Audyt PTK Centertel z wdrożenia zapisów Aneksu



Podobne dokumenty
PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

Sprawozdanie z działalności Rady Nadzorczej TESGAS S.A. w 2008 roku.

Lublin, Zapytanie ofertowe

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

Nadzór nad systemami zarządzania w transporcie kolejowym

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

Umowa o powierzanie przetwarzania danych osobowych

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Odpowiedzi na pytania zadane do zapytania ofertowego nr EFS/2012/05/01

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Kwestionariusz Samooceny Kontroli Zarządczej

Wprowadzam w Urzędzie Marszałkowskim Województwa Małopolskiego Kartę Audytu Wewnętrznego, stanowiącą załącznik do niniejszego Zarządzenia.

Kontrola na miejscu realizacji projektu Procedury i zarządzanie projektem Archiwizacja

Oświadczenie o stanie kontroli zarz ądczej Starosty Powiatu Radomszcza ńskiego za rok 2014

Procedura weryfikacji badania czasu przebiegu 1 paczek pocztowych

ZESTAWIENIE NAJCZĘŚCIEJ ZADAWANYCH PYTAŃ DOTYCZĄCYCH KONKURSU ZAMKNIĘTEGO NR 1/POKL/4.1.1/2011

SYSTEM WEWNETRZNEJ KONTROLI JAKOSCI PODMIOTU UPRAWNIONEGO DO BADANIA SPRAWOZDAN FINANSOWYCH

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

Aneks nr 8 z dnia r. do Regulaminu Świadczenia Krajowych Usług Przewozu Drogowego Przesyłek Towarowych przez Raben Polska sp. z o.o.

Statut Audytu Wewnętrznego Gminy Stalowa Wola

U M O W A. NR PI.IT z dnia. roku

Załącznik 11 Wzór karty oceny merytorycznej wniosku o dofinansowanie projektu konkursowego w ramach PO WER

U M O W A. zwanym w dalszej części umowy Wykonawcą

RAPORT NA TEMAT STANU STOSOWANIA PRZEZ SPÓŁKĘ ZALECEŃ I REKOMENDACJI ZAWARTYCH W ZBIORZE DOBRE PRAKTYKI SPÓŁEK NOTOWANYCH NA GPW 2016

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

NAJWYśSZA IZBA KONTROLI DELEGATURA W GDAŃSKU

LBY /08 P/08/097 Sz. P. Justyna Przybyłowska Kierownik Powiatowego Centrum Pomocy Rodzinie w Wąbrzeźnie

Waldemar Szuchta Naczelnik Urzędu Skarbowego Wrocław Fabryczna we Wrocławiu

NAJWYśSZA IZBA KONTROLI DELEGATURA W GDAŃSKU

Ewidencjonowanie nieruchomości. W Sejmie oceniają działania starostów i prezydentów

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

Okręgowa Rada Pielęgniarek i Położnych Regionu Płockiego

DOTACJE NA INNOWACJE ZAPYTANIE OFERTOWE

Karta audytu wewnętrznego w Starostwie Powiatowym w Kielcach

Strona Wersja zatwierdzona przez BŚ Wersja nowa 26 Dodano następujący pkt.: Usunięto zapis pokazany w sąsiedniej kolumnie

Rozdział 6. KONTROLE I SANKCJE

ZASADY PROWADZENIA CERTYFIKACJI FUNDUSZY EUROPEJSKICH I PRACOWNIKÓW PUNKTÓW INFORMACYJNYCH

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

INSTYTUCJA POŚREDNICZĄCA W CERTYFIKACJI (IPOC)

Załącznik nr 6 do SIWZ 2/2012/pn BR-X-2/2121/3/2012 Usługi introligatorskie dla Biblioteki Raczyńskich w Poznaniu w 2012r.

