Usługi
Usługiarrow Strategia i organizacja
Strategia i organizacja

Zapewnij rozwój i stabilność organizacji. Zapoznaj się z usługami z zakresu projektowania strategii, wdrażania systemów zarządzania i optymalizacji. Skorzystaj z kompleksowego podejście do budowy modelu GRC – ład organizacyjny, zarzadzanie ryzykiem, ocena zgodności.

Przeciwdziałanie korupcji i nadużyciom

Prawidłowe funkcjonowanie każdej organizacji wiąże się z koniecznością zaimplementowania mechanizmów kontrolnych w celu przeciwdziałania czynomna niekorzyść organizacji lub niezgodnych z prawem. Działania takie mogą prowadzić do strat finansowych, organizacyjnych, wizerunkowych lub nawet skutkować odpowiedzialnością karną.

Przyjęte rozwiązania różnią się zazwyczaj w zależności od wielkości organizacji. W niewielkich podmiotach kadra zarządzająca ma możliwość bieżącego nadzoru nad sposobem realizacji zadań i korzystania z informacji przez podległych pracowników. Im jednak skala działalności organizacji jest większa, tym trudniej jest minimalizować ryzyko występowania działań korupcyjnych i nadużyć. Zazwyczaj w takim przypadku „konwencjonalne” metody nadzoru są niewystarczające.

Coraz bardziej popularne staje się wdrożenie mechanizmów zapobiegawczych w oparciu o wymagania normy ISO 37001:2016 – System zarządzania działaniami antykorupcyjnymi (Anti-bribery management systems – Requirements with guidance for use).Norma z jednej strony definiuje korupcję jako: oferowanie, obiecywanie, dawanie, przyjmowanie lub nakłanianie do nienależnej korzyści z naruszeniem obowiązującego prawa, jako zachęta lub nagroda dla osoby działającej lub powstrzymującej się od działania w związku z wykonywaniem obowiązków służbowych.

Standard określa mechanizmy zapobiegawcze, prewencyjne i przeciwdziałania korupcji. Wdrożenie wymagań i ich certyfikacja jest potwierdzeniem zewnętrznym przyjętych praktyk w organizacji.

Jakie rozwiązania można przyjąć w organizacji w ramach mechanizmów antyfraudowych i antykorupcyjnych?

  1. Rozwiązania organizacyjne:
  • wdrożenie kodeksów etyki i polityk wewnętrznych,
  • ustalenie mechanizmów kontroli wyboru dostawców,
  • prowadzenie regularnych szkoleń,
  • wskazanie jasnych zasad raportowania i nadzoru nad podległymi pracownikami,
  • utworzenie kanałów zgłaszania nieprawidłowości,
  • opracowanie i zakomunikowanie pracownikom przyjętych zasad rozpatrywania otrzymanych zgłoszeń dotyczących nieprawidłowości.
  1. Rozwiązania techniczne:
  • Wykorzystywanie oprogramowania typu DLP w celu kontroli danych wysyłanych poza organizację,
  • Wprowadzenie mechanizmów monitoringu służbowej poczty elektronicznej i innych narzędzi udostępnionych pracownikom,
  • Zablokowanie możliwości połączenia z popularnymi dostawcami poczty elektronicznej (gmail, onet, wp), tak aby ograniczyć możliwość przesłania informacji przez pracownika na swoją prywatną skrzynkę mailową,
  • Zablokowanie portów USB w sprzęcie IT wydawanym pracownikom,
  • Ustalenie zasad nadawania uprawnień do systemów IT w oparciu o mechanizm wiedzy koniecznej i minimalnych uprawnień,
  • Zastosowanie rozwiązań monitorujących ruch sieciowy

Jakie rozwiązania wybrać?

Wybór odpowiednich rozwiązań powinien być dostosowany do specyfiki organizacji. Najlepiej aby był on poprzedzony analizą ryzyka wystąpienia działań korupcyjnych lub nadużyć. W jej trakcie ustalamy prawdopodobieństwo i skutki takich działań, co w efekcie pozwoli nam na dobranie odpowiednich mechanizmów zabezpieczających.

Przeciwdziałanie korupcji
Skutki prawne nadużyć w zakresie ochrony danych osobowych

Należy pamiętać, że nadużycia mogą mieć wymiar nie tylko finansowy. Często, dużo bardziej daleko idące skutki dla organizacji może powodować nadużycie w zakresie informacji przetwarzanych w Spółce, a w szczególności tajemnicy przedsiębiorstwa lub danych osobowych. Każda sytuacja, w której pracownik ma możliwość uzyskania nieuprawnionego dostępu do informacji lub jej skopiowania na zewnętrzny nośnik, wiąże się ze znacznym ryzykiem utraty poufności tych informacji, jak również ich wykorzystania niezgodnie z przeznaczeniem.

