CA TALK

V úterý 17. května se v T-Mobile Magenta Experience Center uskutečnila další panelová diskuze z naší série CA Forum.

Tématem diskuze tentokrát bylo „ESG a compliance“ a v diskuzním panelu usedli:
– Kateřina Bohuslavová, Chief Sustainability Officer (ČEZ)
– Petr Jonák, Head of Corporate Affairs & Sustainability (T-Mobile Czech Republic)
– René Neděla, Náměstek ministra v sekci energetiky, Ministerstvo průmyslu a obchodu České republiky
– Filip Zelingr, Chief Audit, Risk, Ethics & Compliance Officer, Letiště Praha

Po úvodních prezentacích moderátora Jana Indry a Petra Jonáka naši panelisté probrali řadu zajímavých otázek a aspektů problematiky ESG, která se v posledních 2 letech stále výrazněji prosazuje ve veřejném prostoru, fungování firem, ale především také v rozhodnutích investičních fondů i finančních institucí.

Je ESG pouhý buzzword nebo skutečná příležitost?

Jak banky přistupují k hodnocení společností v oblasti ESG?

Je potřeba v ČR v roce 2022 jasně deklarovat zákaz využívání dětské práce?

Jak se do aktivit v oblasti ESG promítá jejich komunikace vůči veřejnosti, stakeholderům i ratingovým organizacím?

Na kolik kliknutí musí být na webu organizace dostupné všechny klíčové informace?

Existuje pnutí mezi „E“, „S“ a „G“? Upřednostňujeme nebo naopak upozaďujeme některý z pilířů na úkor jiného?

Jak se hodnotí udržitelnost v energetice? Uchylujeme se i zde k selektivnímu myšlení, kdy preferujeme samotný typ zdroje energie bez dostatečného přihlédnutí k jeho dostupnosti a ekologickým nákladům s ní spojenými?

Jakou roli v ESG zaujímá governance a compliance? Zajímá nakonec to „G“ někoho?

Odpovědi na tuto a řadu dalších otázek najdete v záznamu diskuze.

V dalším díle série rozhovorů CA TALK si Jan Indra popovídal s dalším výhercem soutěže Compliance Academy o stipendia International Compliance Association (ICA), kterým se stal Compliance Manager společnosti Anheuser Busch InBev Vladimir Iliev.

Honza s Vladimirem mluvil zejména o jeho profesní cestě k oblasti compliance a o tom, jakým výzvám musel ve svých prvních letech jako Compliance Expert a Compliance Manager čelit. Řeč přišla i na obecný přístup ke compliance v Anheuseru nebo na to, jak společnost realizuje svou každoroční specializovanou týdenní iniciativu s názvem „Compliance Week“.

Po dlouhé covidové odmlce se Compliance Academy vrací se svým formátem pravidelných panelových diskuzí CA FORUM.

V pořadí již šesté panelové diskuze se tentokrát v prostorách T-Mobile Magenta Experience Center role řečníků zhostili expert na řízení personálních rizik a zakladatel start-upu SCAUT Petr Moroz, šéf bezpečnosti české pobočky společnosti T-Mobile Jakub Ludvík, ředitel kanceláře náměstka policejního prezidenta Jiří Nový a politický geograf působící na Institutu politologických studií při Fakultě sociálních věd UK Jan Kofroň.

Naši panelisté v průběhu téměř dvouhodinové diskuze probrali řadu témat spojených s aktuálně probíhajícím válečným konfliktem na Ukrajině, ať už jde o zajištění kontinuity činností firem, budoucnost vnímání pojmu bezpečnosta možné scénáře vývoje konfliktu, masivní uprchlickou vlnu zásadně ovlivňující středoevropský pracovní trh, připravenost veřejného sektoru na zvládání krizových situací i vliv dezinformací na fragmentaci veřejnosti a z ní plynoucí potenciální rizika.

V rámci dalšího dílu naší série rozhovorů CA TALK si tentokrát Jan Indra krátce popovídal s Annou Hozák a Leošem Barochem, kteří byli vůbec prvními stipendisty v rámci soutěže Compliance Academy o stipendia International Compliance Association (ICA).

Honza si tak Annou a Leošem povídal o tom, jaké dojmy z pokročilého a poměrně náročného kurzu nabyli, co kurz ve skutečnosti obnáší, jak je obohatil i s ohledem na jejich profesní působení nebo proč může být vzdělávací kurz nástrojem pro networking a navazování profesních vztahů.

V rámci našeho podcastu CA TALK zveřejňujeme záznam první diskuze z naší konference CA Summit 2021.

Hosty diskuzního panelu byli 4 generální ředitelé velkých tuzemských/nadnárodních společností – Kamil Čermák (ČEZ-ESCO), Jakub Dusílek (UniCredit Bank), Petr Dvořák (Vodafone) a Roman Knap (Česká pošta), které doplnil výkonný ředitel Asociace kritické infrastruktury (AKI) Michal Moroz.