Tychy, r. ZAPYTANIE OFERTOWE

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

ZAPYTANIE OFERTOWE z dnia r

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

REGULAMIN przeprowadzania okresowych ocen pracowniczych w Urzędzie Miasta Mława ROZDZIAŁ I

Dokumenty regulujące kwestie prawne związane z awansem zawodowym. ustawa z dnia 15 lipca 2004 r.

POSTANOWIENIA OGÓLNE

współadministrator danych osobowych, pytania i indywidualne konsultacje.

UMOWA PARTNERSKA. z siedzibą w ( - ) przy, wpisanym do prowadzonego przez pod numerem, reprezentowanym przez: - i - Przedmiot umowy

Zapytanie ofertowe dotyczące wyboru wykonawcy (biegłego rewidenta) usługi polegającej na przeprowadzeniu kompleksowego badania sprawozdań finansowych

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

I. 1) NAZWA I ADRES: Centrum Pediatrii im. Jana Pawła II w Sosnowcu Spółka z ograniczoną

Pani Dorota Pielichowska-Borysiewicz Dyrektor Domu Dziecka w Kórniku-Bninie WYSTĄPIENIE POKONTROLNE. NAJWYśSZA IZBA KONTROLI

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

UCHWAŁA Nr 15/19/2015 ZARZĄDU POWIATU W WĄBRZEŹNIE z dnia 11 marca 2015 r.

RAPORT Z AUDITU. polski Reie.tr Sictkón, Biuro Certyfikacji NR NC /P6 PN-EN ISO 9001:2009

Najwyższa Izba Kontroli Departament Nauki, Oświaty i Dziedzictwa Narodowego

ZAPYTANIE OFERTOWE. z dnia na stanowisko: specjalista systemów VR

I. INFORMACJA O KOMITECIE AUDYTU. Podstawa prawna dzialania Komitetu Audytu

Rozdział 1 Kontrola w trakcie realizacji projektu

KLAUZULE ARBITRAŻOWE

NajwyŜsza Izba Kontroli Delegatura w Bydgoszczy WYSTĄPIENIE POKONTROLNE. Bydgoszcz, dnia kwietnia 2010 r.

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

DZIENNIK URZĘDOWY MINISTRA CYFRYZACJI

Kontrola na zakończenie realizacji projektu. Trwałość projektu

Rudniki, dnia r. Zamawiający: PPHU Drewnostyl Zenon Błaszak Rudniki Opalenica NIP ZAPYTANIE OFERTOWE

ROZDZIAŁ I Postanowienia ogólne. Przedmiot Regulaminu

TABELA ZGODNOŚCI. W aktualnym stanie prawnym pracodawca, który przez okres 36 miesięcy zatrudni osoby. l. Pornoc na rekompensatę dodatkowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

Opis metodologii audytu wewnętrznego

FORMULARZ OFERTOWY. organizację i przeprowadzenie szkoleń zawodowych lub specjalistycznych z następującego zakresu oraz we wskazanych miejscowościach:

DOTACJE NA INNOWACJE. Zapytanie ofertowe

Umowa nr.. 1 Przedmiot umowy

REGIONALNA IZBA OBRACHUNKOWA

Komentarz do prac egzaminacyjnych w zawodzie technik administracji 343[01] ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJĄCEGO KWALIFIKACJE ZAWODOWE

ZAPYTANIE OFERTOWE. Katowice, dnia dla potrzeb realizacji projektu: ZAMAWIAJĄCY:

REGULAMIN UDZIELANIA ZAMÓWIEŃ PUBLICZNYCH

wzór Załącznik nr 5 do SIWZ UMOWA Nr /

ZAPYTANIE OFERTOWE NR 1

Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego ZAPYTANIE OFERTOWE

NajwyŜsza Izba Kontroli Delegatura w Katowicach

Załącznik Nr 2 do Regulaminu Konkursu na działania informacyjno- promocyjne dla przedsiębiorców z terenu Gminy Boguchwała

Temat badania: Badanie systemu monitorowania realizacji P FIO

PROGRAM NR 2(4)/T/2014 WSPIERANIE AKTYWNOŚCI MIĘDZYNARODOWEJ

Uchwała Nr 3/2015 Komitetu Monitorującego Regionalny Program Operacyjny Województwa Podlaskiego na lata z dnia 29 kwietnia 2015 r.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Regulamin Projektów Ogólnopolskich i Komitetów Stowarzyszenia ESN Polska

Lubuski Urząd Wojewódzki w Gorzowie Wielkopolskim ul. Jagiellończyka Gorzów Wlkp.

