Corporate Social Responsibility
Vores forretning
Denne side udgør en bestanddel af Ledelsesberetningen for 2020/2021 og er en del af den lovpligtige redegørelse for samfundsansvar efter årsregnskabslovens §99a.
Politik for Anti-korruption, Forretning og Etik
Tillid er en altafgørende faktor for virksomheder som os, der leverer systemkritiske løsninger til samfundsbærende sektorer rundt om i verden. At levere softwareløsninger til sundhedsvæsen, uddannelsesinstitutioner, forsyningsselskaber og nationers forsvar kræver ambitiøse standarder for sikkerhed, integritet og åbenhed. Det er det, vi bygger vores forretning på.
Anti-korruption og bestikkelse
Korruption udgør en alvorlig risiko for demokrati og er en hindring for økonomisk vækst og sund konkurrence på frie markeder. Systematic opererer i lande, hvor korruption er en reel udfordring, og det betyder, at vores medarbejdere risikerer at blive mødt med ulovlige krav om betaling, når de udfører deres arbejde i disse regioner. Overtrædelser af nationale og internationale love vedrørende korruption og bestikkelse kan medføre, at Systematic holdes juridisk ansvarlig. Dette gælder også, hvis en samarbejdspartner overtræder reglerne, og Systematic har undladt at reagere på eventuelle advarsler om dette.
God forretningsskik og høj integritet er af afgørende betydning for vores kunder, for virksomhedens omdømme og vores evne til at tiltrække og fastholde medarbejdere. I Systematic accepterer vi ikke nogen former for korruption eller bestikkelse – hverken hos medarbejdere eller samarbejdspartnere.
Vi har en klar politik vedrørende anti-korruption, som skal sikre, at medarbejdere handler efter vores adfærdskodeks (Code of Conduct), så Systematic bevarer sin anseelse som en god arbejdsplads og betroet samarbejdspartner for vores kunder.
Vores adfærdskodeks angiver, hvad medarbejdere skal gøre, og mere specifikt, hvad de ikke skal gøre, mens de er ansat i virksomheden. Alle medarbejdere præsenteres for dette adfærdskodeks som en integreret del af deres introduktionsforløb. Vi følger et struktureret anti-korruptionsprogram, der er udviklet til at sikre overholdelse af både national og international lovgivning, herunder Storbritanniens Bribery Act 2010. Systematics anti-korruptionsprogram inkluderer medarbejdertræning, og i det kommende år tager vi hul på en ny træningsperiode, hvor samtlige medarbejdere skal gennemgå uddannelsesprogrammet igen.
Overfor vores salgspartnere gør vi klart i vores kontrakter, at vi ikke accepterer korruption eller bestikkelse.
Vi har aldrig oplevet korruptionssager - således heller ikke i indeværende regnskabsår.
Gavepolitik
Flere af Systematics kunder – offentlige såvel som private har vedtaget klare politikker for modtagelse af gaver og forplejning fra leverandører og samarbejdspartnere. Systematic har forpligtet sig til at agere i overensstemmelse med disse politikker, lige som vi selv har implementeret principper for modtagelse af gaver og forplejning fra kunder, partnere og leverandører. Det betyder f.eks., at alle julegaver bliver leveret til virksomhedens reception, hvorefter de indgår i en lodtrækning blandt alle medarbejdere i huset eller bliver sat frem, så alle kan få glæde af dem.
Medarbejdere i Systematic må som hovedregel ikke give gaver i forbindelse med forretningsaktiviteter - enkelte, undtagelsesvise tilfælde kræver ledelsens godkendelse.
Whistleblower
Sidste år lancerede Systematic sin whistleblower-ordning, Tell Us, som er tilgængelig for både medarbejdere og eksterne på vores hjemmeside.
I regnskabsåret 2020/2021 har den eksterne revisor, som håndterer rapporterne, modtaget én henvendelse, der er håndteret af Systematics bestyrelsesformand. Hvert år bliver Systematics bestyrelse præsenteret for en rapport over de indberettede sager, hvordan de er håndteret og hvilke tiltag, der er sat i værk for at forebygge gentagelser.
Handel og eksport af forsvarssoftware
Systematics vækst på det globale marked og en voksende international tilstedeværelse har medført et naturligt fokus på de nationale og internationale regler for handel og eksport. I forbindelse med salg af vores forsvarssoftware er det særligt vigtigt, at eksportreglerne bliver overholdt. Derfor har Systematic gennem de seneste år lagt stor vægt på at øge medarbejdernes generelle kendskab til disse regler. På den baggrund er samtlige medarbejdere i defence - og relevante medarbejdere i administrative funktioner blevet trænet og har modtaget informationsmateriale om procedurerne i forbindelse med eksport og eksportkontrol på området.
Vi foretager due diligence af vores samarbejdspartnere og anvender screeningssystemer som sikrer, at vi ikke handler med partnere, som er omfattet af sanktioner. Vores indsats i det kommende år vil handle om, hvordan man yderligere kan automatisere screeningsprocesser, som ikke kun optimerer processerne, men også minimerer risikoen for menneskelige fejl.
Vores løsninger til forsvaret er designet til at øge sikkerheden for udsendte soldater, minimere civile tab og undgå uønskede ødelæggelser ved at give soldater på alle niveauer det bedst mulige situationsoverblik over et konfliktområde. På den måde er softwaren med til at sikre menneskerettigheder så som retten til liv.
Flere lande har allerede opdaget, at vores forsvarssoftware effektivt kan anvendes som støtte i f.eks. pandemibekæmpelse og redningsaktioner i forbindelse med oversvømmelser, tyfoner og skovbrande m.v.
Vi kan dog aldrig udelukke, at vores software indgår i konflikter, hvor menneskerettigheder bliver overtrådt. Sker det, bør det få konsekvenser for dem, som misbruger softwarens funktioner til formål i strid med internationale konventioner.
Da software til brug i forsvaret er omfattet af EU’s fælles kontrolliste og dermed også af eksportkontrolregler, er det ikke muligt at udføre software fra et land til et andet uden forinden at have ansøgt om – og opnået en eksporttilladelse fra de respektive myndigheder.
Myndighederne vurderer både produkt og modtager ud fra en række kriterier, som blandt andet skal sikre, at softwaren ikke fører til overtrædelse af menneskerettigheder.
Vi har tillid til, at myndighederne i de enkelte lande foretager de nødvendige vurderinger inden for sikkerhedspolitik og menneskerettigheder, som ligger til grund for sagsbehandlingen og afgørelser om udstedelse af eksporttilladelser. Det er det grundlag, vi driver vores forretning på, og vi følger de til hver en tid gældende regler for eksport i de lande vi opererer i.
Uagtet at myndighederne foretager meget grundige undersøgelser af modtagerlandene, har Systematic sat som indsatsområde i det kommende finansår at arbejde endnu mere målrettet med menneskerettigheder. En del af arbejdet handler om at kortlægge vores virksomheds påvirkning og indflydelse på menneskerettighederne og at se på, om der er behov for yderligere tiltag.
Det er vores vurdering, at vi i regnskabsåret 2020-2021 ikke har overtrådt menneskerettighederne.
Kritik af Systematics eksport
På baggrund af en række kritiske historier fremført af Danwatch og TV2 om vores engelske datterselskabs eksport af forsvarssoftware til de Forende Arabiske Emirater, blev det offentliggjort på et politisk samråd i december, at politiet nu undersøger, om der i forbindelse med eksporten er foregået noget uretmæssigt.
Vi er meget overraskede over efterforskningen, da vi mener, at vi har overholdt gældende regler og været åbne og transparente overfor myndighederne. Vi står naturligvis til rådighed for politiet i deres arbejde, og vi ser frem til at få en afklaring af sagen og dermed klare retningslinjer for eksport i fremtiden.
Cybersikkerhed
Tillid er altafgørende, når man som os udvikler og implementerer systemkritiske løsninger til samfundsbærende sektorer rundt om i verden.
