Vendor Management Agent
Z 80 dostawców HR bez zarządzania do jednej Single-Source-of-Truth - centralny vendor management z due-diligence CSDDD 2024/1760, RODO art. 28 powierzeniem, ESRS S2 raportowaniem i automatycznym monitoringiem KPI dla audytu PIP, UODO i KIBR.
Zarządzanie dostawcami HR zgodne z PZP 11.09.2019, CSDDD 2024/1760, RODO art. 28 i ESRS S2 - lifecycle, due-diligence, KPI z SLA i raportowanie dla audytora KIBR i WIG-ESG GPW.
Przeanalizować procesWybór spośród ponad 5 000 projektów w 25 latach tworzenia oprogramowania
Dostawca HR to fragment łańcucha wartości firmy, a nie sama relacja kontraktowa - dlatego cały jego cykl życia musi być audytowalny
Agent prowadzi cały cykl życia dostawcy HR aż do progu decyzyjnego. Deterministycznie rozpoznaje typ dostawcy (płace, benefity, szkolenia, BPO HR, SaaS HR) i sprawdza zgodność z Prawem Zamówień Publicznych, kompletność umowy powierzenia (RODO art. 28) oraz - przy transferze danych poza EOG - standardowe klauzule umowne i ocenę skutków transferu. Automatyzuje due-diligence z Dyrektywy CSDDD pod kątem ryzyka praw człowieka i środowiska, waliduje poziomy usług wraz z karami umownymi, a umowy kieruje do wielopoziomowego zatwierdzania z podpisem kwalifikowanym. Na bieżąco monitoruje wskaźniki dostawcy i terminy umów, prowadzi cykliczne postępowania przetargowe i generuje raporty ESRS S2 dla audytora KIBR.
Wynik: Naruszenie procedury PZP z Ustawy z 11.09.2019 generuje sankcję UZP Urzędu Zamówień Publicznych do 10 procent wartości zamówienia, postępowanie przed Krajową Izbą Odwoławczą KIO, w skrajnych przypadkach unieważnienie umowy. Naruszenie umowy powierzenia RODO art. 28 lub SCC 2021/914 dla transferów do państw trzecich generuje sankcję UODO do 4 procent obrotu lub 20 milionów EUR, naruszenie ochrony danych pracowniczych z RODO art. 88. Naruszenie due-diligence CSDDD 2024/1760 (od 26.07.2027 dla 5000+ pracowników) generuje sankcję administracyjną do 5 procent obrotu globalnego, odpowiedzialność cywilną pracodawcy za szkody w łańcuchu wartości (np. praca dzieci u poddostawcy), wykluczenie z zamówień publicznych UE. Naruszenie obowiązku zgłoszenia koncentracji do UOKiK z Ustawy z 16.02.2007 art. 13 generuje sankcję do 50 mln EUR, naruszenie art. 14 zakazu porozumień ograniczających konkurencję (zmowa przetargowa) sankcję do 10 procent obrotu rocznego, dla skrajnych przypadków sankcję karną z art. 305 k.k. do 3 lat pozbawienia wolności. Naruszenie raportowania ESG/CSRD ESRS S2 Workers in Value Chain generuje modyfikację opinii audytorskiej KIBR (kwalifikowany odpis), wykluczenie z indeksu WIG-ESG GPW i naruszenie Code of Best Practices for WSE Listed Companies. Naruszenie obowiązków AML z Ustawy z 1.03.2018 generuje sankcję GIIF Generalnego Inspektora Informacji Finansowej do 5 milionów EUR. Odpowiedzialność członków Rady Nadzorczej z KSH art. 382 jest osobowa - brak nadzoru nad polityką vendor management, polityką due-diligence CSDDD generuje odpowiedzialność cywilną z KSH art. 233+299.
Architektura procesu respektuje, że dostawca HR to nie tylko relacja kontraktowa, lecz fragment łańcucha wartości firmy podlegający 6 warstwom regulacji - oto jak agent rozkłada cykl życia dostawcy od onboardingu przez monitoring do wypowiedzenia na 14 mikrodecyzji:
Osiemdziesięciu dostawców HR bez centralnego zarządzania, jeden warunek zawsze naruszony - polski Mittelstand traci kontrolę nad łańcuchem wartości i raportowaniem ESRS S2
Firma z 1500 pracownikami utrzymuje typowo 60-100 dostawców HR: dostawcy płac (Comarch, Symfonia, BPO Payroll), dostawcy benefitów (ubezpieczenia grupowe, pakiety medyczne, fundusz świadczeń), dostawcy szkoleń (LMS Workday Learning, BPO Recruitment Process Outsourcing), dostawcy SaaS HR (HRIS Personio, BambooHR, ATS Lever), dostawcy delegowania (Ustawa z 10.06.2016), dostawcy BHP (KP art. 234-237). Każda relacja musi mieć aktualną umowę powierzenia RODO art. 28, zgodne SLA, monitoring KPI, due-diligence CSDDD i raportowanie ESRS S2. W praktyce co najmniej jeden z tych pięciu warunków jest prawie zawsze naruszony.
Zarządzanie dostawcami HR w kontekście CSDDD
Dostawcy HR to nie tylko relacje kontraktowe, lecz fragmenty łańcucha wartości firmy. Dyrektywa CSDDD 2024/1760 z 13.06.2024 wprowadza obowiązek due-diligence w łańcuchu wartości od 26.07.2027 dla firm 5000+ pracowników i 1.5 mld EUR obrotu globalnego, transpozycja do polskiego prawa do 26.07.2026.
