Information Compliance Manažer: Porovnání verzí

Z WikiKnihovna
Řádek 25: Řádek 25:
 
Pracovní náplň role Information Compliance manažera v sobě zahrnuje prvky analytické, výzkumné, legislativní, organizační, marketingové, vzdělávací a kontrolingové práce. Můžeme si ji rozdělit na dvě oblasti, kde první oblast je víceméně společná pro všechny a druhá oblast je specifická dle odvětví, kultury a cílů dané organizace.
 
Pracovní náplň role Information Compliance manažera v sobě zahrnuje prvky analytické, výzkumné, legislativní, organizační, marketingové, vzdělávací a kontrolingové práce. Můžeme si ji rozdělit na dvě oblasti, kde první oblast je víceméně společná pro všechny a druhá oblast je specifická dle odvětví, kultury a cílů dané organizace.
  
Společná oblast obsahuje:  
+
Společná oblast obsahuje:
  
*sledování odpovídající legislativy a plánovaných novelizací, které nějakým způsobem regulují nakládání s daty a informacemi, které organizace produkuje anebo spravuje;  
+
*sledování odpovídající legislativy a plánovaných novelizací, které nějakým způsobem regulují nakládání s daty a informacemi, které organizace produkuje anebo spravuje;
*aktivní výzkum, vývoj a nastavení směrnic a procesů, správného a - s ohledem na možné změny v budoucnu - také defenzivního nakládání s daty a informacemi v rámci organizace s ohledem na její kulturu a cíle;  
+
*aktivní výzkum, vývoj a nastavení směrnic a procesů, správného a - s ohledem na možné změny v budoucnu - také defenzivního nakládání s daty a informacemi v rámci organizace s ohledem na její kulturu a cíle;
 
*zodpovědnost, že daná organizace a procesy v ní probíhající splňují všechny stanovené regulatorní požadavky na správu informací a také její vlastní vnitřní pravidla a informační potřeby.
 
*zodpovědnost, že daná organizace a procesy v ní probíhající splňují všechny stanovené regulatorní požadavky na správu informací a také její vlastní vnitřní pravidla a informační potřeby.
  
Řádek 39: Řádek 39:
 
*Výrobce moderních automobilů neustále a v reálném čase sbírá surová data z provozu svých výrobků v reálném prostředí. Tato data sama o sobě ještě regulovanou informací nejsou, ale mohou se jí velmi rychle stát pouhým připojením některého z osobních údajů. Navíc se také jedná o velmi cenná data pro vědu a výzkum, která mohou mít pro organizaci velmi silnou konkurenční výhodu, a je proto zapotřebí je odpovídajícím způsobem chránit.
 
*Výrobce moderních automobilů neustále a v reálném čase sbírá surová data z provozu svých výrobků v reálném prostředí. Tato data sama o sobě ještě regulovanou informací nejsou, ale mohou se jí velmi rychle stát pouhým připojením některého z osobních údajů. Navíc se také jedná o velmi cenná data pro vědu a výzkum, která mohou mít pro organizaci velmi silnou konkurenční výhodu, a je proto zapotřebí je odpovídajícím způsobem chránit.
 
*V zájmu organizace, která vyvíjí a propaguje svobodný software, je maximální šíření její myšlenky a informací s ní spojených – v tom se liší od jiných organizací, v jejichž zájmu je pravý opak, tedy ochrana informací před únikem a zneužitím. I tato organizace ale musí mít jasnou koncepci práce s daty a informacemi, aby nepřekročila hranici stanovenou regulátory a zároveň aby dohlédla na dodržování svých stanovených pravidel.
 
*V zájmu organizace, která vyvíjí a propaguje svobodný software, je maximální šíření její myšlenky a informací s ní spojených – v tom se liší od jiných organizací, v jejichž zájmu je pravý opak, tedy ochrana informací před únikem a zneužitím. I tato organizace ale musí mít jasnou koncepci práce s daty a informacemi, aby nepřekročila hranici stanovenou regulátory a zároveň aby dohlédla na dodržování svých stanovených pravidel.
*Organizace spadající pod Zákon o svobodném přístupu k informacím <ref>Zákon o svobodném přístupu k informacím. [online]. [cit. 2016-05-08]. Dostupné z https://cs.wikipedia.org/wiki/Z%C3%A1kon_o_svobodn%C3%A9m_p%C5%99%C3%ADstupu_k_informac%C3%ADm</ref> je dle tohoto zákona povinna dle stanovených pravidel zpřístupnit konkrétní informace žadateli. U rozsáhlých a složitých agend to nemusí být triviální úkol již jen s ohledem na samotný přístup k těmto informacím a jejich klasifikaci - např. dle stupně utajení, který tvoří výjimku v tomto zákoně.
+
*Organizace spadající pod Zákon o svobodném přístupu k informacím <ref>Zákon o svobodném přístupu k informacím. [online]. [cit. 2016-05-08]. Dostupné z https://cs.wikipedia.org/wiki/Z%C3%A1kon_o_svobodn%C3%A9m_p%C5%99%C3%ADstupu_k_informac%C3%ADm</ref> je dle tohoto zákona povinna dle stanovených pravidel zpřístupnit konkrétní informace žadateli. U rozsáhlých a složitých agend to nemusí být triviální úkol již jen s ohledem na samotný přístup k těmto informacím a jejich klasifikaci - např. dle stupně utajení, který tvoří výjimku v tomto zákoně.
  
