Рубрика: Risk management

Рубрики
Business Internal Audit Internal control Risk management

Есть ли у вас план, мистер Х?

– Навеяно и стимулировано статьёй Романа Макеева (https://svk4u.ru/?page_id=4641) и всем моим пожизненным опытом.

Как планировать работу внутреннего аудита? Нужен ли план с датами начала и окончания аудита, с расчётом потребных ресурсов (то есть аудиторов), человеко-часов и диаграммами Ганта?

С этого я начинал когда-то, будучи довольно молодым и зелёным руководителем внутреннего аудита. Начитался о том, что план должен строиться на основе оценки риска. Правда о том, как оценивать эти риски, никто не озаботился написать. Но таковы стандарты ВА – сказано мудрым филином, что мышки должны стать ёжиками, а вот как именно – это уже тактика, а ею мудрый филин не занимается.

Шли годы, были проведены сотни аудитов и расследований и наступило прозрение, что планировать работу внутреннего аудита не надо – от слова совсем. Если вы после этих моих слов уже отошли от инфаркта, выписались из больницы и прошли полный курс реабилитации, то читайте дальше.

Что мы имеем в реальности:

  1. Количество ресурсов у внутреннего аудита на порядок или два меньше, чем необходимо для сколь-нибудь чувствительного охвата окружающей реальности. Если запланировать всё, что нужно, и встать рядом с этими планами, то ваше микроскопическое существо на фоне планов будет незаметно без мелкоскопу.
  2. Жизнь в лице генерального директора и СД постоянно дарит нам сюрпризы. То председателю СД прислали анонимку на начальника транспортного цеха, и требуется разобраться, покарать невиновных и наградить непричастных в течение недели. То Иван Иванович, начальник снабжения, вусмерть разосрался с Иваном Никифоровичем, который технический директор. И генеральный, который тоже директор, с криком «ату его» будет вас науськивать покусать одного или другого.

И такая дребедень целый день, как сказал поэт. В общем, свои планы аудитор может распечатать на мягкой бумаге в трех экземплярах согласно количеству кабинок в туалете.

  1. Вам зачем нужны даты начала и окончания аудита каждого процесса? Вы подумайте, только головой. Возможно, они нужны проверяемым, чтобы вовремя обновить запасы валидола и вазелина. А вам-то зачем? Всё равно из-за внеплановых работ все даты поплывут, и потом надо будет корректировать план, чтобы он был достойно выполнен. Вместо того, чтобы планировать нереальное и потом подгонять планы под реальность, подвесьте интригу. Чтобы не знали проверяемые, когда к ним придут и придут ли вообще в этом году. Такая русская рулетка. А ваши сотрудники будут потихоньку сливать инсайд снабженцам или сбытовикам, что к ним едет ревизор. Вот так совсем просто можно поднять престиж внутреннего аудитора в компании. Жизнь заиграет красками.
  2. Риск-ориентированный подход, говорите? Ой, только не надо мне рассказывать про оценку рисков по методу светофора. Он же метод блондинки. Лучше не позорьтесь. Оценивать риски никто ещё не научился. Потому что если бы такой человек появился, он бы стал миллиардером в течение года, оценивая риски в целях личной наживы. И весь ваш внутренний и внешний аудит ему бы никуда не упал. А те клоуны, которые называют себя риск-менеджерами, и рисуют всякие вары, – так это они попросту соврамши.
  3. Да и к чему оценивать риск того, ворует ваш начальник снабжения или технический директор или нет? Конечно, воруют. Это не риск, а факт, как говорил мой знакомый из Норникеля. Воруют (я имею в виду под словом «воруют» не ст.158 УК, а широкий спектр деяний и злоупотреблений) все, всегда и везде. Там, где только есть возможность. Поэтому ткни пальцем в случайного менеджера, и если он после аудиторской проверки будет на свободе, то это не его заслуга, а ваша недоработка.

В общем, подводим итого.

В следующий раз, когда пойдёт разговор о планировании работы ВА, подсуньте вашему начальнику эту статеечку. Пусть не утруждается расчётами человеко-часов. Человечки все известны, их часы сочтены, а работы – просто океан вычёрпывать бумажными стаканчиками.