System zarządzający dostawcami pochodzi z poprzedniej dekady. Folder SharePoint z 200 umowami, z których 40 ma niekompletne klauzule RODO art. 28. Excel z monitoringiem terminów wypowiedzenia, gdzie 15 umów już przedłużyło się automatycznie mimo naruszeń SLA.
Rezultat: firma działa w łańcuchu wartości z dostawcami z krajów wysokiego ryzyka praw człowieka bez audytów, podpisuje umowy SCC 2021/914 dla USA bez Transfer Impact Assessment z Schrems II, traci kontrolę nad konsolidacją rynku (Comarch przejęcie Symfonii zmniejsza alternatywy poniżej 3 dostawców). Audyt KIBR raportowania ESRS S2 odkrywa, że firma nie ma polityki due-diligence CSDDD - modyfikacja opinii audytorskiej, wykluczenie z WIG-ESG GPW.
Prawo Zamówień Publicznych i due-diligence z Dyrektywy CSDDD
Warstwa Ustawy Prawo Zamówień Publicznych jest fundamentalna dla zamawiających publicznych. Próg unijny dla dostaw i usług sektora klasycznego wynosi 143 000 EUR, dla sektora specjalnego 215 000 EUR, dla robót budowlanych 5 538 000 EUR. Tryby PZP: przetarg nieograniczony art. 132 (najpopularniejszy, otwarty dla wszystkich), przetarg ograniczony art. 159 (dwuetapowy z wyborem wykonawców), dialog konkurencyjny art. 169 (dla złożonych zamówień innowacyjnych), partnerstwo innowacyjne art. 195.
Publikacja w BZP Biuletynie Zamówień Publicznych art. 263 jest obowiązkowa, dla zamówień powyżej progu unijnego dodatkowo TED Tenders Electronic Daily UE z minimum 35 dni na ofertę. Wybór najkorzystniejszej oferty z kryteriami: cena nie więcej niż 60 procent zgodnie z PZP, jakość, doświadczenie, certyfikaty ESG/CSDDD, RODO art. 28 zgodność.
Dyrektywa CSDDD 2024/1760 wprowadza obowiązek due-diligence w łańcuchu wartości - identyfikacja, prewencja, łagodzenie negatywnych skutków praw człowieka (Konwencje MOP 29/138/105/87/98/100/111/155) i środowiska (Porozumienie Paryskie, Dyrektywa Wodna 2000/60/WE). Mapowanie tier 1 bezpośrednich dostawców HR i tier 2-N poddostawców. Sankcja do 5 procent obrotu globalnego za naruszenie.
Agent automatyzuje due-diligence przez AI risk scoring 80-88 procent na metadanych dostawcy (kraj rejestracji według CPI Corruption Perception Index i ITUC Global Rights Index, branża, certyfikaty SA8000/ISO 14001, EcoVadis Gold/Silver) z eskalacją do Specjalisty ds. ESG dla dostawców z krajów wysokiego ryzyka. Decyzja o kontraktowaniu zawsze do zarządu z dokumentacją uzasadnienia.
Raportowanie ESRS S2: pracownicy w łańcuchu wartości
ESG/CSRD wprowadza obowiązkowe raportowanie zrównoważonego rozwoju z 12 standardów ESRS. ESRS S2 Workers in the Value Chain dotyczy pracowników dostawców i poddostawców - kluczowy standard dla Vendor Management Agent. Wymagania:
- S2-1: polityka praw człowieka zgodna z UNGP i OECD Guidelines, polityka due-diligence CSDDD, kodeks postępowania dla dostawców z 11 standardami praw pracowniczych
- S2-2: procesy angażowania - audyty SMETA, ankiety pracownicze, wizyty u dostawców, raportowanie BAFA dla LkSG-zobowiązanych
- S2-3: mechanizmy skarg - kanał dla pracowników dostawców i społeczności lokalnych integrowany z polityką sygnalistów Ustawa z 14.06.2024
- S2-4: działania naprawcze - korekta naruszeń, plan korygujący, monitoring postępu, w skrajnych przypadkach wypowiedzenie umowy
- S2-5: cele - redukcja ryzyka praw człowieka, certyfikacje SA8000, EcoVadis Gold/Silver, redukcja Scope 3 GHG
GPW WIG-ESG i Code of Best Practices for WSE Listed Companies wymaga raportowania kwartalnego dla spółek publicznych. Agent generuje raporty automatycznie z metadanych dostawców i wyników due-diligence. Audytor KIBR ma dostęp przez API.
Naruszenie raportowania generuje modyfikację opinii audytorskiej KIBR (kwalifikowany odpis), wykluczenie z WIG-ESG GPW (spadek kursu), naruszenie Code of Best Practices for WSE Listed Companies (publiczna nagana).
