12 puntos vulnerables relacionados con la protección de los activos de la empresa de TI
Como cualquier otro negocio en Rusia, el negocio de TI enfrenta una gran cantidad de riesgos internos y externos que pueden afectar sustancialmente la situación en la empresa.
Los riesgos relacionados con la pérdida de activos, la gestión operativa, la adquisición de un control corporativo y las autoridades de inspección (por ejemplo, los fiscales) son los más desagradables y peligrosos.
El sello distintivo del negocio de TI es el deseo de revelar y predecir dichos riesgos a su debido tiempo y las posibles consecuencias negativas de los mismos y tener una idea de los métodos para controlarlos.
De todos modos, los principales riesgos de las empresas de TI resultan de la relación con:
a) personas que crean intangibles - empleados y autónomos,
b) socios / propietarios de la empresa: miembros de la empresa y supervisores
c) contra agentes - clientes.
Hablemos sobre los puntos (riesgos) más vulnerables en las relaciones mencionadas y determinemos las herramientas principales para reducirlos al mínimo.
1. Manchas vulnerables al crear intangibles.
Las empresas de TI se diferencian de otras empresas, en primer lugar, por un componente intelectual: los resultados de la actividad intelectual. Los resultados de la actividad intelectual son objetos de derechos de autor: elementos de diseño, texto, gráficos, ilustraciones, video, programas informáticos, bases de datos, música, sonidos, etc.
Los resultados de la actividad intelectual pueden ser producidos tanto por empleados como por profesionales independientes, por ejemplo, bajo un contrato de trabajo personalizado o un contrato para prestar servicios / realizar trabajos.
En ambos casos, la empresa puede enfrentar las siguientes vulnerabilidades:
1. Violación de los derechos exclusivos que no pertenecen a la propiedad de terceros que producen los resultados de la actividad intelectual: los autores / titulares de los derechos resultan en una posible pérdida de dinero debido a la responsabilidad civil (reembolso de RUB 10,000 a RUB 5,000 000) o responsabilidad administrativa.
2. La empresa no tiene un derecho exclusivo sobre los resultados de la actividad intelectual, no probarlo en relación con terceros (clientes, por ejemplo).
3. usar los resultados de la actividad intelectual de los empleados / trabajadores independientes para su propio beneficio, para hacer negocios competitivos.
Se pueden tomar las siguientes medidas para reducir tales riesgos:
Las empresas de TI se diferencian de otras empresas, en primer lugar, por un componente intelectual: los resultados de la actividad intelectual. Los resultados de la actividad intelectual son objetos de derechos de autor: elementos de diseño, texto, gráficos, ilustraciones, video, programas informáticos, bases de datos, música, sonidos, etc.
Los resultados de la actividad intelectual pueden ser producidos tanto por empleados como por profesionales independientes, por ejemplo, bajo un contrato de trabajo personalizado o un contrato para prestar servicios / realizar trabajos.
En ambos casos, la empresa puede enfrentar las siguientes vulnerabilidades:
1. Violación de los derechos exclusivos que no pertenecen a la propiedad de terceros que producen los resultados de la actividad intelectual: los autores / titulares de los derechos resultan en una posible pérdida de dinero debido a la responsabilidad civil (reembolso de RUB 10,000 a RUB 5,000 000) o responsabilidad administrativa.
2. La empresa no tiene un derecho exclusivo sobre los resultados de la actividad intelectual, no probarlo en relación con terceros (clientes, por ejemplo).
3. usar los resultados de la actividad intelectual de los empleados / trabajadores independientes para su propio beneficio, para hacer negocios competitivos.
Se pueden tomar las siguientes medidas para reducir tales riesgos:
- Preparar los documentos necesarios que regulen la relación con empleados y autónomos: contratos de empleo o contratos de derecho civil, descripciones de puestos, orden en la producción de los resultados de la actividad intelectual, tareas en la producción de los resultados de la actividad intelectual, certificados de aceptación de los resultados de la intelectual Actividad y derechos exclusivos para ellos.
- para incluir las disposiciones que dicen que las obligaciones de un empleado implican la producción de los resultados de la actividad intelectual y la posesión de derechos exclusivos por parte de la empresa y el empleador en los contratos de trabajo y las descripciones de los puestos.
- para incluir las disposiciones sobre garantías y garantías relacionadas con la no violación de los derechos de terceros, la transferencia de un derecho exclusivo a un cliente por completo a los contratos de derecho civil con profesionales independientes.
