczać. Artykuł podkreśla, że organizacje muszą przejść od compliance jako funkcji kontrolnej do compliance jako systemu zintegrowanego z daily operations, opartego na kulturze zgłaszania (speak-up culture) i wspieranego przez technologię – w tym sztuczną inteligencję. Dla audytorów i menedżerów systemów zarządzania kluczowe pytanie brzmi: jak zoperacjonalizować tę wizję? Perspektywa normatywna ISO dostarcza właśnie takiego praktycznego framework – od systemów zarządzania zgodnością (ISO 37301), przez whistleblowing (ISO 37002) i antykorupcję (ISO 37001), po governance AI (ISO/IEC 38507).

Nowoczesny program compliance

Definicja resilience w nowoczesnym programie compliance

Artykuł stawia fundamentalne pytanie: czym właściwie jest odporność w kontekście compliance? Według Kenny’ego, resilient compliance programmes to programy „adaptable to regulatory change” – działające w „volatile regulatory environment” wymagają „agile frameworks that can quickly incorporate or adapt to new laws, guidance and enforcement trends”. Publikacja wskazuje również na konieczność „integrated risk management that breaks down silos between functions such as legal, compliance, human resources and operations”.

Wellens definiuje resilience szerzej: to „capacity to anticipate risks, integrate compliance into daily operations, leverage data intelligently, respond swiftly to incidents and continuously improve – all anchored in a strong ethical culture”. Artykuł podkreśla, że resilient compliance programme opiera się na „continually updated risk assessments” dostosowujących się do zmian w modelach biznesowych, oczekiwaniach regulatorów, środowisku geopolitycznym i technologii.

Dr Schieffer dodaje wymiar praktyczny, wskazując na niedawne przykłady: wojna w Ukrainie doprowadziła do „rapid changes in sanctions”, a obecna sytuacja geopolityczna generuje „supply chain risks”. Publikacja argumentuje, że odporny program musi obejmować „proactive risk assessment, continuous monitoring and agile response mechanisms”, a także integrować compliance w strategiczne cele organizacji – „making it a fundamental aspect of the business strategy rather than just a checkbox exercise”.

Osadzenie compliance w codziennych operacjach

Artykuł dedykuje osobną uwagę kluczowemu wyzwaniu: jak wbudować compliance w daily operations bez tworzenia frictions? Wellens proponuje konkretne rozwiązania: polityki powinny być „easy to find, visually attractive and written in short, plain language”, a compliance należy „built into processes, such as including compliance clauses in standard contract templates”. Publikacja wskazuje na potrzebę systemów dostarczających „tooltips and embedded checklists, so employees receive guidance when they need it, rather than reading lengthy policies”.

Kenny rozwija ten wątek, argumentując: „Companies must change their mindset around compliance. It should not be viewed as being a hinderance – rather, it should be considered as a business enabler”. Artykuł podkreśla rolę AI i innych narzędzi w automatyzacji zadań postrzeganych jako „administrative or repetitive, such as monitoring or reporting or evidence gathering”. Schieffer dodaje: „Organisations should integrate compliance processes into existing workflows instead of adding extra burdens”, wykorzystując „user-friendly tools and training that highlight compliance’s role in achieving business goals”.

Rola kultury w długoterminowej efektywności compliance

Publikacja wskazuje jednoznacznie: kultura jest fundamentem. Kenny argumentuje, że „creating a robust compliance culture is critical. It is the foundation of a strong compliance enterprise risk management system”. Artykuł podkreśla transformację od „rules-based operation to a values-based operation” – compliance nie może być tylko o politykach, musi tworzyć „environment based on ethical behaviour”.

Wellens jest jeszcze bardziej kategoryczny: „Culture is the single biggest determinant of long term compliance effectiveness. Controls, policies and technologies can fail, but a strong culture ensures people make the right choices even when no one is watching”. Publikacja wskazuje, że w firmach, gdzie kultura nie ceni integrity i compliance, lecz skupia się wyłącznie na wzroście biznesu i przychodach, „employees will look for ways to circumvent policies or controls”.

Artykuł opisuje konkretne wskaźniki kultury compliance. Schieffer wspomina o regularnych employee surveys mierzących „employees’ identification with the compliance programme, trust in reporting channels and confidence in ethical decision making”. Publikacja podkreśla znaczenie „tone from the top” – „regular messaging from the board and senior managers, such as town halls and video messages, reinforces the tone from the top”.

Technologia jako enabler skalowania compliance

W kontekście globalnych operacji, artykuł stawia pytanie: jak technologia może wspierać skalowanie compliance? Kenny wskazuje wprost: „Technology is an increasingly important and necessary tool for scaling compliance across global organisations”. Publikacja wymienia konkretnie „AI, particularly agentic AI, which can be used to drive predictive analytics, continuous monitoring and automated updates to policies”.