Umowy powierzenia, transfer danych i ochrona konkurencji
RODO art. 28 wymaga umowy powierzenia przetwarzania danych z każdym dostawcą HR z dostępem do danych pracowniczych - 35 obowiązkowych klauzul:
- przedmiot, czas, charakter, cel przetwarzania
- kategorie danych (KP art. 22-1, RODO art. 9 dane wrażliwe)
- kategorie osób (pracownicy, kandydaci, byli pracownicy)
- obowiązki procesora art. 28 ust. 3 lit. a-h - instrukcje udokumentowane, poufność personelu, środki TOM, podprocesorzy z uprzednią zgodą, audytowalność, zwrot/usunięcie danych
Standardowe Klauzule Umowne SCC 2021/914 z 4.06.2021 obowiązkowe od 27.12.2022 dla transferów do państw trzecich - moduł 2 administrator-procesor, moduł 3 procesor-podprocesor. Wyrok Schrems II C-311/18 z 16.07.2020 wymaga Transfer Impact Assessment TIA z oceną prawa krajowego (FISA 702 dla USA), środków technicznych (szyfrowanie end-to-end, fragmentacja, klucze HSM oddzielne). Data Privacy Framework UE-USA z 10.07.2023 częściowo zastępuje SCC dla USA dla certyfikowanych firm.
Ustawa antymonopolowa z 16.02.2007 reguluje kontrolę UOKiK koncentracji M&A powyżej 1 mld zł obrotu globalnego (art. 13) i zakaz porozumień ograniczających konkurencję (art. 14) - zmowa przetargowa z karami do 10 procent obrotu rocznego, dla skrajnych przypadków sankcję karną z art. 305 k.k. do 3 lat pozbawienia wolności.
Ustawa o świadczeniu usług drogą elektroniczną z 18.07.2002 UŚUDE reguluje umowy z dostawcami SaaS HR z obowiązkami informacyjnymi art. 5, regulaminem świadczenia usług art. 8.
Naruszenia generują sankcję UODO do 4 procent obrotu lub 20 mln EUR z RODO, sankcję UOKiK do 10 procent obrotu rocznego z Ustawy antymonopolowej.
Współpraca z agentami płac, benchmarkingu i dokumentów
Agent współpracuje z Payroll Processing Agent przez ratyfikację dostawców płac (Comarch ERP HR, Symfonia HR, BPO Payroll) z umową powierzenia RODO art. 28, monitoring KPI naliczania (czas zamknięcia okresu rozliczeniowego, dokładność deklaracji ZUS Płatnik, JPK_V7M).
Współpraca z Compensation Benchmarking Agent obejmuje ratyfikację dostawców danych benchmarkowych (Mercer Polska, Korn Ferry Polska, Hay Group, Aon Hewitt, dane GUS) z weryfikacją niezależności metodologicznej, transparentności metod pomiaru EU Pay Transparency Directive 2023/970, ESG/CSRD ESRS S1-9.
HR Document Management Agent archiwizuje umowy z dostawcami w segmencie B akt korporacyjnych zgodnie z Rozp. MRiPS z 10.12.2018 z 5-letnim okresem KP art. 94 pkt 9b dla umów standardowych i 10-letnim KSH art. 84 dla umów strategicznych zarządu. Vendor Management zarządza tworzeniem, monitoringiem KPI i wypowiedzeniem, HR Document Management archiwizuje jako dokumenty kadrowe z metadanymi i kwalifikowanym podpisem QSig.
Cztery agenty współdzielą infrastrukturę kwalifikowanego podpisu eIDAS Autenti, audit-trail RODO art. 30+32, integrację z Comarch ERP HR jako centralnym ERP polskiego rynku.
Decision Layer zamienia vendor management w weryfikowalny proces
Decision Layer rozkłada cykl życia dostawcy na pojedyncze kroki decyzyjne i dla każdego definiuje: człowiek, silnik reguł lub AI. Klasyfikację typu dostawcy, walidację PZP, walidację RODO art. 28, monitoring KPI, monitoring terminów umów podlega silnikowi reguł. Walidację SCC z Schrems II, due-diligence CSDDD, agregację feedbacku z monitoringu wydajności przejmuje AI z confidence scoring 80-92 procent. RODO art. 22 wyklucza pełną automatyzację - klasyfikacja AI poniżej threshold trafia do Specjalisty ds. ESG/CSRD lub Inspektora Ochrony Danych, decyzja o kontraktowaniu z dostawcą wysokiego ryzyka zawsze pozostaje przy zarządzie.
Człowiek pozostaje tam, gdzie decyzja jest naprawdę potrzebna: zatwierdzenie umowy strategicznej przez zarząd z odpowiedzialnością KSH art. 233+299, wybór wykonawcy w postępowaniu przetargowym, ocena kontrowersyjnego ryzyka CSDDD, decyzja o wypowiedzeniu umowy z dostawcą po naruszeniach SLA. Zarząd widzi zweryfikowany pakiet - walidacja PZP, walidacja RODO art. 28, walidacja SCC, due-diligence CSDDD, KPI monitoring, kwalifikowany podpis Autenti - i autoryzuje decyzję.
