12 punti vulnerabili per quanto riguarda la protezione dei beni aziendali IT
Come qualsiasi altra attività in Russia, l'IT business deve affrontare molti rischi interni ed esterni che possono influenzare in modo sostanziale la situazione dell'azienda.
I rischi relativi alla perdita di beni, gestione operativa, acquisizione di un controllo aziendale e alle autorità di controllo (ad esempio, quelli fiscali) sono i più sgradevoli e pericolosi.
Il segno distintivo del business IT è il desiderio di rivelare e prevedere tali rischi a tempo debito e le possibili conseguenze negative e di avere un'idea dei metodi per controllarli.
Ad ogni modo, i principali rischi delle aziende IT derivano dal rapporto con:
a) persone che creano beni immateriali: dipendenti e liberi professionisti,
b) partner / proprietari dell'azienda - i membri e i supervisori dell'azienda
c) agenti di controparte - clienti.
Parliamo dei punti più vulnerabili (rischi) nelle relazioni sopra menzionate e determiniamo gli strumenti principali per ridurli al minimo.
1. Macchie vulnerabili durante la creazione di beni immateriali.
I rischi relativi alla perdita di beni, gestione operativa, acquisizione di un controllo aziendale e alle autorità di controllo (ad esempio, quelli fiscali) sono i più sgradevoli e pericolosi.
Il segno distintivo del business IT è il desiderio di rivelare e prevedere tali rischi a tempo debito e le possibili conseguenze negative e di avere un'idea dei metodi per controllarli.
Ad ogni modo, i principali rischi delle aziende IT derivano dal rapporto con:
a) persone che creano beni immateriali: dipendenti e liberi professionisti,
b) partner / proprietari dell'azienda - i membri e i supervisori dell'azienda
c) agenti di controparte - clienti.
Parliamo dei punti più vulnerabili (rischi) nelle relazioni sopra menzionate e determiniamo gli strumenti principali per ridurli al minimo.
1. Macchie vulnerabili durante la creazione di beni immateriali.
Le aziende IT differiscono dalle altre aziende, in primo luogo da una componente intellettuale - i risultati dell'attività intellettuale. I risultati dell'attività intellettuale sono oggetti del diritto d'autore - elementi di design, testo, grafica, illustrazioni, video, programmi per computer, database, musica, suoni, ecc.
I risultati dell'attività intellettuale possono essere prodotti sia da dipendenti che da liberi professionisti, ad esempio, in base a un contratto di lavoro personalizzato o un contratto per il rendering di servizi / eseguire lavori.
In entrambi i casi l'azienda può affrontare le seguenti vulnerabilità:
1. violazione di diritti esclusivi non di proprietà di terzi che producono i risultati di attività intellettuali - autori / titolari di diritti con conseguente possibile perdita di denaro a causa di responsabilità civile (rimborso da 10.000 RUB a 5.000.000 di RUB) o responsabilità amministrativa.
2. la società non ha un diritto esclusivo per i risultati dell'attività intellettuale, mancata dimostrazione nei rapporti con terzi (clienti, ad esempio).
3. utilizzare i risultati dell'attività intellettuale degli impiegati / liberi professionisti a proprio vantaggio, per fare affari competitivi.
Le seguenti misure possono essere adottate per ridurre tali rischi:
I risultati dell'attività intellettuale possono essere prodotti sia da dipendenti che da liberi professionisti, ad esempio, in base a un contratto di lavoro personalizzato o un contratto per il rendering di servizi / eseguire lavori.
In entrambi i casi l'azienda può affrontare le seguenti vulnerabilità:
1. violazione di diritti esclusivi non di proprietà di terzi che producono i risultati di attività intellettuali - autori / titolari di diritti con conseguente possibile perdita di denaro a causa di responsabilità civile (rimborso da 10.000 RUB a 5.000.000 di RUB) o responsabilità amministrativa.
2. la società non ha un diritto esclusivo per i risultati dell'attività intellettuale, mancata dimostrazione nei rapporti con terzi (clienti, ad esempio).
3. utilizzare i risultati dell'attività intellettuale degli impiegati / liberi professionisti a proprio vantaggio, per fare affari competitivi.