W zakresie danych osobowych, RODO przewiduje wysokie kary, które mogą zostać nałożone na organizację:

Organ nadzorczy może nałożyć karę administracyjną w wysokości do 10 lub 20 mln euro, bądź do 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Planowane zmiany ustawy o odpowiedzialności podmiotów zbiorowych

Projektowane zapisy nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych zakładają, że przedsiębiorca (również nie będący osobą fizyczną) poniesie odpowiedzialność za czyn zabroniony, popełniony w związku z prowadzoną przez niego działalnością, polegający na umyślnym działaniu lub zaniechaniu, a także taki czyn zabroniony, do którego doszło przez niezachowanie wymaganej w danych okolicznościach ostrożności.

Firmy odpowiedzą również m.in. za niewdrożenie rozwiązań mających na celu przeciwdziałanie istotnym zagrożeniom prowadzącym do popełnienia czynu zabronionego, w tym za brak procedur określających zasady działania przy stwierdzeniu nieprawidłowości oraz za niewyznaczenie osoby w organizacji, która czuwałaby nad przestrzeganiem prawa

Korzyści
  • świadomość własnych słabości. Organizacje inwestujące np. w testy penetracyjne czy audyty RODO oraz bezpieczeństwa danych, są poinformowane o swoich słabych stronach
  • wysoki poziom bezpieczeństwa informacji. Zasoby organizacji pozostają nieruszone, jeżeli organizacja odpowiedzialnie podchodzi do kwestii ochrony informacji.
  • brak spadku zaufania otoczenia. Konsumenci dużo chętniej przekazują swoje dane, jeżeli wiedzą, że nie trafią w niepowołane ręce
  • zmniejszenie ryzyka poniesienia strat finansowych, czy wizerunkowych wynikających z działań korupcyjnych lub nadużyć
  • wdrożenie stałych i spełniających wymagania procedur na wypadek podejmowania przez pracownika działań niezgodnych z prawem lub polityki organizacji,
  • uniknięcie odpowiedzialności karnej, administracyjnej i cywilnej za działania nierzetelnego pracownika.
Masz pytanie dotyczące przeciwdziałania nadużyciom i korupcji?
Skontaktuj się z nami arrow
Case study
CASE 1

W ramach audytu zasad ochrony danych osobowych u Klienta okazało się, że jeden z pracowników ma nieprawidłowo nadane uprawnienia do systemu przetwarzającego dane osobowe i ma możliwość pobrania tych danych do pamięci lokalnej. Weryfikacja jego uprawnień przez audytorów pozwoliła na eliminację nieprawidłowości, a co za tym idzie, zmniejszenie ryzyka wystąpienia nadużycia w przyszłości.

Więcej arrow
CASE 2

W organizacji Klienta nie funkcjonował przejrzysty proces nadawania uprawnień do pomieszczeń w poszczególnych lokalizacjach. Brak czytelnych zasad spowodował, że pracownicy produkcyjni z jednej lokalizacji mieli możliwość swobodnego poruszania się po pozostałych lokalizacjach, w tym między innymi uzyskania dostępu do pomieszczeń kadrowych czy archiwum zakładowego. Audytor zewnętrzny Blue Energy, jako osoba niezwiązana z organizacją miał szybką możliwość identyfikacji nieprawidłowości i zaproponowania działań zaradczych.

Więcej arrow
CASE 3

W podmiocie publicznym nie organizowano obowiązkowych, corocznych audytów zgodności z przepisami Krajowych Ram Interoperacyjności. Weryfikacja realizacji tego obowiązku została sprawdzona w związku z zapytaniem o dostęp do informacji publicznej, który był przesłany w tym przedmiocie. Audyt zespołu Blue Energy wykazał szereg nieprawidłowości, których można byłoby uniknąć gdyby audyt zgodności z Krajowymi Ramami Interoperacyjności organizowany był cyklicznie.

Więcej arrow
Proces wdrożenia usługi
1
Identyfikacja obszarów, w ramach których może dochodzić do nadużyć
2
Przeprowadzenie analizy ryzyka
3
Przyjęcie odpowiedniej dokumentacji wewnętrznej, opracowanie planów, mechanizmów i wdrożenie zabezpieczeń
4
Utrzymanie skutecznego systemu zapobiegania nadużyciom.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow

Powiązane artykuły na blogu

03 maj
#Bezpieczeństwo
#IT
#Testy
Należyta staranność – KSC

Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?

Czytaj dalej arrow
05 maj
#Bezpieczeństwo
#IT
#Testy
Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych

Czytaj dalej arrow
04 maj
#Bezpieczeństwo
#IT
#Testy
Realizacja praw podmiotu danych – ile to trwa ?

Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?

Czytaj dalej arrow
Zobacz więcej artykułów arrow