Umowa została zawarta w wyniku wyboru Wykonawcy w postępowaniu przetargowym nr... w trybie przetargu nieograniczonego.

Program Zapewnienia i Poprawy Jakości Audytu Wewnętrznego

Sprawdza: Pracownik/ osoba zatrudniona na podstawie umowy cywilnoprawnej. Waga Ocena formalna

REGULAMIN STUDENCKICH PRAKTYK ZAWODOWYCH WYDZIAŁU FILOLOGICZNEGO. Rozdział 1. Postanowienia ogólne

WYSTĄPIENIE POKONTROLNE

FUNDUSZE EUROPEJSKIE DLA ROZWOJU REGIONU ŁÓDZKIEGO

Regulamin wsparcia edukacyjnego w ramach projektu Modelowo Zarządzana Uczelnia

ZAMAWIAJĄCY. Regionalna Organizacja Turystyczna Województwa Świętokrzyskiego SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA (DALEJ SIWZ )

Polityka zmiennych składników wynagrodzeń osób zajmujących stanowiska kierownicze w Banku Spółdzielczym w Końskich

Transkrypt:

Audyt PTK Centertel z wdrożenia zapisów Aneksu Raport Audytora z wdrożenia zapisów Aneksu do Umowy pomiędzy PTK Centertel sp. z o.o. a Telekomunikacją Polską Audyt wg stanu na dzień 15.04.2011 r. Streszczenie Raportu Warszawa, 29 kwietnia 2011 r.

SPIS TREŚCI Spis treści... 2 Uwagi wstępne... 3 Zasada Niedyskryminacji ( 2 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 4 System motywacyjny ( 3 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 6 Wdrożenie dobrych praktyk oraz Wykaz niedozwolonych informacji ( 4 Załącznika nr 10 oraz Załącznik nr 2 do Aneksu) rozwiązania pozasystemowe... 7 Rozdział systemów IT ( 5 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )...10 Załącznik Nr 2 do Aneksu Wykaz niedozwolonych informacji - rozwiązania systemowe...12 2

UWAGI WSTĘPNE Niniejsze opracowanie stanowi podsumowanie wyników prac audytowych przeprowadzonych w dniach 11.04-29.04.2011 na postawie umowy zawartej pomiędzy Telekomunikacją Polską S.A. oraz A.T. Kearney Sp. z o.o. Celem poniższego dokumentu jest przedstawienie wyników oceny wdrożenia zapisów Aneksów do Umowy pomiędzy PTK Centertel a TP na dzień 15.04.2011 w zakresie wymagań organizacyjnych, procesowych jak i wymagań dotyczących systemów IT oraz funkcjonalności i procesów biznesowych przez nie realizowanych dla spółki PTK Centertel. Układ streszczenia jest analogiczny do układu Aneksu, przy czym część załączników bezpośrednio związanych z paragrafami Aneksu została opisana łącznie w ramach odpowiednich paragrafów. Inne załączniki, ze względu na specyfikę poruszanych zagadnień, zostały opisane w formie oddzielnych rozdziałów. Audytor oświadcza, że wykonał Umowę z najwyższą zawodową starannością w oparciu o informacje, dane i dokumenty dostarczone przez TP. Jednocześnie Audytor zastrzega, iż nie ponosi żadnej odpowiedzialności za dalsze działania podejmowane przez TP oraz osoby trzecie w oparciu o sporządzony dokument. Ponadto poniższy dokument, jako streszczenie menadżerskie, nie zawiera wszystkich elementów zawartych w głównej części Raportu Audytora, w tym szczegółowych opisów stanu realizacji Aneksu, uzasadnień ocen oraz rekomendacji Audytora. Tym samym streszczenie nie powinno być traktowane jako materiał kompletny. 3