Le seguenti misure possono essere adottate per ridurre tali rischi:
- preparare i documenti necessari che regolano il rapporto con dipendenti e liberi professionisti: contratti di lavoro o contratti di diritto civile, descrizione del lavoro, ordine sulla produzione dei risultati dell'attività intellettuale, compiti sulla produzione dei risultati dell'attività intellettuale, certificati di accettazione dei risultati di attività e diritti esclusivi per loro.
- includere le disposizioni in cui si afferma che gli obblighi di un dipendente implicano la produzione dei risultati dell'attività intellettuale e il possesso da parte dell'impresa-datore di lavoro di diritti esclusivi nei contratti di lavoro e nelle descrizioni delle mansioni.
- includere le disposizioni sulle garanzie e le assicurazioni relative alla non violazione dei diritti di terzi, il trasferimento di un diritto esclusivo al cliente in pieno nei contratti di diritto civile con i liberi professionisti.
- includere commenti sulla non concorrenza sia durante la collaborazione con l'azienda che entro un certo termine dopo la cessazione della collaborazione nei documenti che regolano il rapporto con dipendenti e liberi professionisti.
- se possibile, conservare i diritti di proprietà per i risultati dell'attività intellettuale prodotta sulle richieste dei clienti - un diritto esclusivo per una licenza. Il trasferimento di una licenza non esclusiva a un cliente è preferibile e offre a un'azienda l'opportunità di produrre derivati dei risultati dell'attività intellettuale.
Queste raccomandazioni dovrebbero essere seguite non solo con i documenti che regolano la relazione con i dipendenti che sono direttamente correlati alla produzione dei risultati dell'attività intellettuale (ad esempio, programmatori, game designer, disegnatori di caratteri) ma anche con coloro che prendono una parte indiretta nella produzione di i risultati dell'attività intellettuale dei loro elementi separati (ad esempio, artisti concettuali, produttori d'arte).
2. Macchie vulnerabili riguardanti informazioni riservate e dati personali
I problemi relativi alla conservazione delle informazioni commerciali riservate e al corretto trattamento dei dati personali rimangono di competenza relativa e di attualità per le attività commerciali, incluso il settore IT.
Una maggiore responsabilità per la violazione della legge sul trattamento dei dati personali (vedi la legge federale del 7 febbraio 2017 n. 13-FZ «Sull'introduzione di modifiche al Codice degli illeciti amministrativi della Federazione Russa») è un altro motivo per la revisione interna e valutazione di eventuali / non necessari atti locali interni.
Qui possono essere determinati i seguenti punti vulnerabili:
1. la divulgazione di informazioni di valore commerciale (informazioni riservate) per la società e terze persone da parte dei dipendenti con conseguenze negative come perdita di clienti, progetti, tempo, denaro e reputazione.
2. trattamento di dati personali che violano i diritti dei soggetti dei dati personali (dipendenti), eventuali responsabilità amministrative.
Siamo in grado di offrire i seguenti strumenti appropriati per ridurre al minimo i rischi:
- includere le disposizioni in cui si afferma che gli obblighi di un dipendente implicano la produzione dei risultati dell'attività intellettuale e il possesso da parte dell'impresa-datore di lavoro di diritti esclusivi nei contratti di lavoro e nelle descrizioni delle mansioni.
- includere le disposizioni sulle garanzie e le assicurazioni relative alla non violazione dei diritti di terzi, il trasferimento di un diritto esclusivo al cliente in pieno nei contratti di diritto civile con i liberi professionisti.
- includere commenti sulla non concorrenza sia durante la collaborazione con l'azienda che entro un certo termine dopo la cessazione della collaborazione nei documenti che regolano il rapporto con dipendenti e liberi professionisti.
- se possibile, conservare i diritti di proprietà per i risultati dell'attività intellettuale prodotta sulle richieste dei clienti - un diritto esclusivo per una licenza. Il trasferimento di una licenza non esclusiva a un cliente è preferibile e offre a un'azienda l'opportunità di produrre derivati dei risultati dell'attività intellettuale.
Queste raccomandazioni dovrebbero essere seguite non solo con i documenti che regolano la relazione con i dipendenti che sono direttamente correlati alla produzione dei risultati dell'attività intellettuale (ad esempio, programmatori, game designer, disegnatori di caratteri) ma anche con coloro che prendono una parte indiretta nella produzione di i risultati dell'attività intellettuale dei loro elementi separati (ad esempio, artisti concettuali, produttori d'arte).