Для оценки рисков заведите себе специальный белый кубик с черными точечками. Когда появится время куда-то сходить на проверку, подбрасываете кубик, и, согласно выпавшему номеру, посещаете фигуранта. Сколько вы на него времени потратите – зависит от объёма его деяний. Иногда, копнув только для порядка, обнаруживаешь, как сперли 500 млн. долларов. И такое бывало. Но это отдельная долгая и печальная история.

А вы – живите проще, живите веселее. И будет вам счастье.

Рубрики
Business Events Intelligence Internal Audit Internal control Investigations Risk management

Пора в школу

Предлагаю Вам краткую информацию о курсе обучения по темам “Внутренний контроль и безопасность бизнеса”. Сезон 2020-2021.

Рубрики
Business Events Experts Risk management

Вебинар Алексея Сидоренко

“Альтернатива картам рисков” Предлагаю Вашему вниманию, уважаемые читатели, новый вебинар Алексея Сидоренко, который состоялся 24.01.2020 на нашей (ACFE Russia) площадке вебинаров.

Вебинар просто отличный! Желаю всем просмотра с удовольствием и пользой для понимания природы рисков. Меня очень радует, что сообщество риск-менеджеров в результате долгого броуновского движения пришло, наконец (или вплотную приблизилось), к моему пониманию оценки рисков как процесса интеллидженс, которое я проповедую с 2016 года (http://bit.ly/2BoRdAa).

“Тепловые карты” рисков, наконец, умерли, как обыкновенное шарлатанство. RIP. Надеюсь, в скором будущем туда же последуют сакральные “метод монте карло” и статистика (см. мои писания от 2017 года: http://bit.ly/2yNS8as).

Я очень благодарен Алексею за его могучую деятельность в развитии риск-менеджмента! И только благодаря его огромной энергии он движется в своём развитии в правильном направлении!

Рубрики
Business Intelligence Internal Audit Internal control Investigations Risk management

Оценка рисков хищений. Поиск индикаторов хищений.

     Мы уже несколько раз обсуждали разные вопросы, связанные с оценкой рисков хищений на основе индикаторов. Я занимаюсь этой темой с 2011 года (если не раньше),  и был первым, кто вообще применил индикаторы для оценки риска хищений. В 2013 году совместно с компанией E&Y мы проводили масштабное исследование индикаторов хищений, но всё это тогда несколько опережало своё время. 

    Бодро подхватили за мной тему оценки рисков хищений по индикаторам несколько ораторов, звонко докладывали её на конференциях, забывая упомянуть, откуда они всё это слямзили. Но как-то лет за пять лет в их руках тема подзавяла. Дело в том, что в ней есть несколько тонкостей, до которых можно дойти, только руками перелопатив тысячи реальных случаев и понимая, что ищешь. А я о них не рассказывал. А они не понимали. Потому что, чтобы понимать, надо начинать с начала, а не хватать всё, что движется. 

   По тонкостям вы прочитали две моих статьи – по весам индикаторов риска, и по их значениям.  

     А сегодня я вам расскажу самое главное, о чем ещё никто не говорил и не писал. Это – как находить индикаторы хищений. То есть не их значения, а сами индикаторы. На что, собственно, смотреть?

    Это, кстати, еще и большая проблема для программ, называемых «искусственный интеллект». Конечно, совсем они не интеллект. Но всё же: если вы знаете индикаторы (как сущность, то есть куда смотреть), то любой «ИИ» вам найдёт и просчитает значения этих индикаторов. Вот беда: ни один ИИ такие индикаторы найти не может. На сегодня. 

    А это самое главное в оценке риска. Байка про то, что цена на овчину на рынке отслеживалась как индикатор близкой войны с Россией, имеют под собой логику. Для боевых действий в условиях русской зимы надо одевать солдат тепло. А для этого требуются сотни тысяч полушубков. И надо их закупать, и спрос на них начинает расти, а вместе с ним – и цены. И если цены на овчину повысились, значит, её кто-то закупает в огромных количествах. Для чего, догадаться несложно.

    И индикатор «цены на овчину» очень хорошо предсказывал близкую войну. Это, как вы заметили, уже совсем не оценка рисков хищений, а в чистом виде интеллидженс. И там проблема поиска индикаторов на первом месте.