Na pierwszy rzut oka
- 60-100 dostawców HR w typowej firmie 1500 pracowników, jeden z pięciu warunków zawsze naruszony
- Ustawa PZP 11.09.2019 progi unijne 143 000 EUR dla zamawiających publicznych, transparentność BZP/TED
- Dyrektywa CSDDD 2024/1760 due-diligence w łańcuchu wartości od 26.07.2027 (5000+), transpozycja do 26.07.2026
- RODO art. 28 35 obowiązkowych klauzul umowy powierzenia, sankcja UODO do 4 procent obrotu lub 20 mln EUR
- Standardowe klauzule umowne, środki z wyroku Schrems II i Data Privacy Framework UE-USA dla transferów poza EOG
- Ustawa antymonopolowa 16.02.2007 UOKiK kontrola koncentracji powyżej 1 mld zł, zmowa przetargowa do 10 procent obrotu
- Raportowanie ESRS S2 (pracownicy w łańcuchu wartości, podsekcje S2-1 do S2-5) weryfikowane przez KIBR i w ramach WIG-ESG GPW
- AML Ustawa z 1.03.2018 weryfikacja CRBR Centralny Rejestr Beneficjentów Rzeczywistych, sankcja GIIF do 5 mln EUR
- 5-letni okres przechowywania KP art. 94 pkt 9b, 10-letni KSH art. 84 dla umów strategicznych
Rozdział decydentów Vendor-Management
| Decyzja | Decydent | Podstawa prawna |
|---|---|---|
| Klasyfikacja typu dostawcy | Reguła | Macierz kategorii dostawców |
| Walidacja Ustawy PZP 11.09.2019 | Reguła | Progi unijne BZP/TED |
| Walidacja RODO art. 28 powierzenie | Reguła | Checklist 35 klauzul |
| Walidacja SCC 2021/914 + Schrems II | KI | RODO art. 22 + DPF UE-USA |
| Due-diligence CSDDD 2024/1760 | KI | RODO art. 22 + UNGP/OECD |
| Weryfikacja LkSG-równoważności | Reguła | BAFA-Reporting + CSDDD |
| Walidacja SLA i KPI | Reguła | KC art. 484 kary umowne |
| Workflow zatwierdzania | Reguła | Macierz KSH art. 382 |
| Weryfikacja KYV/AML | Reguła | CRBR + Biała Lista KAS |
| Monitoring KPI ciągły | KI | RODO art. 22 |
| Monitoring terminów umów | Reguła | KP art. 94 pkt 9b, KSH art. 84 |
| Postępowanie przetargowe okresowe | Człowiek | KSH art. 233+299 |
| Walidacja UOKiK i zmów przetargowych | Reguła | Ustawa 16.02.2007 art. 14 |
| Generowanie raportów ESRS S2 | KI | ESRS S2 + WIG-ESG GPW |
Co infrastruktura daje innym agentom
Architektura klasyfikacji dostawców, workflow due-diligence CSDDD i workflow zatwierdzania z KSH art. 382 staje się szablonem dla agentów stosujących dostawców zewnętrznych. Procurement Agent stosuje progi PZP dla zamówień powyżej 143 000 EUR. IT Service Management Agent stosuje DORA EU 2554/2022 dla dostawców ICT. Marketing Agent stosuje RODO art. 28 dla CRM i Marketing Automation.
Decision Logging zgodne z RODO art. 30+32, KP art. 94 pkt 9b i KSH art. 84 buduje Audit Trail - kluczowe dla obrony przed kontrolą UZP, UODO, UOKiK, GIIF, PIP, KIBR ze standardami ESRS S2. Generowanie raportów ESG/CSRD ESRS S2 jest fundamentem dla ESG Reporting Agent, Supply Chain Risk Agent, Whistleblower Workflow Agent z rozszerzonym zakresem pracowników dostawców.
Vendor Management Agent dowodzi przy 80 dostawcach HR i 35 obowiązkowych klauzulach RODO art. 28, że audytowalny workflow z zgodnością Ustawy PZP, Dyrektywy CSDDD 2024/1760, RODO art. 28, SCC 2021/914 i ESRS S2 Workers in Value Chain jest możliwy.
Tabela mikrodecyzji
Kto decyduje w tym agencie?
14 kroków decyzyjnych, podział według decydenta
Onboarding nowego dostawcy HR i klasyfikacja kategorii dostawcy Klasyfikacja typu dostawcy - dostawca płac (KP art. 80-94, ZUS Płatnik), dostawca benefitów (KP art. 27 fundusz świadczeń socjalnych, ubezpieczenia grupowe), dostawca szkoleń (KP art. 17 podnoszenie kwalifikacji, ZFŚS), BPO HR (recruitment process outsourcing, payroll outsourcing), dostawca SaaS HR (HRIS, ATS, LMS), dostawca delegowania (Ustawa z 10.06.2016), dostawca BHP (KP art. 234-237, OHS); routing do odpowiedniego workflow zatwierdzania i due-diligence Silnik reguł
Klasyfikacja jest deterministyczna na podstawie metadanych umowy i zakresu usług - inny ścieżka due-diligence dla dostawcy z dostępem do danych pracowniczych (RODO art. 28 obowiązkowa umowa powierzenia) versus dostawcy bez dostępu do danych (zwykła umowa o świadczenie usług KC art. 627), inny próg progu unijnego PZP 143 000 EUR dla zamówień publicznych, inny próg CSDDD due-diligence dla dostawców z łańcucha wartości
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Walidacja zgodności z Ustawą Prawo Zamówień Publicznych z 11.09.2019 PZP (dla zamawiających publicznych) Sprawdzenie czy zamówienie podlega procedurze PZP - próg unijny 143 000 EUR dla dostaw i usług sektora klasycznego, 5 538 000 EUR dla robót budowlanych; wybór trybu (przetarg nieograniczony art. 132, przetarg ograniczony art. 159, dialog konkurencyjny art. 169, partnerstwo innowacyjne art. 195); publikacja w BZP art. 263; weryfikacja warunków udziału (KRS, ZUS, US, niekaralność) Silnik reguł
