Proč by měla společnost zavést IT Compliance program

Možná se i Vám stalo, že Váš high-profile smluvní partner od Vás před uzavřením smlouvy vyžadoval zavedení velmi přísných bezpečnostních opatření nad rámec standardu běžného v daném odvětví. Jedná se o dnes poměrně obvyklou praxi velkých společností, které od svých smluvních partnerů, zejména pokud nakládají s jejich daty a důvěrnými informacemi, vyžadují zavést řadu opatření. Jak má tato opatření společnost zavést, kontrolovat jejich dodržování a případně i sankcionovat jejich porušení? Pomoci Vám může IT Compliance program!

Co je účelem IT Compliance programu?

Účelem IT Compliance je soulad s požadavky, které na společnost klade zákonná a tržní regulace daného odvětví, včetně závazků vůči smluvním partnerům, zejména v oblasti ochrany a integrity dat, důvěrnosti informací a ochrany primárních aktivit společnosti, jejichž narušení může vést k nepříznivým důsledkům i pro smluvní partnery.

Tato oblast je velmi úzce propojená s oblastí IT bezpečnosti. Obě mají za cíl snižovat rizika, která mohou mít negativní dopady na chod společnosti a poskytování služeb. IT bezpečnost však představuje sadu technických opatření a nástrojů, které jsou zavedeny k ochraně a obraně informačních a technologických aktiv společnosti. Minimem je povinnost, aby všichni zaměstnanci chránili zařízení, které využívají pro práci, antivirem i hesly. Compliance program pak na IT bezpečnost navazuje v rovině dodržování stanovených požadavků.

Důvody zavedení pro společnost

Zavedení Compliance programu není jenom „korporátní“ záležitostí. Správně nastavený Compliance program dokáže společnost ochránit z hlediska hospodářské soutěže či požadavků kladených na zaměstnavatele pracovním právem. Společnost navíc nemá jenom občanskoprávní či správní odpovědnost za porušení smluvních nebo zákonných povinností. Může být odpovědná i dle trestněprávních předpisů. Z metodiky Nejvyššího státního zastupitelství k možnosti vyvinění právnické osoby z trestní odpovědnosti vyplývá, že správně nastavený a zavedený Compliance program může pomoct při dokazování, že společnost vynaložila veškeré úsilí, které na ní bylo možné spravedlivě požadovat, aby zabránila spáchaní trestného činu.

Oblasti regulace

IT Compliance program představuje pro společnost strategický, procedurální a technický rámec specifikující použitelné zásady, postupy a mechanismy zavedené ve společnosti pro dodržování výše zmíněných požadavků. Společnosti obecně zavádějí opatření zejména v oblasti:

  • korupčních jednání, 
  • přijímaní darů,
  • předcházení praní špinavých peněz,
  • dodržování pravidel bezpečnosti a ochrany zdraví při práci, 
  • ale i např. v oblasti ochrany životního prostředí a udržitelného rozvoje.

U dodavatelů IT řešení do toho navíc vstupuje i

  • nakládání s důvěrnými informacemi včetně osobních údajů,
  • plán zajištění kontinuity provozu pro případ výpadku, jehož podmnožinou je i proces obnovy provozu po výpadku, neboli tzv. Disaster Recovery Plan,
  • pravidla pro postup licenčního auditu u smluvního partnera.

Jak IT Compliance program vypadá v praxi?

Oblast IT Compliance program lze ve společnosti rozdělit do 4 oblastí regulace, a to

Řízení společnosti

Řízení – podstatou této oblasti je zavedení organizačního schématu společnosti, systému pro hlášení rizik a incidentů, oznamování nových skutečností, které mohou mít dopad na interní regulaci včetně zavedení postupů tvorby interní dokumentace a pravidelné revize, archivace a skartace dokumentace.

Vyhodnocení rizik ve společnosti

Vyhodnocování rizik – náplní risk managementu je zejména identifikace rizik, jejich analýza, vyhodnocení a zavedení potřebných opatření. Společnost si může zavést různé nástroje identifikace rizik od interních porad, osobních schůzek se zaměstnanci či zasílání anonymních podnětů. Odpovědná osoba pak musí na základě podnětu analyzovat riziko a vyhodnotit jeho závažnost dle předem stanovených parametrů a kategorií. Konkrétnímu stupni závažnosti musí odpovídat katalog opatření, která mají za cíl snižovat dopad rizika na aktiva společnosti.

