Szolgáltató cégek szabályozási kockázata

Szabályozási kockázat a szolgáltató cégeknél

Az egyre komplexebbé váló szabályozási környezetben a megfelelőség és az informatikai biztonság egyre nagyobb kihívást jelent a szolgáltató cégeknek is

Növekvő verseny, összetettebb projektek, csökkenő eredmények és munkaerőhiány. Ez csak pár tényező azok közül a problémák közül, amelyekkel a professzionális szolgáltatócégek és projektalapú szervezetek szembesülnek.

Az előrejelzések szerint a közeljövőben sem lesz egyszerűbb a helyzet. Ezek a tényezők egzisztenciális kihívást jelentenek az egész iparág számára, amelynek szereplői egyre nehezebben tudják szolgáltatásaikat biztosítani és emellett a tisztes nyereséget is kitermelni.

A cégvezetők 91%-a szerint a vállalkozásuk nincs felkészülve a szabályozási kockázat kezelésére.

A cégvezetők 33%-a úgy látja, hogy a szabályozásoknak való megfelelőség biztosítása kiemelt fontosságú.

A könyvvizsgáló- és adótanácsadó irodák, mérnöki- és tervezőirodák, tanácsadó cégek, informatikai fejlesztőcégek, projektcégek, K+F+I szervezetek, jogi irodák és projektalapon működő szervezetek számára ebben a kiélezett helyzetben a szabályozással kapcsolatos feladatok újabb és járulékos terhet jelentenek.

A vállalkozások egyre több új jogszabállyal, előírással szembesülnek. Szigorodó adatvédelmi szabályozás, változó számviteli sztenderdek, számla bejelentési kötelezettségek, környezetvédelmi termékdíj, illetve ezek mellett a mulasztásokért kiszabható büntetések összege is növekszik.

A szabályszegés következményei persze a cég hírnevét is rombolják, de az egyenletesen magas minőségű megfelelőség biztosítása a szervezet egészére kiterjedően nem egyszerű feladat.

Emiatt napjainkban a professzionális szolgáltatócégek számára jelentős kockázatot jelent az érzékeny adatok kezelése, a hackerek számára pedig kiemelt célpontot jelentenek ezek a vállalkozások.

Az értékes információk rossz kezekbe kerülése katasztrofális lehet. A professzionális szolgáltató cégek pedig nyilvánvaló célpontjai a támadásoknak.

Minden olyan szolgáltató cég, amelyik az IT biztonság terén nem felkészült, pénzügyileg is jelentős kockázatot kénytelen vállalni, büntetések, kártérítés és elvesztett ügyfelek formájában is. Az ügyfelek azt feltételezik, hogy a szolgáltató cégek teljes mértékben felkészültek és megfelelnek a legújabb szabályozások, jogszabályok terén, így a legapróbb probléma is kifejezetten kínosan érinti őket.

A Deltek felmérése, „A professzionális szolgáltató iparág jövője” adatai szerint a fenti kérdések miatt számos döntéshozónak vannak álmatlan éjszakái. Az elemzés elkészítése során 700 vezető beosztású munkatársat kérdeztek meg világszerte, köztük pénzügyi vezetőket, operatív igazgatókat és ügyvezetőket. Legtöbbjük aggódik a jövő miatt és változásokat szeretne.

Hogyan lehet biztosítani a szolgáltató cégek megfelelőségét?

Miként garantálhatjuk, hogy minden munkatárs betartja a szabályokat?

Milyen folyamatokat és rendszereket kellene bevezetnünk ahhoz, hogy a napi működés megfeleljen a jogszabályi és egyéb előírásoknak?

A felmérés alapján elmondható, hogy vannak konkrét teendők, amiket végre kell hajtani, de az egyes vállalkozásoknak a saját gyengeségeikhez alkalmazkodva kell változtatniuk azokat.

Szabályozási kockázat: az adat dilemma

Az adatvédelmi incidensek különösen súlyos következményekkel járhatnak. A különböző professzionális szolgáltatócégek hatalmas mennyiségű érzékeny ügyféladatot kezelnek, amelyek között van üzleti adat és van személyes adat is. Ezek olyan információk, amelyek nem megfelelő kezekbe kerülése súlyos következményekkel jár. Ennek ellenére vannak olyan vállalkozások, amelyek nem súlyuknak megfelelően kezelik ezeket a kockázatokat.