    Еще пример индикаторов – объёмы продаж домиков на колесах (такой распространённый в США и Европе) вид отдыха – падали перед каждым экономическим кризисом. Примерно за полгода до кризиса люди переставали их покупать. Ну вообще. Это было перед каждым кризисом. Ещё никто про кризис не говорит, а люди перестали покупать трейлеры. 

    И те, кто знал этот индикатор, достаточно точно предсказали кризис 2008 года на полгода раньше. Согласитесь, это важно. А те риск-менеджеры, кто занимался  VAR и прочей статистикой, чертили очень красивые графики, но кризис проморгали. За счёт чего в поголовье риск-менеджеров тогда падеж случился. В 2009 году, как сейчас помню.

     Так вот, тем, кто подписан на мой платный паблик, я расскажу, как искать и находить индикаторы рисков хищений, и каких угодно других индикаторов, скрытых от пытливого взора юного натуралиста.

    Индикаторы (а не доказательства) используются в интеллидженс (так называется не разведка, а получение оценки вероятности события, при неочевидных и скрываемых фактах о нем).

    Продолжение: https://www.patreon.com/posts/31692388

Рубрики
Business Intelligence Internal Audit Internal control Investigations Risk management

Про оценку рисков хищений. Значимость и значения индикаторов хищений.

Раз уж мы обсуждали риски хищений в последнее время, хочется продолжить тему и обсудить с вами ещё одну важную деталь. Мы говорили о значимости (весе) индикаторов в общей оценке риска. Но есть ещё одна важная деталь – его значение. Надеюсь, все понимают разницу между значимостью и значением? Значимость – когда что-то для вас значит, имеет вес. Например, расположение вашей квартиры на шумной улице вас не радует, потому что вы ожидаете большой уровень шума, который мешает вам уснуть. Это значимость для вас факта жизни на центральной улице. Но по факту улицу закрыли на ремонт, и шума на практике нет. Это значение. То есть при потенциальносй значимости показателя, его реальное значение (и влияние на итоговый результат) может быть совсем разным.

Не знаю, насколько вы обратили внимание на такое: у индикатора хищения, кроме веса (который показывает его относительную значимость по сравнению с другими индикаторами), может быть ещё одно свойство, которое можно выразить количественно. Это – собственно его значение, то есть насколько сильно выражен сам индикатор. Можно сказать, это отклонение от среднего (или нормального) значения

Читать дальше (вы получите полный доступ ко всем материалам по подписке): http://bit.ly/32X8JY6

Рубрики
Business Internal Audit Internal control Investigations Risk management

Про индикаторы хищения

 Дорогие друзья! Сегодня мы поговорим об индикаторах хищения.  Дадим определение, посмотрим чем они  отличаются от прямых или косвенных доказательств.    

Итак, индикатор хищения – это факт, который обладает двумя свойствами:

1. Это факт, который обычно легко доступен, его очень сложно или невозможно скрыть. 

2. Обычно, этот факт сопутствует преступлению. То есть если мы видим преступление, то с той или иной вероятностью мы можем обнаружить индикатор, ему сопутствующий.    

Например, если менеджер совершил хищение, то он, скорее всего, будет жить не по средствам. В этом случае «жизнь не по  средствам»  это индикатор, который сопутствует хищению. Но в жизни нас интересует чаще всего обратная ситуация, когда мы видим индикатор  и на основании его предполагаем, что произошло хищение, о котором мы пока ничего не знаем.  

   Например, если мы заметили, что документы о производстве работ на стройке сделаны задним числом, то это часто связано с фальсификацией учета. А фальсификация учёта обычно используется для сокрытия хищения. Здесь индикатор «изготовление документов задним числом» обычно (часто) говорит нам о возможном хищении.

    Прошу обратить внимание на слово «обычно», то есть не всегда, но часто. Важно понимать, что индикатор хищения не безусловно сопутствует хищению. Может оказаться, что хищение есть, а индикаторов нет, и наоборот индикатор есть , а хищения нет.

    Поэтому индикатор ни в коем мере не может служить доказательством хищения! В этом  его  отличие от прямых и косвенных доказательств.