Walidacja jest deterministyczna na podstawie wartości zamówienia, podmiotu zamawiającego (publiczny vs prywatny) i kategorii zamówienia - naruszenie procedury PZP generuje sankcję UZP do 10 procent wartości zamówienia, postępowanie przed Krajową Izbą Odwoławczą KIO, w skrajnych przypadkach unieważnienie umowy; agent waliduje progi i ścieżki ale Specjalista ds. Zamówień Publicznych zatwierdza wybór trybu
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Walidacja zgodności z RODO art. 28 dla dostawców z dostępem do danych pracowniczych Sprawdzenie umowy powierzenia przetwarzania danych - obowiązkowa pisemna art. 28 ust. 3, lista wymaganych klauzul (przedmiot, czas, charakter, cel, kategoria danych, kategoria osób, obowiązki procesora art. 28 ust. 3 lit. a-h), gwarancje wystarczających środków bezpieczeństwa TOM Technical and Organizational Measures, audytowalność, podprocesorzy z uprzednią zgodą, zwrot lub usunięcie danych po zakończeniu Silnik reguł
Walidacja jest deterministyczna na podstawie checklisty RODO art. 28 - brak umowy powierzenia lub niekompletne klauzule generują sankcję UODO do 4 procent obrotu lub 20 milionów EUR, naruszenie ochrony danych pracowniczych z RODO art. 88; agent flaguje brakujące klauzule do przeglądu Inspektora Ochrony Danych, RODO art. 22 wyklucza pełną automatyzację decyzji o akceptacji umowy
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Walidacja zgodności z Standardowymi Klauzulami Umownymi SCC i Schrems II dla transferów do państw trzecich Sprawdzenie czy dostawca przetwarza dane poza EOG - identyfikacja lokalizacji serwerów, podprocesorów, klientów backup; wybór modułu SCC 2021/914 (moduł 2 dla USA/UK/Indie, moduł 3 dla podprocesorów); ocena Transfer Impact Assessment TIA z Schrems II (środki techniczne szyfrowania, fragmentacji, klucze HSM); Data Privacy Framework UE-USA z 10.07.2023 dla USA Agent AI Audytor
Walidacja AI z confidence scoring 85-92 procent na ustrukturyzowanych klauzulach SCC (lokalizacja, kategorie danych, środki TOM) - błędy poniżej threshold trafiają do przeglądu Inspektora Ochrony Danych i Radcy Prawnego, RODO art. 22 wyklucza pełną automatyzację; transfer do USA bez DPF lub bez wystarczających środków technicznych z Schrems II generuje sankcję UODO i naruszenie RODO art. 44-49
Protokół decyzyjny
Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.
Możliwość sprzeciwu: Audytor
Due-diligence CSDDD 2024/1760 Corporate Sustainability Due Diligence Directive Identyfikacja, prewencja, łagodzenie negatywnych skutków praw człowieka i środowiska u dostawców z łańcucha wartości - mapowanie łańcucha wartości tier 1 (bezpośredni dostawcy), tier 2-N (poddostawcy); ocena ryzyka praw człowieka (praca przymusowa, praca dzieci, dyskryminacja, BHP), środowiska (emisje, woda, bioróżnorodność); plan działań korygujących, monitoring; raportowanie ESRS S2 Workers in Value Chain Agent AI Audytor
Identyfikacja AI z confidence scoring 80-88 procent na metadanych dostawcy (kraj rejestracji, branża, certyfikaty ISO 14001/SA8000, EcoVadis rating) - kontrowersyjne przypadki (np. dostawca z kraju wysokiego ryzyka praw człowieka) zawsze do Specjalisty ds. ESG/CSRD i Inspektora ds. Praw Człowieka, decyzja o kontraktowaniu z dostawcą wysokiego ryzyka wymaga zarządu; CSDDD obowiązkowa od 26.07.2027 dla 5000+ pracowników, sankcja do 5 procent obrotu globalnego
Protokół decyzyjny
Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.
Możliwość sprzeciwu: Audytor
Weryfikacja LkSG-równoważności dla dostawców niemieckich w łańcuchu wartości Sprawdzenie czy dostawca z Niemiec spełnia wymogi Lieferkettensorgfaltspflichtengesetz LkSG (niemiecka Ustawa o łańcuchu dostaw od 1.01.2023 dla 3000+ pracowników, od 1.01.2024 dla 1000+) - polityka praw człowieka, zarządzanie ryzykiem, mechanizm skarg, raportowanie BAFA; cross-reference z polską implementacją CSDDD do 26.07.2026 Silnik reguł
Weryfikacja jest deterministyczna na podstawie metadanych dostawcy (status LkSG-Reporting, rejestr BAFA, certyfikaty) - dostawca polski w łańcuchu wartości niemieckiej firmy LkSG-zobowiązanej musi spełniać równoważne standardy, naruszenie generuje wykluczenie z łańcucha wartości; agent flaguje braki do przeglądu Specjalisty ds. ESG/CSRD
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Walidacja warunków SLA Service Level Agreement i KPI wydajności dostawcy Walidacja proponowanych SLA - dostępność systemu (np. 99.9 procent uptime dla SaaS HR), czas reakcji (np. 4h dla incydentów krytycznych), czas naprawy (np. 24h dla incydentów wysokich), kary umowne za naruszenie KC art. 484 (np. 5 procent miesięcznego abonamentu za każdy procent niedostępności); KPI HR (np. czas obsługi reklamacji płacowej dla dostawcy płac, retencja kandydatów dla dostawcy recruitment outsourcing) Silnik reguł