A GDPR előírásai szerint a cégeknek megfelelő technikai és szervezeti intézkedéseket kell tenniük az adatok védelme érdekében. A megfelelőség biztosítása rengeteg energiát igényel és az előírások megszegése súlyos büntetésekkel is járhat.

A GDPR rendelkezései értelmében a vállalkozásoknak minden személyes adattal kapcsolatos incidenst 72 órán belül jelenteniük kell a hatóságnak. Ilyen esetekben persze a cég megítélése jelentős mértékben romlani fog az ügyfelek szemében.

Mivel a professzionális szolgáltató cégek egyik legfontosabb tőkéje az ügyfelek bizalma, ezért nem tehetik meg, hogy a követelményeket félvállról vegyék.
A GDPR rendelkezései azt is előírják, hogy a cégek részletesen rögzítsék az adatkezelési tevékenységeiket. A figyelemmel kísérendő kommunikáció és adatok köre pedig napról napra nő. A különböző közösségi média platformok, chat eszközök és új kommunikációs csatornák is növelik azokat a területeket, ahol figyelni kell a személyes adatok megfelelő kezelésére.

Annak érdekében, hogy a szolgáltató cégek biztosítsák magukat a negatív következmények ellen, be kell vezetniük a szükséges intézkedéseket az adatokkal kapcsolatos incidensek megelőzéséért. Akciótervet kell kialakítaniuk az esetleges nem várt események kezelésére és a megfelelő szakmai biztosításokat is meg kell kötniük (például személyazonossággal való visszaélés ellen biztosítás, cyber-risk biztosítás, stb.).

Az új technológiáknak is fontos szerepük lesz, a pszeudonimizált (álnevesített) és titkosított adatkezelés használata segítéségével elkerülhető azok az incidensek, amelyek jelentéskötelesek.

A szolgáltatócégeknek olyan megbízható partnerekkel, alvállalkozókkal kell együtt dolgozniuk, amelyek segítenek megerősíteni a belső rendszereiket és kezelni a nagy mennyiségű adataikat.

A szabályozási kockázat kezelése

A professzionális szolgáltató cégek számára egyre nehezebb biztosítani a különböző törvényi elvárásoknak való megfelelőséget, különösen akkor, ha több országban is működnek.

A szabályoknak való működés csak akkor biztosítható, ha a részletes megfelelőségi stratégia kialakításra került és a megfelelőséget biztosító folyamatok helyükön vannak.

Ezeket a folyamatokat egy olyan vállalatirányítási rendszerrel kell támogatni, amely a szolgáltató cégek működésére lett szabva. Egy iparágspecifikus ERP rendszer használata biztosítja azt, hogy a cég valóban a kialakított és a különböző külső és belső elvárásoknak megfelelő folyamatok mentén működjön.

A megfelelőség így a legfelsőbb szinteken is ellenőrizhető és az esetleges problémák, kérdések a végrehajtói szintig visszavezethetők, ezzel is támogatva a megfelelő hozzáállás elterjedését.

A vállalkozásoknak biztosítaniuk kell azt is, hogy az egyes szervezeti egységek közösen és egyforma elvek mentén működnek, hogy a megfelelőség biztosítva legyen.

A Control Risk korábbi felmérése szerint a nagyobb cégek negyede kevesebb mint 25 dollárt költött egy évben munkatársanként a megfelelőség biztosítására. Az is kiderült, hogy a megfelelőség biztosításáért felelős vezetők kevesebb mint harmada volt jelen a vezetőségi üléseken annak érdekében, hogy meggyőződjenek arról, hogy a téma megfelelő figyelmet kap. Pedig a megfelelőség biztosításának alapvető prioritásnak kellene lennie, elkülönült és a stratégiai gondolkodáson kívül helyezett témakör helyett.

Szigorúbb környezet

A pénzügyi válságot követően a professzionális szolgáltatócégek működésére fokozottabb ellenőrzés irányul. Az előírásokat szándékosan vagy véletlenül figyelmen kívül hagyó szervezetek jelentős összegű büntetéseket és bizalomvesztést kockáztatnak.

