Možná se i Vám stalo, že Váš high-profile smluvní partner od Vás před uzavřením smlouvy vyžadoval zavedení velmi přísných bezpečnostních opatření nad rámec standardu běžného v daném odvětví. Jedná se o dnes poměrně obvyklou praxi velkých společností, které od svých smluvních partnerů, zejména pokud nakládají s jejich daty a důvěrnými informacemi, vyžadují zavést řadu opatření. Jak má tato opatření společnost zavést, kontrolovat jejich dodržování a případně i sankcionovat jejich porušení? Pomoci Vám může IT Compliance program!
Účelem IT Compliance je soulad s požadavky, které na společnost klade zákonná a tržní regulace daného odvětví, včetně závazků vůči smluvním partnerům, zejména v oblasti ochrany a integrity dat, důvěrnosti informací a ochrany primárních aktivit společnosti, jejichž narušení může vést k nepříznivým důsledkům i pro smluvní partnery.
Tato oblast je velmi úzce propojená s oblastí IT bezpečnosti. Obě mají za cíl snižovat rizika, která mohou mít negativní dopady na chod společnosti a poskytování služeb. IT bezpečnost však představuje sadu technických opatření a nástrojů, které jsou zavedeny k ochraně a obraně informačních a technologických aktiv společnosti. Minimem je povinnost, aby všichni zaměstnanci chránili zařízení, které využívají pro práci, antivirem i hesly. Compliance program pak na IT bezpečnost navazuje v rovině dodržování stanovených požadavků.
Zavedení Compliance programu není jenom „korporátní“ záležitostí. Správně nastavený Compliance program dokáže společnost ochránit z hlediska hospodářské soutěže či požadavků kladených na zaměstnavatele pracovním právem. Společnost navíc nemá jenom občanskoprávní či správní odpovědnost za porušení smluvních nebo zákonných povinností. Může být odpovědná i dle trestněprávních předpisů. Z metodiky Nejvyššího státního zastupitelství k možnosti vyvinění právnické osoby z trestní odpovědnosti vyplývá, že správně nastavený a zavedený Compliance program může pomoct při dokazování, že společnost vynaložila veškeré úsilí, které na ní bylo možné spravedlivě požadovat, aby zabránila spáchaní trestného činu.
IT Compliance program představuje pro společnost strategický, procedurální a technický rámec specifikující použitelné zásady, postupy a mechanismy zavedené ve společnosti pro dodržování výše zmíněných požadavků. Společnosti obecně zavádějí opatření zejména v oblasti:
U dodavatelů IT řešení do toho navíc vstupuje i
Oblast IT Compliance program lze ve společnosti rozdělit do 4 oblastí regulace, a to
Řízení - podstatou této oblasti je zavedení organizačního schématu společnosti, systému pro hlášení rizik a incidentů, oznamování nových skutečností, které mohou mít dopad na interní regulaci včetně zavedení postupů tvorby interní dokumentace a pravidelné revize, archivace a skartace dokumentace.
Vyhodnocování rizik – náplní risk managementu je zejména identifikace rizik, jejich analýza, vyhodnocení a zavedení potřebných opatření. Společnost si může zavést různé nástroje identifikace rizik od interních porad, osobních schůzek se zaměstnanci či zasílání anonymních podnětů. Odpovědná osoba pak musí na základě podnětu analyzovat riziko a vyhodnotit jeho závažnost dle předem stanovených parametrů a kategorií. Konkrétnímu stupni závažnosti musí odpovídat katalog opatření, která mají za cíl snižovat dopad rizika na aktiva společnosti.
Dodržování pravidel – dodržování zavedených postupů je nutné kontrolovat prostřednictvím interních kontrol. Všechny osoby, které se IT compliance programu účastní, je nutné pravidelně školit a seznamovat s aktuálními pravidly. V případech, kdy nejsou opatření dodržována musí společnost zavést odpovídající sankce.
Hlavním cílem, pro který společnost Compliance program zavádí, je zajistit, aby ve Vaší společnosti všechno správně fungovalo. Proto je nezbytné správně nastavit interní dokumentaci, které budou všichni zaměstnanci a spolupracovníky ve společnosti rozumět a dodržovat.
1. Konzultace
Společně si sedneme, abychom se co nejvíce dozvěděli o činnostech společnosti, struktuře Vaší společnosti, počtu zaměstnanců a dalších oblastech, které budou důležité pro správné nastavení interní dokumentace.
2. Práce na dokumentaci
Na základě získaných informací budeme schopni nastavit organizační strukturu a rozdělit práva a povinnosti mezi pracovníky, nastavit postupy pro jednotlivé interní procesy a vše srozumitelně a jednoduše sepsat do interních směrnic a kodexů.
3. Implementace
Naše práce nekončí tím, že Vám na email od nás přijde řada dokumentů. Právě naopak. Od tohoto momentu budeme společně pracovat na správné implementaci všech směrnic a uspořádávat školení, kde všechny pracovníky s jejich obsahem seznámíme.
4. Kontrola spokojenosti
Po celou dobu budeme k dispozici pro konzultace, takže se neváhejte na nás obrátit! Určitě se ozveme i my, abychom zjistili, jak se Vám s dokumentaci pracuje a zda nepotřebujete něco upravit.
Závisí na společnosti a její velikosti, jakým způsobem nastaví Compliance program. U menších společnosti se zploštěnou strukturou se nepředpokládá existence speciální osoby, která bude dohlížet na dodržování stanovených postupů a opatření výlučně v dané oblasti. Může se stát, že tyto záležitosti bude mít ve svých rukou přímo statutární orgán. I ten ale musí zajistit, že bude o všech důležitých skutečnostech majících vliv na povinnosti dle Compliance programu. Pro správné nastavení IT Compliance programu je potřebná úzká spolupráce mezi společností a odborníky v jednotlivých oblastech.
IT Compliance program není jedinou oblastí, na kterou byste se měli zaměřit. Pokud má Vaše společnost více než 25 zaměstnanců, pak se připravte na nové povinnosti týkající se úpravy ochrany oznamovatelů (tzv. whistleblowing). Návrh nového zákona je aktuálně projednáván v Poslanecké sněmovně. Více se k tomu dočtete v našem článku Zavedení whistleblowingu jako příležitost.