Walidacja jest deterministyczna na podstawie macierzy minimalnych SLA zatwierdzonej przez Inspektora Ochrony Danych i Specjalistę ds. Ciągłości Działania - SLA poniżej minimum (np. dostępność poniżej 99 procent dla systemu z danymi pracowniczymi) generuje ryzyko RODO art. 32 i odpowiedzialność cywilną z KC art. 471; agent waliduje SLA ale Pełnomocnik ds. Ryzyka zatwierdza wyjątki
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Workflow zatwierdzania umowy z dostawcą wielopoziomowy z kwalifikowanym podpisem eIDAS Routing do zatwierdzeń na podstawie wartości umowy i kategorii dostawcy - umowy poniżej 50 000 zł zatwierdza Kierownik Działu, 50 000-500 000 zł Dyrektor HR/Procurement, powyżej 500 000 zł Zarząd; umowy z dostawcami strategicznymi (płace, BPO HR pełny outsourcing) wymagają zatwierdzenia Rady Nadzorczej KSH art. 382; kwalifikowany podpis Autenti od zatwierdzających, weryfikacja Białej Listy KAS od 1.09.2019 Silnik reguł
Workflow jest deterministyczny na podstawie macierzy uprawnień zatwierdzonej przez Radę Nadzorczą KSH art. 382 i polityki procurement - naruszenie (np. umowa powyżej progu zatwierdzona bez Rady Nadzorczej) generuje nieważność umowy i odpowiedzialność członków zarządu z KSH art. 233+299; agent waliduje uprawnienia ale Pełnomocnik ds. Compliance zatwierdza wyjątki
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Weryfikacja Know Your Vendor KYV i AML zgodnie z Ustawą z 1.03.2018 Weryfikacja beneficjenta rzeczywistego dostawcy z CRBR Centralny Rejestr Beneficjentów Rzeczywistych, status na Białej Liście KAS od 1.09.2019 dla VAT, niekaralność członków zarządu, status w KRS, sprawdzenie sankcji (UE, USA, UK), media screening na zagrożenia korupcyjne; ocena ryzyka AML niski/średni/wysoki Silnik reguł
Weryfikacja jest deterministyczna na podstawie listy źródeł danych (CRBR, KRS, Biała Lista KAS, sankcje) - naruszenie obowiązków AML z Ustawy z 1.03.2018 generuje sankcję GIIF do 5 mln EUR, dostawca z negatywnym KYV (np. brak CRBR, sankcje) wymaga akceptacji Pełnomocnika ds. AML/Compliance i decyzji zarządu; agent waliduje status ale człowiek zatwierdza wyjątki
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Monitoring KPI wydajności dostawcy i SLA w trybie ciągłym Ciągłe monitorowanie KPI dostawcy - dostępność systemu procent uptime, czas reakcji na incydenty godziny, czas naprawy godziny, liczba incydentów krytycznych ilość/miesiąc, satysfakcja użytkowników NPS i CSAT; automatyczne raportowanie naruszeń SLA, naliczenie kar umownych KC art. 484, eskalacja do dostawcy i Pełnomocnika ds. Vendor Management Agent AI Audytor
Monitoring AI z confidence scoring 90-95 procent na ustrukturyzowanych metrykach (uptime z monitoringu, ticket logi) - błędy poniżej threshold trafiają do przeglądu Specjalisty ds. Vendor Management, decyzja o eskalacji do wypowiedzenia umowy zawsze do człowieka z dokumentacją uzasadnienia; RODO art. 22 wyklucza pełną automatyzację decyzji wpływających na dostawcę
Protokół decyzyjny
Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.
Możliwość sprzeciwu: Audytor
Monitoring okresów umownych i automatyczne przedłużenia/wypowiedzenia Ciągłe monitorowanie terminów umowy - data wygaśnięcia, okres wypowiedzenia (typowo 30/60/90 dni), klauzule automatycznego przedłużenia (np. ewergreen clause na kolejny rok); flaga 90 dni przed wygaśnięciem, 120 dni przed automatycznym przedłużeniem dla negocjacji; weryfikacja czy renegocjować, przedłużyć, wypowiedzieć (na podstawie KPI z monitoringu) Silnik reguł
Monitoring jest deterministyczny na podstawie metadanych umowy - brak monitoringu generuje automatyczne przedłużenie niekorzystnej umowy (np. dostawca z naruszeniami SLA), opuszczenie terminu wypowiedzenia, niemożność renegocjacji warunków; agent monitoruje ale Pełnomocnik ds. Vendor Management decyduje o akcji (przedłużenie/wypowiedzenie/renegocjacja)
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Postępowanie przetargowe okresowe dla strategicznych kategorii dostawców Cykliczne (typowo co 3-5 lat) postępowanie przetargowe dla strategicznych kategorii dostawców HR - dostawcy płac, dostawcy benefitów, dostawcy BPO HR; przygotowanie SIWZ Specyfikacji Istotnych Warunków Zamówienia, kryteria wyboru (cena, jakość, doświadczenie, ESG/CSDDD, RODO art. 28), zaproszenie do udziału, ocena ofert, wybór wykonawcy; transparentność dla zamawiających publicznych z PZP Człowiek
Postępowanie przetargowe wymaga osądu strategicznego - kryteria wyboru ważą cenę, jakość, doświadczenie, ESG i ryzyko CSDDD, decyzja należy do komisji przetargowej z reprezentacją Działu HR, Działu Procurement, Działu Prawnego, Działu IT, Inspektora Ochrony Danych; agent przygotowuje pakiet dokumentów (SIWZ, kryteria, zaproszenia) ale człowiek autoryzuje wybór wykonawcy
Protokół decyzyjny
Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.