ZASADA NIEDYSKRYMINACJI ( 2 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie PTK Centertel prowadzi prace mające na celu realizację zobowiązań wynikających z 2. Prace te rozpoczęto jeszcze przed podpisaniem Aneksu do umowy pomiędzy PTK Centertel oraz Telekomunikacją Polską a obecnie są one kontynuowane. Ocena Audytora Na dzień audytu PTK spełnia większość wymagań Aneksu w obszarze realizacji Zasady Niedyskryminacji. Audytor nie ma zastrzeżeń dotyczących realizacji większości zobowiązań wynikających z 2, w tym w zakresie rozwiązań organizacyjno-zarządczych, regulaminowych oraz monitorowania przestrzegania zasady niedyskryminacji. W jednym punkcie audytor nie był w stanie dokonać oceny realizacji wymagania ze względu na wątpliwości interpretacyjne. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: Wdrożenie KDP uchwałą zarządu Wdrożenie aplikacji do klauzulowania poczty elektronicznej i przeprowadzenie kampanii informacyjnej dotyczącej obowiązku klauzulowania Wdrożenie instrukcji kancelaryjnej Dostosowanie instrukcji archiwistycznej dla archiwum zakładowego do wymagań ChM Audytor pozytywnie ocenia wysiłek szkoleniowy podjęty przez PTK Centertel w zakresie modułów podstawowego i pogłębionego szkoleń, narzędzi pomiaru efektywności przeprowadzonych szkoleń oraz analiz dotyczących tego, których z Partnerów PTK należy objąć programem szkoleń. Pozytywnie należy ocenić także podejmowane przez PTK działania informacyjne w tym rozesłanie przewodnika, który zawiera niezbędne dla pracowników informacje w tym zakresie. Dodatkowo należy wskazać także na problem braku przeszkolenia części Partnerów PTK realizujących czynności na rzecz Części Hurtowej oraz niedostateczną wiedzę pracowników w zakresie zasady niedyskryminacji oraz ochrony informacji niedozwolonych. Zagrożenia Wątpliwości interpretacyjne w punkcie 2.2 stwarzają zagrożenie niewłaściwej realizacji wymagań Aneksu. W opinii Audytora istnieje również ryzyko naruszenia ograniczeń w przepływie informacji niedozwolonych na skutek braku aktualnych Kart Jednostek Organizacyjnych (KJO), ryzyko działań niezgodnych z zasadą niedyskryminacji w tym przecieku niedozwolonych informacji wynikające zarówno z braku przeszkolenia partnerów PTK, którzy realizują czynności na rzecz Części Hurtowej jak również z braku dostatecznej wiedzy pracowników oraz współpracowników w zakresie KDP, niedyskryminacji oraz informacji niedozwolonych. Ponadto istnieje zagrożenie wynikające z braku bieżącego przeprowadzania czynności monitorująco-sprawdzających przestrzeganie zasady 4