- para incluir comentarios sobre la no competencia, tanto durante la colaboración con la empresa como dentro de un plazo determinado después de la finalización de la colaboración en los documentos que rigen la relación con los empleados y trabajadores independientes.
- si es posible, para preservar los derechos de propiedad de los resultados de la actividad intelectual producidos en las solicitudes de los clientes, un derecho exclusivo para una licencia. La transferencia de una licencia no exclusiva a un cliente es preferible y le da a la empresa la oportunidad de producir derivados de los resultados de la actividad intelectual.
Estas recomendaciones deben seguirse no solo con los documentos que regulan la relación con los empleados que están directamente relacionados con la producción de los resultados de la actividad intelectual (por ejemplo, programadores, diseñadores de juegos, diseñadores de personajes) sino también con aquellos que toman parte indirecta en la producción de los resultados de la actividad intelectual de sus elementos separados (por ejemplo, artistas conceptuales, productores de arte).
2. Manchas vulnerables de información confidencial y datos personales.
Los problemas relacionados con la confidencialidad de la información comercial y el procesamiento adecuado de los datos personales siguen siendo relativos y actuales para las empresas, incluido el negocio de TI.
Otro motivo para la auditoría interna es una mayor responsabilidad por la violación de la ley sobre el procesamiento de datos personales (consulte la Ley Federal al 7 de febrero de 2017 No. 13-FZ «Al introducir enmiendas al Código de Delitos Administrativos de la Federación de Rusia»). y evaluación de cualquier / no acto interno interno necesario.
Aquí se pueden determinar los siguientes puntos vulnerables:
1. la divulgación de cualquier información que sea comercialmente valiosa (información confidencial) para la empresa y terceros por parte de los empleados, que tenga consecuencias negativas como la pérdida de clientes, proyectos, tiempo, dinero y reputación.
2. Procesamiento de datos personales que violen los derechos de los sujetos de los datos personales (empleados), posible responsabilidad administrativa.
Podemos ofrecer las siguientes herramientas principales adecuadas para reducir los riesgos al mínimo:
- para incluir las disposiciones que dicen que las obligaciones de un empleado implican la producción de los resultados de la actividad intelectual y la posesión de derechos exclusivos por parte de la empresa y el empleador en los contratos de trabajo y las descripciones de los puestos.
- para incluir las disposiciones sobre garantías y garantías relacionadas con la no violación de los derechos de terceros, la transferencia de un derecho exclusivo a un cliente por completo a los contratos de derecho civil con profesionales independientes.
- para incluir comentarios sobre la no competencia, tanto durante la colaboración con la empresa como dentro de un plazo determinado después de la finalización de la colaboración en los documentos que rigen la relación con los empleados y trabajadores independientes.
- si es posible, para preservar los derechos de propiedad de los resultados de la actividad intelectual producidos en las solicitudes de los clientes, un derecho exclusivo para una licencia. La transferencia de una licencia no exclusiva a un cliente es preferible y le da a la empresa la oportunidad de producir derivados de los resultados de la actividad intelectual.
Estas recomendaciones deben seguirse no solo con los documentos que regulan la relación con los empleados que están directamente relacionados con la producción de los resultados de la actividad intelectual (por ejemplo, programadores, diseñadores de juegos, diseñadores de personajes) sino también con aquellos que toman parte indirecta en la producción de los resultados de la actividad intelectual de sus elementos separados (por ejemplo, artistas conceptuales, productores de arte).
2. Manchas vulnerables de información confidencial y datos personales.
Los problemas relacionados con la confidencialidad de la información comercial y el procesamiento adecuado de los datos personales siguen siendo relativos y actuales para las empresas, incluido el negocio de TI.
Otro motivo para la auditoría interna es una mayor responsabilidad por la violación de la ley sobre el procesamiento de datos personales (consulte la Ley Federal al 7 de febrero de 2017 No. 13-FZ «Al introducir enmiendas al Código de Delitos Administrativos de la Federación de Rusia»). y evaluación de cualquier / no acto interno interno necesario.
Aquí se pueden determinar los siguientes puntos vulnerables:
1. la divulgación de cualquier información que sea comercialmente valiosa (información confidencial) para la empresa y terceros por parte de los empleados, que tenga consecuencias negativas como la pérdida de clientes, proyectos, tiempo, dinero y reputación.
2. Procesamiento de datos personales que violen los derechos de los sujetos de los datos personales (empleados), posible responsabilidad administrativa.
