Η πλατφόρμα λογισμικού για συμμόρφωση στις νέες κανονιστικές απαιτήσεις
Πίσω στις αρχές του 1900, εάν ρωτούσαμε ποιο σύστημα μετακίνησης επιθυμούν οι άνθρωποι, θα είχαν απαντήσει «γρηγορότερα άλογα». Και αυτό απλά επειδή δεν είχαν βιώσει το αυτοκίνητο… Κατ’ αντιστοιχία, το GRC λογισμικό είναι το σημερινό όχημα εξέλιξης στην εταιρική διακυβέρνηση.
Το σημερινό τοπίο στη συμμόρφωση Ζούμε σε μια εποχή που το νομικό, κανονιστικό και ρυθμιστικό πλαίσιο διαρκώς διευρύνεται και γίνεται πιο αυστηρό. Δεν είναι άλλωστε λίγες οι κανονιστικές υποχρεώσεις που πλέον αποτελούν αναγκαιότητα για τος επειχειρήσεις και η μη συμμόρφωση σε αυτές μάλιστα, επισύρει αυτηρές κυρώσεις και πρόστιμα: • GDPR, ePrivacy για όλες τις επιχειρήσεις • PSD2 για τις ηλεκτρονικές πληρωμές • πληθώρα νέων κανονισμών
Σε αυτό το πλαίσιο, ο ρόλος του εσωτερικού ελέγχου και της κανονιστικής συμμόρφωσης δεν είναι πλέον υποστηρικτικός αλλά κεφαλαιώδης: • για τη συνέχιση της λειτουργίας των οργανισμών • για την αποφυγή μεγάλων προστίμων • για την ενσωμάτωση των τεχνολογικών εξελίξεων στην παραγωγική λειτουργία
Risk-based προσέγγιση Η risk-based προσέγγιση έχει ενταχθεί σε κάθε πλαίσιο συμμόρφωσης, καλώντας τον οργανισμό να αποδείξει ότι διαθέτει μια αξιόπιστη, συστηματική, επαναλήψιμη μεθοδολογία αξιολόγησης κινδύνων και τη χρησιμοποιεί για τη λήψη σημαντικών αποφάσεων και για την εφαρμογή μέτρων ελέγχου κινδύνων. Τόσο οι κύριες παραγωγικές διεργασίες, όσο και οι υποστηρικτικές μιας επιχείρησης ή ενός οργανισμού, απαιτείται να βασίζονται σε μια αποτελεσματική αξιολόγηση των κινδύνων που τις επηρεάζουν. Η αρχή της λογοδοσίας, και λόγω του GDPR, έχει μπει στην ατζέντα των Διοικήσεων των οργανισμών, καθώς καλούνται να διασφαλίσουν την αποτελεσματική εφαρμογή της. Η χρήση εξειδικευμένου λογισμικού συμμόρφωσης στους τομείς του Governance, Risk και Compliance αποτελεί μονόδρομο!
H προσέγγιση της PRIORITY H PRIORITY έχει δημιουργήσει μια αρθρωτή πλατφόρμα με λύσεις για οργανισμούς κάθε μεγέθους. Οι βασικές λειτουργίες της είναι:
Συμμόρφωση με το GDPR: • Δημιουργία Αρχείων Δραστηριοτήτων Επεξεργασίας με καταγραφή των απαραίτητων πεδίων και δυνατότητα επικαιροποίησης και έγκρισης τους. • Καταγραφή και Διαχείριση Αιτημάτων Δικαιωμάτων Υποκειμένων Δεδομένων. • Καταγραφή και Διαχείριση Περιστατικών Παραβίασης Προσωπικών Δεδομένων. • Καταγραφή των συμβάσεων με Εκτελούντες την Επεξεργασία και Αξιολόγηση των κινδύνων για την προστασία των προσωπικών δεδομένων στο πλαίσιο της συνεργασίας με τα τρίτα μέρη. • Διενέργεια Μελέτης Εκτίμησης Αντικτύπου για τις δραστηριότητες επεξεργασίας που ενέχουν υψηλό κίνδυνο για υποκείμενα των δεδομένων. • Καταγραφή και Διαχείριση Καταγγελιών που απαιτούν τη διερεύνηση και την τεκμηρίωση της υπόθεσης. • Παρέχει δυνατότητα επισύναψης αρχείων για την απαραίτητη τεκμηρίωση, όπως συμβάσεις, αιτήσεις φυσικών προσώπων κ.λπ.