Проще запомнить их различия так:

 – прямое доказательство не требует домысливать и строить предположения. Например, прямым доказательством дефекта изделия является само изделие, содержащие этот дефект. Свидетельские показания обычно тоже являются прямыми доказательствами, если они описывают факт того, что свидетель видел своими глазами, а не его домыслы и предположения.

 – косвенные доказательства – это те же индикаторы. Общее между ними то, что требуется построение неких предположений о причинно-следственной связи между фактом-индикатором, и преступлением. Например, мы предполагаем,  что кладовщик купил иномарку, потому что ворует.  

А разница между косвенным доказательством и индикатором только в том, известно нам о факте преступления или нет. Если факт преступления состоялся, и нам о нём известно, то тот же самый индикатор мы называем косвенным доказательством. 

индикатор хищения: если о факте преступления нам неизвестно, и мы можем только догадываться и предполагать, что оно произошло или произойдёт, то тот же самый факт мы будем называть не косвенным доказательством, а индикатором. 

Итак, теперь мы знаем, что существуют: прямые доказательства, косвенные доказательства, и индикаторы хищений. 

Как ими пользоваться при проведении внутреннего расследования? Давайте оставим за рамками нашего рассмотрения официальное правосудие. Мы работаем в компании и проводим внутреннее расследование (или аудиторскую проверку).

Кстати, в любой системе права понятие индикатора преступления не существует. Нельзя считать, что преступление произошло и человек его совершил только на основании того, что у нас есть индикаторы преступления. Какое бы количество индикаторов мы не нашли. 

Индикаторы преступления или злоупотребления – это всего лишь способ оценить риск того, что преступление произошло с высокой степенью вероятности или может произойти в будущем. А на основе вероятностной оценки юридическая ответственность не наступает (о чём часто и успешно забывают аудиторы).

В то же время, если факт преступления известен, то суд может признать обвиняемого виновным на основании совокупности косвенных доказательств. Это право суда. 

Применяя индикаторы для оценки риска хищений, забудьте навсегда о возможности на этом основании привлечь сотрудника к уголовной ответственности. 

Тогда зачем же они нужны и как их использовать? А самое главное, как их придумывать? Об этом – в продолжении этой статьи в своём платном паблике https://lnkd.in/gj6sBeG

Полный доступ в течение целого месяца ко всем материалам стоит как бутылка водки. А пользы – намного больше.. 

Рубрики
Business Events Intelligence Internal Audit Internal control Investigations IoT Risk management Social Engineering

Организация комплексной системы безопасности бизнеса коммерческой компании.

Форма проведения: тренинг, рабочее совещание, консультация.

Ближайшая доступная дата: конец сентября 2019.

Продолжительность: два-четыре рабочих дня.

Про что это:   Это такая “организованная экскурсия” по системе безопасности бизнеса компании – как это должно быть. Какие подразделения, какие функции, проблемы взаимодействия, координации и KPI – и как их решать. Комплексная система безопасности бизнеса – это когда все функции защиты бизнеса скоординированы, риск-ориентированы и нет “дыр” и “нахлёста” функций в системе защиты бизнеса. Как создать, организовать, управлять. Самое главное из моего более чем 20-летнего опыта непрерывного совершенствования процессов защиты бизнеса. Фокусы – непременно с разоблачением.

Каждый специалист, работающий в определённом подразделении (риск-менеджмент, внутренний аудит, СЭБ) никогда не видел работу других подразделений защиты бизнеса “изнутри”. Покажу, расскажу и посоветую. Обсудим внутреннюю кухню каждой функции. Наступит понимание и появится картинка системы безопасности бизнеса “с вертолёта”, что сильно облегчает жизнь.

Что это даст компании: значительное сокращение расходов на выполнение функций, сокращение потерь из-за ситуаций “у семи нянек дитя без глазу”, укрепление корпоративной культуры и бизнес-этики.