Schieffer rozwija ten wątek: „Technology enhances the scalability of compliance efforts across global operations – automating processes, standardising procedures and enabling real-time monitoring”. Artykuł wskazuje na „compliance management software” centralizujące „documentation for due diligence, training and reporting, ensuring consistency across regions”, oraz „data analytics tools” pomagające „identify trends and potential risks, allowing for proactive responses”.

Wellens konkretyzuje: technologia może skalować compliance poprzez „making controls consistent, automated, data-driven and embedded directly into business workflows”. Publikacja wymienia: „global platforms enable standardised compliance processes and workflows, while real-time monitoring and analytics provide insights through consolidated dashboards, regional heat maps, and training completion rates”.

Lekcje z ostatnich enforcement actions

Artykuł kończy się refleksją nad niepowodzeniami. Schieffer wskazuje: „Recent enforcement actions and failures highlight the critical importance of proactive compliance measures and the need for a robust risk management framework”. Publikacja identyfikuje recurring themes: compliance function często „lacks proper standing within the organisation – it is not independent, lacks authority and resources, and its advice is ignored”.

Wellens wymienia konkretne słabości: „tone at the top is frequently missing”, „ethics and integrity take a back seat when business objectives and sales targets dominate”, „compliance is also not sufficiently operationalised, with policies and codes of conduct existing on paper but not embedded into systems and processes”. Artykuł wskazuje szczególnie na „inadequate due diligence on third parties” – „many corruption, sanctions and human rights cases stem from poor monitoring of intermediaries and limited visibility into supply chains”.

Kenny przywołuje concrete examples: „the Post Office scandal in the UK” jako przykład krytycznej roli „tone at the top and compliance culture, or lack thereof”. Publikacja wspomina również „Blood scandal and Volkswagen emissions fraud” jako przykłady „tendency to take ethical shortcuts”. Artykuł kończy ostrzeżeniem: „The Boeing scandal is a harsh reminder of what can happen when a speak-up culture and whistleblower protection is mismanaged”.

Perspektywa norm ISO

ISO 37301:2021 – operacjonalizacja resilient compliance programme

Artykuł wskazuje na potrzebę „agile frameworks that can quickly incorporate or adapt to new laws” oraz „integrated risk management that breaks down silos”. ISO 37301:2021 operacjonalizuje właśnie te postulaty poprzez definicję Compliance Management System opartego na cyklu Plan-Do-Check-Act. Norma definiuje wymagania dla „continually updated risk assessments” wspomnianych przez Wellensa, określając mechanizmy identyfikacji compliance obligations, oceny compliance risks oraz ich traktowania.

W kontekście postulatu Kenny’ego o „continuous monitoring and continuous improvement”, ISO 37301 wprowadza konkretne wymagania dotyczące monitorowania efektywności programu, audytów wewnętrznych oraz management review. Norma odpowiada również na wyzwanie Schieffer dotyczące „dynamic and adaptable” programmes – struktura High Level Structure (HLS) zapewnia kompatybilność z innymi systemami zarządzania, umożliwiając właśnie tę cross-functional integration, o której mówią eksperci.

ISO 37002:2021 – framework dla speak-up culture

Publikacja wielokrotnie podkreśla krytyczne znaczenie speak-up culture. Wellens wskazuje na potrzebę „psychological safety to remove the fear of speaking up” i „strong non-retaliation policies”. ISO 37002:2021 dostarcza szczegółowych wytycznych dla operacjonalizacji tych postulatów: definiuje wymagania dla wielokanałowych systemów zgłaszania (hotline, portale, bezpośrednie kanały), mechanizmy ochrony whistleblowers przed detriment oraz procedury assessing and preventing risks of detrimental conduct.

W kontekście przypadku Boeing wspominanego przez Kenny’ego, norma określa konkretne kroki protection and support dla sygnalistów – od momentu otrzymania zgłoszenia, przez cały proces investigacji, aż po działania następcze. ISO 37002 odpowiada również na postulat Schieffer o „anonymous reporting channels […] 24/7 in multiple languages” oraz „secure system, hosted by an external provider, ensures confidentiality and compliance with legal standards”. Norma definiuje training requirements dla różnych ról – od governing body, przez top management, aż po managers i whistleblowing management function.

ISO 37001:2025 – risk-based due diligence stron trzecich

Artykuł identyfikuje „inadequate due diligence on third parties” jako „another common issue” prowadzący do „corruption, sanctions and human rights cases”. Wellens argumentuje, że „oversight must be risk-based and continuous, not just at onboarding”. ISO 37001:2025 operacjonalizuje właśnie to podejście: norma definiuje risk-based due diligence na business associates, dostosowując głębokość weryfikacji do poziomu bribery risk.