Pánové se v rámci téměř 2hodinové diskuze dotkly řady témat, jejichž hlavním spojovacím článkem byla na jedné straně problematika compliance, řízení rizik a firemní kultury, a na straně druhé problematika krizového řízení a regulace subjektů (nejen) kritické infrastruktury.

• Jakým způsobem se v průběhu kariéry měnil vztah panelistů ke compliance?
• Jak generální ředitelé vnímají otázku přičitatelnosti odpovědnosti právnické osobě ve vztahu k jednání stovek až tisíců zaměstnanců?
• Jak správně nastavit firemní kulturu, se kterou se zaměstnanci ztotožňují?
• Jaké jsou zkušenosti panelistů se systémy whistleblowingu?
• Jaké jsou zkušenosti panelistů s regulací? Jak ji vnímají a jak její tvorba a řízení ovlivňují podnikání jejich organizací?
• Zvýhodňuje regulace některé účastníky trhu? Je na místě systém fungování regulatorních institucí nějakým způsobem revidovat?
• Co by se mělo odehrát na úrovni státu a korporací, aby byly adekvátně připraveny na budoucí hrozby a konflikty?

Diskuzi moderoval Jan Klouda, člen Akademické rady Compliance Academy a člen představenstva společnosti Vodafone Czech Republic.

V dalším díle série rozhovorů CA TALK si Michal Moroz povídal s Petrem Morozem, expertem na problematiku řízení personálních rizik a zakladatelem společnosti SCAUT, která vyvíjí automatizovaná řešení v oblastech Pre-Employment Screening (P-ES) a Background Check.

Michal s Petrem mj, v rozhovoru probrali:
– co je řízení personálních rizik a jaké v organizacích nabývá podoby
– co je P-ES, jaké jeho varianty existují a proč je v západní Evropě považován za standard při obsazování rizikovějších a významnějších pozic
– jakou roli v problematice P-ES hrají regulátoři nebo mezinárodní standardy
– jaké jsou nejčastější typy podvodů a co znamená něco skutečně ověřit
– jaké typy informací jsou validní pro screening a kdo je nositelem nákladů P-ES
– kde leží možná úskalí P-ES a proč se vyplatí využití technologických nástrojů
– jaký objem kandidátů jsou automatizovaná řešení schopna zpracovávat a v jakém čase
– jaký je  rozdíl mezi zpracovatelem a správcem osobních údajů a jak problematika GDPR zasahuje do procesu P-ES
– jaká rizika se mohou skrývat v procesech a proč spolu musí klíčoví stakeholdeři komunikovat
– na kterých pozicích mohou mít kandidáti problém se screeningem
– proč vyžadovat screening v rámci svých dodavatelských řetězců
– co všechno bude zahrnovat nová verze SCAUT a jak vypadá moderní P-ES
– proč by P-ES pravděpodobně předešel české „loupeži století“

„Je to vždy o práci s člověkem...historicky jsem od bankovnictví přes poradenství, kdy posledních 10 let radíme klientům se screeningy nebo právě s vyšetřováním poměrně velkých škod a nepřátelského převzetí firem, tak vždy platí, že za vším vždycky stojí člověk.

Ještě jsem nenarazil za 20 let kariréry na to, že by škodlivý kód vznikl sám od sebe a způsobil škodu společnosti. Vždy za tím stál nějaký člověk, který byl naštvaný, zhrzelý, opomenutý a prostě si nakonec řekl „já něco udělám“. A pokud mu na to na jednom místě přišli a vyhodili ho, tak se během chvilky nechal zaměstnat někde jinde.

A argumenty typu „my bychom na to stejně nepřišli“ nebo „stojí nás to moc peněz a prodlužuje to proces“ je přesně jenom to, že čekáš na to riziko, kdy někoho srazí vlak a ta škoda dřív nebo později přijde, ale pro tu společnost může být fatální a totálně nenahraditelná.“

V dalším díle série rozhovorů CA TALK si Michal Moroz povídal s Jaromírem Průšou, bezpečnostním expertem, šéfem společnosti Asset Protection Agency, předsedou české pobočky asociace bezpečnostních profesionálů ASIS Czech Republic, a mj. také členem Poradního sboru Ministerstva vnitra pro situační prevenci kriminality.

V rámci rozhovoru se pánové tentokrát věnovali zejména problematice bezpečnosti a řízení kontinuity činností organizace (rovněž známé pod angl. pojmem Business Continuity Management), ale také o tzv. analýzách dopadu nebo např. řízení dodavatelských řetězců.

„Je to (řízení dodavatelů) velká vzácnost, tzn. papír snese vše, je to hodně napsaný, ale potom chybí ta praxe a vymahatelnost, tzn. jsou firmy a znám firmy, se kterými jsem spolupracoval nebo jsem s nimi v kontaktu, kteří toto dělají a opravdu působí na toho svého dodavatele a dělají u něj pravidelné audity a kontroly a jsou za to i nějaké sankce, ale většina těch firem, myslím, ale berte to prosím jako pouze mou zkušenost, tak dle toho, co jsem viděl, jsou tyto věci popsány pouze v nějaké dokumentaci či smlouvě, ale nikdo to nekontroluje a tím pádem se na případné pochybení přijde až velmi pozdě, což je velký problém.“

V dalším díle série rozhovorů CA TALK Michal Moroz pokračoval v rozhovoru s Alešem Špidlou, odborníkem na kybernetickou bezpečnost a jejím nestorem v rámci české veřejné správy, který mj. zodpovídal za vznik první ucelené strategie kybernetické bezpečnosti v České republice i jejího zakotvení do tuzemské legislativy v podobě zákona o kybernetické bezpečnosti.