  • Tato oblast blíže souvisí s managementem zajištění kontinuity podnikání pro případ, kdy nastane havarijní stav nebo výpadek systému, který může mít za následek negativní dopad na dodržování požadavků. Společnost důkladnou identifikací rizik a možností předcházení jejich vzniku dokáže docílit i velké úspěšnosti v prevenci těchto incidentů. Pokud k nim přeci jen dojde, dokáže pak dle kategorizace rizika přijmout adekvátní opatření. Tento plán obnovy je potřebné vytvářet vždy ve spolupráci s odborníky, zejména pokud je nutné postupovat v souladu s ISO certifikací.
Kontrola dodržování zavedených postupů

Dodržování pravidel – dodržování zavedených postupů je nutné kontrolovat prostřednictvím interních kontrol. Všechny osoby, které se IT compliance programu účastní, je nutné pravidelně školit a seznamovat s aktuálními pravidly. V případech, kdy nejsou opatření dodržována musí společnost zavést odpovídající sankce.

Smluvní možnost šetření (včetně licenčního auditu) – pravidla licenčního auditu jsou specifická u dodavatelů IT řešení, které udělují k IT řešení územně, časově nebo množstevně omezené oprávnění k užití. Je zájmem dodavatele IT, aby jeho řešení bylo užito v souladu s licenčními podmínkami, proto je vhodné dohodnout se se smluvním partnerem na provedení licenčního auditu. Společnost by následně měla přijmout interní pravidla, které stanovují postupy při provádění auditu u smluvního partnera.

Jak Vám můžeme pomoct my?

Hlavním cílem, pro který společnost Compliance program zavádí, je zajistit, aby ve Vaší společnosti všechno správně fungovalo. Proto je nezbytné správně nastavit interní dokumentaci, které budou všichni zaměstnanci a spolupracovníky ve společnosti rozumět a dodržovat.

1. Konzultace

Společně si sedneme, abychom se co nejvíce dozvěděli o činnostech společnosti, struktuře Vaší společnosti, počtu zaměstnanců a dalších oblastech, které budou důležité pro správné nastavení interní dokumentace.

2. Práce na dokumentaci

Na základě získaných informací budeme schopni nastavit organizační strukturu a rozdělit práva a povinnosti mezi pracovníky, nastavit postupy pro jednotlivé interní procesy a vše srozumitelně a jednoduše sepsat do interních směrnic a kodexů.

3. Implementace

Naše práce nekončí tím, že Vám na email od nás přijde řada dokumentů. Právě naopak. Od tohoto momentu budeme společně pracovat na správné implementaci všech směrnic a uspořádávat školení, kde všechny pracovníky s jejich obsahem seznámíme.

4. Kontrola spokojenosti

Po celou dobu budeme k dispozici pro konzultace, takže se neváhejte na nás obrátit! Určitě se ozveme i my, abychom zjistili, jak se Vám s dokumentaci pracuje a zda nepotřebujete něco upravit.

Jak správně nastavit IT Compliance program?

Závisí na společnosti a její velikosti, jakým způsobem nastaví Compliance program. U menších společnosti se zploštěnou strukturou se nepředpokládá existence speciální osoby, která bude dohlížet na dodržování stanovených postupů a opatření výlučně v dané oblasti. Může se stát, že tyto záležitosti bude mít ve svých rukou přímo statutární orgán. I ten ale musí zajistit, že bude o všech důležitých skutečnostech majících vliv na povinnosti dle Compliance programu. Pro správné nastavení IT Compliance programu je potřebná úzká spolupráce mezi společností a odborníky v jednotlivých oblastech.

IT Compliance program není jedinou oblastí, na kterou byste se měli zaměřit. Pokud má Vaše společnost více než 25 zaměstnanců, pak se připravte na nové povinnosti týkající se úpravy ochrany oznamovatelů (tzv. whistleblowing). Návrh nového zákona je aktuálně projednáván v Poslanecké sněmovně. Více se k tomu dočtete v našem článku Zavedení whistleblowingu jako příležitost.

Potřebujete-li poradit, ozvěte se nám!  
IT Compliance program

Začněme spolupracovat ještě dnes

Kontaktujte nás