Podemos ofrecer las siguientes herramientas principales adecuadas para reducir los riesgos al mínimo:
- para incluir los términos sobre la no divulgación de la información confidencial del empleador / cliente en los contratos de empleo y / o derecho civil con las personas involucradas para el cumplimiento de las obligaciones en virtud del contrato;
- desarrollar y adoptar reglas internas que rijan el trabajo con información confidencial, con el fin de garantizar su seguridad, aumentar su nivel de protección y reducir las consecuencias de posibles casos de acceso no autorizado al mismo;
- preparar y pedir a los empleados que den un consentimiento por escrito para el procesamiento de sus datos personales que indiquen el contenido de estos datos, los propósitos y los métodos de procesamiento, los métodos de almacenamiento y protección, la posibilidad de divulgación a terceros;
- desarrollar y adoptar una disposición sobre el procesamiento de datos personales con el fin de garantizar la seguridad del procesamiento de datos personales de los empleados de la Compañía y sus agentes contrarios, y establecer la responsabilidad de las personas autorizadas que tienen acceso a los datos personales por incumplimiento de los requisitos de las disposiciones que rigen el personal. Procesamiento y protección de datos.
Además del desarrollo y la adopción de leyes locales locales, es necesario encargarse de identificar a las personas que tienen acceso a información confidencial y responsables de la seguridad de la información confidencial y del procesamiento adecuado de los datos personales, así como del software y los medios de protección técnica.
3. Manchas vulnerables cuando se trabaja con socios.
La mayoría de los riesgos corporativos resultan de un comportamiento deshonesto de los miembros de la compañía y / o su líder. Un conflicto corporativo puede llevar a una toma de posesión ilegal de la administración con el propósito de obtener los activos más valiosos de la compañía, la reputación comercial, etc. El comportamiento intercompañía no regulado entre sus miembros puede llevar a una interferencia imperativa del gobierno a través de la aplicación de reglas comunes de conducta, y abuso de derechos por parte de los propios miembros, el líder de la empresa y terceros (acreedores, inversores, etc.).
Existen los siguientes puntos vulnerables posibles en la relación corporativa:
1. abuso de los derechos corporativos por parte de algunos miembros (por ejemplo, mediante chantaje corporativo, bloqueo de acuerdos, evitando participar en reuniones, etc.);
2. director incontrolable y "malo" (por ejemplo, retiro de activos, distorsión de estados financieros, divulgación de información confidencial, etc.);
3. el trabajo de un supervisor y el suyo bloqueando las decisiones de los accionistas minoritarios, tomando decisiones no favorables para la empresa y para otros participantes de las decisiones;
4. un conflicto de intereses entre los miembros / socios de la Compañía;
5. adquisiciones legales e ilegales (por ejemplo, por la fuerza) de la administración y retiro / control de los activos más valiosos.
- desarrollar y adoptar reglas internas que rijan el trabajo con información confidencial, con el fin de garantizar su seguridad, aumentar su nivel de protección y reducir las consecuencias de posibles casos de acceso no autorizado al mismo;
- preparar y pedir a los empleados que den un consentimiento por escrito para el procesamiento de sus datos personales que indiquen el contenido de estos datos, los propósitos y los métodos de procesamiento, los métodos de almacenamiento y protección, la posibilidad de divulgación a terceros;
- desarrollar y adoptar una disposición sobre el procesamiento de datos personales con el fin de garantizar la seguridad del procesamiento de datos personales de los empleados de la Compañía y sus agentes contrarios, y establecer la responsabilidad de las personas autorizadas que tienen acceso a los datos personales por incumplimiento de los requisitos de las disposiciones que rigen el personal. Procesamiento y protección de datos.
Además del desarrollo y la adopción de leyes locales locales, es necesario encargarse de identificar a las personas que tienen acceso a información confidencial y responsables de la seguridad de la información confidencial y del procesamiento adecuado de los datos personales, así como del software y los medios de protección técnica.
3. Manchas vulnerables cuando se trabaja con socios.
La mayoría de los riesgos corporativos resultan de un comportamiento deshonesto de los miembros de la compañía y / o su líder. Un conflicto corporativo puede llevar a una toma de posesión ilegal de la administración con el propósito de obtener los activos más valiosos de la compañía, la reputación comercial, etc. El comportamiento intercompañía no regulado entre sus miembros puede llevar a una interferencia imperativa del gobierno a través de la aplicación de reglas comunes de conducta, y abuso de derechos por parte de los propios miembros, el líder de la empresa y terceros (acreedores, inversores, etc.).