2. Macchie vulnerabili riguardanti informazioni riservate e dati personali
I problemi relativi alla conservazione delle informazioni commerciali riservate e al corretto trattamento dei dati personali rimangono di competenza relativa e di attualità per le attività commerciali, incluso il settore IT.
Una maggiore responsabilità per la violazione della legge sul trattamento dei dati personali (vedi la legge federale del 7 febbraio 2017 n. 13-FZ «Sull'introduzione di modifiche al Codice degli illeciti amministrativi della Federazione Russa») è un altro motivo per la revisione interna e valutazione di eventuali / non necessari atti locali interni.
Qui possono essere determinati i seguenti punti vulnerabili:
1. la divulgazione di informazioni di valore commerciale (informazioni riservate) per la società e terze persone da parte dei dipendenti con conseguenze negative come perdita di clienti, progetti, tempo, denaro e reputazione.
2. trattamento di dati personali che violano i diritti dei soggetti dei dati personali (dipendenti), eventuali responsabilità amministrative.
Siamo in grado di offrire i seguenti strumenti appropriati per ridurre al minimo i rischi:
- includere i termini sulla mancata divulgazione delle informazioni riservate del datore di lavoro / cliente nei contratti di lavoro e / o di diritto civile con le persone coinvolte per l'adempimento degli obblighi previsti dal contratto;
- sviluppare e adottare norme interne che disciplinino il lavoro con informazioni riservate, allo scopo di garantirne la sicurezza, aumentarne il livello di protezione e ridurre le conseguenze di eventuali casi di accesso non autorizzato ad esso;
- preparare e chiedere ai dipendenti di dare un consenso scritto per il trattamento dei propri dati personali indicando il contenuto di tali dati, finalità e modalità di trattamento, metodi di archiviazione e protezione, possibilità di comunicazione a terzi;
- sviluppare e adottare una disposizione sull'elaborazione dei dati personali al fine di garantire la sicurezza dei dati personali dei dipendenti della Società e dei suoi agenti di contrasto e stabilire la responsabilità delle persone autorizzate che hanno accesso ai dati personali per non aver rispettato i requisiti delle disposizioni che disciplinano i elaborazione e protezione dei dati.
Oltre allo sviluppo e all'adozione di atti locali interni, è necessario curare l'identificazione delle persone che hanno accesso alle informazioni riservate e responsabili della sicurezza delle informazioni riservate e del corretto trattamento dei dati personali, nonché dei mezzi software e di protezione tecnica.
3. Punti vulnerabili quando si lavora con i partner
La maggior parte dei rischi aziendali deriva da un comportamento disonesto dei membri della società e / o del suo leader. Un conflitto aziendale può portare a un'acquisizione illegale della gestione allo scopo di ottenere il patrimonio più prezioso della società, la reputazione aziendale, ecc. Il comportamento intercompany non regolamentato tra i suoi membri può portare a un'interferenza imperativa del governo attraverso l'applicazione di regole comuni di condotta, e abuso di diritti da parte degli stessi membri, leader della società e terze persone (creditori, investitori, ecc.).
Ci sono i seguenti possibili punti vulnerabili nella relazione aziendale:
- sviluppare e adottare norme interne che disciplinino il lavoro con informazioni riservate, allo scopo di garantirne la sicurezza, aumentarne il livello di protezione e ridurre le conseguenze di eventuali casi di accesso non autorizzato ad esso;
- preparare e chiedere ai dipendenti di dare un consenso scritto per il trattamento dei propri dati personali indicando il contenuto di tali dati, finalità e modalità di trattamento, metodi di archiviazione e protezione, possibilità di comunicazione a terzi;
- sviluppare e adottare una disposizione sull'elaborazione dei dati personali al fine di garantire la sicurezza dei dati personali dei dipendenti della Società e dei suoi agenti di contrasto e stabilire la responsabilità delle persone autorizzate che hanno accesso ai dati personali per non aver rispettato i requisiti delle disposizioni che disciplinano i elaborazione e protezione dei dati.
Oltre allo sviluppo e all'adozione di atti locali interni, è necessario curare l'identificazione delle persone che hanno accesso alle informazioni riservate e responsabili della sicurezza delle informazioni riservate e del corretto trattamento dei dati personali, nonché dei mezzi software e di protezione tecnica.