Διαχείριση Κινδύνων: • Ολοκληρωμένη προσέγγιση στη διαχείριση (Enterprise Risk Management) Operational Risk Information Security Risk Business Continuity Risk Financial Risk • Ενιαία αντιμετώπιση και διαχείριση κινδύνων • Υποστήριξη πολλαπλών μεθοδολογιών • Δυνατότητα εκτέλεσης σεναρίων και προσομοιώσεων για την επιλογή των βέλτιστων μέτρων ελέγχου • Ανάθεση και παρακολούθηση ενεργειών στα στελέχη • Συνεχής εποπτεία του συνολικού προφίλ κινδύνου του οργανισμού
Audit Management: • Audit Universe: καταγραφή περιοχών ελέγχου, αξιολόγηση κρισιμότητας και κινδύνων με στόχο την κατάρτιση του προγράμματος ελέγχου • Βιβλιοθήκη τυποποιημένων checklist ελέγχου • Αποτύπωση ελεγκτικού έργου και συλλογή πειστηρίων • Τεκμηρίωση ευρημάτων και συστάσεων • Ανάθεση και παρακολούθηση διορθωτικών ενεργειών • Εξαγωγή αναφορών και στατιστικών στοιχείων συμμορφώσεως
Supplier Management • Διαχείριση και αξιολόγηση τρίτων μερών • Παρακολούθηση κάλυψης συμβατικών υποχρεώσεων μέσω • Επιθεωρήσεων • Τήρησης επιπέδου εξυπηρέτησης (SLA) • Καταγραφής αστοχιών • Υποστήριξη επιτόπιων ελέγχων με χρήση κινητού/ tablet
Προσαρμογή στις ανάγκες των επιχειρήσεων • Web, πολυγλωσσική εφαρμογή, με υποστήριξη εκτέλεσης των εργασιών σε mobile συσκευές (π.χ. smart phone, tablet κ.λπ) • Δημιουργία workflows για τις υποστηριζόμενες διεργασίες ανά Εταιρεία με ανάθεση ρόλων για καταγραφή, ανασκόπηση και έγκριση καταγραφών. • Παραμετροποίηση για την προσαρμογή στα βασικά στοιχεία των οργανισμών με στόχο τη διευκόλυνση των χρηστών κατά τη δημιουργία νέων εγγραφών στα διάφορα modules της πλατφόρμας.
Πολυτέλεια ή αναγκαιότητα • Οι λειτουργίες GRC αποτελούν θεματολογία των Διοικητικών Συμβουλίων • Η συμμόρφωση αποτελεί συλλογική προσπάθεια του συνόλου του προσωπικού κάθε εταιρείας, όχι μόνο του εκάστοτε υπευθύνου, DPO, επιθεωρητή • Οι στρατηγικοί στόχοι και οι δείκτες μέτρησης απόδοσης υποστηρίζονται από την παρακολούθηση του επιπέδου κινδύνου των δραστηριοτήτων • Το εξειδικευμένο λογισμικό ελαχιστοποιεί τη γραφειοκρατία και εξασφαλίζει την εφαρμογή της αρχής της λογοδοσίας • Τελικά, το GRC δεν είναι μόνο για πολυεθνικές και ομίλους, αλλά για κάθε επιχείρηση που δραστηριοποιείται απέναντι στις τεχνολογικές και νομικές προκλήσεις!
GRC Framework H πλατφόρμα λογισμικού GRC της PRIORITY διαθέτει τα παρακάτω υποσυστήματα: • Risk Management • GDPR • Compliance Management • Audit Management • Quality Management • Survey’s Management • Incident Management • Business Continuity • Information Security Risk Management • Supplier Management • ITSM • Whistleblowing Management • Data Analytics for Knowledge Management
Κάθε υποσύστημα του GRC μπορεί να λειτουργήσει από μόνο του ή σε συνδυασμό με οποιαδήποτε από τα υπόλοιπα, χάριν στο GRC Framework, στο οποίο είναι ενσωματωμένο το σύστημα χρηστών, τα security groups, ο report generator, όλα τα παραμετρικά αρχεία των υποσυστημάτων και μία τεράστια βιβλιοθήκη προτύπων συμμόρφωσης.
Το GRC Framewok, το οποίο εξυπηρετεί όλα τα υποσυστήματα τoυ GRC διαθέτει: • Περιβάλλον απόλυτα φιλικό στον χρήστη, εύκολο στην κατανόηση και αποδοτικό στη λειτουργία του. Παρέχει απόλυτη ελευθερία στον χρήστη να καθορίσει το UI που θα εργαστεί, επιλέγοντας σε ποια γλώσσα θέλει να δουλέψει, ποιους τίτλους θέλει να χρησιμοποιήσει για τα πεδία, ποια πεδία θα είναι υποχρεωτικά και ποια θα είναι ορατά. • Σύστημα ασφάλειας που διασφαλίζει την προστασία και την ακεραιότητα των δεδομένων, μέσω πολλαπλών επιπέδων πρόσβασης. Το σύστημα διαθέτει πολλαπλά επίπεδα ασφάλειας και προσφέρει διαφύλαξη της εμπιστευτικότητας, ακεραιότητας, ορθότητας και διαθεσιμότητας των δεδομένων, ενώ συμμορφώνεται πλήρως με το GDPR. Ειδικές διαδικασίες εξασφαλίζουν την καταγραφή του συνόλου των καταχωρήσεων και μεταβολών σε ειδικό αρχείο ελέγχου (audit trail) με στόχο την απόλυτη ιχνηλασιμότητα των κρίσιμων ενεργειών. Το σύστημα διαθέτει μηχανισμούς ταυτοποίησης και εξουσιοδότησης των χρηστών (authentication and authorization). • Τα Passwords αποθηκεύονται κρυπτογραφημένα με τη χρήση hashing algorithm. • Η ασφάλεια των μεταδιδόμενων πληροφοριών εξασφαλίζεται από μηχανισμό κρυπτογράφησης. • Υποστήριξη πρωτοκόλλων HTTPS, TLS / SSL. • Ύπαρξη μηχανισμών audit trail και εκτεταμένου logging, συμβατού µε διεθνή πρότυπα. • Ύπαρξη συστήματος ελέγχου της ακεραιότητας των δεδομένων (data integrity). • Ύπαρξη μηχανισμών ελέγχου της εγκυρότητας και της ποιότητας των δεδομένων και ταυτόχρονης και άμεσης προειδοποίησης μέσω μηνυμάτων στην οθόνη εργασίας • Παρέχεται η λειτουργικότητα αυτοματοποίησης των λειτουργιών, ώστε να εξασφαλίζεται η ταχύτητα, η ακρίβεια, ο ποιοτικός έλεγχος και η συνέπεια των δεδομένων. • Υποστήριξη ηλεκτρονικών υπογραφών • Δομή workflow που βοηθά στην καθοδήγηση των χρηστών, ώστε να ακολουθηθεί συγκεκριμένη διαδικασία στη σειρά συμπλήρωσης πεδίων και μόνον εφόσον τους έχει ανατεθεί ο κατάλληλος ρόλος. Για την υλοποίηση του επόμενου βήματος της κάθε διαδικασίας οι χρήστες ενημερώνονται με e-mail, ώστε να αυτοματοποιούνται οι διαδικασίες και να εξοικονομείται χρόνος • Dashboard (Πίνακας Ελέγχου) ώστε να μπορούν οι χρήστες να επεξεργαστούν τα αποτελέσματα των επιμέρους ενεργειών, να παρακολουθήσουν την υφιστάμενη κατάσταση και να λάβουν αποφάσεις με τη χρήση τυποποιημένων αναφορών, γραφημάτων και εργαλείων παρουσίασης για να επικοινωνηθεί η πορεία συμμόρφωσης. • Task list (Λίστα Εργασιών), ώστε να μπορούν οι χρήστες να παρακολουθούν τις ανατιθέμενες σ ’αυτούς εργασίες και να παρακολουθούν το status αυτών. • KPI’s & Reports : Δίνεται η δυνατότητα με χρήση πολλαπλών φίλτρων να καθοριστούν, από εξουσιοδοτημένους χρήστες, και να εξαχθούν σε δημοφιλή προγράμματα, Δείκτες KPI’s και αναλυτικές αναφορές. Οι τρόποι εμφάνισης των αποτελεσμάτων ενδεικτικά είναι: • Ραβδόγραμμα • Γραμμικό διάγραμμα • Διάγραμμα πίτας • Πίνακας Τιμών • Αριθμητικά αποτελέσματα (π.χ. μέσος όρος, ελάχιστη/ μέγιστη τιμή, άθροισμα, ποσοστά, πλήθος απαντήσεων)
Εικόνα 1 : Καθορισμός UI
Εικόνα 2 : Security Groups