niedyskryminacji oraz ryzyko wydłużenia czasu rozpatrywania spraw przez zespół skrzynki *Niedyskryminacja z powodu nie przekazania wszystkich wymaganych informacji w trakcie zgłaszania podejrzenia naruszenia zasady niedyskryminacji Rekomendacje W związku ze stwierdzonymi zagrożeniami dotyczącymi wątpliwości interpretacyjnych Audytor rekomenduje potwierdzenie z UKE interpretacji punktu. Dodatkowo wskazana jest w opinii zespołu Audytora aktualizacja i uzupełnienie Kart Jednostek Organizacyjnych w PTK Centertel, stworzenie Portalu Szkoleniowego dla partnerów PTK realizujących czynności na rzecz Części Hurtowej a niemających aktualnie dostępu do systemów informatycznych, przeprowadzenie "szkoleń powtórkowych" celem przypomnienie wiedzy dotyczącej tematyki KDP, niedyskryminacji oraz informacji niedozwolonych. Ponadto niezbędne jest przeprowadzenie planowanych wewnętrznych działań monitorująco-sprawdzających w spółce PTK oraz wprowadzenie zasad przekazywania zgłoszeń podejrzenia naruszenia zasady niedyskryminacji zespołowi skrzynki *Niedyskryminacja zgodnie z ustalonym formatem zawierającym wszystkie wymagane zapisami Aneksu informacje. 5

SYSTEM MOTYWACYJNY ( 3 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W okresie objętym audytem spółka PTK Centertel stosowała system motywacyjny dla pracowników Części Hurtowej PTK Centertel odpowiadający zobowiązaniom z 3. Ocena Audytora W okresie objętym audytem PTK Centertel realizował wszystkie zobowiązania dotyczące systemów motywacyjnych wynikające z Aneksu do Umowy pomiędzy PTK Centertel a Telekomunikacją Polską. Przeprowadzone w toku audytu analizy wykazały, że stosowane rozwiązania w zakresie sposobów motywowania pracowników Części Hurtowej a w szczególności kadry kierowniczej są zgodne z zasadami określonymi w Aneksie. Pracownicy zaangażowani w procesy związane z usługami hurtowymi mają stawiane cele i zadania indywidualne zgodnie z zasadami opisanymi w Aneksie. Ponadto premia motywacyjna pracowników Części Hurtowej jest uzależniona m.in. od osiągnięcia założonego poziomu Złożonego Wskaźnika Satysfakcji (ZWS), na który składają się prawidłowa realizacja wskaźników KPI tożsamych z wskaźnikami wykorzystywanymi w części Hurtowej TP oraz osiągnięcie wyników sprzedaży usług hurtowych. Dodatkowo, premie kadry zarządzającej są uzależnione od realizacji celów związanych z wprowadzeniem dodatkowych elementów motywacyjnych pracownikom Części Hurtowej PTK. Wynagrodzenie i zadania premiowe pracowników nie są uzależnione od źródła zlecenia, a jedynie od wolumenu, jakości i rodzaju wykonywanych prac. W audytowanym okresie dokonano wewnętrznej oraz zewnętrznej weryfikacji merytorycznej celów i zadań premiowych pod kątem zgodności z zapisami Aneksu oraz potencjalnego naruszenia zasady niedyskryminacji. Weryfikacja wykazała jedynie minimalne nieprawidłowości, w szczególności brak zadań premiowych dla części pracowników. Zagrożenia Zidentyfikowano ryzyko działań niezgodnych z zapisami Aneksu wynikające z braku formalizacji zasad dotyczących systemów motywacyjnych opisanych w Aneksie w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki. Ponadto istnieje zagrożenie działań niezgodnych z intencjami przyświecającymi sygnatariuszom Aneksu wynikające z braku terminowego wyznaczania zadań premiowych pracownikom Części Hurtowej PTK. Rekomendacje Formalizacja zasad dotyczących systemów motywacyjnych opisanych w Aneksie poprzez uwzględnienie zapisów dotyczących systemów motywacyjnych w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki lub regulacjach wewnętrznych analogicznych do wprowadzonych w TP (Decyzji 264/10) oraz terminowe wyznaczanie zadań premiowych pracownikom Części Hurtowej PTK. 6