3. Punti vulnerabili quando si lavora con i partner
La maggior parte dei rischi aziendali deriva da un comportamento disonesto dei membri della società e / o del suo leader. Un conflitto aziendale può portare a un'acquisizione illegale della gestione allo scopo di ottenere il patrimonio più prezioso della società, la reputazione aziendale, ecc. Il comportamento intercompany non regolamentato tra i suoi membri può portare a un'interferenza imperativa del governo attraverso l'applicazione di regole comuni di condotta, e abuso di diritti da parte degli stessi membri, leader della società e terze persone (creditori, investitori, ecc.).
Ci sono i seguenti possibili punti vulnerabili nella relazione aziendale:
1. abuso di diritti societari da parte di alcuni membri (ad esempio, attraverso il ricatto aziendale, blocco di accordi, evitando di partecipare a riunioni, ecc.);
2. direttore incontrollabile e "cattivo" (ad esempio, ritiro di attività, distorsione di bilancio, divulgazione di informazioni riservate, ecc.);
3. il lavoro di un supervisore e il suo blocco delle decisioni degli azionisti di minoranza, che prendono decisioni non favorevoli per la società e per gli altri partecipanti alle decisioni;
4. un conflitto di interessi tra membri / partner della Società;
5. legale e illegale (ad esempio, con la forza) acquisizioni di gestione e ritiro / controllo dei beni più preziosi.
Un membro o un gruppo di membri può ottenere un effettivo controllo della gestione della società anche attraverso il finanziamento diretto / indiretto della società da parte di questa persona, l'alienazione di una quota, una parte di una quota e / o la proprietà della società a lui, il trasferimento di una quota e / o proprietà della società a questa persona come garanzia o per altri motivi, eredità, ricezione ed esercizio di diritti sull'opzione.
Ciò può contribuire alla diluizione delle azioni di una società o alla costituzione di un supervisore o di un gruppo di supervisori.
Quest'ultimo è collegato al rischio che terzi possano riconoscere che tali soggetti sono controllati con l'impostura dei rischi associati alla responsabilità sussidiaria per gli obblighi della Società. Va notato che l'uso delle rive non renderà la vita molto più facile, soprattutto a causa della nuova legge sulle società straniere controllate (vedi la legge federale del 24 novembre 2014 n. 376-FZ).
I rischi sopra menzionati possono essere ridotti con i seguenti mezzi:
2. direttore incontrollabile e "cattivo" (ad esempio, ritiro di attività, distorsione di bilancio, divulgazione di informazioni riservate, ecc.);
3. il lavoro di un supervisore e il suo blocco delle decisioni degli azionisti di minoranza, che prendono decisioni non favorevoli per la società e per gli altri partecipanti alle decisioni;
4. un conflitto di interessi tra membri / partner della Società;
5. legale e illegale (ad esempio, con la forza) acquisizioni di gestione e ritiro / controllo dei beni più preziosi.
Un membro o un gruppo di membri può ottenere un effettivo controllo della gestione della società anche attraverso il finanziamento diretto / indiretto della società da parte di questa persona, l'alienazione di una quota, una parte di una quota e / o la proprietà della società a lui, il trasferimento di una quota e / o proprietà della società a questa persona come garanzia o per altri motivi, eredità, ricezione ed esercizio di diritti sull'opzione.
Ciò può contribuire alla diluizione delle azioni di una società o alla costituzione di un supervisore o di un gruppo di supervisori.
Quest'ultimo è collegato al rischio che terzi possano riconoscere che tali soggetti sono controllati con l'impostura dei rischi associati alla responsabilità sussidiaria per gli obblighi della Società. Va notato che l'uso delle rive non renderà la vita molto più facile, soprattutto a causa della nuova legge sulle società straniere controllate (vedi la legge federale del 24 novembre 2014 n. 376-FZ).
I rischi sopra menzionati possono essere ridotti con i seguenti mezzi:
- a detailed separation of competence of managing bodies in the Charter,
- establishment of the board of directors,
- conclusion of a corporate agreement between the members with separating spheres of influence restricting competition,
- regular general meetings,
- occasional inside audit of financial statements and reports,
- comprehensive inspection of counteragents, avoiding cooperation with ephemeral firms,
- introduction of restrictions for alienation, inheritance, pawning of shares and the company’s property.
