Клуб корпоративной безопасности

🐉 🦔 Скрестим ужа с ежом!

Для профессионалов в области внутреннего аудита и службы безопасности не является секретом исследования Ассоциации сертифицированных специалистов по борьбе с фродом (ACFE - Association of Certified Fraud Examiners), которые заявляют (полная версия 2024 года на английском языке тут):

💯 самый эффективный инструмент выявления нарушений – это, корпоративная горячая 🔥 линия, на долю которой приходится до 43% успешных кейсов по выявлению нарушений от общего количества;

🕸 наиболее распространенные схемы мошенничества в компаниях связаны с (банально) присвоением активов, на долю которых приходится примерно 86% случаев.

✌ Это означает, что агрессивное продвижение горячей линии с фокусом на ключевом риске «присвоение активов» - должно гарантированно дать результат как в коротком горизонте, так и существенно изменить «этический ландшафт корпорации».

Вот три элемента, плана, которые призваны гарантировать «успех» мероприятия в короткие сроки.

1. Компания проводит среди работников широкую квартальную коммуникацию о горячей линии, построенной на четырех важных информационных блоках:

▪ мотивирующие обращения руководителей;
▪ правила направления сообщений, с особым упором на приемы сохранения конфиденциальности;
▪ гарантии безопасности, для сообщивших о нарушениях;
▪ постоянное информирование работников о прогрессе в борьбе с фродом.

2. Для различных подразделений проводятся интенсивные тренинги (широкой глубины и погружения, вплоть до рабочих специальностей), где работники обучаются идентифицировать признаки присвоения активов, характерные именно для их зоны ответственности (для логистики – одни, для продавцов – другие и т.п.).

3. Следует выявить ключевых деловых партнеров (клиентов и поставщиков) и провести среди их работников компанию по информированию о горячей линии (приглашение на внутренние конференции, рассылка информационных писем, надписи о горячей линии на счетах и договорах и т.п.).

Не стоит забывать про необходимость в бизнес-процессе по проведению проверок и стратегию работы с возражениями коллег (это создаст угрозы имиджу компании и т.п.).

Вы верите в успех такого мероприятия?

❓ Экономическая безопасность: кто ответит за понты?

Вы называете, то что делаете – экономической безопасностью вашей компании? А что это значит? Немного тут по долгам взыскивать помогаете? Проводите расследование корпоративного мошенничества? Организовываете ревизии на складах?

⁉️ Можно ли называть то что вы делаете - «экономическая безопасность»? Или это не более чем маркетинговая уловка отдельно взятого подразделения компании или очень важного человека с очень важным «прошлым»?

⚠ Пять признаков, когда «экономическая безопасность» - это просто понты:

⛔ когда сами не знаем, в чем она толком заключается (делаем то-се, пятое-десятое);

⛔ когда результат работы не оцифрован в деньгах компании (назвались «экономическая безопасность» - соответствуйте метриками);

⛔ когда результаты в деньгах явно не пропорциональны бизнесу и рискам компании (нашли хищения или взыскали долг «на копейку» в компании, оборот которой десятки миллионов);

⛔ когда манипулируем сложной цепочкой умозаключений с косвенным влиянием (охраняем имущество компании, ничего не украли – вот тебе и экономическая выгода, хотя чаще охрана - это «всего лишь охрана»).

⛔ И наконец, пятый признак, - когда ключевые подразделения компании не «узнают брата Колю». Иными словами, если продажи (например) не могут ответить на вопрос, чем занимается экономическая безопасность и какой ее вклад в бизнес компании.

💎 Когда «экономическая безопасность» - это стратегический стрим и вы подтверждаете «бренд»:

🎩 у вас есть четкое понимание, что из себя представляет «экономическая безопасность», за счет каких мероприятий она является тем, чем вы ее называете;

👑 у вас есть план мероприятий, который синхронизирован со стратегией компании;

💰 ваши цели и амбиции оцифрованы в "деньги", у них есть прямая связь со стратегическими (финансовыми) целями компании.

🥷 Персонал: риски и безопасность бизнеса

Пожалуй, сейчас уже никто не будет спорить, что бизнес столкнулся с серьезным давлением в области доступности персонала. Одни компании меньше, другие - оказались лицом к лицу с настоящим «идеальным штормом» 🌪: с одной стороны - «перегретый» рынок заработных плат, с другой – давление собственных ФОТ бюджетов, с третьей – невозможность вовремя замещать «выбывающих» сотрудников и управлять "выёб..мися" 💩.

С чего начать? Для одних компаний решения достаточно простые, для других – все очень сложно.

✍ Правильно формируем профиль риска. Для начала, давайте декомпозируем все угрозы, которые генерирует риск в области доступности персонала. Мой топ-3:

💸 Нестабильность ФОТ бюджета в коротких периодах (квартал, полугодие). Речь идет не о «банальных» затратах, а о ситуациях, когда компании сталкиваются с непростым выбором коррекции инвестиций в критические важные проекты.

🌦 Давление на корпоративную культуру, при которой из компании уходят «ролевые» модели / носители корпоративного «культурного кода», а рынок труда предлагает слишком много «не тех» людей.

⚠ Нарушение производственных и бизнес-процессов. В силу разных факторов. От банальных сменных графиков и критических переработок, до угроз в области безопасности труда и нарушения целостных отношений с клиентами.

Управляем рисками. План изменений.

⛱ В области корпоративной культуры. Усильте программы онбординга / адаптации (если у вас их не было – разрабатывайте и внедряйте), отработайте скрипты менторства, «прокачайте» руководителей. И вообще, сформируйте свою «культурную» стратегию.

💰 В области бизнес-планов и бюджетов / инвестиций. Переработайте структуру мотивации персонала. Если ФОТ начинает оказывать критическое давление на ваши инвестиции в важные инициативы и бизнес-проекты – ни в коем случае не отказывайтесь от них, лучше предложите «талантам» долгоиграющие «опционы» (даже, если это «простые», но «непростые» рабочие).

⚙ В области бизнес-процессов. В рекрутинге декомпозируйте группы найма на более узкие (не только на белых и синих воротничков) – так вы адаптируете эффективность рекрутинга. Начните вести список «ключевых» (предварительно определив метрики) и в отношении них определите стратегию удержания или резерва. Развивайте программы обучения с учетом повышенной «оборачиваемости» персонала.

🐝 Это нарушение регламента неспроста! Изучайте причины игнорирования принятых процедур!

#пятница

⚔️ Управление рисками: если нет опасности - не воюй!

#пятница

🧸 Я комплаенс-офицер хоть куда, в самом расцвете сил!

#пятница

⭕️ Дайджест Клуба: апрель 2024

🔥 Горячая линия (корпоративная линия доверия): внешний провайдер vs. собственного решения.

📣 Стрим Клуба: KPI / OKR для внутреннего аудита, службы безопасности и комплаенса. 30 минут о том, как «продать» компании ваш «сервис»

🏆 Управляйте рисками как «pro». Что девальвирует усилия по развитию практик правления рисками и три совета.

🥷 Мошенники «разводят» не только пенсионеров, но и бизнес! Как злоумышленники «вклиниваются» в деловые переписки и перенаправляют денежные потоки.

💣 Коррупция: когда мы ее и когда она нас… Помните о рисках привлечения к финансовой ответственности юридических лиц за коррупционные действия их сотрудников.


➡️ Дайджест Клуба за февраль-март 2024 тут – https://t.me/abcom_pro/672

🔔 Аудит продаж и бонусов:
- Как вам удается достигать таких крутых результатов и высоких бонусов?
- Мы хитро планируем, неправильно считаем и расчетная база у нас каждый раз разная!

#пятница

🥷 Мошенники «разводят» не только пенсионеров, но и бизнес!

☝ Член Экспертного совета нашей Ассоциации безопасности бизнеса и комплаенса белорусский адвокат Татьяна Тарахович предупреждает компании о том, что стоит крайне серьезно уделять внимание информационной безопасности (вашему it периметру) и платежам, которые компании осуществляют за границу.

⏰ Последние несколько лет адвокат столкнулся с однородными кейсами, которые, пожалуй, можно заявить, как системную угрозу – получая доступ к информации о деловых отношениях мошенники «встревают» в каналы коммуникаций (обычно через электронную почту) и создают условия по перечислению денежных средств на «подставные» банковские реквизиты.

⚠ Схема обычно выглядит следующим образом:

⬇ Мошенники получают доступ к деловой переписке между компаниями (наиболее благоприятные обстоятельства – когда компании ранее не работали друг с другом и находятся на стадии перед подписанием договора или перед самим уже платежом)

⬇ Мошенники генерируют поддельный аккаунт / адрес электронной почты предполагаемого получателя денежных средств (который симулирует почту и / или наименование контрагента / делового партнера).

⬇ С поддельного аккаунта мошенники интегрируются в деловую переписку, т.е. высылается письмо, где предлагается провести платеж по контракту на «подставные» банковские реквизиты. Такие письма могут иметь разные контекст: заключение договора, изменение реквизитов для оплаты и т.п. Для достоверности используется информация из переписки, которая была уже ранее и к которой мошенники получили доступ.

⭕ Главное – мошенники, как правило, понимают актуальный статус взаимоотношений (в т.ч. через взломы электронной почты и т.п.), что позволяет им удачно «мимикрировать». Безусловно, выбирается, наиболее удачный момент, который бы создавал предпосылки для наименьшего временного интервала между перепиской и платежом.

🔴 Важно – «подставные» реквизиты почти всегда вызывают доверие, т.е. счет находится в стране пребывания делового партнера (предполагаемого получателя средств по контракту), может даже совпадать наименование банка!

💰💰💰 Компания (в лице своих сотрудников, которые даже не всегда имеют серьезный опыт взаимодействия с иностранными контрагентами) переводит оплату таким мошенникам (и не важно, это предоплата, или оплата по факту) и речь идет об очень внушительных суммах.

📌 Мы провели свое маленькое «исследование» и смогли поговорить как с «пострадавшими» из России, так и Беларуси. Например, известный нам лично «рекорд» - сумма эквивалентная более 500 тыс. евро. При этом, как вы понимаете, шансы на «возврат» убытков, почти всегда расценивались как минимальные с крайне пессимистичным прогнозом.

✅ Что всех «пострадавших» объединяло?
Слабые компетенции ответственных исполнителей по договору и финансовых функций, а также слабые бизнес-процессы по проверке контрагентов и риск-ориентированная культура.

➡️ Клуб корпоративной безопасности

🏆 Управляйте рисками как «pro»

🐝 «Порхайте как бабочка, жальте как пчела», как говорил великий риск-менеджер Мухамед Али (он же в девичестве Кассиус Клей) 🥊.

⚠ Компании, которые бы хотели развивать у себя риск-менеджмент, как правило (по моему наблюдению), сталкиваются с двумя вызовами, девальвирующими «бодрый» запал и доводящими «великие инициативы» до терминальной стадии мотивации с глубоким разочарованием.

⛔ Сложные карты рисков, с назначением «ответственных» за риск (терпил) без четкого плана действий.
⛔ Неочевидные предпосылки для оценки вероятности риска и градации (приоритетов), такие оценки не имеют системного и последовательного подхода.

🎉 Если у вас 2 из 2х – бинго! Скорее всего вы потратили много сил (доведя СЕО и совет директоров с акционерами до морального истощения) и при этом все оказалось зря (а это прямой путь к разочарованию в людях и любви 💔).

💎 Вот вам три совета, которые могут помочь в лечении (в любом случае, советую всегда консультироваться с лечащим врачом).

☝ Помните, что риски не «одномерны». Кроме стоимости, у них есть вероятность. И оценивая эту вероятность не только откажитесь от «цифровых» (бальных или процентных оценок), но и оцените эту вероятность в календарном периоде! ⏳ Это поможет оценить глобальное влияние риска на компанию в стратегическом диапазоне. Например, если ваша стратегия не более 1-2 лет, то нет смысла работать с рисками, диапазон реализации которых 3-10 лет. Вначале подтяните свое стратегическое планирование 🖐.