Information Compliance manažer by měl být dále schopen pracovat s ekonomickým modelem rizik a návratností investic, které si jím nastavená opatření v organizaci vyžádají <ref>The True Cost of Compliance. [online]. [cit. 2016-05-08]. Dostupné z   http://www.ponemon.org/local/upload/file/True_Cost_of_Compliance_Report_copy.pdf</ref>. Investice přitom nemusí být jen materiálního charakteru, ale mohou být vyjádřitelné také v kapacitě pracnosti, kterou dané opatření pracovníkům zabere navíc oproti jejich běžnému pracovnímu postupu. Zejména u menších organizací, jako jsou např. knihovny, není s ohledem na dostupné zdroje možné důsledně ošetřit veškerá rizika, která zpracování informací přináší, je proto nutné správně volit řešení odpovídající kontextu a míře rizika.
+
Information Compliance manažer by měl být dále schopen pracovat s ekonomickým modelem rizik a návratností investic, které si jím nastavená opatření v organizaci vyžádají <ref>The True Cost of Compliance. [online]. [cit. 2016-05-08]. Dostupné z http://www.ponemon.org/local/upload/file/True_Cost_of_Compliance_Report_copy.pdf</ref>. Investice přitom nemusí být jen materiálního charakteru, ale mohou být vyjádřitelné také v kapacitě pracnosti, kterou dané opatření pracovníkům zabere navíc oproti jejich běžnému pracovnímu postupu. Zejména u menších organizací, jako jsou např. knihovny, není s ohledem na dostupné zdroje možné důsledně ošetřit veškerá rizika, která zpracování informací přináší, je proto nutné správně volit řešení odpovídající kontextu a míře rizika.
  
 
== Povinnosti ==
 
== Povinnosti ==
Řádek 54: Řádek 54:
 
*vzdělávát organizaci v oblasti regulatorního dopadu práce s daty a informacemi v rámci organizace a jejich partnerů;
 
*vzdělávát organizaci v oblasti regulatorního dopadu práce s daty a informacemi v rámci organizace a jejich partnerů;
 
*dohlížet na řádný kontroling a prevenci při práci s daty a informacemi v rámci organizace a také u jejích klíčových partnerů;
 
*dohlížet na řádný kontroling a prevenci při práci s daty a informacemi v rámci organizace a také u jejích klíčových partnerů;
*mít k dispozici funkční krizový plán pro případ incidentu a jeho průběžné prověřování v simulacích <ref>Incident management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Incident_management</ref>;
+
*mít k dispozici funkční krizový plán pro případ incidentu a jeho průběžné prověřování v simulacích <ref>Incident management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Incident_management</ref>;*poskytovat řádnou součinnost kontrolním organům.
*poskytovat řádnou součinnost kontrolním organům.
 
  
 
Pracovní náplň role Information Compliance manažera je spíše kancelářské povahy a z povahy kontrolingu, kam většinou spadá, vyžaduje velkou preciznost, důslednost, komunikační a organizační dovednosti a schopnost týmové práce.
 
Pracovní náplň role Information Compliance manažera je spíše kancelářské povahy a z povahy kontrolingu, kam většinou spadá, vyžaduje velkou preciznost, důslednost, komunikační a organizační dovednosti a schopnost týmové práce.
Řádek 84: Řádek 83:
 
Vzhledem k mezinárodnímu dosahu regulatorních opatření a s nimi spojených informačních zdrojů je pro Information Compliance manažera nezbytná znalost alespoň jednoho světového jazyka, v tomto případě anglického jazyka, a to minimálně na úrovni porozumění odbornému textu.
 
Vzhledem k mezinárodnímu dosahu regulatorních opatření a s nimi spojených informačních zdrojů je pro Information Compliance manažera nezbytná znalost alespoň jednoho světového jazyka, v tomto případě anglického jazyka, a to minimálně na úrovni porozumění odbornému textu.
  