A detailed separation of competence of managing bodies, establishment of a supervising body with maximal competence (Board of directors), introduction of restrictions and bans on entering the company, disposal of shares, making of big deals, participation of heirs/successors in management process will substantially reduce negative effect and risks for the company in case of a corporate conflict.
4. Vulnerable spots when working with counteragents
In services, as a rule, the main stumbling blocks are associated with the acceptance of a result and payment for serviced rendered and worked performed. Full or partial refusal of the client from a result and/or payment can be considered as a vulnerability for a contractor.
What should a contractor do to reduce risks and speed settlement of disputes with a client?
We can recommend you the following:
- to show and negotiate with a customer intermediate results of work,
- to mention the actions taken, expenses occurred, persons involved into performance of works and their actions both in reports and in correspondence with a customer,
- to mention quality assessment of works performed, criteria of assessment in correspondence with a customer, state that in case if there is no information specifying otherwise the results of the assessment shall be deemed correct, valid, full and consistent.
Given that in the options proposed we mention correspondence it would be better to bring electronic correspondence with a client into force specifying this in the contract indicating specific e-mail addresses and contact persons of a contractor and a customer.
The options mentioned make it obvious that a contractor being a professional in his field of services shall take an active position in relationship with a customer. The creation of additional secondary evidence of quality performance of works/provision of services and sufficient attempts made to get through to the client can become an additional positive effect.
All these measures cannot only speed acceptance of the works performed but offset artificial customer’s complaints on quality of the works performed, but they will also show and reflect an image of a diligent contractor in the relationship with a client. This will be definitely useful in case of judicial disputes with a client.
We hope the check-list mentioned above will be useful not only to develop a strategy to reduce existing or anticipated unfavorable consequences but also to manage risks reasonably in the short-to-medium term.
It should be noted the tools offered are not magical pills and their efficiency directly depends on timely complex introduction thereof into a regular business practice of a company.
October 30, 2018
David G.
- establishment of the board of directors,
- conclusion of a corporate agreement between the members with separating spheres of influence restricting competition,
- regular general meetings,
- occasional inside audit of financial statements and reports,
- comprehensive inspection of counteragents, avoiding cooperation with ephemeral firms,
- introduction of restrictions for alienation, inheritance, pawning of shares and the company’s property.
A detailed separation of competence of managing bodies, establishment of a supervising body with maximal competence (Board of directors), introduction of restrictions and bans on entering the company, disposal of shares, making of big deals, participation of heirs/successors in management process will substantially reduce negative effect and risks for the company in case of a corporate conflict.
4. Vulnerable spots when working with counteragents
In services, as a rule, the main stumbling blocks are associated with the acceptance of a result and payment for serviced rendered and worked performed. Full or partial refusal of the client from a result and/or payment can be considered as a vulnerability for a contractor.
What should a contractor do to reduce risks and speed settlement of disputes with a client?
We can recommend you the following:
- to show and negotiate with a customer intermediate results of work,
- to mention the actions taken, expenses occurred, persons involved into performance of works and their actions both in reports and in correspondence with a customer,
- to mention quality assessment of works performed, criteria of assessment in correspondence with a customer, state that in case if there is no information specifying otherwise the results of the assessment shall be deemed correct, valid, full and consistent.
Given that in the options proposed we mention correspondence it would be better to bring electronic correspondence with a client into force specifying this in the contract indicating specific e-mail addresses and contact persons of a contractor and a customer.
The options mentioned make it obvious that a contractor being a professional in his field of services shall take an active position in relationship with a customer. The creation of additional secondary evidence of quality performance of works/provision of services and sufficient attempts made to get through to the client can become an additional positive effect.
All these measures cannot only speed acceptance of the works performed but offset artificial customer’s complaints on quality of the works performed, but they will also show and reflect an image of a diligent contractor in the relationship with a client. This will be definitely useful in case of judicial disputes with a client.
We hope the check-list mentioned above will be useful not only to develop a strategy to reduce existing or anticipated unfavorable consequences but also to manage risks reasonably in the short-to-medium term.
It should be noted the tools offered are not magical pills and their efficiency directly depends on timely complex introduction thereof into a regular business practice of a company.
October 30, 2018
David G.
