SHARE
X

Zagrożenia dla ciągłości działania na przykładach

Autor: Jarosław Nowicki - Audytor wiodący TÜV Rheinland
Polska.
Źródło: Jakość 04/2015 - magazyn TÜV Rheinland Polska

Prawidłowa współpraca w łańcuchu dostaw pozwala na szybkie diagnozowanie zmian i adekwatną do sytuacji reakcję. Odbiorca, jako najważniejsze elementy współpracy z dostawcą, postrzega ciągłość i terminowość dostaw w obszarze produkcji. W tym zakresie funkcjonuje wiele rozwiązań, które w sposób mniej lub bardziej formalny pozwalają zarządzać ryzykami i ciągłością działania.

Z praktyki audytorskiej, szkoleniowej i konsultacyjnej jednoznacznie wynika, że obszarami w relacjach dostawca-odbiorca, które najczęściej są pomijane w analizie i ocenie ryzyka, są obszary związane z dostawami usług niezwiązanych bezpośrednio z wytwarzaniem wyrobów. Są to jednak obszary, które mogą generować wysokie ryzyka związane z odpowiedzialnością karną, cywilną oraz obniżeniem wartości marki odbiorcy. Dwa poniższe przykłady związane z procesami nieprodukcyjnymi wykonywanymi w relacji dostawcaodbiorca, obrazują skutki zakłóceń ciągłości działania w różnych aspektach działalności odbiorcy.

1. Bezpieczeństwo danych

Bank skonstruował program rekrutujący stażystów przez Internet. Opracowanie portalu tematycznego bank zlecił zewnętrznej firmie informatycznej. W wyniku ataku hakerskiego doszło do „wycieku” danych osobowych (życiorysów) osób biorących udział w programie. Dane te zostały udostępnione w internecie. Jedna z osób, której dane zostały ujawnione (imię i nazwisko, adres, numer telefonu,e-mail itd.) wszczęła postępowanie z powództwa cywilnego, w wyniku którego zasądzone zostało odszkodowanie w wysokości 10 tysięcy złotych. Sąd apelacyjny podtrzymał zasądzoną kwotę i argumentację – za działania firmy informatycznej, którą bank się posłużył, udzielając jej zlecenia, odpowiada jak za własne działanie (art. 474 w zw. z artykułem 734 Kodeksu Cywilnego). Wyrok jest ostateczny, prawomocny i nie podlega kasacji.

Można powiedzieć, że kara w wysokości 10 tysięcy złotych nie jest kwotą istotną dla banku, w odniesieniu do ciągłości działania w aspekcie finansowym. Jednak w ramach „wycieku” zostały ujawnione dane około 1700 osób. Pytanie co byłoby, gdyby te osoby złożyły pozew zbiorowy? Wówczas kwota odszkodowania (licząc proporcjonalnie do zasądzonej kwoty dla jednej osoby) wyniosłaby 17 milionów złotych lub więcej. I jeszcze kwestia wizerunkowa – wiarygodności banku. Ilu klientów po uzyskaniu takiej informacji zastanowiło się na przykład nad bezpieczeństwem własnych depozytów, a ilu depozyty wycofało? Co można było zrobić, aby ograniczyć ryzyko związane z działaniami dostawcy?

Przed zawarciem umowy należało przeprowadzić analizę i ocenę ryzyka, związanego z powierzeniem firmie informatycznej organizacji portalu, obejmującą dokumentację dostawcy:

  1. Przegląd polityki bezpieczeństwa danych osobowych
  2. Przegląd instrukcji zarządzania systemami teleinformatycznymi ze szczególnym uwzględnieniem zabezpieczeń (oprogramowanie antywirusowe, firewall itd.)
  3. Audyt klientowski – audyt drugiej strony, który potwierdzi prawidłowość stosowania zabezpieczeń
  4. Prawidłowo skonstruowana umowa o powierzeniu danych

Takie działanie nie wyeliminuje ryzyka całkowicie, ale w dużym zakresie może je ograniczyć. Może być również istotnym argumentem dla sądu, ponieważ udokumentowane działania związane z nadzorem nad dostawcą, stanowią istotny materiał dowodowy z uwagi na fakt, że odbiorca usługi stosuje dobre praktyki w relacji z dostawcą.

2. Bezpieczeństwo i higiena pracy

Na terenie jednej z firm doszło do podwójnego wypadku śmiertelnego z udziałem pracowników innego pracodawcy.

Pracownicy innego pracodawcy bez przeszkolenia w zakresie zagrożeń i ryzyk oraz bez środków ochrony indywidualnej i zabezpieczeń, weszli do studzienki kondensacyjnej bioelektrowni. Bezpośredniemu przełożonemu pracowników grozi kara do 5 lat pozbawienia wolności, zaś prezesowi spółki, na terenie której zdarzył się wypadek kara do 3 lat pozbawienia wolności.

Oznacza to, że nadzór nad pracownikiem innego pracodawcy leży nie tylko po stronie dostawcy, ale także po stronie odbiorcy. W opisanej sytuacji istnieje nie tylko ryzyko odpowiedzialności karnej dla prezesa firmy, która zleciła prace dostawcy na własnym terenie. Należy pamiętać, że prawomocny wyrok w procesie karnym otwiera drogę do powództwa cywilnego, a więc odszkodowania finansowego.

Co można było zrobić, aby ograniczyć ryzyko związane z działaniami dostawcy?

Przed zawarciem umowy należało przeprowadzić analizę i ocenę ryzyka związanego z powierzeniem firmie zewnętrznej prac związanych ze szczególnymi zagrożeniami.

  1. Sprawdzenie czy pracownicy dostawcy oddelegowani do pracy na terenie firmy mają: aktualne szkolenia w zakresie BHP, aktualną sporządzoną analizę i ocenę ryzyka zawodowego, aktualne badania lekarskie.
  2. Sprawdzenie czy pracownicy są wyposażeni w środki ochrony indywidualnej i czy środki te mają aktualne, wymagane przepisami prawa atesty.
  3. Przeszkolenie pracowników innego pracodawcy w zakresie zagrożeń dla bezpieczeństwa i zdrowia podczas pracy w studzience kondensacyjnej. Prace te powinny być wykonywane zgodnie z instrukcją BHP przy pracach szczególnie niebezpiecznych.

W tym przypadku sekwencja powyższych działań mogłaby nie tylko ograniczyć ryzyko związane z odpowiedzialnością, ale wręcz je wyeliminować. Nawet jeśli doszłoby do wypadku to udokumentowane działania związane z nadzorem nad dostawcą stanowią istotny materiał dowodowy z uwagi na fakt, że odbiorca usługi stosuje dobre praktyki w relacji z dostawcą.

Konkludując o ile procesy związane z produkcją w relacji dostawca-odbiorca są z reguły przedmiotem analizy w zakresie ryzyka i ciągłości działania, o tyle procesy pomocnicze, administracyjne w zakresie usług świadczonych przez dostawców, rzadko są w tym kontekście rozpatrywane.

Do obszarów ryzyk w relacji dostawcaodbiorca oprócz wyżej wymienionych mogą należeć procesy związane z:

  • gospodarką odpadami,
  • prawami autorskimi i pokrewnymi,
  • nadzorem nad maszynami, urządzeniami i wyposażeniem technicznym,
  • nadzorem nad wyposażeniem do monitorowania i pomiarów,
  • nadzorem nad budynkami i budowlami,
  • nabywaniem uprawnień, kompetencji i wykształcenia,
  • pracownikami zatrudnionymi na umowy cywilno-prawne – ochrona danych osobowych oraz ochrona tajemnicy przedsiębiorstwa,
  • obsługą prawną - zewnętrzna kancelaria/prawnik – ochrona danych osobowych oraz ochrona tajemnicy przedsiębiorstwa.

Dwa przykłady ryzyk wymienione w artykule dają jedynie próbkę zagrożeń i to jedynie tych z pozycji percepcji odbiorcy. Takie ryzyka występują dla obydwu stron współpracy. Miejmy nadzieję, że nowe wydania norm ISO 9001:2015 oraz ISO 14001:20015 wpłyną na lepsze zrozumienie roli ryzyk i ciągłości działania w relacjach dostawca – odbiorca.