WDROŻENIE DOBRYCH PRAKTYK ORAZ WYKAZ NIEDOZWOLONYCH INFORMACJI ( 4 ZAŁĄCZNIKA NR 10 ORAZ ZAŁĄCZNIK NR 2 DO ANEKSU) ROZWIĄZANIA POZASYSTEMOWE Wprowadzenie 4 Załącznika nr 1 oraz Załącznik nr 2 do Aneksu określają wymagania, jakie powinno spełniać CC, by ograniczyć przepływ informacji mogący prowadzić do dyskryminacyjnych działań CC. CC realizuje je poprzez wdrożenie odpowiednich mechanizmów, które powinny zapewniać skuteczną realizację zobowiązań wynikających z Aneksu. Ocena Audytora Na dzień Audytu PTK zrealizowała część wymagań Aneksu w obszarze chińskich murów pozasystemowych. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: Wdrożenie Kodeksu Dobrych Praktyk uchwałą zarządu i przeszkolenie pracowników w jego zakresie W zakresie kontroli przepływu danych chronionych i przechowywania dokumentów zawierających dane chronione: Wdrożenie podziału na domeny informacyjne. Wprowadzenie obowiązku klauzulowania dokumentów i poczty elektronicznej zawierającej dane chronione oraz wdrożenie aplikacji do klauzulowania poczty elektronicznej Wdrożenie instrukcji kancelaryjnej Dostosowanie instrukcji archiwistycznej dla archiwum zakładowego do wymagań ChM Ograniczenie dostępu do dokumentacji archiwum klienckiego do Domen Detal PTK i Korpo PTK W zakresie zapobiegania podwójnemu zatrudnieniu i separacji pracowników domeny Hurt: Wdrożenie w PTK analogicznych procedur zapobiegania zajmowaniu wspólnych pomieszczeń przez pracowników hurtu i innych pomieszczeń jak w TP Wprowadzenie zapisów do procedur rekrutacyjnych PTK zapobiegających zatrudnianiu pracowników części hurtowej TP Przeprowadzanie okresowej weryfikacji podwójnego zatrudnienie pracowników części hurtowej TP W zakresie zobowiązywania podmiotów trzecich do przestrzegania KDP: 7

Identyfikacja kontrahentów Pionu Sprzedaży PTK, z którymi należy podpisać aneksy zobowiązujące do przestrzegania zasad określonych w Kodeksie Dobrych Praktyk i rozpoczęcie procesu aneksowania umów. Ze względu na wątpliwości interpretacyjne audytor nie jest w stanie dokonać oceny 3 zapisów związanych z wdrożeniem KDP. Audytor zidentyfikował szereg zagadnień, które nie pozwalają na pozytywną ocenę wybranych wymagań niniejszego paragrafu. Powyższe zagadnienia dotyczą w szczególności następujących obszarów: Klauzulowania dokumentów i korespondencji zawierającej dane chronione (w szczególności w procesie udostępniania dokumentacji klienckiej z Archiwum PTK) Zagrożenia Identyfikacji i dostosowania miejsc przechowywania dokumentów zawierających dane chronione Procedur nadawania dostępu do danych chronionych Wdrożenia wybranych elementów Kodeksu Dobrych Praktyk, w szczególności punktu dotyczącego zobowiązywania partnerów do przestrzegania Kodeksu Dobrych Praktyk oraz zapobiegania wymianie informacji niedozwolonych W badanym obszarze Audytor zidentyfikował następujące zagrożenia: W zakresie kontroli przepływu danych chronionych oraz przechowywania dokumentów zawierających dane chronione: Niewystarczające w opinii Audytora zrealizowane działania w zakresie identyfikacji miejsc przechowywania danych chronionych, brak klauzulowania dokumentacji zawierającej dane chronione przed Detalem TP przy udostępnianiu z archiwum klienckiego oraz niekompletność ewidencji osób przetwarzających dane chronione stwarzają ryzyko zaistnienia niedozwolonych przepływów informacji Niedostosowanie procedur przyznawania i odbierania dostępu do danych chronionych do wymagań ChM stwarza zagrożenie uzyskiwania przez nieuprawnionych pracowników dostępu do danych chronionych W zakresie zapobiegania podwójnemu zatrudnieniu i separacji pracowników domeny Hurt: Zaimplementowane mechanizmy zapobiegania podwójnemu zatrudnieniu nie zapobiegają ryzyku zatrudniania pracowników części hurtowej CC w Detalu PTK lub innych częściach PTK, co stwarza ryzyko wystąpienia takiej sytuacji i działań dyskryminacyjnych. Po zidentyfikowaniu przez Audytora powyższej luki PTK zobowiązało swoich pracowników do natychmiastowego zapobiegania powyższym przypadkom w procesach rekrutacyjnych i aktualizacji procedur rekrutacyjnych o powyższe przypadki. W zakresie zobowiązywania podmiotów trzecich do przestrzegania KDP: 8