Kurzy Information Compliance se již vyučují na řadě vysokých škol <ref>University of Cambridge, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.information-compliance.admin.cam.ac.uk/</ref>
+
Kurzy Information Compliance se již vyučují na řadě vysokých škol <ref>University of Cambridge, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.information-compliance.admin.cam.ac.uk/</ref> <ref>University of Kent, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.kent.ac.uk/infocompliance/</ref> <ref>Trinity College Dublin, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.tcd.ie/info_compliance/</ref> <ref>King's College London, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.kcl.ac.uk/aboutkings/governance/compliance/index.aspx</ref> <ref>Oxford Brookes University, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://obis.brookes.ac.uk/InfoCompliance/</ref>a většinou zahrnují oblast ochrany dat<ref>Data Protection Act. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Data_Protection_Act</ref>, svobodu informací<ref>Freedom of Information. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Freedom_of_information</ref> a správu záznamů<ref>Records Management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Records_management</ref>.
<ref>University of Kent, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.kent.ac.uk/infocompliance/</ref>
 
<ref>Trinity College Dublin, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.tcd.ie/info_compliance/</ref>
 
<ref>King's College London, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.kcl.ac.uk/aboutkings/governance/compliance/index.aspx</ref>
 
<ref>Oxford Brookes University, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://obis.brookes.ac.uk/InfoCompliance/</ref>a většinou zahrnují oblast ochrany dat<ref>Data Protection Act. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Data_Protection_Act</ref>, svobodu informací<ref>Freedom of Information. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Freedom_of_information</ref> a správu záznamů<ref>Records Management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Records_management</ref>.
 
  
 
== Kompetence ==
 
== Kompetence ==
Řádek 104: Řádek 99:
 
Profesní organizace kontrolingu s okrajovým záběrem tématiky Information Compliance působící v ČR:
 
Profesní organizace kontrolingu s okrajovým záběrem tématiky Information Compliance působící v ČR:
  
*IGC (International Group of Controlling) Mezinárodní platforma institucí a organizací, které chápou kontroling jako základní kámen úspěšného řízení organizace. Vyvíjí, koordinuje a publikuje jednotnou koncepci kontrolingu a s ním spojené terminologie, rozvíjí profesi kontrolorů jakožto partnerů managementu a standardy pro kvalifikaci kontrolorů a manažerů. Síť IGC pokrývá patnáct zemí včetně České republiky. [https://www.igc-controlling.org/ https://www.igc-controlling.org/]
+
*'''IGC (International Group of Controlling) '''<br/>Mezinárodní platforma institucí a organizací, které chápou kontroling jako základní kámen úspěšného řízení organizace. Vyvíjí, koordinuje a publikuje jednotnou koncepci kontrolingu a s ním spojené terminologie, rozvíjí profesi kontrolorů jakožto partnerů managementu a standardy pro kvalifikaci kontrolorů a manažerů. Síť IGC pokrývá patnáct zemí včetně České republiky. <br/>[https://www.igc-controlling.org/ https://www.igc-controlling.org/]
* CAFIN (Česká asociace pro finanční řízení) Nezisková organizace, která od roku 2010 nahrazuje samostatně působící členské kluby při Controller Institutu<ref>Controller Institut. [online]. [cit. 2016-05-08]. Dostupné z http://www.controlling.cz/</ref> a dalších kontrolingových organizací. [http://cafin.cz/ http://cafin.cz/]
+
*'''CAFIN (Česká asociace pro finanční řízení)'''<br/>Nezisková organizace, která od roku 2010 nahrazuje samostatně působící členské kluby při Controller Institutu<ref>Controller Institut. [online]. [cit. 2016-05-08]. Dostupné z http://www.controlling.cz/</ref> a dalších kontrolingových organizací. <br/>[http://cafin.cz/ http://cafin.cz/]
*ČAT (Česká Asociace Treasury) Zabývá se primárně finančním kontrolingem a oblast tzv. infromation policy pokrývá jen velmi okrajově. [http://czechtreasury.cz/ http://czechtreasury.cz/] V zahraničí již existuje řada profesních organizací, které mají k problematice information compliance velmi blízko.
+
*'''ČAT (Česká Asociace Treasury) '''<br/>Zabývá se primárně finančním kontrolingem a oblast tzv. infromation policy pokrývá jen velmi okrajově.&nbsp;<br/>[http://czechtreasury.cz/ http://czechtreasury.cz/]
*APCC (Association of Proffessional Compliance Consultants) Asociace určená pro compliance konzultanty, kteří poskytují své služby firmám podléhajícím regulátorům v UK. Stanovuje mimo jiné profesní a etický standard pro své členy. [http://www.apcc.org.uk/ http://www.apcc.org.uk/]
+
 
*CPSR (Computer Professionals For Social Reponsibility) CSPR je globální projekt propagující zodpovědné užívání počítačů a informační technologie, který působí již od roku 1981. Zabývá se výzkumem a edukací zákonodárců v řadě oblastí spojených s dopadem informačních technologií. Jeho slogan hlásá „Technology is driving the future … it is up to us to do the steering“ a tematicky je tak velmi blízká oboru information compliance, protože svou aktivitou ovlivňuje legislativní a regulatorní procesy. [http://cpsr.org/ http://cpsr.org/]
+
V zahraničí již existuje řada profesních organizací, které mají k problematice information compliance velmi blízko.
*SCCE (Society of Corporate Compliance and Ethics) Organizace zaměřená na compliance profesionály napříč celou řadou oborů. Svým členům nabízí vzdělávání, certifikaci, networking a další odborné zdroje. Mimo jiné prosazuje svůj etický kodex práce compliance pracovníka. [http://www.corporatecompliance.org/ http://www.corporatecompliance.org/]
+
 