W kontekście enforcement actions wspominanych w publikacji (korupcja, sankcje), ISO 37001 wprowadza konkretne kontrole: financial controls (segregacja obowiązków, approval levels, accuracy of books and records), non-financial controls oraz anti-bribery commitments wymagane od business associates posing more than low bribery risk. Norma odpowiada na postulat Wellensa o „continuous monitoring” – definiując ongoing due diligence, periodic reviews oraz red flags monitoring, zamiast jednorazowej weryfikacji przy onboardingu.

ISO/IEC 38507:2022 – governance AI w compliance

Publikacja wskazuje wprost na AI jako game-changer: Kenny wymienia „AI, particularly agentic AI, which can be used to drive predictive analytics, continuous monitoring and automated updates to policies”. ISO/IEC 38507:2022 dostarcza governance framework dla odpowiedzialnego wykorzystania AI w organizacji. Norma definiuje trzy kluczowe zadania governing body: Evaluate (ocena propozycji wykorzystania AI), Direct (kierowanie strategią AI) oraz Monitor (nadzór nad realizacją).

W kontekście compliance operations, norma adresuje kluczowe wyzwania governance AI: transparency i explainability decyzji AI (krytyczne gdy AI wspiera compliance decisions), accountability za AI-aided decisions, oraz bias management (AI trenowane na historical data może utrwalać historical biases w compliance risk assessment). ISO/IEC 38507 operacjonalizuje wizję Schieffer o „compliance management software” i „data analytics tools” – definiując wymagania governance zapewniające, że AI tools wykorzystywane w compliance są „effective, efficient and acceptable”, zgodne z wartościami organizacji i oczekiwaniami interesariuszy.

Praktyczne implikacje

Dla Chief Compliance Officers implementujących wnioski z artykułu, perspektywa normatywna dostarcza konkretnego roadmap. Po pierwsze, publikacja wskazuje na konieczność „agile frameworks” i „integrated risk management” – praktyczna implementacja oznacza wdrożenie ISO 37301 jako spine integrującego compliance z innymi management systems (quality, environmental, information security).

Po drugie, artykuł jednoznacznie wskazuje, że „speak-up culture and whistleblower protection” to fundament – skandal Boeing to harsh reminder konsekwencji zaniedbań. Praktyczna implementacja zgodnie z ISO 37002 oznacza: (1) wielokanałowe systemy zgłaszania dostosowane do różnych preferencji employees, (2) jasne procedury investigation z timeframes i feedback mechanisms, (3) konkretne protection measures – od retaliation risk assessment po visible disciplining retaliators, (4) regular training różnicowane według ról.

Po trzecie, w kontekście globalnych operacji i third-party risks, artykuł wskazuje na „inadequate due diligence” jako recurring theme w enforcement actions. ISO 37001 dostarcza praktycznego framework: (1) risk assessment third parties bazujący na bribery risk indicators (country risk, transaction type, level of interaction with public officials), (2) tiered due diligence – od simplified dla low risk do enhanced dla high risk, (3) anti-bribery commitments w contractual arrangements, (4) ongoing monitoring zamiast one-time check.

Po czwarte, wykorzystanie AI w compliance – postulowane przez Kenny’ego – wymaga governance framework. ISO/IEC 38507 wskazuje praktyczne kroki: (1) defining organizational objectives dla AI use w compliance (np. predictive risk analytics, automated policy updates), (2) assessing AI proposals przez governing body – evaluating effectiveness, efficiency i acceptability, (3) monitoring AI performance i impacts – czy AI-aided compliance decisions są explainable, fair i aligned z organizational values.

Kluczowe wskaźniki efektywności, które publikacja rekomenduje dla board reporting (Kenny: „output metrics and outcome metrics”; Wellens: „programme effectiveness”, „cultural indicators”, „risk exposure”), znajdują operacjonalizację w requirements poszczególnych norm: training completion rates (ISO 37301, 37002), speak-up trends i case statistics (ISO 37002), compliance risk heat maps (ISO 37301), third-party due diligence coverage (ISO 37001), AI governance metrics (ISO/IEC 38507).

Podsumowanie

Publikacja „Building A Resilient Compliance Programme In 2026” dostarcza jednoznacznej diagnozy: resilience w compliance to nie static state, lecz dynamic capability. Artykuł wskazuje trzy fundamenty: (1) kultura jako „single biggest determinant of long term compliance effectiveness”, (2) technologia – szczególnie AI – jako enabler skalowania, (3) continuous adaptation do volatile regulatory environment. Lekcje z enforcement actions są jasne: słabe governance, brak tone from the top, niedostateczne due diligence stron trzecich oraz zaniedbana speak-up culture to najczęstsze przyczyny systemic compliance failures.

