Корпоративная крепость: как выстроить систему противодействия мошенничеству в компании
Корпоративное мошенничество является одной из самых серьезных угроз для бизнеса. Грамотно выстроенная система безопасности обеспечит сохранность активов и конфиденциальной информации, а также позволит сохранить устойчивость компании, в том числе за счет быстрого и эффективного реагирования на правовые, операционные, финансовые и иные риски.
Согласно исследованию Deloitte Forensic «Корпоративное мошенничество», в 2021 году более 60% мошеннических действий в компаниях стали возможными из-за отсутствия системы внутреннего контроля или ее неэффективности.
Рассмотрим пять базовых шагов для построения эффективной системы противодействия корпоративному мошенничеству. Для наглядности представим эту систему в виде крепости, которую мы будем возводить блок за блоком.
1. Фундамент крепости — понимание бизнес-модели. Необходимы знания отраслевых особенностей и рисков, государственного регулирования. На этом этапе анализируется производственная цепочка, актуализируются технологические карты, выявляются зоны рисков на каждой стадии бизнес-процесса: закупка, производство, продажа.
2. Следующий блок — описание и стандартизация бизнес-процессов, подготовка регламентов, должностных инструкций. Эти регламенты должны зафиксировать алгоритм принятия решений. Начать стоит со следующих процессов:
— платежи;
— согласование договоров;
— бюджетирование;
— закупки;
— продажи.
3. Третий блок крепости — автоматизация и цифровизация. Сюда относится использование CRM- и ERP-систем, облачных хранилищ, современных сервисов мониторинга. Основная цель этапа — снижение человеческого фактора, увеличение скорости, повышение надежности и прозрачности бизнес-процессов.
Другой важной функцией этого блока является консолидация и защита данных компании от удаления, повреждения или искажения. Система должна фиксировать все изменения, предоставлять возможность безопасного и анонимного подключения, ограничивать доступ к конфиденциальной информации за счет введения разных уровней допуска. На помощь могут прийти такие продукты, как DLP-системы и SIEM-системы. Первые контролируют каналы данных и их потоков и блокируют передачу конфиденциальной информации. Вторые выявляют и идентифицируют различные инциденты информационной безопасности, позволяя обеспечить защиту от внешних атак.
Кроме того, существуют системы учета рабочего времени и активности сотрудников (Crocotime), которые фиксируют и анализируют цифровой след действий сотрудника в системе.
4. Выстраивание систем внутреннего и внешнего контроля.
Внутренняя система строится на двойном контроле и разделении полномочий:
— ограничение полномочий органов управления: изменение положений уставов, положений о советах директоров (СД), иных корпоративных документов;
— проведение реальных, не номинальных заседаний СД;
— введение независимых членов в СД;
— создание профильных комитетов и комиссий при СД. Например, комитет по вознаграждениям должен решать проблемы невыплаченных бонусов и внутренних конфликтов, а комитет по аудиту обеспечивать проведение независимых проверок деятельности компании;
— создание службы внутреннего контроля с подчинением ее СД.
Внешняя система строится на независимых целевых проверках под контролем собственников или их представителя, включая:
— проведение систематических сплошных или выборочных инвентаризаций;
— осуществление параллельных выборочных закупок с получением коммерческих предложений;
— создание Центра финансового контроля (онлайн-услуги электронного банкинга); актуально для дочерних и зависимых обществ холдинговых компаний, проектного финансирования, стартапов, строительства.
5. Последний и очень важный блок крепости — взаимодействие с людьми. Этот этап включает в себя выстраивание системы ценностей, корпоративной культуры, создание объективной системы мотивации руководства и работников, в рамках которой оценивается вклад сотрудника и определяется вознаграждение за него, но при этом подразумевается наказание за действия, наносящие урон компании.
Также необходимо обеспечить контроль сотрудников при приеме на работу и периодические проверки в процессе работы, обеспечить физическую охрану: камеры, пропускной режим.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Согласно исследованию Deloitte Forensic «Корпоративное мошенничество», в 2021 году более 60% мошеннических действий в компаниях стали возможными из-за отсутствия системы внутреннего контроля или ее неэффективности.
Рассмотрим пять базовых шагов для построения эффективной системы противодействия корпоративному мошенничеству. Для наглядности представим эту систему в виде крепости, которую мы будем возводить блок за блоком.
1. Фундамент крепости — понимание бизнес-модели. Необходимы знания отраслевых особенностей и рисков, государственного регулирования. На этом этапе анализируется производственная цепочка, актуализируются технологические карты, выявляются зоны рисков на каждой стадии бизнес-процесса: закупка, производство, продажа.
2. Следующий блок — описание и стандартизация бизнес-процессов, подготовка регламентов, должностных инструкций. Эти регламенты должны зафиксировать алгоритм принятия решений. Начать стоит со следующих процессов:
— платежи;
— согласование договоров;
— бюджетирование;
— закупки;
— продажи.
3. Третий блок крепости — автоматизация и цифровизация. Сюда относится использование CRM- и ERP-систем, облачных хранилищ, современных сервисов мониторинга. Основная цель этапа — снижение человеческого фактора, увеличение скорости, повышение надежности и прозрачности бизнес-процессов.
Другой важной функцией этого блока является консолидация и защита данных компании от удаления, повреждения или искажения. Система должна фиксировать все изменения, предоставлять возможность безопасного и анонимного подключения, ограничивать доступ к конфиденциальной информации за счет введения разных уровней допуска. На помощь могут прийти такие продукты, как DLP-системы и SIEM-системы. Первые контролируют каналы данных и их потоков и блокируют передачу конфиденциальной информации. Вторые выявляют и идентифицируют различные инциденты информационной безопасности, позволяя обеспечить защиту от внешних атак.
Кроме того, существуют системы учета рабочего времени и активности сотрудников (Crocotime), которые фиксируют и анализируют цифровой след действий сотрудника в системе.
4. Выстраивание систем внутреннего и внешнего контроля.
Внутренняя система строится на двойном контроле и разделении полномочий:
— ограничение полномочий органов управления: изменение положений уставов, положений о советах директоров (СД), иных корпоративных документов;
— проведение реальных, не номинальных заседаний СД;
— введение независимых членов в СД;
— создание профильных комитетов и комиссий при СД. Например, комитет по вознаграждениям должен решать проблемы невыплаченных бонусов и внутренних конфликтов, а комитет по аудиту обеспечивать проведение независимых проверок деятельности компании;
— создание службы внутреннего контроля с подчинением ее СД.
Внешняя система строится на независимых целевых проверках под контролем собственников или их представителя, включая:
— проведение систематических сплошных или выборочных инвентаризаций;
— осуществление параллельных выборочных закупок с получением коммерческих предложений;
— создание Центра финансового контроля (онлайн-услуги электронного банкинга); актуально для дочерних и зависимых обществ холдинговых компаний, проектного финансирования, стартапов, строительства.
5. Последний и очень важный блок крепости — взаимодействие с людьми. Этот этап включает в себя выстраивание системы ценностей, корпоративной культуры, создание объективной системы мотивации руководства и работников, в рамках которой оценивается вклад сотрудника и определяется вознаграждение за него, но при этом подразумевается наказание за действия, наносящие урон компании.
Также необходимо обеспечить контроль сотрудников при приеме на работу и периодические проверки в процессе работы, обеспечить физическую охрану: камеры, пропускной режим.