*AIIP (Association of independent information Professional) Asociace informačních profesionálů, vznikla r. 1987 a jejími členy jsou firmy poskytující informační služby. Obdobně jako další profesní asociace je tvůrcem etického kodexu „ Code of Ethical Business Practice“. Tématice information compliance se věnuje pouze okrajově. [http://www.aiip.org/ http://www.aiip.org/]
+
*'''APCC (Association of Proffessional Compliance Consultants)'''<br/>Asociace určená pro compliance konzultanty, kteří poskytují své služby firmám podléhajícím regulátorům v UK. Stanovuje mimo jiné profesní a etický standard pro své členy. <br/>[http://www.apcc.org.uk/ http://www.apcc.org.uk/]
*AIIM (The Global Community of Information Professionals) Globální komunita informačních profesionálů. Její misí je pomáhat svým členům a jejich organizacím přežít a prosperovat v éře informačního chaosu. Na problematiku information compliance se dívá spíše z úhlu nástrojů a tzv. best practices než konkrétních regulatorních změn. [http://www.aiim.org/ http://www.aiim.org/]
+
*'''CPSR (Computer Professionals For Social Reponsibility) '''<br/>CSPR je globální projekt propagující zodpovědné užívání počítačů a informační technologie, který působí již od roku 1981. Zabývá se výzkumem a edukací zákonodárců v řadě oblastí spojených s dopadem informačních technologií. Jeho slogan hlásá „Technology is driving the future … it is up to us to do the steering“ a tematicky je tak velmi blízká oboru information compliance, protože svou aktivitou ovlivňuje legislativní a regulatorní procesy. <br/>[http://cpsr.org/ http://cpsr.org/]
*NSCP (The National Society of Compliance Professionals) Nezisková organizace věnovaná službám a podpoře compliance profesionálů v oblasti finančních služeb působící v USA a v Kanadě. [http://www.nscp.org/ http://www.nscp.org/]
+
*'''SCCE (Society of Corporate Compliance and Ethics)'''<br/>Organizace zaměřená na compliance profesionály napříč celou řadou oborů. Svým členům nabízí vzdělávání, certifikaci, networking a další odborné zdroje. Mimo jiné prosazuje svůj etický kodex práce compliance pracovníka.<br/>[http://www.corporatecompliance.org/ http://www.corporatecompliance.org/]
 +
*'''AIIP (Association of independent information Professional)'''<br/>Asociace informačních profesionálů, vznikla r. 1987 a jejími členy jsou firmy poskytující informační služby. Obdobně jako další profesní asociace je tvůrcem etického kodexu „ Code of Ethical Business Practice“. Tématice information compliance se věnuje pouze okrajově. <br/>[http://www.aiip.org/ http://www.aiip.org/]
 +
*'''AIIM (The Global Community of Information Professionals)'''<br/>Globální komunita informačních profesionálů. Její misí je pomáhat svým členům a jejich organizacím přežít a prosperovat v éře informačního chaosu. Na problematiku information compliance se dívá spíše z úhlu nástrojů a tzv. best practices než konkrétních regulatorních změn.<br/>[http://www.aiim.org/ http://www.aiim.org/]
 +
*'''NSCP (The National Society of Compliance Professionals)'''<br/>Nezisková organizace věnovaná službám a podpoře compliance profesionálů v oblasti finančních služeb působící v USA a v Kanadě. <br/>[http://www.nscp.org/ http://www.nscp.org/]
  
  

Verze z 8. 5. 2016, 16:14

Autor: 3261@MU

Popis práce

Information Compliance manažer je pracovní role v oblasti kontrolingu, která se primárně zabývá dohledem nad správou informačních zdrojů a informačních procesů v rámci organizace, a to z pohledu jejich souladu s platnou legislativou, případnými dalšími regulacemi a cíli při zajišťování informačních potřeb organizace.

Význam anglického výrazu compliance [1] odpovídá českému slovu shoda, do českého jazyka se však běžně nepřekládá. Oborově je u nás téma Compliance chápáno jako součást mnohem širší oblasti kontrolingu (tzv. controlling management [2]). Zúžení na oblast Information Compliance se pak týká dohledu nad způsobem nakládání s daty a informacemi v rámci organizací.

Každá organizace dnes již disponuje informacemi a surovými či anonymizovanými daty, která buď sama vytváří, zpracovává nebo spravuje pro jinou organizaci. Data a informace jsou komodita, která může podléhat řadě regulací, a to nejen právních, ale i vnitřních regulí, které si organizace nastavila sama pro sebe. Nedodržením shody s těmito pravidly při nakládání s daty a informacemi může mít pro danou organizaci až fatální důsledky - např. ve vysokých pokutách [3], soudních řízeních, ztrátě konkurenční výhody, koncese, důvěry zákazníků a tržního podílu.

Jako příklad uveďme zpracování informací o zákaznících a jejich uložení v databázi CRM [4]. Funkcionalita CRM a infrastruktura pro zpracování a uložení těchto dat dnes již zcela běžně zahrnuje globální cloudová řešení [5], kdy vlastníci dat často ani pořádně neví, na kterém konkrétním fyzickém místě na světě se jejich data v danou chvíli nachází a pod jakou legislativu a s ní spojené regulace tak případně spadají. Nejenže je v takové situaci podle platné legislativy a pod vysokými sankcemi zapotřebí řešit souhlas zákazníka se zpracování jeho osobních informací, umožnit výmaz těchto informací, náležitě takovou databázi chránit před zneužitím, ale některá specifická data dokonce nesmí opustit teritorium Evropské unie.

S rostoucím množstvím dat, informací a s nimi spojených regulí tak u organizací narůstá také manažerská potřeba role Information Compliance manažera odpovědného za tuto problematiku. Název Information Compliance manažer se do českého jazyka většinou nepřekládá, dal by se však přeložit jako Manažer vnitřního dohledu nad dodržováním pravidel při správě informací. Z tohoto trochu krkolomného překladu názvu pracovní role je také dobře patrné, jaká je pracovní náplň a kompetence takového manažera a kde je jeho místo v organizaci.

Information Compliance manažer spadá do úseku vnitřního dohledu a zodpovídá nejen za dodržování pravidel při správě informací, ale také za správné nastavení těchto pravidel s ohledem na podstatu, kulturu a stanovené cíle organizace.

U menších organizací je tato odpovědnost většinou v rámci provozu sdílená provozním ředitelem, office manažerem nebo vedoucími jednotlivých dotčených úseků, které s konkrétními daty a informacemi pracují (např. obchodní nebo marketingové oddělení).

U velkých organizací se již jedná o agendu kontrolingu nebo agendu spadající přímo pod CIO (Chief Informaton Officer [6]) a čím dál častěji pro ni bývá vytvořena samostatná pracovní pozice Information Compliance manažera.

Role Information Compliance manažera je poměrně nová a její důležitost roste zejména se zaváděním nové legislativy v EU [7][8], která silně reguluje ochranu dat s důrazem na ochranu soukromí a osobních dat, právo být zapomenut, profilování uživatelů apod. Za nedodržení těchto právních norem přitom organizacím hrozí velké sankce, konkrétně pak až 4% z globálního obratu, nebo 20 mil. euro, podle toho, co je více [9]. V každé organizaci by tak měla být jedna konkrétní osoba, která za dodržování těchto regulí zodpovídá. Můžeme se s ní setkat pod různými názvy jako např. Information Compliance Office, Information Compliance Director, Information Compliance Specialist, Information Compliance Manager, Information Compliance Consultant apod.

Náplň práce

Pracovní náplň role Information Compliance manažera v sobě zahrnuje prvky analytické, výzkumné, legislativní, organizační, marketingové, vzdělávací a kontrolingové práce. Můžeme si ji rozdělit na dvě oblasti, kde první oblast je víceméně společná pro všechny a druhá oblast je specifická dle odvětví, kultury a cílů dané organizace.

Společná oblast obsahuje:

  • sledování odpovídající legislativy a plánovaných novelizací, které nějakým způsobem regulují nakládání s daty a informacemi, které organizace produkuje anebo spravuje;
  • aktivní výzkum, vývoj a nastavení směrnic a procesů, správného a - s ohledem na možné změny v budoucnu - také defenzivního nakládání s daty a informacemi v rámci organizace s ohledem na její kulturu a cíle;
  • zodpovědnost, že daná organizace a procesy v ní probíhající splňují všechny stanovené regulatorní požadavky na správu informací a také její vlastní vnitřní pravidla a informační potřeby.

Jednoduchým příkladem problematiky spadající do společné části pracovní náplně Information Compliance manažera je např. správné nastavení politiky správy cookies [10] na webových stránkách organizace včetně prohlášení o ochraně dat, řádná registrace na ÚOOÚ (Úřad pro ochranu osobních údajů [11]), nakládání s online dotazy a poptávkami zákazníků dle platné legislativy a jejich efektivní zpřístupnění oprávněným osobám.

Příklady problematiky a z ní plynoucí náplně práce Information Compliance manažera dle specifického odvětví:

  • U silně regulovaného odvětví farmaceutických firem je klíčová správa a životní cyklus veškerých regulatorních požadavků a dokumentace potřebné k schválení daného farmaka pro prodej. Nedodržení a chyby v tomto procesu mají přímý vliv na schvalovací proces a jeho zdržení v řádu let, což může znamenat ztrátu mnoha set milionů korun.
  • Organizace provozující online sociální síť spravuje data a informace svých uživatelů, pracuje s odlišnými legislativami a jejich výklady v různých zemích, kde z povahy své služby a globálního principu sítě Internet působí - přitom ale v jejím vlastním obchodním zájmu (cíli) je maximální otevřenost a volné sdílení těchto informací mezi uživateli a také mezi potenciálními budoucími uživateli.
  • Výrobce moderních automobilů neustále a v reálném čase sbírá surová data z provozu svých výrobků v reálném prostředí. Tato data sama o sobě ještě regulovanou informací nejsou, ale mohou se jí velmi rychle stát pouhým připojením některého z osobních údajů. Navíc se také jedná o velmi cenná data pro vědu a výzkum, která mohou mít pro organizaci velmi silnou konkurenční výhodu, a je proto zapotřebí je odpovídajícím způsobem chránit.
  • V zájmu organizace, která vyvíjí a propaguje svobodný software, je maximální šíření její myšlenky a informací s ní spojených – v tom se liší od jiných organizací, v jejichž zájmu je pravý opak, tedy ochrana informací před únikem a zneužitím. I tato organizace ale musí mít jasnou koncepci práce s daty a informacemi, aby nepřekročila hranici stanovenou regulátory a zároveň aby dohlédla na dodržování svých stanovených pravidel.
  • Organizace spadající pod Zákon o svobodném přístupu k informacím [12] je dle tohoto zákona povinna dle stanovených pravidel zpřístupnit konkrétní informace žadateli. U rozsáhlých a složitých agend to nemusí být triviální úkol již jen s ohledem na samotný přístup k těmto informacím a jejich klasifikaci - např. dle stupně utajení, který tvoří výjimku v tomto zákoně.

Information Compliance manažer by měl být dále schopen pracovat s ekonomickým modelem rizik a návratností investic, které si jím nastavená opatření v organizaci vyžádají [13]. Investice přitom nemusí být jen materiálního charakteru, ale mohou být vyjádřitelné také v kapacitě pracnosti, kterou dané opatření pracovníkům zabere navíc oproti jejich běžnému pracovnímu postupu. Zejména u menších organizací, jako jsou např. knihovny, není s ohledem na dostupné zdroje možné důsledně ošetřit veškerá rizika, která zpracování informací přináší, je proto nutné správně volit řešení odpovídající kontextu a míře rizika.

Povinnosti

Primární povinností a odpovědností Information Compliance manažera je ochránit organizaci před riziky plynoucími z produkování a správy dat a informací. Information Compliance manažer za tuto oblast s ohledem na specifika organizačního řádu jednotlivých organizací plně odpovídá nejvyššímu vedení společnosti. V případě incidentu je za danou organizaci plně odpovědné její vedení, v jehož vlastním zájmu proto je, aby byla role Information Compliance manažera dobře nastavena.

K řádnému plnění primární odpovědnosti Information Compliance manažera pomáhají, kromě základního nastavení pravidel a procesů, také následující dílčí povinnosti a odpovědnosti:

  • řádně komunikovat s ostatními útvary organizace, mít dobrý přehled o jejich informačních potřebách a praktikách a zajistit pro ně vhodné podmínky pro práci s podnikovými daty a informacemi;
  • neustále sledovat legislativní vývoj s ohledem na možné změny v regulatorních požadavcích;
  • udržovat směrnice pro práci s daty a informacemi v rámci organizace aktuální a přístupné;
  • vzdělávát organizaci v oblasti regulatorního dopadu práce s daty a informacemi v rámci organizace a jejich partnerů;
  • dohlížet na řádný kontroling a prevenci při práci s daty a informacemi v rámci organizace a také u jejích klíčových partnerů;
  • mít k dispozici funkční krizový plán pro případ incidentu a jeho průběžné prověřování v simulacích [14];*poskytovat řádnou součinnost kontrolním organům.

Pracovní náplň role Information Compliance manažera je spíše kancelářské povahy a z povahy kontrolingu, kam většinou spadá, vyžaduje velkou preciznost, důslednost, komunikační a organizační dovednosti a schopnost týmové práce.

Kariéra

Role Information Compliance manažera je relativně novou profesí, která je velmi často řešena kombinací s jinou provozně-kontrolingovou rolí (např. provozní manažer, office manažer, vedoucí IT, vedoucí marketingu nebo obchodu apod.).

S růstem organizace a komplexitou regulatorních požadavků a s nimi spojených rizik však v poslední době čím dál častěji vznikají samostatné role pro tuto oblast. Kariérní dráha Information Compliance manažera proto nyní většinou vychází z přirozeného uvědomování si problému v dané organizaci a organického vývoje od kombinované role (např. část agendy asistentky marketingového ředitele) až po samostatnou roli s jasnou odpovědností a kompetencemi.

Útvary, ze kterých budoucí Information Compliance manažeři kariérně vychází, jsou často z povahy věci spojené s vnitřním kontrolingem nebo delegovány dle původní zúčastněné strany, kterou v tomto případě často bývá:

  • útvar marketingu, protože zpracovává citlivá data a informace o klientech;
  • útvar obchodu, protože podobně jako marketing zpracovává citlivá data a informace;
  • útvar IT, který spravuje infrastrukturu, pomocí které jsou data vytvářena a zpracovávána;
  • útvar provozní, který často přebírá administrativní agendu jiných útvarů.