Hvis et system indeholder sårbarheder eller en sektor angribes gennem et af vores produkter, vil det ikke blot få konsekvenser for tilliden til Systematic og vores produkter – det kan også få katastrofale følger for de brugere og borgere, der er afhængige af vores softwareløsninger.
Derfor arbejder vi i Systematic målrettet med altid at være på forkant med trusler og risici for angreb fra it-kriminelle.
Som leverandør af software til kritisk infrastruktur, oplever vi stigende krav fra kunder og myndigheder, som forventer dokumenteret og målbar beskyttelse af vores udviklingsmiljø og produkter. Mængden af cyberangreb mod virksomheder og organisationer vokser, og kompleksiteten af disse angreb øges. Helt naturligt er cybersikkerhed et fokusområde for Systematic, som vi kontinuerligt optimerer og udbygger.
Gennem de seneste år har vi forstærket vores sikkerhedskultur og sørget for, at sikkerhed og forebyggelse indgår naturligt i medarbejdernes adfærd og alt, hvad de foretager sig. Det gælder både i udviklingen af vores produkter og i hverdagen på arbejdspladsen.
Vi kører løbende awareness-kurser med fokus på aktuelle risici og trusler. For nyligt har vi gennemført en omfattende, teknisk styrkelse af de miljøer, vi producerer i og leverer fra. Til den opgave har vi inddraget de dybe, tekniske kompetencer, vores udviklere og it-medarbejdere besidder og skabt en model, som styrker vores processer og sikkerheden i det praktiske arbejde.
Et af de helt store projekter, vi har gennemført, er netværkssegmentering af hele vores it-infrastruktur, som har betydet, at størstedelen af vores netværksudstyr er blevet udskiftet eller opgraderet. Samtidig har vi indført netværksovervågning døgnet rundt via en ekstern sikkerhedspartner.
For at forberede os på nuværende og fremtidige krav fra myndigheder og kunder, har vi i det forløbne år arbejdet med krav og certificeringer i et globalt marked. På den baggrund har vi bl.a. fornyet vores ISO 27001 informationssikkerhedscertificering, som dækker alle Systematics udviklingsprojekter, administration og flere af vores lokationer.
For at leve op til standarderne på det amerikanske marked har vi gennemført self assessment efter en ny US standard kaldet Cyber Maturity Model Certification (CMMC) og den amerikanske NIST 800-53 risikomodelleringsstandard. Vores britiske kunder stiller krav om en Cyber Essential Plus-certificering, som vi nu på tredje år har opnået.
Certificeringer og risikomodeller skaber ikke sikkerhed i sig selv, derfor er det vores mål fortsat at inddrage både forretningen, medarbejdere og samarbejdspartnere i udviklingen af vores politikker og sikkerhedsløsninger, så vi opnår en gennemført sikkerhedskultur.
GDPR
Som en virksomhed, der udvikler software til f.eks. sundhedsvæsen, offentlige myndigheder og biblioteker, har vi ud over et højt sikkerhedsniveau også skarpt fokus på håndtering og beskyttelse af persondata i overensstemmelse med loven. Det gælder selvfølgelig både for vores kunders data, Systematics egne data og data, som vedrører vores medarbejdere.
I hele Systematics organisation er der lagt et stort arbejde i kortlægningen af data og databehandleraftaler i forhold til kunder og lovgivning – lige som Schrems II dommen har stillet særlige krav vedrørende supportaftaler og opbevaring af clouddata.
Systematics politik for databeskyttelse er en integreret del af virksomhedens procesbibliotek. Det betyder, at vores overholdelse af GDPR-krav auditeres og godkendes som en del af vores CMMI Niveau 5-certificering. Herudover bliver Systematics håndtering af persondata årligt revideret af eksterne revisorer og rapporteret i form af en ISAE 3000-erklæring. Der indhentes i visse tilfælde også projektspecifikke ISAE 3000-erklæringer som dokumentation for, at vi lever op til specifikke, kontraktuelle databeskyttelsesmæssige forpligtelser. Internt afvikler vi løbende opmærksomhedskampagner om korrekt håndtering af persondata for at sikre, at medarbejderne er bevidste om de gældende regler, som skal overholdes i deres daglige arbejde.