Strategia i organizacja Zapewnij rozwój i stabilność organizacji. Zapoznaj się z usługami z zakresu projektowania strategii, wdrażania systemów zarządzania i optymalizacji. Skorzystaj z kompleksowego podejście do budowy modelu GRC – ład organizacyjny, zarzadzanie ryzykiem, ocena zgodności.
- Blue Energy
-
- Oferta
-
- Usługi
-
- Strategia i organizacja
-
- Przeciwdziałanie korupcji i nadużyciom
Przeciwdziałanie korupcji i nadużyciom
Przyjęte rozwiązania różnią się zazwyczaj w zależności od wielkości organizacji. W niewielkich podmiotach kadra zarządzająca ma możliwość bieżącego nadzoru nad sposobem realizacji zadań i korzystania z informacji przez podległych pracowników. Im jednak skala działalności organizacji jest większa, tym trudniej jest minimalizować ryzyko występowania działań korupcyjnych i nadużyć. Zazwyczaj w takim przypadku „konwencjonalne” metody nadzoru są niewystarczające.
Coraz bardziej popularne staje się wdrożenie mechanizmów zapobiegawczych w oparciu o wymagania normy ISO 37001:2016 – System zarządzania działaniami antykorupcyjnymi (Anti-bribery management systems – Requirements with guidance for use).Norma z jednej strony definiuje korupcję jako: oferowanie, obiecywanie, dawanie, przyjmowanie lub nakłanianie do nienależnej korzyści z naruszeniem obowiązującego prawa, jako zachęta lub nagroda dla osoby działającej lub powstrzymującej się od działania w związku z wykonywaniem obowiązków służbowych.
Standard określa mechanizmy zapobiegawcze, prewencyjne i przeciwdziałania korupcji. Wdrożenie wymagań i ich certyfikacja jest potwierdzeniem zewnętrznym przyjętych praktyk w organizacji.
Jakie rozwiązania można przyjąć w organizacji w ramach mechanizmów antyfraudowych i antykorupcyjnych?
- Rozwiązania organizacyjne:
- wdrożenie kodeksów etyki i polityk wewnętrznych,
- ustalenie mechanizmów kontroli wyboru dostawców,
- prowadzenie regularnych szkoleń,
- wskazanie jasnych zasad raportowania i nadzoru nad podległymi pracownikami,
- utworzenie kanałów zgłaszania nieprawidłowości,
- opracowanie i zakomunikowanie pracownikom przyjętych zasad rozpatrywania otrzymanych zgłoszeń dotyczących nieprawidłowości.
- Rozwiązania techniczne:
- Wykorzystywanie oprogramowania typu DLP w celu kontroli danych wysyłanych poza organizację,
- Wprowadzenie mechanizmów monitoringu służbowej poczty elektronicznej i innych narzędzi udostępnionych pracownikom,
- Zablokowanie możliwości połączenia z popularnymi dostawcami poczty elektronicznej (gmail, onet, wp), tak aby ograniczyć możliwość przesłania informacji przez pracownika na swoją prywatną skrzynkę mailową,
- Zablokowanie portów USB w sprzęcie IT wydawanym pracownikom,
- Ustalenie zasad nadawania uprawnień do systemów IT w oparciu o mechanizm wiedzy koniecznej i minimalnych uprawnień,
- Zastosowanie rozwiązań monitorujących ruch sieciowy
Jakie rozwiązania wybrać?
Wybór odpowiednich rozwiązań powinien być dostosowany do specyfiki organizacji. Najlepiej aby był on poprzedzony analizą ryzyka wystąpienia działań korupcyjnych lub nadużyć. W jej trakcie ustalamy prawdopodobieństwo i skutki takich działań, co w efekcie pozwoli nam na dobranie odpowiednich mechanizmów zabezpieczających.
Należy pamiętać, że nadużycia mogą mieć wymiar nie tylko finansowy. Często, dużo bardziej daleko idące skutki dla organizacji może powodować nadużycie w zakresie informacji przetwarzanych w Spółce, a w szczególności tajemnicy przedsiębiorstwa lub danych osobowych. Każda sytuacja, w której pracownik ma możliwość uzyskania nieuprawnionego dostępu do informacji lub jej skopiowania na zewnętrzny nośnik, wiąże się ze znacznym ryzykiem utraty poufności tych informacji, jak również ich wykorzystania niezgodnie z przeznaczeniem.
W zakresie danych osobowych, RODO przewiduje wysokie kary, które mogą zostać nałożone na organizację:
Organ nadzorczy może nałożyć karę administracyjną w wysokości do 10 lub 20 mln euro, bądź do 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Projektowane zapisy nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych zakładają, że przedsiębiorca (również nie będący osobą fizyczną) poniesie odpowiedzialność za czyn zabroniony, popełniony w związku z prowadzoną przez niego działalnością, polegający na umyślnym działaniu lub zaniechaniu, a także taki czyn zabroniony, do którego doszło przez niezachowanie wymaganej w danych okolicznościach ostrożności.
Firmy odpowiedzą również m.in. za niewdrożenie rozwiązań mających na celu przeciwdziałanie istotnym zagrożeniom prowadzącym do popełnienia czynu zabronionego, w tym za brak procedur określających zasady działania przy stwierdzeniu nieprawidłowości oraz za niewyznaczenie osoby w organizacji, która czuwałaby nad przestrzeganiem prawa
- świadomość własnych słabości. Organizacje inwestujące np. w testy penetracyjne czy audyty RODO oraz bezpieczeństwa danych, są poinformowane o swoich słabych stronach
- wysoki poziom bezpieczeństwa informacji. Zasoby organizacji pozostają nieruszone, jeżeli organizacja odpowiedzialnie podchodzi do kwestii ochrony informacji.
- brak spadku zaufania otoczenia. Konsumenci dużo chętniej przekazują swoje dane, jeżeli wiedzą, że nie trafią w niepowołane ręce
- zmniejszenie ryzyka poniesienia strat finansowych, czy wizerunkowych wynikających z działań korupcyjnych lub nadużyć
- wdrożenie stałych i spełniających wymagania procedur na wypadek podejmowania przez pracownika działań niezgodnych z prawem lub polityki organizacji,
- uniknięcie odpowiedzialności karnej, administracyjnej i cywilnej za działania nierzetelnego pracownika.
W ramach audytu zasad ochrony danych osobowych u Klienta okazało się, że jeden z pracowników ma nieprawidłowo nadane uprawnienia do systemu przetwarzającego dane osobowe i ma możliwość pobrania tych danych do pamięci lokalnej. Weryfikacja jego uprawnień przez audytorów pozwoliła na eliminację nieprawidłowości, a co za tym idzie, zmniejszenie ryzyka wystąpienia nadużycia w przyszłości.
W organizacji Klienta nie funkcjonował przejrzysty proces nadawania uprawnień do pomieszczeń w poszczególnych lokalizacjach. Brak czytelnych zasad spowodował, że pracownicy produkcyjni z jednej lokalizacji mieli możliwość swobodnego poruszania się po pozostałych lokalizacjach, w tym między innymi uzyskania dostępu do pomieszczeń kadrowych czy archiwum zakładowego. Audytor zewnętrzny Blue Energy, jako osoba niezwiązana z organizacją miał szybką możliwość identyfikacji nieprawidłowości i zaproponowania działań zaradczych.
W podmiocie publicznym nie organizowano obowiązkowych, corocznych audytów zgodności z przepisami Krajowych Ram Interoperacyjności. Weryfikacja realizacji tego obowiązku została sprawdzona w związku z zapytaniem o dostęp do informacji publicznej, który był przesłany w tym przedmiocie. Audyt zespołu Blue Energy wykazał szereg nieprawidłowości, których można byłoby uniknąć gdyby audyt zgodności z Krajowymi Ramami Interoperacyjności organizowany był cyklicznie.
Powiązane artykuły na blogu
Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?
Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych
Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?