Do budoucna se s rostoucím uvědoměním managementu firem a zkušenostmi na pracovním trhu v této oblasti dá očekávat zvýšená poptávka po specialistech na information compliance. Kariérní postup z této role nemá omezení, a díky silnému provázání správy informací na strategii organizace se proto může jednat o velmi dobrý odrazový můstek pro kariéru v nejvyšším vedení společnosti.

Průměrný plat pro tuto roli není zatím k dispozici, při jeho odhadu však lze vycházet z obdobných pracovních pozic, jakými jsou např. Compliance Manager [15], jehož medián v roce 2016 v USA činí 90,702 USD ročně nebo Regulatory Compliance Manager [16] s 79,151 USD ročně.

Vzdělání

Vzhledem k tomu, že se jedná o relativně novou pracovní roli, minimální stupeň vzdělání pro Information Compliance manažera, v závislosti na problematice a typu organizace, je ukončené středoškolské vzdělání s maturitou nebo ukončené vysokoškolské vzdělání na úrovni bakaláře. Není zde tudíž zatím takový tlak na kvalifikaci jako např. v oblasti finančního kontrolingu, tato situace se však s rostoucím uvědoměním organizací a s rostoucí dostupností kvalifikovaných pracovních sil bude rychle měnit. Preferovaný obor studia je zde právní, administrativně-ekonomický obor nebo informační studia a specializované kurzy.

Information Compliance manažeři si své znalosti průběžně doplňují na specializovaných školeních a odborných konferencích.

Vzhledem k mezinárodnímu dosahu regulatorních opatření a s nimi spojených informačních zdrojů je pro Information Compliance manažera nezbytná znalost alespoň jednoho světového jazyka, v tomto případě anglického jazyka, a to minimálně na úrovni porozumění odbornému textu.

Kurzy Information Compliance se již vyučují na řadě vysokých škol [17] [18] [19] [20] [21]a většinou zahrnují oblast ochrany dat[22], svobodu informací[23] a správu záznamů[24].

Kompetence

Požadované dovednosti Information Compliance manažera mohou být rozdělené na měkké a tvrdé dovednosti, kdy mezi klíčové měkké dovednosti patří preciznost, důslednost, analytické schopnosti, organizační schopnosti, komunikační schopnosti, práce v týmu a schopnost se dále vzdělávat a sledovat trendy. Zejména tyto měkké dovednosti mu pomáhají dobře pochopit situaci a stav organizace, navrhnout a prosadit účinná opatření a zajistit jejich dodržování.

Mezi požadované tvrdé dovednosti patří zejména znalost legislativy a regulatorních požadavků, dále pak orientace v informačních systémech a správě dat a informací.

V ideálním případě jsou pro pozici Information Compliance manažera splněny požadavky na zkušenosti s obdobnou činností u předchozího zaměstnavatele, nebo alespoň v oblasti kontrolingu, a to s danými systémy, které organizace používá nebo plánuje zavést (ECM[25], ERP[26], sociální sítě apod.).

Profesní sdružení

Oblast Information Compliance je relativně nová a nemá proto u nás zatím za sebou zázemí významných specializovaných profesních sdružení. V České republice je vzhledem k organickému rozvoji těžiště této specializace v kontrolingu[27][28].

Profesní organizace kontrolingu s okrajovým záběrem tématiky Information Compliance působící v ČR:

  • IGC (International Group of Controlling)
    Mezinárodní platforma institucí a organizací, které chápou kontroling jako základní kámen úspěšného řízení organizace. Vyvíjí, koordinuje a publikuje jednotnou koncepci kontrolingu a s ním spojené terminologie, rozvíjí profesi kontrolorů jakožto partnerů managementu a standardy pro kvalifikaci kontrolorů a manažerů. Síť IGC pokrývá patnáct zemí včetně České republiky.
    https://www.igc-controlling.org/
  • CAFIN (Česká asociace pro finanční řízení)
    Nezisková organizace, která od roku 2010 nahrazuje samostatně působící členské kluby při Controller Institutu[29] a dalších kontrolingových organizací.
    http://cafin.cz/
  • ČAT (Česká Asociace Treasury)
    Zabývá se primárně finančním kontrolingem a oblast tzv. infromation policy pokrývá jen velmi okrajově. 
    http://czechtreasury.cz/

V zahraničí již existuje řada profesních organizací, které mají k problematice information compliance velmi blízko.

