Compliance Training Agent

Inspektor PIP siedzi w sali konferencyjnej. Pyta o dowód, że 47 pracowników magazynu przeszło roczne szkolenie BHP. Specjalista ds. compliance otwiera arkusz Excel, przewija, szuka, znajduje 31 wpisów. Pozostałe 16? Nie wiadomo. Może przeszkoleni, ale nie udokumentowani. Może udokumentowani, ale w innym folderze. Może zapomniani.

To nie jest najgorszy scenariusz. To jest wtorek.

Presja regulacyjna rośnie szybciej niż zdolności administracyjne

Agent działa zgodnie z zasadą Decision Layer: każda decyzja jest oparta na regułach, wspierana przez AI lub przypisana człowiekowi.

RODO, Kodeks Pracy (BHP), ustawa o przeciwdziałaniu praniu pieniędzy, prawo antykorupcyjne, NIS2, przepisy branżowe od KNF po UDT - lista ustaw wymagających regularnych szkoleń pracowników rośnie co roku. Od 2024 roku dyrektywa NIS2 nałożyła obowiązek szkoleń z cyberbezpieczeństwa na szerokie sektory gospodarki. EU AI Act od 2026 przynosi kolejne obowiązki szkoleniowe dla firm wykorzystujących systemy AI.

Każda z tych regulacji ma własne wymagania:

• Inne grupy docelowe. RODO dotyczy wszystkich pracowników z dostępem do danych osobowych. Ustawa AML tylko określonych funkcji w zobowiązanych branżach. BHP różnicuje według oceny ryzyka zawodowego.
• Inne terminy. Kodeks Pracy wymaga szkolenia wstępnego przed rozpoczęciem pracy i co najmniej okresowego powtarzania. Niektóre przepisy branżowe wymagają szkoleń półrocznych. Szkolenia RODO stają się wymagane przy istotnych zmianach prawa.
• Inne głębokości dokumentacji. Niektóre przepisy wymagają jedynie potwierdzenia uczestnictwa. Inne żądają dokumentowanych testów wiedzy. Okresy przechowywania wahają się od trzech do dziesięciu lat.

Dla firmy z 1500 pracownikami w trzech lokalizacjach ta macierz regulacyjna generuje łatwo 8 000 do 12 000 indywidualnych obowiązków szkoleniowych rocznie. Każdy z własnym terminem, własną grupą docelową, własnym obowiązkiem dokumentacyjnym.

Dlaczego arkusz Excel staje się pułapką odpowiedzialności

Większość firm zarządza szkoleniami compliance za pomocą arkuszy Excel, przypomnień w kalendarzu i pamięci działu HR. Przy 50 pracownikach to działa jako tako. Przy 500 robi się sportowo. Przy 2000 to loteria.

Typowe punkty złamania:

Regulacja się zmienia (np. wejście NIS2)
    |
    +-- Kto musi być przeszkolony od nowa?
    |       (HR nie wie - brak automatycznego przypisania)
    |
    +-- Do kiedy?
    |       (Termin jest w ustawie, nie w arkuszu)
    |
    +-- Kto już przeszkolony?
    |       (LMS mówi "ukończone" - Excel mówi "otwarte")
    |
    +-- Kogo brakuje?
    |       (Delta między stanem wymaganym a faktycznym: nieznane)
    |
    +-- Kto zostanie przypomniany?
            (Nikt automatycznie - HR pisze ręczne maile)

PIP może za brak dokumentacji szkoleń BHP nałożyć kary do 30 000 PLN - za naruszenie, nie ryczałtowo. Na gruncie RODO sankcje sięgają teoretycznie 20 milionów EUR (ok. 86 mln PLN) lub czterech procent rocznego obrotu. W BHP dochodzi dodatkowe ryzyko: jeśli dojdzie do wypadku przy pracy bez udokumentowanego szkolenia, grożą konsekwencje karne dla zarządu osobiście. ZUS może odmówić świadczeń.