Nieprzestrzeganie KDP przez partnerów PTK spowodowane brakiem w umowach z PTK odpowiednich zobowiązań może prowadzić do niedozwolonych przepływów informacyjnych i zachowań dyskryminacyjnych Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: W zakresie kontroli przepływu danych chronionych oraz przechowywania dokumentów zawierających dane chronione: Przeprowadzenie kompleksowego procesu identyfikacji miejsc przechowywania danych chronionych i dostosowanie tych miejsc do wymagań ChM Rozszerzenie ewidencji osób przetwarzających dane chronione na całą organizację, przeprowadzenie aktualizacji ewidencji osób przetwarzających dane chronione (rozważenie dodania informacji o kategorii przetwarzanych danych chronionych do ewidencji) Weryfikację ewidencji osób przetwarzających dane chronione pod kątem zasadności dostępu do danych chronionych dla osób w ewidencji Dostosowanie procedur przyznawania dostępu do danych chronionych do wymogów ChM Wprowadzenie obowiązku klauzulowania dokumentacji udostępnianej przez archiwum klienckie PTK W zakresie zapobiegania podwójnemu zatrudnieniu: Modyfikację procedur zapobiegających podwójnemu zatrudnieniu tak, aby zostały nią objęte wszystkie osoby realizujące zlecenia hurtowe TP W zakresie zobowiązywania podmiotów trzecich do przestrzegania KDP: Uzgodnienie harmonogramu z UKE i aneksowanie umów z partnerami mogącymi mieć dostęp do danych chronionych w celu zobowiązania ich do przestrzegania KDP Wprowadzenie mechanizmów zobowiązujących do uwzględnienia zobowiązania do przestrzegania KDP w nowo zawieranych umowach z kontrahentami, którzy mogą mieć dostęp do danych chronionych Audytor rekomenduje również potwierdzenie z UKE interpretacji punktów 4.3 i 4.4 związanych ze zobowiązaniem PTK do przestrzegania KDP. 9