Уровень участников: руководители и старшие специалисты, хотя будет полезно на вырост  и начинающим специалистам. А, может быть, это как раз то, с чего им и надо начинать. Получается, этой теме все возрасты покорны;)

Программа: Часть вопросов для обсуждения (не все):

– что такое “защита бизнеса” в современную технологическую эпоху интернета вещей и больших данных; карта рисков и угроз бизнеса. создание комплексной системы защиты бизнеса;

– что такое “управление рисками” в защите бизнеса. Какие бывают риски и как их оценивать; чем должен заниматься риск-менеджер, если он есть; что делать, если его нет; что такое риски хищений и непроизводительных потерь и что с ними делать;

– организация программы противодействия хищениям в компании, основные подводные камни и возможные результаты;

– внутренний контроль на современном уровне – что это такое; кто и как им будет заниматься, когда он полностью уйдет в сферу автоматизированных контрольных процедур. Особенности технологий интернета вещей и больших данных во внутреннем контроле; стандартизация и унификация процесса разработки контрольных процедур;

– внутренний аудит – блеск и нищета теорий внутреннего аудита; чем и как должен заниматься внутренний аудит; организация работы – планирование, отчётность, KPI, мотивация, подбор персонала;

– служба экономической безопасности: профилактика и выявление, расследование злоупотреблений, привлечение к ответственности, взаимодействие с правоохранительными органами, обучение и аттестация персонала; основные приёмы эффективного проведения внутреннего расследования

– информационная безопасность в современных условиях. Принципы обеспечения и противодействия социальной инженерии

– бизнес-этика, корпоративная культура и человеческий фактор – что это такое на самом деле, как они работают и что с ними делать.

– интеллидженс в бизнесе: что это такое, основные задачи и методы. Чем интеллидженс отличается от аналитики. Некоторые полезные приёмы.

– другие вопросы эффективной организации защиты бизнеса.

Задать вопрос: info@acfe-rus.org

Дополнительно: список тем тренингов и консультаций

Рубрики
Business Internal Audit Internal control Risk management

Пресловутый “человеческий фактор”

«Это человеческий фактор” – говорят нам менеджеры, когда надо списать на обстоятельства непреодолимой силы свой очередной провал. И разводят руками.

А на самом деле, так ли этот мифический “ЧФ” непреодолим? Что это такое? А если разобраться, из чего он состоит? Какова его роль в системе внутреннего контроля и обеспечении безопасности бизнеса? Можно ли на него повлиять? Что для этого надо делать? Как оценивать (аудировать) устойчивость вашего бизнеса к “человеческому фактору”?

Когда все возможности для оправданий менеджером исчерпаны, он разводит руками и говорит «Это человеческий фактор» с таким видом, как будто человеческий фактор – нечто неизбежное-непреодолимое, как мировая революция и землетрясение одновременно.

Предполагается, что никто не будет задавать дальнейших вопросов, как и почему это произошло, и что делать, чтобы больше такого не случилось.

Так что такое человеческий фактор? Это синоним халатности, разгильдяйства, невнимательности, бестолковости?

По умолчанию предполагается, что человек действовал не так, как должен, находясь в здравом уме и твердой памяти.  И в результате случилось то самое – например, Чернобыльская катастрофа. Ну никто же не может предусмотреть, что выкинет то или иное человекообразное. Нажмёт не на ту кнопку, уснёт, когда не надо, замешкается от волнения и так далее.

Так проблема выглядит невооружённым глазом. Но если посмотреть на проблему внимательнее, то мы увидим некоторые интересные детали. Которые приведут нас к ещё более интересным выводам.

Да, человек имеет недостатки и особенности, по сравнению с автоматами и роботами. На его решения и действия влияют особенности работы его мозга, который может принимать неверные решения или не принимать их вовремя по разным причинам.

Самые частые из них:

– эмоциональное возбуждение, когда лимбическая система блокирует работу неокортекса в значительной степени и решения принимаются «на эмоциях»; сюда же относится воздействие на человека средствами социальной инженерии;

– человек действует из своих убеждений, предубеждений, не видит и не хочет видеть очевидное;

– так называемые «ментальные ловушки». Например, что 13,999 меньше, чем 14,000, хотя разница лишь в погрешности измерения.

– усталость от длительной непрерывной нагрузки, нехватки кислорода, когда мыслительные способности снижаются ниже уровня, необходимого для принятия правильных решений («голова не работает»).