Existen los siguientes puntos vulnerables posibles en la relación corporativa:
1. abuso de los derechos corporativos por parte de algunos miembros (por ejemplo, mediante chantaje corporativo, bloqueo de acuerdos, evitando participar en reuniones, etc.);
2. director incontrolable y "malo" (por ejemplo, retiro de activos, distorsión de estados financieros, divulgación de información confidencial, etc.);
3. el trabajo de un supervisor y el suyo bloqueando las decisiones de los accionistas minoritarios, tomando decisiones no favorables para la empresa y para otros participantes de las decisiones;
4. un conflicto de intereses entre los miembros / socios de la Compañía;
5. adquisiciones legales e ilegales (por ejemplo, por la fuerza) de la administración y retiro / control de los activos más valiosos.
Un miembro o un grupo de miembros puede obtener un control real de la administración de la compañía, incluso a través de la financiación directa / indirecta de la compañía por parte de esta persona, la enajenación de una acción, una parte de la acción y / o la propiedad de la compañía, la transferencia de una parte y / o propiedad de la empresa para esta persona como garantía o por otro motivo, herencia, recepción y ejercicio de los derechos sobre la opción.
Esto puede contribuir a la dilución de las acciones en una empresa o al establecimiento de un supervisor o un grupo de supervisores.
Este último está relacionado con el riesgo de que terceras personas reconozcan que estos sujetos controlan con la imposición de riesgos asociados con la responsabilidad subsidiaria por las obligaciones de la Compañía. Cabe señalar que el uso de servicios off-shore no hará la vida mucho más fácil, especialmente debido a la Ley recientemente adoptada sobre compañías extranjeras controladas (consulte la Ley Federal del 24 de noviembre de 2014 No. 376-FZ).
Los riesgos mencionados anteriormente pueden reducirse con los siguientes medios:
- una detallada separación de competencias de los órganos de gestión en la Carta,
- establecimiento del consejo de administración,
- la conclusión de un acuerdo corporativo entre los miembros con esferas de influencia separadoras que restringen la competencia,
- asambleas generales regulares,
- auditoría interna ocasional de estados financieros e informes,
- Inspección exhaustiva de los contraagentes, evitando la cooperación con empresas efímeras,
- introducción de restricciones para la enajenación, la herencia, el empeño de acciones y la propiedad de la compañía.
Una separación detallada de la competencia de los órganos de gestión, el establecimiento de un órgano de supervisión con la máxima competencia (Consejo de Administración), la introducción de restricciones y prohibiciones de ingreso a la empresa, la disposición de acciones, la creación de grandes acuerdos, la participación de los herederos / sucesores en el proceso de gestión. Reducirá sustancialmente el efecto negativo y los riesgos para la empresa en caso de un conflicto corporativo.
4. Manchas vulnerables cuando se trabaja con contraagentes.
En servicios, como regla general, los principales obstáculos se asocian con la aceptación de un resultado y el pago por el servicio prestado y el trabajo realizado. La negativa total o parcial del cliente a un resultado y / o pago puede considerarse como una vulnerabilidad para un contratista.
¿Qué debe hacer un contratista para reducir los riesgos y acelerar la solución de conflictos con un cliente?
Podemos recomendarte lo siguiente:
- Mostrar y negociar con un cliente los resultados intermedios del trabajo.
- mencionar las acciones tomadas, los gastos ocurridos, las personas involucradas en la ejecución de las obras y sus acciones tanto en los informes como en la correspondencia con un cliente,
- para mencionar la evaluación de la calidad de los trabajos realizados, los criterios de evaluación en correspondencia con un cliente, indique que, en caso de que no haya información que especifique lo contrario, los resultados de la evaluación se considerarán correctos, válidos, completos y consistentes.
Dado que en las opciones propuestas mencionamos la correspondencia, sería mejor que la correspondencia electrónica con un cliente entre en vigor, especificando esto en el contrato que indique las direcciones de correo electrónico específicas y las personas de contacto de un contratista y un cliente.
Las opciones mencionadas hacen que sea obvio que un contratista que sea un profesional en su campo de servicios tomará una posición activa en relación con un cliente. La creación de evidencia secundaria adicional del desempeño de calidad de las obras / provisión de servicios y los intentos suficientes de comunicarse con el cliente puede convertirse en un efecto positivo adicional.
Todas estas medidas no solo pueden acelerar la aceptación de los trabajos realizados, sino también compensar las quejas de los clientes artificiales sobre la calidad de los trabajos realizados, pero también mostrarán y reflejarán la imagen de un contratista diligente en la relación con un cliente. Esto será definitivamente útil en caso de disputas judiciales con un cliente.