Walidacja zgodności z Ustawą antymonopolową z 16.02.2007 UOKiK i zakaz zmów przetargowych Sprawdzenie czy dostawca uczestniczący w przetargu nie narusza art. 14 zakazu porozumień ograniczających konkurencję - analiza powiązań kapitałowych z innymi oferentami z KRS, braterstwo ofert (technically independent ale ekonomicznie powiązane), monitoring koncentracji M&A art. 13 obowiązek zgłoszenia powyżej 1 mld zł obrotu globalnego; cross-reference z art. 305 k.k. zmowa przetargowa Silnik reguł
Walidacja jest deterministyczna na podstawie listy powiązań z KRS, CRBR, monitoringu M&A z UOKiK - braterstwo ofert lub powiązania kapitałowe stanowią podstawę wykluczenia z postępowania PZP art. 109 ust. 1 pkt 4, naruszenie art. 14 generuje sankcję UOKiK do 10 procent obrotu rocznego, dla skrajnych przypadków sankcję karną z art. 305 k.k. do 3 lat pozbawienia wolności; agent flaguje powiązania ale Specjalista ds. Procurement i Radca Prawny zatwierdzają wykluczenie
Protokół decyzyjny
Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.
Generowanie raportów ESG/CSRD ESRS S2 Workers in Value Chain dla audytora KIBR i WIG-ESG GPW Automatyczne generowanie raportów ESG - ESRS S2-1 (polityki dotyczące pracowników w łańcuchu - polityki praw człowieka, polityki due-diligence CSDDD), S2-2 (procesy angażowania - audyty, ankiety, wizyty), S2-3 (mechanizmy skarg - sygnaliści w łańcuchu wartości), S2-4 (działania naprawcze - korekta naruszeń), S2-5 (cele - redukcja ryzyka, certyfikacje); raport dla audytora KIBR z dokumentacją kontroli wewnętrznej Agent AI Audytor
Generowanie raportów ESG jest deterministyczne na podstawie metadanych dostawców (status due-diligence, EcoVadis rating, certyfikaty) i danych z systemów (Coupa Risk Aware, EcoVadis, Sustain.Life) - błędne raportowanie ESRS S2 generuje sankcję KIBR (modyfikacja opinii audytorskiej, kwalifikowany odpis), naruszenie WIG-ESG GPW (wykluczenie z indeksu); agent generuje raport ale Specjalista ds. ESG zatwierdza przed wysłaniem do KIBR
Protokół decyzyjny
Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.
Możliwość sprzeciwu: Audytor
Protokół decyzyjny i prawo do sprzeciwu
Każda decyzja, którą ten agent podejmuje lub przygotowuje, jest dokumentowana w pełnym protokole decyzyjnym. Dotknięci pracownicy mogą przeglądać, rozumieć i kwestionować każdą pojedynczą decyzję.
Czy ten agent pasuje do Twojego procesu?
Analizujemy Twój konkretny proces i pokazujemy, jak ten agent wpisuje się w Twój krajobraz systemowy. 30 minut, bez przygotowania.
Przeanalizować procesUwagi dotyczące governance
Panel wyników
Wymagania wstępne
- System zarządzania dostawcami VMS Vendor Management System (Comarch Vendor Management, SAP Ariba, Coupa, Ivalua) z monitoringiem umów i KPI
- Macierz kategorii dostawców HR z mapowaniem typu dostawcy na obowiązkowe due-diligence (RODO art. 28, CSDDD, LkSG-równoważność, AML)
- Macierz zatwierdzeń wielopoziomowych zatwierdzona przez Radę Nadzorczą z KSH art. 382 (Kierownik Działu, Dyrektor HR/Procurement, Zarząd, Rada Nadzorcza)
- Integracja z dostawcami kwalifikowanego podpisu eIDAS (Autenti, KIR Szafir, CenCert, EuroCert) zgodnymi z Ustawą o usługach zaufania z 5.09.2016
- Procedura postępowań przetargowych zgodna z Ustawą Prawo Zamówień Publicznych z 11.09.2019 (dla zamawiających publicznych) lub polityką procurement (dla podmiotów prywatnych)
- Procedura due-diligence CSDDD 2024/1760 z mapowaniem łańcucha wartości tier 1-N i oceną ryzyka praw człowieka i środowiska
- Integracja z platformami oceny ESG (EcoVadis, Sustain.Life) dla zewnętrznej weryfikacji dostawców
- Procedura monitoringu KPI dostawców z definicjami SLA dla każdej kategorii (dostępność, czas reakcji, czas naprawy, satysfakcja użytkowników)
- Logowanie audit-trail z RODO art. 30+32 i archiwizacją zgodną z KP art. 94 pkt 9b (5 lat dla umów z dostawcami HR) i KSH art. 84 (10 lat dla umów strategicznych)
- Procedura przeglądu klasyfikacji AI ryzyka CSDDD przez Specjalistę ds. ESG/CSRD zgodna z RODO art. 22 (zakaz pełnej automatyzacji)
- Polityka cyberbezpieczeństwa zatwierdzona przez Inspektora Ochrony Danych z szyfrowaniem at-rest AES-256, in-transit TLS 1.3 i RODO art. 32 dla integracji z systemami dostawców
- Integracja z systemami AML/KYV (CRBR Centralny Rejestr Beneficjentów Rzeczywistych, Biała Lista KAS od 1.09.2019, sankcje UE/USA/UK)
- Procedura cyklicznych postępowań przetargowych co 3-5 lat dla strategicznych kategorii dostawców HR
- Integracja z HR Document Management Agent dla archiwizacji umów z dostawcami w segmencie B akt korporacyjnych zgodnie z Rozp. MRiPS z 10.12.2018
- Integracja z Audit Compliance Agent dla raportowania ESG/CSRD ESRS S2 Workers in Value Chain i audytu zewnętrznego KIBR
Wkład w infrastrukturę
Co zawiera ta ocena: 9 slajdów dla Twojego zespołu kierowniczego
Spersonalizowana z Twoimi danymi. Wygenerowana w 2 minuty w przeglądarce. Bez przesyłania, bez logowania.