– снижение способности принимать правильные решения под воздействием алкоголя, лекарств и других химических соединений.

– самоуверенность, самонадеянность как результат отсутствия знаний и опыта и переоценки своих сил и способностей.

Так вот, теперь самое время дать определение, что такое человеческий фактор. Я предлагаю такое определение:

«Человеческий фактор – это риск того, что особенности поведения и мотивации человека, его психологические и физиологические свойства не предусмотрены системой внутреннего контроля».

В моём определении впервые утверждается, что единственная причина проявления эффекта «человеческого фактора» – недостатки системы внутреннего контроля. Поясню подробнее. Сегодня любая сложная система является биотехнической системой, состоящей из двух компонент – человека и машины (под словом «машина» понимаем любую технику – компьютер, механизм, сеть, интернет вещей и так далее). В современной системе не только машина работает под управлением человека, но и одновременно и человек контролируется «машиной».  Машина контролирует поведение человека и управляет им в той или иной мере. И не всегда понятно, кто кого больше контролирует и у кого больше прав в таком контроле.

Причём по мере развития технического прогресса, управление человеком со стороны системы возрастает. И становится непонятно, как система, которая задумывалась как облегчающая жизнь человеку, на самом деле усложняет её. Вспомним, для примера,  систему антисваливания на Boeing 737 MAX. Она успешно противостояла действиям пилотов по управлению самолётом и в двух случаях сделала это настолько успешно, что теперь весь мировой парк этих Боингов стоит на приколе и ожидает, когда программное обеспечение самолёта доработают до такой степени, чтобы оно учитывало нормальную реакцию пилота на возникающие обстоятельства.

У меня есть ощущение, что наша ежедневная жизнь состоит из какой-то постоянной борьбы с разными системами, в попытках сделать что-то очень простое и естественное – например, положить деньги на мобильный телефон.

Проблема в том, что современные системы создаются без учёта реальных ситуаций, которые могут возникнуть у потребителя, а также от безудержного зуда внедрить «искусственный интеллект» для принятия решений где надо и не надо… Но это отдельная тема.

Поэтому, когда вы слышите выражение «человеческий фактор», то его надо переводить как «недостатки системы внутреннего контроля в области учета особенностей человека как части такой системы».

И теперь, когда у нас есть определение ЧФ и понимание, что это такое, нам осталось сделать совсем немного: научиться с ним бороться. То есть уменьшать риск возникновения «человеческого фактора» как причины сбоя системы.

Наверное, все находят естественным, когда сиденье водителя автобуса или самолёта проектируется так, чтобы соответствовать требованиям эргономики. Чтобы человек смог проработать в нем несколько часов, и без боли в спине.

Тогда почему тогда при разработке контрольных процедур никто и никогда не оценивает их с точки зрения риска «человеческого фактора»? Изучая отдельные контрольные процедуры, невозможно понять, как такую контрольную процедуру можно было сделать и надеяться, что «человеческий фактор» однажды не проявит себя в полной мере.

Что же нужно для того, чтобы минимизировать влияние «человеческого фактора» на работу биотехнической системы? Несколько основных правил:

… продолжение следует – в моем докладе «Человеческий фактор и внутренний контроль» на нашей ежегодной конференции “Комплексная безопасность бизнеса и противодействие хищениям”

Рубрики
Business Events Intelligence Internal Audit Internal control Investigations IoT IT Risk management Social Engineering

Консультации, обучение, практика

На этом сайте всегда не хватало чего-то существенного. Думал я долго и внимательно, и наконец, после неоднократных намёков от читателей, понял: не хватает перечня тех услуг, которые можно получить от меня.

И сегодня (26.04.2019) я исправил выявленный недостаток и таки сделал эту страничку, которая ведёт в бескрайние кладези накопленных мной опыта и знаний в сфере безопасности бизнеса.

Итак, если вы – собственник или (и) менеджер бизнеса, любите доверять людям и получаете от этого настоящее удовольствие, то пока не поздно, вам пора бы к доктору (то есть ко мне) сдавать анализы. Анализы вашего бизнеса и ваших подчинённых на уровень антител к мошенничеству. Бывают и негативные результаты теста, но нечасто.

