Debata nt. Kodeksu Dobrych Praktyk Spółek notowanych na GPW

Aleksandra Porębska-Nowak
26/06/2015

W ubiegły piątek na GPW w Warszawie odbyły się konsultacje społeczne kodeksu „Dobrych Praktyk Spółek Notowanych na GPW” (DPSN) (projekt zmian można znaleźć pod linkiem – link), który giełda rozwija od kilku lat. W związku z tym, że FORDATA zgłosiła swoje propozycje zmian do projektu (można je znaleźć w tym wpisie – link), zostałam zaproszona do wzięcia udziału w debacie eksperckiej.

Bezpieczeństwo informacji coraz ważniejsze

Postulowana przez nas zmiana dotycząca bezpieczeństwa informacji przy emisji akcji lub obligacji nie znalazła się w nowym projekcie. Cieszy mnie natomiast fakt, że pierwszy raz kwestie bezpieczeństwa informacji zostały w ogóle uwzględnione w Kodeksie. Ponadto były szeroko dyskutowane podczas debaty.

Audyt, kontrola wewnętrzna i zarządzanie ryzykiem pierwszy raz w DPSN

Nowy projekt rekomendacji wskazuje, że Spółka winna utrzymywać skuteczny system kontroli wewnętrznej, system zarządzania ryzykiem i funkcję audytu wewnętrznego. Zapisy te są moim zdaniem krokiem w dobrym kierunku, aczkolwiek niewystarczającym. Są zbyt ogólne. Podkreślali to także inni uczestnicy debaty. Wskazywali na znaczenie bezpieczeństwa informacji i konieczność wypracowania efektywnych rozwiązań.

Bezpieczeństwo informacji na różnym poziomie w zależności od branży

Eksperci zauważali, że w spółkach notowanych na GPW, które działają w branży finansowej poziom dbania o bezpieczeństwo informacji jest wysoki, bo niejako wymuszają to przepisy prawa. Gorzej jest w spółkach giełdowych z innych branż – tam poziom dbałości o bezpieczeństwo informacji pozostawia jeszcze sporo do życzenia. Jeden z uczestników zwrócił uwagę, że zagadnienie bezpieczeństwa informacji (w tym cyberbezpieczeństwa i bezpieczeństwa systemów informatycznych) jest zagadnieniem nowym w Kodeksie, nie mniej bardzo ważnym, i którego ranga będzie zdecydowanie rosła. Wskazał, że nie ma dziś spółki, która nie przetwarzałaby np. danych osobowych i przypomniał chociażby o ostatnich  głośnych incydentach dotyczących wycieku tego typu danych.

O bezpieczeństwie powinniśmy myśleć nie tylko w kontekście danych osobowych, ale także informacje nt. samej spółki

Tymczasem o bezpieczeństwie informacji powinniśmy myśleć nie tylko w odniesieniu do danych osobowych klientów, jakie przetwarza spółka, ale także informacji nt. jej samej. Ustawa o obrocie instrumentami finansowymi definiuje bowiem informacje poufne oraz informacje objęte tajemnicą zawodową i nakazuje ich ochronę, poprzez stosowanie odpowiednich rozwiązań organizacyjno-technicznych. Wskazuje jednocześnie, że ujawnieniem informacji poufnej jest przekazywanie, umożliwienie, a nawet już samo ułatwienie osobie nieuprawnionej wejścia w posiadanie informacji poufnej. Tym samym postulujemy wprowadzenie zapisów do Kodeksu, które wskazywałby CEL działania dla Spółki, jakim jest ochrona informacji – tak na etapie przygotowania emisji papierów wartościowych, jak i w późniejszej, operacyjnej działalności spółki.

Jak pokazuje praktyka, dzisiaj część spółek już bardzo poważnie traktuje zagadnienia bezpieczeństwa informacji, podczas gdy inne podchodzą do tematu ciągle pobłażliwie – do tego stopnia, że przesyłają wrażliwe informacje drogą mailową, otwartym tekstem, nie stosując choćby zabezpieczenia załącznika za pomocą hasła.

Ostatecznie, po interesującej merytorycznej dyskusji Rada obiecała wziąć postulat dot. dbania o bezpieczeństwo informacji pod rozwagę na następnym, wewnętrznym spotkaniu roboczym.

Jak można zadbać o bezpieczeństwo informacji?

Spółki, które realizują emisje akcji lub obligacji mogą obecnie skorzystać z nowoczesnych systemów informatycznych, takich jak np. Virtual Data Room (VDR). Zadaniem systemów typu VDR jest zapewnienie bezpieczeństwa wrażliwym informacjom dystrybuowanym do doradców w toku przygotowań dokumentów emisyjnych oraz zapewnienie transparentności całego procesu.

Jak VDR dba o bezpieczeństwo?

Virtual Data Room to specjalistyczny system informatyczny, który służy do zarządzania poufnymi dokumentami i komunikacją podczas złożonych procesów transakcyjnych. Umożliwia on realizację transakcji w formie elektronicznej, skraca jej czas, podnosi  efektywność oraz zapewnia bezpieczeństwo przekazywanych informacji, a także poufność zaangażowanym stronom. Dzięki dedykowanym funkcjom, usprawnia preIPO Due Diligence, a szczególnie pracę doradców prawnych (Due Diligence prawne). Tym samym zwiększa efektywność komunikacji pomiędzy osobami zaangażowanymi w przygotowanie dokumentów potrzebnych do emisji.

Bezpieczeństwo gwarantowane jest dzięki temu, że mechanizmy w systemach Virtual Data Room są tożsame z zabezpieczeniami stosowanymi przez serwisy bankowe. Ponadto systemy te posiadają szereg specjalistycznych funkcji, skupionych na ochronie poufnych informacji. Ochrona dokumentów to przede wszystkim możliwość decydowania o tym, kto ma dostęp do jakich dokumentów i w jakim zakresie, możliwość zablokowania druku dokumentów, czy ich zapisu na dysku, znaki wodne na dokumentach. Systemy posiadają także wbudowane zaawansowane raporty aktywności, które pozwalają na bieżąco śledzić postęp transakcji oraz kontrolować pracę doradców. Profesjonalni dostawcy VDR pracują w oparciu o System Zarządzania Bezpieczeństwem Informacji, zgodnie z normą PN-ISO/IEC 27001:2005. Posiadanie Certyfikatu to wyraz szczególnej troski o bezpieczeństwo danych klientów i gwarancja pełnej ochrony ich tajemnicy przedsiębiorstwa. PN-ISO/IEC 27001: 2005 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji w przedsiębiorstwie.

Zdjęcie główne – Unsplash.com

Udostępnij!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Aleksandra Porębska-Nowak
IT Director
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Obserwuj nas
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Nie akceptuję / AKCEPTUJĘ Polityka prywatności