Amikor a Carillion, az Egyesült Királyságban működő építőipari cég 2018 januárjában fizetésképtelenné vált, több mint 1,5 milliárd font veszteséget generálva, a cég vezetői nehéz helyzetbe kerültek. De a könyvvizsgálatért felelős PwC ellen is nyomozás indult az auditok miatt.

A szabályszegésért kiróható büntetések nagyon magasak lehetnek. A USA-ban tavaly 30 céget bírságoltak meg összesen 2,4 milliárd dollárra az antikorrupciós előírások megszegése miatt. Az Egyesült Királyságban a hatóságok 1,8 millió fontra büntettek cégeket 2017-ben az ellenőrzéseket követően. A Deloitte pedig kénytelen volt 5,6 millió dolláros büntetést fizetni, mert az általuk auditált Aero Inventory nevű cég hamis pénzügyi adatokat közölt a befektetőkkel.

A megkérdezett CFO-k 47%-a szerint a HR adataik nem felelnek meg a GDPR és egyéb adatvédelmi előírásoknak.

A svédországi válaszadók 90%-a szerint cégük nincs felkészülve a szabályozási kockázatokra, míg Norvégiában „csak” 36% gondolja így.

Összegzés

A törvényi elvárásoknak való megfelelés egyre nehezebbé válik, de vannak olyan gyakorlati lépések, amelyek végrehajtásával a vállalkozások támogathatják a rendszereiket és a folyamataikat.

Először is egy részletes megfelelőségi stratégia kialakítására van szükség, amelyet arra alkalmas szoftverekkel kell támogatni. Az adatvédelem terén ez olyan kiberbiztonsági szoftverek beszerzését jelenti, amelynek segítségével minimalizálni lehet az adatvédelmi incidensek lehetőségét.

Ezen túl szakmai felelősségbiztosításra is szükség lesz, amely kiterjed a személyazonossággal való visszaélésekre és az úgynevezett cyber-risk biztosításra is.

Ki kell alakítani egy olyan forgatókönyvet, amelyet követni lehet egy esetleges incidens, támadás esetén. Ez segíthet abban, hogy gyorsan tudjunk reagálni, vissza tudjuk szerezni a partnerek bizalmát, és minimalizáljuk a negatív publicitást. A legnagyobb hiba hallgatni egy incidens esetén, ezzel csak pánik és bizonytalanság terjed az ügyfelek körében.

Az egyéb megfelelőségi kérdések tekintetében, mint például az auditálásra és korrupcióra vonatkozó új szabályok, a cégeknek szigorú és alapos belső nyilvántartásokkal kell rendelkezniük és törekedniük kell a teljes transzparenciára. A kisebb hibákért is büntethetnek a különböző ellenőrző szervek, ezért a megfelelés kultúrájának át kell hatnia a vállalkozás minden szintjét, támogatva az egyes osztályok közötti kommunikációt és időszakosan felülvizsgálva a belső folyamatokat.

A megfelelőség biztosításának a döntéshozatali folyamatok szerves részévé kell válnia, nem szabad elkülönült, utólagos témakörként kezelni. Ez azt jelenti, hogy a cégvezetés számára kiemelt fontosságúnak kell lennie és felső-vezetőket kell felelőssé tenni a végrehajtásáért és fenntartásáért.

Ez először nehéznek tűnhet, de a megfelelő ellenőrző intézkedések és nyilvántartások kialakítását követően a végrehajtás már jóval egyszerűbbé válik és az alapműködésre és alapszolgáltatásokra koncentrálhatunk.

Azonban azok a cégek, akik nem, vagy csak a felszínen foglalkoznak a különböző szabályoknak való megfelelőséggel, jelentős pénzügyi rizikót vállalnak és a vállalkozás hírnevét is kockáztatják.

Cselekvési pontok a szabályozási kockázat csökkentéséhez:

• Részletes megfelelőségi stratégia kialakítása
• Megfelelőségi stratégia támogatása alkalmas szoftverekkel
• Krízis forgatókönyv kialakítása az adatvédelmi incidensek kezelésére
• Adatvédelmi és IT biztosítások megkötése
• Alapos és pontos belső nyilvántartások vezetése
• Megfelelőségi kultúra kialakítása és az egyes szervezeti egységek közötti kommunikáció megerősítése
• A megfelelőség biztosítását a döntéshozatali folyamat szerves részévé kell tenni