А Вы – ничего так себе, продолжайте доверять и думать не о том, как меньше терять, а о том, как больше зарабатывать. Позитивное мышление продляет жизнь. Вам, но не вашему бизнесу.

Но в доме надо иметь и мясные закуски, а именно человека, который страдает легкой формой шизофрении и паранойи одновременно, что есть признак профессиональной болезни специалиста по безопасности бизнеса.

В народной мудрости “то что вы ещё на свободе – не ваша заслуга, а наша недоработка” что-то всё-таки есть.

А если Вы – профессионал и вам надоели обычные тренинги и вебинары, на которых вы узнаёте нового чуть меньше, чем ничего – то добро пожаловать сюда. Даю гарантию того, что информация, которую вы получите от меня, опережает ту точку времени, в которой вы сейчас находитесь, лет на 5-10.

И не будет никакой тягомотины с COSO, тремя линиями обороны и прочей псевдонаукой. Я никогда не рассказываю то, что вы можете прочитать где-то ещё. Моё время дороже. Конечно, мои тренинги копируют, и потом, морща лоб, пытаются рассказать своими словами то, что удалось понять. Естественно, на первоисточник (меня) не ссылаются. Но получается весьма жидко. Хотя и дешево.

Поэтому, кому нужно содержание, а не форма – добро пожаловать сюда. Кстати, по форме проведения любая из ниже перечисленных тем может быть в любом формате – от индивидуальной консультации до тренинга, и от выполнения работы на аутсорсинге по разработке методик и нормативных документов до совместной работы в составе вашей команды по решению конкретных задач.

Почти каждой теме есть ссылка (иногда и не одна даже) – на неформальное описание, о чём там будем разговаривать. За более подробной информацией и официальной программой – обращайтесь: info@acfe-rus.org

Итак, приступаем.

1. Организация комплексной системы безопасности бизнеса коммерческой компании.

Это такая “организованная экскурсия” по системе безопасности бизнеса компании – как это должно быть. Какие подразделения, какие функции, проблемы взаимодействия, координации и KPI – и как их решать. Комплексная система безопасности бизнеса – это когда все функции защиты бизнеса скоординированы, риск-ориентированы и нет “дыр” и “нахлёста” функций в системе защиты бизнеса. Как создать, организовать, управлять. Самое главное из моего более чем 20-летнего опыта непрерывного совершенствования процессов защиты бизнеса.

Каждый специалист, работающий в определённом подразделении (риск-менеджмент, внутренний аудит, СЭБ) никогда не видел работу других подразделений защиты бизнеса “изнутри”. Покажу, расскажу и посоветую. Обсудим внутреннюю кухню каждой функции. Наступит понимание и появится картинка системы безопасности бизнеса “с вертолёта”, что сильно облегчает жизнь.

Что это даст компании: значительное сокращение расходов на выполнение функций, сокращение потерь из-за ситуаций “у семи нянек дитя без глазу”, укрепление корпоративной культуры и бизнес-этики.

Уровень: руководители и старшие специалисты, хотя будет полезно на вырост  и начинающим специалистам. А, может быть, это как раз то, с чего им и надо начинать.

Развлекательно про проблему комплексной безопасности бизнеса:

“Ребята, кто сшил костюм?”

         – -Надо, Федя, надо!

2. Профессиональное проведение интервью при расследовании. Здесь. И здесь.

3. Проведение внутренних расследований. Здесь. И здесь. И здесь. И здесь. И здесь. И здесь.

4. Оценка рисков и интеллидженс в обеспечении безопасности бизнеса.

5. Новый внутренний контроль. Новые технологии. Стандартизация и унификация. Здесь. И здесь. И здесь. И здесь. И здесь. И здесь. И здесь. И здесь. И здесь.

6. Внутренний аудит в коммерческой организации. Создание, организация работы, управление и развитие. Здесь. И здесь. И здесь. И здесь. И здесь. И здесь.

7. Психотехники для внутренних аудиторов. Здесь.

8. Внутренний аудит капитального строительства. Здесь.

9. Внутренний контроль и аудит. Курс для линейных менеджеров. Здесь. И здесь.

10. Аналитические методы выявления и расследования хищений. Здесь.

