OC zawodowe dla firm IT – konieczność, czy niepotrzebny koszt
Czy OC zawodowe jest w ogóle potrzebne naszej firmie?
Z perspektywy setek rozmów odbytych z zarządzającymi firmami IT (produkcja, rozwój, utrzymanie oprogramowania, integracje, wdrożenia, konsulting, outsourcing, etc.) lub obsługujących ich pośredników, naszym oczom ukazuje się obraz dość „lekkiego” podejścia do kwestii zarządzania ryzykiem w ramach działalności realizowanej przez tego typu podmioty w Polsce.
Uderza fakt, że z naszych obserwacji wynika, że kluczowym motywem, dla którego firmy decydują się na OC zawodowe dedykowane sektorowi IT, są wymogi kontraktowe. Firm, które myślą o takim rozwiązaniu, nie pod presją Klientów, ale po prostu będąc świadomym ryzyk, które mogą się zmaterializować w trakcie codziennej pracy, choć stale przybywa, jest w dalszym ciągu stosunkowo niedużo.
Czy to oznacza, że OC zawodowe dla branży IT to wymysł Klientów i w zasadzie to wyłącznie narzędzie do pozyskania intratnego kontraktu? Nic bardziej mylnego, czego postaram się dowieźć w dalszej części artykułu.
Dobra umowa i OC działalności gospodarczej – czy to wystarczające narzędzia?
Wydaje się, że przez wiele lat, firmy bazowały i wciąż bazują na przekonaniu, że ich odpowiedzialność skutecznie może zostać ograniczona poprzez zapisy umowne. I rzeczywiście przez długi czas, w wielu przypadkach niewystarczająca świadomość Klientów (wynikająca także ze stosunkowo niskiego stopnia informatyzacji procesów biznesowych jeszcze 15-20 lat temu) powodowała, że chcąc zamówić usługę bez większego oporu zgadzali się na podpisywanie umów, w których odpowiedzialność dostawców była mocno ograniczona.
Aktualnie, polskie firmy IT, poprzez swoich brokerów/agentów bardzo często zwracają się do nas z oczekiwaniem przedstawienia oferty ubezpieczenia, które będzie stanowić zabezpieczenie na wypadek sfinansowania roszczeń w kontekście odpowiedzialności, którą firmy IT dużo częściej niż kiedyś mają w umowach zdefiniowaną.
Klienci są co raz bardziej świadomi i wymagający, nie tylko w kontekście definiowania wymogów kontraktowych, ale także egzekucji swoich roszczeń w sytuacji, gdy dochodzi do sytuacji, w której ponoszą straty. Co gorsza dla firm IT, egzekucję roszczeń mogą prowadzić także Ubezpieczyciele, którzy po wypłacie odszkodowania swojemu Klientowi, wykorzystają tzw. regres i będą dochodzić swoich praw bezpośrednio od dostawcy IT.
Zdarza się, że dostawcy IT przedstawiają swoim Klientom polisy, które tylko na pierwszy rzut oka są tym, czego oczekują ich partnerzy. Dopiero po odmowie ze strony działu prawnego Klienta okazuje się, że tzw. OC Działalności Gospodarczej to nie jest rozwiązanie, które pozwala podpisać umowę. Co więcej legitymowanie się z pozoru dobrym OC zawodowym, również nie daje gwarancji dobrze zainwestowanych środków, gdyż np. nie rozszerzone o ryzyka cyber, może również spotkać się z odmową Klientów, którzy są świadomi tego jak wiele strat może spowodować błąd w działalności, o której mówimy.
Czy firmy IT w dzisiejszych czasach mogą w dalszym ciągu tak działać?
Firmy IT, które są zachęcane do zarządzania swoim ryzykiem poprzez wykorzystanie OC zawodowego przez swoich pośredników, zwykle odwołują się do historii, w której, jeśli jakieś błędy, czy trudne rozmowy się zdarzyły, to zwykle albo chroniły je zapisy umowne, albo udało się z Klientem porozumieć (najczęściej oznacza to udostępnienie dodatkowych zasobów i doprowadzenie przedmiotu umowy do stanu z nią zgodnego).
Przykład z życia
Przykład niedużej, polskiej firmy IT, która obsługiwała swojego klienta będącego firmą logistyczną, wskazuje, że wyżej przywołane podejście przestaje działać w sytuacji, w której chodzi o istotne straty finansowe. Dla uproszczenia przekazu skoncentruje się na głównych wątkach sprawy.
Wydawało się z pozoru prosty kontrakt polegający na utrzymywaniu systemów informatycznych magazynu, stał się źródłem zdarzenia cyber spowodowanego przez dostawcę IT. W tym przypadku chodziło o niestety dość częsty błąd, polegający na niezachowaniu stosownych środków ostrożności przy zabezpieczeniu dostępu zdalnego. Rutyna, czasem pójście na „skróty” potrafi być źródłem kolosalnych problemów. W tym konkretnym przypadku, pracownik firmy IT w efekcie przyczynił się do wprowadzenia złośliwego oprogramowanie, które zaszyfrowało serwery klienta unieruchamiając system zarządzający magazynem. Co więcej, kopie zapasowe pozwoliły na przywrócenie danych dopiero sprzed kilku dni.
Dla tego kontrahenta, ten błąd dostawcy IT oznaczał konieczność wstrzymania działalności, przeprowadzenia inwentaryzacji magazynu, a przede wszystkim zmierzenia się z reakcją na incydent, w tym niezwykle trudnymi rozmowami z Klientami, którzy nagle zostali odcięci od surowców/towarów.
Nie sposób dodać, że każda minuta, opóźnienia w załadunku ciężarówki, to w skrajnym przypadku kilkadziesiąt tysięcy złotych – tutaj mówiliśmy o kilkudniowym przestoju!
Klient do zarządzania incydentem zatrudnił zewnętrzną firmę, która będąc na miejscu dość szybko ustaliła przyczyny zdarzenia wskazując sprawcę zdarzenia i zabezpieczając odpowiednio dowody.
OC zawodowe z Cyber recepta na wiele problemów
Opisywana firma IT niestety nie dysponowała swoim OC zawodowym. Nawet, gdyby je posiadała, najprawdopodobniej nie uzyskałaby odszkodowania, bowiem roszczenia spowodowane tzw. zdarzeniem cyber (wprowadzanie złośliwego oprogramowanie, które było źródłem kosztów przestoju oraz wielu innych) w tego typu produktach są wyłączone.
Receptą w tej i w ogromnej liczbie innych sytuacji mogłoby być rozwiązanie łączące OC zawodowe z ubezpieczeniem zawodowym tzw. PI &Cyber (Personal Indemnity & Cyber) w standardzie międzynarodowym. Oto przykład ubezpieczenia cyber, które warto rozważyć w tym kontekście: Ubezpieczenie dla firm IT
Autor: Paweł Siatkowski
Zespół Findia
Powiązane Posty
Bądź na bieżąco z najnowszymi informacjami.