ROZDZIAŁ SYSTEMÓW IT ( 5 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W Paragrafie 5 Załącznika Nr 10 do Aneksu do Umowy pomiędzy TP i PTK sformułowano zasadę, zgodnie z którą w wyniku wdrożenia zmian, Systemy IT PTK mają tak funkcjonować, aby uniemożliwić dyskryminujący przepływ niedozwolonych informacji w Grupie TP. Część systemów wykorzystywanych przez PTK jest dostarczana przez TP. Systemy te objęte są analogicznymi wymaganiami na mocy Porozumienia pomiędzy UKE i TP. Dlatego tez badając wypełnienie zapisów niniejszego Aneksu Audytor koncentrował uwagę na systemach własnych PTK. Ocena Audytora W ocenie Audytora wdrażany przez PTK program zmian w systemach w sposób adekwatny adresuje zasadę niedyskryminacji. Audytor odnotowuje jednak, że w programie wdrażania zmian w systemach PTK raportowane są zagrożenia, które w przypadku materializacji mogą doprowadzić do nieterminowego lub w niepełnym zakresie wdrożenia zmian w niektórych systemach PTK. Zewidencjonowano systemy informatyczne wykorzystywane przez PTK: o Lista zawiera 561 systemów, o PTK wskazało 22 systemy zawierające dane chronione, z tej liczby do 17 systemów ma dostęp Detal TP. Przygotowano plan wdrożenia zakładający wprowadzenie niezbędnych zmian w systemach do 31.07.2011. o o o Przygotowano raporty z analizy systemów. Opracowano dokumenty BR. Opracowano dokumenty HLD. W zakresie przeprowadzonych testów Audytor nie stwierdził stosowania przez PTK rozwiązań wykraczających poza standardy obowiązujące w Grupie TP. W zakresie analizowanych mailowych skrzynek funkcyjnych nie stwierdzono dostępu do danych chronionych przez nieupoważnionych użytkowników. W PTK planowane są dalsze prace wdrożeniowe: Wdrożenie zmian w systemach zgodnie z przyjętym planem prac. TP planuje udostępnienie PTK jednolitych dla całej Grupy TP narzędzi do automatycznej weryfikacji ruchów pracowników pomiędzy jednostkami organizacyjnymi oraz wspólne narzędzie do ewidencjonowanie dostępów do danych chronionych. Zagrożenia W ramach nadzoru nad projektem wdrażania ChM zidentyfikowano zagrożenia dla terminowości lub kompletności wdrożenia w systemach System 3, System 7, System 4, System 8. W wyniku testu Systemu 10 stwierdzono, że do szczegółowych danych sprzedażowych PTK miały dostęp wybrane osoby z domeny Detal TP, które przed 10

dalszym udostępnieniem informacji maskowały dane chronione. PTK zrealizowała rekomendację Audytora i w trakcie trwania audytu przeniosła operacje maskowania w Systemie 10 na stronę Detal PTK. System 11 jest przewidywany do zamknięcia w terminie do 30.06.2011. Do systemu zawierającego dane chronione miały dostęp 61 osób z domen Detal TP i Partner Detal TP. PTK zrealizowała rekomendacją Audytora w dniu 21.04.2011 odbierając dostęp do Systemu 11 użytkownikom z domeny Detal TP. Rekomendacje W związku ze zidentyfikowanymi zagrożeniami dla terminu i zakresu wdrożenia Audytor rekomenduje zatwierdzenie i zakomunikowanie droga służbową planu awaryjnego na wypadek materializacji stwierdzonych ryzyk. 11

ZAŁĄCZNIK NR 2 DO ANEKSU WYKAZ NIEDOZWOLONYCH INFORMACJI - ROZWIĄZANIA SYSTEMOWE Wprowadzenie Załącznik Nr 2 oraz rozdział IV Załącznika Nr 3 przywołują zapisy Załącznika Nr 6 do Porozumienia TP UKE. Zapisy te definiują kierunki przepływu i zakresy informacji jakie objęte są zakazem przekazywania na mocy Porozumienia. Z punktu widzenia analizowanego Aneksu do umowy pomiędzy TP i PTK zapisy Załączników doszczegóławiają zasadę niedyskryminacji sformułowana w Paragrafie 5 Załącznika Nr 10. Ocena Audytora Zdaniem Audytora realizowany przez PTK program zmian w systemach IT uwzględnia szczegółowe wymagania odnośnie zabronionych kierunków przepływu i zakresu informacji chronionych. Program ten jest zdefiniowany w sposób spójny ze zrealizowanym w TP programem wdrożenia ChM i wdrażanym obecnie w CC programem implementacji ChM. W trakcie szczegółowych testów systemów stwierdzono m.in., że na dzień audytu występują możliwości dostępu do zabronionych informacji. Ich wyeliminowanie jest przedmiotem wdrożenia ChM w PTK i musi nastąpić najpóźniej do dnia 31.07.2011. W wybranych przypadkach, zgodnie z sugestia Audytora, PTK wprowadziła ograniczenia dostępu jeszcze w trakcie trwania audytu (systemy System 11, System 10). Zagrożenia Por. omówienie w Paragrafie 5 Rekomendacje Por. omówienie w Paragrafie 5 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres