Выявление коррупции и мошенничества на предприятии без оперативно-розыскной информации: миф или новые реалии корпоративной безопасности

1298
6 минут

Традиционно в корпоративную безопасность приходят сотрудники из правоохранительных органов. Оно и логично, ведь главными рисками ведения бизнеса в 90-е респонденты назвали убийства, физическое насилие и угрозу безопасности для членов семьи. Современные реалии выводят на первый план другие угрозы: это потеря деловой репутации, финансовые потери в результате некорректно работающих бизнес-процессов, хищения, мошенничества и коррупции.

Крупные компании уже не так сильно заинтересованы в административном ресурсе в «решении» вопросов, как ранее. Все вопросы сейчас решаются в рамках правового поля.

Традиционная корпоративная безопасность.


Кто он, этот современный сотрудник корпоративной безопасности, какими компетенциями он должен обладать? Ответ на этот вопрос все чаще находит новые ответвления от классического «безопасника в погонах».

Анализ бизнес-процессов.

Для того чтобы понять основные боли бизнеса, не нужно быть самым умным в вопросах безопасности. Необходимо быть просто менеджером с достаточно развитыми софт и хард скиллс. Менеджер – это сотрудник с высшим образованием, а чаще с несколькими, он является профессионалом своего дела и помогает компании достигать намеченных целей. Чаще всего, нужно просто спросить «какие системные проблемы вы видите в вашем процессе?». Вы будете удивлены, какой поток информации будет направлен на вас. Скорее всего, сразу вам не скажут, что Василий из департамента закупок получает незаконное вознаграждение за покровительство при заключении договора на выгодных условиях. Но точно укажут основные направления, где стоит погрузиться в процессы, где могут быть «дыры в безопасности», а эта информация намного ценнее и важнее чем информация о Василии. Дальше дело за малым – прошагать бизнес-процесс вместе с экспертами от бизнеса. Не прочитать регламент, которому уже 10 лет, а именно пройти процесс – сформировать представление о рисковых этапах, самих рисках, оценить покрытие контролями проблемных зон.

Но мы не спрашиваем никого, по сложившейся годами привычке продолжаем считать каждого сотрудника преступником и наблюдать из-за угла, пока тот не совершит ошибку. Ждать можно бесконечно, тратя ресурсы Компании и время.

Анализ данных.

В основном мы привыкли работать с бумажными документами, направлять запрос в стиле «просим предоставить всё, что у вас есть» или изъять в рамках мероприятий бухгалтерию и компьютерные системные блоки. Ни то, ни другое обычно не приводит к системным результатам. Скорее всего, мы потратим массу времени, и в лучшем случае найдем частные случаи отклонений или нарушений. А руководитель будет каждую неделю задавать вопросы по статусу проверки и слышать емкий ответ - проводим анализ документации. Более продвинутые сотрудники безопасности научились «эксплуатировать» бизнес путем постановки задач на проведение анализа данных. Здесь мы также не застрахованы, что от нас не скроют именно то, что мы ищем или мы в лучших традициях настолько завуалируем истинную цель запроса, что получим общий срез по данным в информационных системах. С развитием технологий анализа данных, работа с привычным Excel приобретает новый формат обработки данных. Базовые знания в этой области позволяют на примерах задач, с которыми мы сталкиваемся каждый день в работе и можем потратить на их выполнение целый день, неделю, месяц, на самом деле решаются нажатием пары кнопок. Существуют и более дружественные для пользователя системы – Power BI, а также отечественные разработки, например, Форсайт. Руководитель подразделения безопасности, заинтересованный в развитии функции может организовать коллективное обучение за вменяемые деньги, а дальше множество роликов в интернете или наличие в штате собственного аналитика данных выведут на абсолютно новый уровень проверки гипотез и выявления системных проблем. И насколько мы умеем «доставать» цифровые данные, читать их, интерпретировать их различную совокупность, настолько зависит эффективность функции Безопасность в выявлении признаков коррупции или корпоративного мошенничества

От цифр к контролям.

Мы отлично поработали - накопили целую библиотеку знаний по системным проблемам бизнеса и рискам. Что с этим делать теперь? Классическая модель – направить в бизнес и ждать, когда все рекомендации, конечно же, не будут выполнены. А через некоторое время на вопросы топ-менеджмента уверенно ответить «мы провели расследования и проверки, подготовили рекомендации, а вот они (бизнес) их не выполнили». Крайне нелогичная позиция рассказывать бизнесу, что спасение утопающих дело самих утопающих, но фактически в подавляющем большинстве компаний происходит именно так. Альтернатива – переформатировать накопленные знания в конкретную программу мероприятий/стратегию развития безопасности предприятия, сформировать дорожную карту, ключевые показатели эффективности и необходимый бюджет. Тем самым обеспечить удовлетворение бизнеса в понимании, какой уровень сервиса безопасности может и готова обеспечивать Служба безопасности. При реализации системных автоматизированных контролей рабочий день сотрудника безопасности теперь начинается не с размышлений «чем сегодня заняться», а с разбора конкретных задач по разбору тревог и инцидентов, будь то в закупочной деятельности или обеспечении пропускного и внутриобъектового режима.

Аналитика как метод выявления рисков.

Что же в итоге нам дают новые компетенции подразделения безопасности? На поверхность всплывает страшная истина, которую сложно принять – противоправные деяния можно выявлять без наличия оперативно-розыскной информации.

Приведу пример из практики одной из крупнейших российских металлургических компаний. В рамках знакомства с новым курируемым направлением – транспортная логистика предприятия, была проведена аналитика структуры распределения заявок на предоставление услуг специализированной техники. Выяснилось, что 70 процентов автовышек предоставляет одна транспортная компания и не по самому выгодному ценнику. Жалоб от других контрагентов на то, что их игнорируют при направлении заявок, не было. Департамент логистики заинтересовался статистикой и ограничил долю привлечения транспорта от одной компании в 30 процентов, так как они несут прямые финансовые потери на тарифах. Вот здесь уже и начались атаки от начальника автоцеха, что заявки не закрываются, от «монополиста», что техника простаивает. В результате оперативных мероприятий оказалось, что ответственный за распределение заявок менеджер неплохо устроился и получал ежемесячно по 400 тысяч рублей в качестве вознаграждения. А компания получила «монополиста», который всегда готов откликнуться и закрыть потребность компании по выгодной для него цене и наращивал производственные мощности, имея четкое представление о загрузке работой в долгосрочной перспективе. Менеджер и «монополист» были в сговоре. Схема благополучно существовала несколько лет.

Рекомендация.

Отходите от сложившихся стереотипов оказания сервиса безопасности, не отставайте от бизнеса в развитии, иначе вы бесконечно будете разговаривать на разных языках и скармливать топ-менеджменту сказки в стиле Братьев Гримм о невероятных мифических драконах, но так и не сможете их найти, а уж тем более поймать.

Автор: Лисенков Никита, Руководитель направления по развитию Дирекции по безопасности ПАО "НЛМК"Член ICSA.

https://icsa.club/ru/

https://t.me/ICSA_NEWS