- 1
Strona tytułowa - Nazwa procesu, punkty decyzyjne, potencjał automatyzacji
- 2
Podsumowanie - Uwolnione FTE, koszt na transakcję, data progu rentowności
- 3
Stan obecny - Wolumen transakcji, koszty błędów, scenariusz wzrostu
- 4
Architektura rozwiązania - Człowiek - silnik reguł - agent AI
- 5
Governance - EU AI Act, rada zakładowa/GoBD, ścieżka audytu
- 6
Analiza ryzyka - 5 ryzyk z prawdopodobieństwem i środkami zaradczymi
- 7
Mapa drogowa - Plan 3-fazowy z konkretnymi datami
- 8
Business case - Porównanie 3 scenariuszy plus matryca wrażliwości
- 9
Propozycja dyskusji - Konkretne kolejne kroki
Zawiera: porównanie 3 scenariuszy
Brak działania vs. nowe zatrudnienie vs. automatyzacja - z Twoim poziomem wynagrodzeń, Twoją stopą błędów i Twoim planem wzrostu.
Pokaż metodologię obliczeń
Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours
Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor
Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)
FTE: Saved hours ÷ 1,720 annual work hours
Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)
New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE
Wszystkie dane pozostają w Twojej przeglądarce. Nic nie jest przesyłane na serwer.
Vendor Management Agent
Initial assessment for your leadership team
A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.
All data stays in your browser. Nothing is transmitted.
Powiązane strony
Agent Blueprint dostępny
Dostępny jest pełny blueprint Vendor Management Agent z rozkładem mikrodecyzji, wariantami branżowymi i szczegółami implementacji.
Zobacz blueprintPowiązani agenci
Agent przygotowania audytu HR
Zdarzeniowe przygotowanie audytu HR - pakiety dowodowe IDW PS 980 dla biegłego rewidenta, dokumentacja kontroli ZUS, eksport rejestru czynności przetwarzania (RODO art. 30) dla UODO oraz mapa ryzyka antydyskryminacyjnego z Kodeksu Pracy art. 18-3a. Ciągły monitoring zgodności HR (stały Equal-Pay-Index, alerty sygnalistów) prowadzi Agent Monitorowania Zgodności.
Agent HR-Wydatków
Workflow wydatków HR z samoobsługowym zgłoszeniem pracownika, OCR paragonów, wielostopniowym zatwierdzeniem hierarchii kierowniczej i walidacją pól obowiązkowych przed przekazaniem do księgowości - operacyjna warstwa HR dla wydatków pracowniczych. Szczegóły podatkowe wydatków podróży prowadzi Agent Kalkulacji Podróży. Reprezentacja w Agent Reprezentacji.
Agent Faktur HR
Workflow faktur dostawców HR z przypisaniem MPK Personal, walidacją umów ramowych z agencjami rekrutacyjnymi (LinkedIn, Pracuj.pl, headhunter), dostawcami szkoleń i benefitów oraz informowaniem Rady Pracowników o nowych dostawcach HR - operacyjna warstwa HR dla faktur kadrowych. Ogólne odczytywanie faktur (KSeF, JPK_FA) prowadzi Agent Odczytu Faktur.
Często zadawane pytania
Jak agent obsługuje obowiązkowe due-diligence CSDDD 2024/1760 dla dostawców z łańcucha wartości HR?
Jak agent waliduje umowy powierzenia RODO art. 28 z dostawcami HR i SCC dla transferów do państw trzecich?
Czym to się różni od Payroll-Processing Agent + Compensation-Benchmarking Agent + HR-Document-Management Agent?
Jak agent obsługuje cykliczne postępowania przetargowe dla strategicznych dostawców HR z PZP?
Jak agent waliduje zgodność z UOKiK i Ustawą antymonopolową w postępowaniach M&A i konsolidacji dostawców HR?
Jak agent obsługuje audit-trail dla audytora KIBR i raportowanie ESRS S2 Workers in Value Chain?
Co dalej?
30 minut
Pierwsza rozmowa
Analizujemy Twój proces i identyfikujemy optymalny punkt startowy.
1 tydzień
Discover
Mapowanie logiki decyzyjnej. Reguły udokumentowane, Decision Layer zaprojektowany.
3-4 tygodnie
Build
Produkcyjny agent w Twojej infrastrukturze. Governance, audit trail, cert-ready od dnia 1.
12-18 miesięcy
Samodzielność
Pełny dostęp do kodu źródłowego, promptów i wersji reguł. Bez vendor lock-in.
Wdrożyć tego agenta?
Oceniamy Twój krajobraz procesowy i pokazujemy, jak ten agent pasuje do Twojej infrastruktury.