☝ Определили профиль риска, назначили ответственного? Следующий немедленный шаг – интегрируйте «красные» флажки этого риска в ваши релевантные бизнес-процессы! Т.е. ваши положения и решения должны прямо «зависеть» от идентифицированного риска. Если вы пропустите этот шаг – скорее всего ваша карта рисков изначально будет «мертворожденным ребенком» 🪦.

☝ Будьте последовательны! Стратегические риски требуют стратегической эскалации! Не может начальник одела принимать решение в обстоятельствах, которые генерируют риски, ответственность за которые назначена СЕО или принята советом директоров в концепции "ключевые стратегические риски и угрозы". Только так вы сможете адекватно «тестировать» созданную вами систему!

➡️ Клуб корпоративной безопасности

💣 Коррупция: когда мы ее и когда она нас…

Антикоррупционный комплаенс, как известно, предполагает управление коррупционными рисками «в обе стороны»: компании создают «барьеры» как для недобросовестных действий со своей стороны, так и в отношении себя, т.е. «защищаясь» от «токсичной» внешней среды.

☝ И, пожалуй, уже можно заявить об одном важном тренде, который приобрел «системность» - привлечение к ответственности юридических лиц за коррупционные действия их сотрудников. Подобный подход, уже (относительно) давно в полной мере закрепился в «европейском» пространстве и уже четко сформировался в правоохранительной практике Беларуси и России.

🆘 Например, член Экспертного совета нашей Ассоциации безопасности бизнеса и комплаенса белорусский адвокат Татьяна Тарахович заявляет, что сейчас ВСЕ (где есть т.н. «государственный» элемент) коррупционные дела – это не только предмет уголовного наказания, но и отдельный «кейс» привлечения к «финансовой» ответственности самих бизнес- структур, сотрудники которых допускали недобросовестные действия имевшие прямую связь с любыми выгодами и преимуществами для их компаний.

⚠ Более того, «пострадавшие» компании (т.е. те, которые стали «объектом» коррупции) также начинают активно реализовывать все возможности по взысканию своих убытков и потерь не только в отношении своих недобросовестных сотрудников, но и в отношении компаний, которые выступили «триггером». И в таком контексте крайне важным в стратегии защиты становится система антикоррупционного комплаенса, которая призвана «перевести стрелки», т.е. подтвердить, что коррупционный кейс – это не «системная бизнес-практика», а «инцидент», вызванный эксцессом отдельного лица (группы лиц).

✅ Итого:
❗ не забывайте об «ответственности» компаний за коррупцию;
❗ если ваш бизнес пострадал от недобросовестных действий третьих лиц – оцените потери и ущерб, а также ваши перспективы по их компенсации

➡️ Клуб корпоративной безопасности

🚧 Охранник, не спи на рабочем месте! Контролируйте охрану!

#пятница

✅ Юридический форум в Беларуси.

Друзья, рекомендуем вам Юридический форум в Беларуси, который пройдет 6-8 мая.

📌 В рамках деловой программы пройдут 12 параллельных сессий в формате панельной дискуссии для продуктивного общения с экспертами и аудиторией по семи правовым блокам:
▪️ Банки и финансы.
▪️ Налоги.
▪️ Корпоративное право.
▪️ Промышленность и торговля.
▪️ Разрешение споров. Медиация.
▪️ Антимонопольное регулирование.
▪️ Право ЕАЭС.

☝️ Среди экспертов форума: Денис Колос, канд. юрид. наук, судья Суда Евразийского экономического союза (2015–2023), Дмитрий Вильтовский, управляющий партнер GRATA International Belarus, Алексей Отраднов, коммерческий директор Право.ru, Антон Зыков, партнер Группы компаний ДРТ. Владислав Архипов, старший советник санкт-петербургского офиса компании Denuo, д-р юрид. наук, профессор Санкт-Петербургского государственного университета.

📣 Стрим: KPI / OKR для внутреннего аудита, службы безопасности и комплаенса.

Друзья, в марте на нашем канале я провел пилотный стрим, посвященный проблеме kpi для функций комплаенс, СБ и внутреннего аудита.

✅ Сегодня выкладываю стрим 🎬, который вы можете прослушать (в том числе и на ускоренном режиме 🎵).

💬 ⁉️ Если у вас будут какие-либо вопросы вы можете оставить их в комментариях и я на них отвечу.

➡️ Кроме этого, вы можете прочитать пост по этой теме, который я выложил по результатам экспертного стола нашего клуба в феврале – читать тут.

➡️ Клуб корпоративной безопасности

⛑ Обучайте новичков правилам охраны (безопасности) труда!

#пятница

🔥 Горячая линия: внешний провайдер vs. собственного решения

Недавно принял участие в дискуссии об эффективности привлечения внешних провайдеров, которые предоставляют инфраструктуру для корпоративной горячей линии (линии доверия для сообщений о нарушениях), проводят обработку сообщений о нарушениях и расследования (проверку) таких сообщений. Собрал для вас ряд моих тезисов.

🆘 На что обратить внимание. Таким провайдерам присущ порок всех «внешних» - слабое понимание внутреннего (корпоративного) и/или внешнего (бизнеса и рынка) контекста.

⬇️ Вышеизложенное может привести к одному из двух:
▪️ провайдер или «скатится» к поверхностному изучению вопроса, т.е. может хромать качество исследования и оценки;
▪️ или наоборот исследование будет иногда неразумно «уходить» в служебное расследование, что окажет влияние на ваши расходы.

⁉️ Подходит ли такое решение для малых и средних компаний?
Если ранее такого инструмента не было в компании – да. Провайдер сразу даст лучшие практики и построит бизнес-процессы. НО, не забываем про риски расходов или потери качества.

⁉️ Подходит ли такое решение для крупных компаний?
В крупных компаниях часто есть компетентные СБ и комплаенс-службы. Зачем же тогда нанимать внешнего провайдера?

☝️ Не стоит забывать об одном важном аспекте, который присущ ТОЛЬКО «внешним» - гарантия доверия анонимности. Такие провайдеры обеспечивают (стараются) обработку сообщений и исследования таким образом, что серьезно снижаются риски раскрытия личности обратившегося, что, безусловно, усиливает один из ключевых стандартов горячей линии – «доверие» к ней, а значит и ее эффективность.

📌 Тем не менее - вышеизложенное не означает, что компании не способны применять свои собственные решения и самостоятельно управлять горячей линией. На мой взгляд такой подход (при правильном построении этого бизнес-процесса) вполне допустим и будет показывать не меньшую эффективность в большинстве случаев.

➡️ Клуб корпоративной безопасности

🩺 Полиграф - службе безопасности не игрушка! Не тыкайте им в работников без необходимости, соблюдайте их права на неприкосновенность частной жизни и персональные данные!

#пятница

⭕️ Дайджест Клуба: февраль-март 2024

Материалы месяца. Пожалуйста, поделитесь нашим дайджестом с вашими друзьями и коллегами.

⭐️ Материал месяца: Корпоративная горячая линия / линия доверия. Скачивайте ➡️ наш Экспертный бюллетень, который поможет вам внедрить и развить эту практику корпоративной безопасности и комплаенс.

🥊 Дефицит персонала и безопасность бизнеса. На какие аспекты (риски / угрозы) безопасности бизнеса и комплаенса наибольшим образом окажет давление дефицит персонала?

✅ OKR / KPI: в поисках эффективности и разумности. Для СБ, юристов & комплаенс, ВА - как вам разработать свои метрики успеха.

💘 Романтический конфликт интересов. «Быть или не быть, вот в чем вопрос?». Служебные романы – это повод для беспокойства?

🔴 Еще один взгляд на управление рисками. Подходы, которые пригодятся «опытным» в риск-менеджменте компаниям и «новичкам».

➡️ Дайджест Клуба за январь 2024 тут - https://t.me/abcom_pro/637

➡️ Клуб корпоративной безопасности