Opis aplikacji EY Virtual Compliance Officer

W skrócie

  • EY Virtual Compliance Officer to aplikacja o charakterze modułowym, umożliwiająca działania compliance w szerszym zakresie. Pomimo rozbudowanych funkcji to proste i intuicyjne narzędzie.
  • Według autorów, formularz został oparty na dobrych praktykach kryminalistyki.
  • W najbardziej rozbudowanym pakiecie istnieje możliwość wykorzystania modułu inteligentnego repozytorium regulacji wewnętrznych, a także skorzystania z merytorycznego wsparcia we wdrożeniu dostosowanych do specyfiki klienta procedur, w ocenie zgłoszeń i rekomendacje działań następczych oraz prowadzeniu postępowań wyjaśniających.

Opis aplikacji

EY VCO

Opis aplikacji

EY Virtual Compliance Officer (EY VCO) to autorskie narzędzie EY Forensics, będącej częścią firmy doradczej i audytorskiej EY, które umożliwia zgłaszanie naruszeń oraz kompleksową obsługę zgłoszeń, a także wsparcie ekspertów EY w prowadzeniu postępowań wyjaśniających. Wdrożenie EY VCO odbywa się w czterech krokach: konfiguracja wybranego pakietu, uruchomienie kanału zgłoszeniowego dla sygnalistów, udostępnienie możliwości monitorowania zgłoszeń oraz zarządzanie zgłoszeniami.

Dane przechowywane są na terenie Unii Europejskiej (w ramach platformy EY Client Technology, na bazie chmury Microsoft Azure). Infrastruktura posiada certyfikat Certyfikat ISO 27001 (bezpieczeństwo informacji). System jest przyjazny technologiom mobilnym, dzięki czemu umożliwia dokonywanie zgłoszeń z dowolnego miejsca i urządzenia, jednocześnie gwarantując anonimowość sygnaliście.

Formularz zgłaszania naruszeń dostępny jest dla pracowników i osób z zewnątrz organizacji, a anonimowy czat pozwala na prowadzenie dialogu z sygnalistą i przesyłanie załączników. Niniejszy opis został sporządzony na podstawie zorganizowanej dla nas prezentacji online aplikacji oraz instrukcji obsługi przekazanej przez EY.

Panel sygnalisty

Zgłoszenie naruszenia odbywa się za pomocą poufnego kanału, z możliwością jego spersonalizowania dla danej firmy. Można wybrać kilkanaście różnych wersji językowych; kolejne będą sukcesywnie dodawane. z tego samego poziomu można sprawdzić status swojego zgłoszenia, a także zalogować się, jeśli użytkownik ma prawo dostępu. Zgłoszenie naruszenia jest anonimowe, ale sygnalista może podać swoje dane osobowe. Według autorów, formularz został oparty na dobrych praktykach kryminalistyki. Sygnalista zachęcany jest do odpowiedzenia na jak największą liczbę pytań, są jednak pola obowiązkowe (zaangażowane strony, opis sprawy, ramy czasowe, miejsce zdarzenia). Ponadto, można podać szacowaną wartość straty, źródła informacji, a nawet zaproponować działania następcze.

Po wysłaniu zgłoszenia naruszenia pojawia się poniższy komunikat, zawierający wszystkie niezbędne informacje. Trzeba zapisać token, aby móc zalogować się ponownie w celu sprawdzenia statusu swojego zgłoszenia, komunikować się przez czat z compliance oficerem, a także ewentualnie dołączyć plik. Dodatkowo, można wpisać adres e-mail, aby otrzymywać bezpośrednie powiadomienia o postępach w rozpatrywaniu zgłoszenia.

Panel administratora

Na panelu administratora (compliance oficera) pojawia się nowe zgłoszenie. z tego poziomu są widoczne również nowe wiadomości od sygnalisty dotyczące naruszenia, najnowsze dokumenty oraz ostatnie zgłoszenia i ogólne statystyki.

Istnieje również możliwość dodania przez compliance oficera zgłoszeń dokonanych poza systemem, np. ustnie lub listownie.

W aplikacji jest funkcja załączania plików dokumentujących przebieg postępowania wyjaśniającego w związku ze zgłoszonym naruszeniem oraz rekomendacji.

To bardzo ważne funkcjonalności w przypadku zgłaszania naruszeń: możliwość sprawdzenia historii zgłoszeń oraz podejmowanych działań na osi czasu oraz przypomnienia w celu zachowania odpowiednich terminów komunikacji z sygnalistą.

A tak wygląda panel do zarządzania zgłoszeniami: przypisania do osób odpowiedzialnych za zgłoszenie, nadawania priorytetów, anonimizacji treści zgłoszeń, archiwizacji itd.

Na uwagę zasługuje też mobilna wersja aplikacji, umożliwiająca szybki dostęp do zgłoszenia i jego dokumentacji.

W najbardziej rozbudowanym pakiecie istnieje możliwość wykorzystania modułu inteligentnego repozytorium regulacji wewnętrznych, a także skorzystania z merytorycznego wsparcia we wdrożeniu dostosowanych do specyfiki klienta procedur, w ocenie zgłoszeń i rekomendacje działań następczych oraz prowadzeniu postępowań wyjaśniających.

Śledzenie procesu potwierdzania zapoznania się z dokumentami i związanych z nim statystyk, przypisywanie właścicieli, wysyłanie automatycznych przypomnień odbywa się za pośrednictwem poniższej funkcjonalności.

Moduł komunikacji z pracownikami w formie czatu obejmuje zarządzanie pytaniami, rozstrzyganie dylematów pracowników, wysyłanie plików i możliwość dzielenia się wiedzą.

Czas wdrożenia narzędzia zależy od zakresu dostosowania EY VCO do potrzeb klienta, liczby użytkowników i innych indywidualnych ustaleń. Przeciętny czas wdrożenia wynosi 5-10 dni roboczych. Samo wdrożenie jest bezpłatne, klient nie ponosi opłat innych niż koszt subskrypcji EY VCO.

Zanim wdrożysz aplikację dla sygnalistów zaktualizuj swoje procedury bezpieczeństwa. Tego wymaga prawo.

Więcej

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".