  • APCC (Association of Proffessional Compliance Consultants)
    Asociace určená pro compliance konzultanty, kteří poskytují své služby firmám podléhajícím regulátorům v UK. Stanovuje mimo jiné profesní a etický standard pro své členy.
    http://www.apcc.org.uk/
  • CPSR (Computer Professionals For Social Reponsibility)
    CSPR je globální projekt propagující zodpovědné užívání počítačů a informační technologie, který působí již od roku 1981. Zabývá se výzkumem a edukací zákonodárců v řadě oblastí spojených s dopadem informačních technologií. Jeho slogan hlásá „Technology is driving the future … it is up to us to do the steering“ a tematicky je tak velmi blízká oboru information compliance, protože svou aktivitou ovlivňuje legislativní a regulatorní procesy.
    http://cpsr.org/
  • SCCE (Society of Corporate Compliance and Ethics)
    Organizace zaměřená na compliance profesionály napříč celou řadou oborů. Svým členům nabízí vzdělávání, certifikaci, networking a další odborné zdroje. Mimo jiné prosazuje svůj etický kodex práce compliance pracovníka.
    http://www.corporatecompliance.org/
  • AIIP (Association of independent information Professional)
    Asociace informačních profesionálů, vznikla r. 1987 a jejími členy jsou firmy poskytující informační služby. Obdobně jako další profesní asociace je tvůrcem etického kodexu „ Code of Ethical Business Practice“. Tématice information compliance se věnuje pouze okrajově.
    http://www.aiip.org/
  • AIIM (The Global Community of Information Professionals)
    Globální komunita informačních profesionálů. Její misí je pomáhat svým členům a jejich organizacím přežít a prosperovat v éře informačního chaosu. Na problematiku information compliance se dívá spíše z úhlu nástrojů a tzv. best practices než konkrétních regulatorních změn.
    http://www.aiim.org/
  • NSCP (The National Society of Compliance Professionals)
    Nezisková organizace věnovaná službám a podpoře compliance profesionálů v oblasti finančních služeb působící v USA a v Kanadě.
    http://www.nscp.org/


Zdroje

  1. Definice Compliance. [online]. [cit. 2016-05-08]. Dostupné z https://en.wiktionary.org/wiki/compliance
  2. Definice pojmu Control management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Control_(management)
  3. SC Magazine for IT Security Professionals. [online]. [cit. 2016-05-08]. Dostupné z http://www.scmagazineuk.com/breaking-news-eu-agrees-4-fines-for-breaching-data-protection-regulations/article/460046/
  4. Definice CRM. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Customer_relationship_management
  5. Definice cloud. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Cloud_computing
  6. Definice CIO. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Chief_information_officer
  7. EU Justice. [online]. [cit. 2016-05-08]. Dostupné z http://ec.europa.eu/justice/data-protection/
  8. EU Justice. [online]. [cit. 2016-05-08]. Dostupné z http://ec.europa.eu/justice/data-protection/reform/index_en.htm
  9. General Data Protection Regulation. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
  10. EU Information Providers Guide. [online]. [cit. 2016-05-08]. Dostupné z http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
  11. Úřad pro ochranu osobních údajů. [online]. [cit. 2016-05-08]. Dostupné z https://www.uoou.cz/
  12. Zákon o svobodném přístupu k informacím. [online]. [cit. 2016-05-08]. Dostupné z https://cs.wikipedia.org/wiki/Z%C3%A1kon_o_svobodn%C3%A9m_p%C5%99%C3%ADstupu_k_informac%C3%ADm
  13. The True Cost of Compliance. [online]. [cit. 2016-05-08]. Dostupné z http://www.ponemon.org/local/upload/file/True_Cost_of_Compliance_Report_copy.pdf
  14. Incident management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Incident_management
  15. Payscale.com - Compliance Manager, IT Security Products Salary. [online]. [cit. 2016-05-08]. Dostupné z http://www.payscale.com/research/US/Job=Compliance_Manager,_IT_Security_Products/Salary
  16. Payscale.com - Regulatory Compliance Manager Salary. [online]. [cit. 2016-05-08]. Dostupné z http://www.payscale.com/research/US/Job=Regulatory_Compliance_Manager/Salary
  17. University of Cambridge, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.information-compliance.admin.cam.ac.uk/
  18. University of Kent, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.kent.ac.uk/infocompliance/
  19. Trinity College Dublin, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z https://www.tcd.ie/info_compliance/
  20. King's College London, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://www.kcl.ac.uk/aboutkings/governance/compliance/index.aspx
  21. Oxford Brookes University, Information Compliance course. [online]. [cit. 2016-05-08]. Dostupné z http://obis.brookes.ac.uk/InfoCompliance/
  22. Data Protection Act. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Data_Protection_Act
  23. Freedom of Information. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Freedom_of_information
  24. Records Management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Records_management
  25. Enterprise Content Management. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Enterprise_content_management
  26. Enterprise Resource Planning. [online]. [cit. 2016-05-08]. Dostupné z https://en.wikipedia.org/wiki/Enterprise_resource_planning
  27. International Group of Controlling – má pobočku také v ČR. [online]. [cit. 2016-05-08]. Dostupné z https://www.igc-controlling.org/
  28. CA FIN (Česká asociace pro finanční řízení). [online]. [cit. 2016-05-08]. Dostupné z http://cafin.cz/
  29. Controller Institut. [online]. [cit. 2016-05-08]. Dostupné z http://www.controlling.cz/