11. Создание системы противодействия хищениям в коммерческой компании.

12. Этика бизнеса. Корпоративная культура. Добросовестный бизнес. Здесь. И здесь. И здесь.

Ежегодная конференция по противодействию хищениям. Здесь. И здесь.

Ежегодная конференция: Информационная безопасность бизнеса — взгляд изнутри компании. Здесь. И здесь. И здесь.

Корпоративный университет. Курс: «Безопасность бизнеса».

Вот так проходит тренинг:

Рубрики
Business Risk management

Как оценивать риски

     Когда к вам пришел человек, и пытается учить вас, как оценивать риски – спросите его только три вопроса, и пусть он подробно расскажет.

     Вопрос 1. Как он заработал свой первый миллион долларов (оценивая риски, разумеется).

    Вопрос 2. Как он заработал свой второй миллион долларов – опять же, оценивая риски.

    Вопрос 3. Как он заработал свой третий миллион долларов. И, снова – оценивая риски.

Обязательно три раза – один раз можно заработать случайно, как Талеб. И потом ездить по миру с лекциями “как заработать миллион”. Это называется “эффект сперматозоида” (читать здесь). То есть однократный эффект не канает.

    Да, и пусть наш герой подробно расскажет – как обогнал, как подрезал. И если расскажет – слушайте его потом внимательно – как оценивать риски. Если нет – гоните ссаными тряпками.

   Ну, не верю я в образ художника, который ради любви к искусству оценивает чужому дяде риски, и этот дядя зарабатывает на этом миллионы. А художник тем временем питается дошираком и выступает на конференциях и рассказывает, какой он крутой риск-менеджер. Если знаешь как заработать, оценивая риски – заработай. Личным примером, б… А потом учи других.

    Да, и это была самая полезная лекция по управлению рисками, которую вы слышали в своей жизни.

Да, и именно поэтому нанять на работу хорошего риск-менеджера стоит дорого. У вас столько денег не хватит.

    Вот вопросик от читателя поступил: – Мне кажется ваша логика утопией. По ней получается, что все кто не заработал не могут учить? Ну это же бред….

    Ответ: в общем случае те, кто учат, должны знать предмет лучше обучаемых. И в общем случае проверить это несложно. Учишь стрелять – вот тебе ружьё и мишень, покажи как умеешь.

С риск-менеджерами сложнее. Как оценить их качество? Складно пиз… рассказывать про вары умельцев до него и больше. Но к умению выявлять и оценивать риски это никакого отношения не имеет.

В то же время никто из этих риск-менеджеров ни разу не принёс компании никакой пользы, если не считать пользой красивые презентации с тепловыми картами рисков и всякими статистическими графиками.

В то же время странно, что умея оценивать риски, сей субъект ни разу не применил своё волшебное знание в целях личной наживы. А казалось бы, чего проще? Ну ладно. Это личное дело каждой отдельной компании – дежать попугая или нет.

Но когда ещё они берутся поучать других, как оценивать риски, наступает полный п-ц. Я просто не могу на это смотреть спокойно.

И вспоминаю классику:

” В половине двенадцатого с северо-запада, со стороны деревни Чмаровки, в Старгород вошел молодой человек лет двадцати восьми. За ним бежал беспризорный. — Дядя! — весело кричал он. — Дай десять копеек! Молодой человек вынул из кармана налитое яблоко и подал его беспризорному, но тот не отставал. Тогда пешеход остановился, иронически посмотрел на мальчика и воскликнул:

   — Может быть, тебе дать еще ключ от квартиры, где деньги лежат?

   Зарвавшийся беспризорный понял всю беспочвенность своих претензий и немедленно отстал.

    Молодой человек солгал: у него не было ни денег, ни квартиры, где они могли бы лежать, ни ключа, которым можно было бы эту квартиру отпереть. У него не было даже пальто. В город молодой человек вошел в зеленом, узком, в талию, костюме. Его могучая шея была несколько раз обернута старым шерстяным шарфом, ноги были в лаковых штиблетах с замшевым верхом апельсинного цвета. Носков под штиблетами не было. В руке молодой человек держал астролябию.”

Молодой человек был риск-менеджером.