Druhý díl rozhovoru se poté dotkl hned několika různých témat, mezi kterými byli:
– novela směrnice EU o kybernetické a informační bezpečnosti NIS 2
– Business Continuity Management (BCM) a jeho (ne)funkčnost ve veřejném sektoru, přenositelnost zkušeností s BCM ze sektoru soukromého
– nastavování procesů a jejich digitalizace
– úroveň kybernetické bezpečnosti v různých segmentech
– analýza rizik výhnam a „pudu sebezáchovy“ v kybernetické a informační bezpečnosti
– zřizování dohledových center, otázka služeb typu „Security-as-a-Service“
– možnost ohrožení kybernetické a informační bezpečnosti skrze třetí strany, resp. dodavatele organizace
– personální a fyzická bezpečnost jako součást kybernetické a informační bezpečnosti

„Dneska klekly webové stránky Slavie Praha. Byl to (kybernetický) útok na poskytovatele těchto webových stránek, klekl web Komety Brno. Neexistují cíle, které by nebyly zajímavé – toto ať si manažer uvědomí a zamýšlí se nad tím, jak důležité ty informace a ty informační systémy a jeho služby pro něj jsou. Od toho se poté odvíjí to, jak moc chce investovat do bezpečnosti.“
...
„Viděl jsem malou firmu, která měla velký laser na řezání nerezových plechů. Všechno řízeno počítačem. Kdyby tam se někdo vloupnul, tak jsou to milionové škody, protože (útočník) mohl poškodit ten stroj. Takže ono nejde generálně říct: „Kupte si antivir, kupte si firewall, kupte si toto“...nejdřív vše musí začít tím mentálním cvičením typu „co všechno by se mi mohlo stát, kdybych o to přišel, jak rychle se nastartuju.“

Hostem třináctého dílu série CA TALK byl Aleš Špidla, odborník na kybernetickou bezpečnost a její nestor v rámci české veřejné správy, který zodpovídal za vytvoření první ucelené strategie kybernetické bezpečnosti České republiky.

Michal Moroz si s Alešem povídal o tom, jak v ČR vznikal zákon o kybernetické bezpečnosti a její vládní strategie, jaké aspekty kybernetické bezpečnosti je třeba zohledňovat, jak důležité je nastavení samotných procesů v této oblasti nebo o tom, jak důležité a obtížné bylo přesvědčit politické představitele o tom, aby oblasti kybernetické bezpečnosti přiznali adekvátní důležitost a s ní související zdroje.

„Kybernetická bezpečnost bylo téma, které bylo pro všechny úplně neuchopitelné....pamatuji si, když jsem si Martinu Pecinovi (tehdejší ministr vnitra) řekl zhruba o 300 milionů, které budou potřeba na to dotáhnout nastavování strategie KB do nějakého konce, tak na mě tak trochu zvýšeným hlasem „udeřil“, že si myslel, že mi koupí větší displej a silnější antivir a tím bude vyřízeno. Takhle to i ti ministři chápali a toto v podstatě bylo velice těžké, dostat je do nějakého stavu, aby to (kybernetickou bezpečnost) vnímali jako důležité. Byl rok 2010 a kromě odborníků na tuto problematiku její rizika nevnímal nikdo.“

Hostem dvanáctého dílu série rozhovorů CA TALK byl Leoš Baroch, který aktuálně působí na pozici Lead Compliance Officer ve společnosti Purple Technology a zároveň je druhým stipendistou Compliance Academy, který získal možnost absolvovat mezinárodně uznávaný kurz International Compliance Association v oblasti governance, řízení rizik a compliance.

S Leošem jsme si povídali o jeho dosavadní kariérní cestě, která jej dovedla až do Purple Technology, společnosti ze sektoru fintech poskytující řešení finančním institucím po celém světě, ve které Leoš zodpovídá za vedení týmu compliance specialistů a tvorbu compliance procesů, systémů řízení rizik nebo komunikaci s compliance officery na straně obchodních partnerů.

V rámci rozhvoru jsme se dotkli např. významu komunikace pro úspěšnost compliance, základních pilířů zdravé firemní kultury, vztahu s regulatorními institucemi nebo monitoringu neustále se vyvíjející legislativy.

Krátce jsme se také dotkli Lubošova osobního příběhu, kdy se po vážných zdravotních komplikacích musel mj. rychle naučit znovu anglicky tak, aby mohl dál profesně působit v tak komplexní oblasti, jakou compliance představuje.