Perspektywa normatywna ISO operacjonalizuje te wnioski: ISO 37301 dostarcza agile framework dla compliance management system, ISO 37002 definiuje best practices dla whistleblowing, ISO 37001 konkretyzuje risk-based due diligence, a ISO/IEC 38507 zapewnia governance dla AI w compliance. Dla audytorów i menedżerów systemów kluczowy wniosek brzmi: resilient compliance programme 2026 to nie question of compliance versus business – to integrated system wspierający business objectives poprzez proactive risk management, ethical culture i intelligent use of technology.

FAQ: Odporny Compliance Program

Co definiuje odporność (resilience) w nowoczesnym programie compliance?

Odporność w programie compliance to zdolność do szybkiej adaptacji do zmian regulacyjnych, integracji zarządzania ryzykiem w całej organizacji oraz ciągłego monitorowania i doskonalenia. Według ekspertów z GSK i Siemens Energy, resilient programme opiera się na trzech filarach: silnej kulturze etycznej, zintegrowanych procesach zarządzania ryzykiem oraz wykorzystaniu technologii (w tym AI) do automatyzacji i skalowania. ISO 37301:2021 operacjonalizuje te postulaty poprzez framework compliance management system oparty na cyklu Plan-Do-Check-Act.

Jak osadzić compliance w codziennych operacjach bez tworzenia barier?

Kluczem jest integracja compliance w istniejące workflows zamiast dodawania dodatkowych obciążeń. Praktyczne rozwiązania obejmują:

- Polityki w prostym języku, łatwo dostępne, z embedded checklists

- Klauzule compliance w standardowych szablonach umów

- Automatyzację zadań powtarzalnych (monitoring, reporting) przez AI

- Tiered approvals bazujące na poziomie ryzyka

- KPI i performance reviews uwzględniające compliance jako business enabler

ISO 37301 definiuje mechanizmy integracji compliance z daily operations poprzez operational planning and control.

Dlaczego kultura jest kluczowa dla długoterminowej efektywności compliance?

Kultura jest fundamentem, ponieważ kontrole i polityki mogą zawieść, ale silna kultura zapewnia, że pracownicy podejmują właściwe decyzje nawet gdy nikt nie patrzy. Eksperci wskazują, że w organizacjach skupionych wyłącznie na wzroście biznesu i przychodach (bez wartości integrity), pracownicy szukają sposobów obejścia zasad. Wskaźniki kultury compliance obejmują: employee surveys mierzące identyfikację z programem, zaufanie do kanałów zgłaszania, speak-up trends oraz tone from the top manifestowany przez regularne komunikaty zarządu. ISO 37002:2021 definiuje mechanizmy budowania speak-up culture i ochrony whistleblowers.

Jak wykorzystać AI i technologię do skalowania compliance w globalnych operacjach?

AI (szczególnie agentic AI) może wspierać compliance przez:

- Predictive analytics – przewidywanie ryzyk compliance na podstawie wzorców

- Continuous monitoring – automatyczne monitorowanie transakcji i zachowań w czasie rzeczywistym

- Automated policy updates – dostosowywanie polityk do zmian regulacyjnych

- Data analytics tools – identyfikację trendów i potential risks

- Compliance management software – centralizację dokumentacji, szkoleń i raportowania

ISO/IEC 38507:2022 dostarcza governance framework dla odpowiedzialnego wykorzystania AI, zapewniając transparency, accountability i bias management w AI-aided compliance decisions.

Jakie są najczęstsze przyczyny niepowodzeń programów compliance według enforcement actions?

Analiza globalnych enforcement actions i skandali (Post Office UK, Boeing, Volkswagen) identyfikuje recurring themes:

- Brak proper standing funkcji compliance – brak niezależności, autorytetu i zasobów

- Słaby tone from the top – zarząd i rada nie dają przykładu ethical decision making

- Nieoperacjonalizowany compliance – polityki istnieją na papierze, ale nie są embedded w systemy

- Inadequate due diligence stron trzecich – słabe monitorowanie intermediaries i supply chains

- Zaniedbana speak-up culture – brak ochrony whistleblowers przed retaliation

ISO 37001:2025 adresuje due diligence poprzez risk-based approach, a ISO 37002:2021 definiuje protection measures dla sygnalistów.

Bibliografia:

Kenny A., Schieffer A., Wellens P. „Building A Resilient Compliance Programme In 2026”. Risk & Compliance Magazine, Jan-Mar 2026, s. 21-30
ISO 37301:2021. Compliance management systems — Requirements with guidance for use – https://www.iso.org/standard/75080.html
ISO 37002:2021. Whistleblowing management systems — Guidelines – https://www.iso.org/standard/65035.html
ISO 37001:2025. Anti-bribery management systems — Requirements with guidance for use – https://www.iso.org/standard/37001
ISO/IEC 38507:2022. Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations – https://www.iso.org/standard/56641.html