Esperamos que la lista de verificación mencionada anteriormente sea útil no solo para desarrollar una estrategia para reducir las consecuencias desfavorables existentes o anticipadas, sino también para administrar los riesgos de manera razonable en el corto a mediano plazo.
Cabe señalar que las herramientas que se ofrecen no son píldoras mágicas y su eficiencia depende directamente de la introducción oportuna y compleja de las mismas en la práctica comercial regular de una empresa.
30 de octubre de 2018
David G.
Esto puede contribuir a la dilución de las acciones en una empresa o al establecimiento de un supervisor o un grupo de supervisores.
Este último está relacionado con el riesgo de que terceras personas reconozcan que estos sujetos controlan con la imposición de riesgos asociados con la responsabilidad subsidiaria por las obligaciones de la Compañía. Cabe señalar que el uso de servicios off-shore no hará la vida mucho más fácil, especialmente debido a la Ley recientemente adoptada sobre compañías extranjeras controladas (consulte la Ley Federal del 24 de noviembre de 2014 No. 376-FZ).
Los riesgos mencionados anteriormente pueden reducirse con los siguientes medios:
- una detallada separación de competencias de los órganos de gestión en la Carta,
- establecimiento del consejo de administración,
- la conclusión de un acuerdo corporativo entre los miembros con esferas de influencia separadoras que restringen la competencia,
- asambleas generales regulares,
- auditoría interna ocasional de estados financieros e informes,
- Inspección exhaustiva de los contraagentes, evitando la cooperación con empresas efímeras,
- introducción de restricciones para la enajenación, la herencia, el empeño de acciones y la propiedad de la compañía.
Una separación detallada de la competencia de los órganos de gestión, el establecimiento de un órgano de supervisión con la máxima competencia (Consejo de Administración), la introducción de restricciones y prohibiciones de ingreso a la empresa, la disposición de acciones, la creación de grandes acuerdos, la participación de los herederos / sucesores en el proceso de gestión. Reducirá sustancialmente el efecto negativo y los riesgos para la empresa en caso de un conflicto corporativo.
4. Manchas vulnerables cuando se trabaja con contraagentes.
En servicios, como regla general, los principales obstáculos se asocian con la aceptación de un resultado y el pago por el servicio prestado y el trabajo realizado. La negativa total o parcial del cliente a un resultado y / o pago puede considerarse como una vulnerabilidad para un contratista.
¿Qué debe hacer un contratista para reducir los riesgos y acelerar la solución de conflictos con un cliente?
Podemos recomendarte lo siguiente:
- Mostrar y negociar con un cliente los resultados intermedios del trabajo.
- mencionar las acciones tomadas, los gastos ocurridos, las personas involucradas en la ejecución de las obras y sus acciones tanto en los informes como en la correspondencia con un cliente,
- para mencionar la evaluación de la calidad de los trabajos realizados, los criterios de evaluación en correspondencia con un cliente, indique que, en caso de que no haya información que especifique lo contrario, los resultados de la evaluación se considerarán correctos, válidos, completos y consistentes.
Dado que en las opciones propuestas mencionamos la correspondencia, sería mejor que la correspondencia electrónica con un cliente entre en vigor, especificando esto en el contrato que indique las direcciones de correo electrónico específicas y las personas de contacto de un contratista y un cliente.
Las opciones mencionadas hacen que sea obvio que un contratista que sea un profesional en su campo de servicios tomará una posición activa en relación con un cliente. La creación de evidencia secundaria adicional del desempeño de calidad de las obras / provisión de servicios y los intentos suficientes de comunicarse con el cliente puede convertirse en un efecto positivo adicional.
Todas estas medidas no solo pueden acelerar la aceptación de los trabajos realizados, sino también compensar las quejas de los clientes artificiales sobre la calidad de los trabajos realizados, pero también mostrarán y reflejarán la imagen de un contratista diligente en la relación con un cliente. Esto será definitivamente útil en caso de disputas judiciales con un cliente.
Esperamos que la lista de verificación mencionada anteriormente sea útil no solo para desarrollar una estrategia para reducir las consecuencias desfavorables existentes o anticipadas, sino también para administrar los riesgos de manera razonable en el corto a mediano plazo.
Cabe señalar que las herramientas que se ofrecen no son píldoras mágicas y su eficiencia depende directamente de la introducción oportuna y compleja de las mismas en la práctica comercial regular de una empresa.
30 de octubre de 2018
David G.