Właściwy problem to nie kara. To strukturalna ślepota. Większość organizacji w żadnym momencie nie jest w stanie z pewnością powiedzieć, jaki procent załogi ma wszystkie wymagane szkolenia udokumentowane. Dane branżowe pokazują: organizacje ze wskaźnikiem realizacji poniżej 70 procent mają 3,5-krotnie wyższe ryzyko naruszeń compliance.

Co zmienia agent

Compliance Training Agent nie rozwiązuje problemu lepszymi listami. Rozwiązuje go inną architekturą: zamiast reaktywnej administracji - proaktywne sterowanie.

Automatyczne przypisanie. Gdy pracownik obejmuje stanowisko, zestaw reguł na podstawie stanowiska, działu, lokalizacji i ram regulacyjnych wyznacza pełny katalog szkoleń. Nie referent kadrowy decyduje, które szkolenia są wymagane - to wynika z reguł. Człowiek wchodzi do gry, gdy zmienia się regulacja i trzeba zwalidować nowe typy szkoleń.

Monitoring terminów w czasie rzeczywistym. Każdy obowiązek szkoleniowy ma konkretny termin. Agent oblicza go na podstawie typu szkolenia, ostatniego ukończenia i wymaganego interwału. Nie czeka, aż ktoś w dziale HR sprawdzi kalendarz. Działa: przypomnienia w zdefiniowanych interwałach przed terminem, eskalacja do przełożonego i działu compliance przy przekroczeniu.

Kompletna dokumentacja. Potwierdzenia szkoleń są automatycznie pobierane z systemu zarządzania nauczaniem i archiwizowane ze znacznikiem czasu, identyfikatorem szkolenia i identyfikatorem pracownika w aktach osobowych. Format odpowiada wymaganiom standardowych ram audytowych. Gdy inspektor PIP pyta, odpowiedź jest w sekundach - nie w godzinach.

Arytmetyka luki compliance

Weźmy firmę przemysłową z 1200 pracownikami. Sześć typów szkoleń jest obowiązkowych, od BHP po przeciwdziałanie praniu pieniędzy. To daje 7200 indywidualnych obowiązków szkoleniowych rocznie. Przy realistycznym wskaźniku realizacji 78 procent - co wiele firm uważa za akceptowalne - pozostaje 1584 obowiązki bez potwierdzenia.

1584 otwarte flanki. Każda pojedyncza to potencjalne ustalenie w następnym audycie. Każda to ryzyko odpowiedzialności, gdy coś się wydarzy.

Agent nie liczy w wskaźnikach realizacji. Liczy w ryzyku resztkowym: jakie konkretne obowiązki są wymagalne w ciągu najbliższych 30 dni? Jakie są przeterminowane? Kto został trzykrotnie przypomniany i wciąż nie ukończył? Gdzie musi interweniować przełożony, bo sam system nie wystarczy?

Infrastruktura wykraczająca poza szkolenia

Silnik śledzenia compliance - sprawdzenie obowiązku, monitoring terminów, dokumentacja potwierdzenia, eskalacja przy niewykonaniu - to nie samodzielne rozwiązanie. Ten sam wzorzec architektoniczny steruje Certification Tracking Agent i Compliance Monitoring Agent. Protokół eskalacji przy niewykonanych obowiązkach staje się szablonem dla każdego agenta egzekwującego terminy.

Co ważniejsze: każde udokumentowane szkolenie, każde przypomnienie, każda eskalacja tworzy wpis w Audit Trail. Przez setki przebiegów powstaje obraz danych, jakiego żaden arkusz Excel nie dostarczy. Które szkolenia są systematycznie odkładane? Które lokalizacje chronicznie poniżej celu? Którzy kierownicy nie reagują na eskalacje? Te wzorce to różnica między compliance jako obowiązkiem formalnym a compliance jako zarządzaną infrastrukturą.