Интегрированная модель управления

🔸Концепции

Из возможных существующих концепций управления, Институт объединил в своем документе следующие:
- COSO Internal Control, Enterprise Risk Management
- International Internal Auditing Standards Board
- ISO 31000:2018 Risk management - Guidelines
- ISO 37000:2021 Governance of organizations
- ISO 37301:2021 Compliance management systems
- IIA Three Lines Model

🔸Эффективное управление

По мнению Института, социальная ответственность и долгосрочная жизнеспособность (long-term viability) напрямую не относятся к управлению, а являются характеристиками поведения организации. Например, организация может намеренно игнорировать общественные ожидания и/или поставить цель существования в краткосрочной перспективе. Это, в свою очередь, будет препятствовать эффективному управлению.

🔸Практическая модель:

Культура - структуры - приоритеты - показатели деятельности - мониторинг

У организации есть цель, и она функционирует в контексте внешнего окружения. Управление может попытаться влиять на внешние факторы, такие как политическая и регуляторная среда. Последние могут меняться применительно к контексту организации, но она не может их контролировать, а только пытаться влиять на них. Например, в форме лоббирования.

🔸Источники информации для мониторинга органами управления:

- Данные от первой линии
- Отчеты и закрытые совещания с независимыми функциями контроля - риск менеджмент и комплаенс
- Отчеты и закрытые совещания с внутренним аудитом, инсайты и советы, об эффективности процессов управления
- Внешний аудит и данные обязательных официальных отчетов
- Информация о нарушениях с горячей линии от персонала, формальная и неформальная обратная связь от клиентов

🔸Управление vs. Менеджмент

На высших уровнях организации наблюдается больше управления, чем менеджмента; на нижних уровнях - менеджмент возрастает, а управление сокращается.

🔸Философские трактовки риска

🔹Механический уровень

- Риск как опасность;
- изменяется в вероятном ущербе;
- используется применительно к безопасности (safety);
- физические контроли.

🔹Системный уровень

- Риск как возможное событие;
- последствия события и вероятность их наступления;
- COSO ERM, также концепция широко используется в коммерческой литературе США;
- Применяются “hard controls”, чтобы предотвратить, обнаружить и скорректировать негативные события;
- Могут применяться “soft controls” - поведенческие замеры (behavioural measures).

🔹Гуманистический уровень
- Риск как эффект;
- Последствия эффекта и вероятность наступления последствий;
- AS ISO 31000:2018, Австралийский стандарт;
- Значимость человеческих факторов. Контроли выстраиваются с пониманием человеческого поведения. Последнее наряду с культурой непосредственно влияют на все аспекты риск менеджмента.

✏️

Вчера на площадке ИВА Казахстан прошла наша Конференция (она стоит отдельно обзора), но было круто, финальным блоком которой был Круглый стол.

По программе я - основной ведущий плюс еще 2 наших коллег-экспертов. По факту - за "столом" оказались практически все участники. Оживлённый чат и включение "голосом" - рада, что ключевой выбрала именно эту проблематику.

Мне кажется это очень нас сплотило. И хоть пока 💯решения нет, коллеги знают, что это - проблема общая и есть то, что может подойти.

Планирую развёрнутый пост на эту тему.
❓Проверим совпадение по "болям", как думаете, о чём речь, что вызвало такой жаркий отклик?

*использование фото-отзыва согласовано с хозяйкой питомца))

#конференция

Любовь за деньги или какую тему я выбрала для обсуждения на Конференции

Выбрала одну из своих любимых - "Люди - главный фактор успеха и риска".

Знаю из обсуждений и в чате, и в личной переписке, что многим из вас эти вопросы также актуальны.

О чём говорили:
➡️ Как долго закрываются вакансии в СВА (2-3 месяца минимум/в кейсе, который я привела в пример - до 6 месяцев/по ИТ аудитору - коллега ищет с начала года, зп уже поднял 2 раза).

➡️ Специалисты с нужными компетенциями уже "хорошо" устроены, чтобы их привлечь нужно не просто повысить зп до рынка (не у всех есть такая возможность), но и превысить его. А иначе - зачем им идти на такие же условия и всё менять?

➡️ Те, кто готовы рассмотреть вакансии с предлагаемыми зп - в большинстве случаев остаются за бортом, т.к. у них нет нужных навыков / зрелости / не соответствуют по формальным требованиям (которые не всегда можно и поменять).

Или брать неподходящих (это не про опыт, а про ценность, экспертизу, обучаемость и т.д.), но "подешевле"?

➡️ Стареньким остаются "старенькие" зп (на них уже не нужно жениться их уже не нужно привлекать), а новых берут на новые оклады, чтоб их привлечь/схантить с другого места. Долго ли удержатся преданные "старички" и какую атмосферу это порождает в коллективе?

➡️ Сложности с процедурами повышения текущих окладов в СВА. Если у подразделений "под правлением" практически полный карт-бланш, для аудиторов, комплаенс, рисковиков каждый случай повышения рассматривается под лупой.

➡️ Руководители СВА с учетом предыдущего пункта не решаются разом вынести вопрос о повышении на "нормальные" суммы.

В итоге вроде и повышение прошло, а подняли на 3-5%, стоит ли ради этого вообще выносить вопрос, мотивируешь или разозлишь коллектив?

А у многих ограничение на частоту повышения - не чаще раза в год. Будут ли ваши сотрудники год ждать очередных 3%?

➡️ Зачастую оклады аудиторов (включая руководителей) ниже тех, кого они проверяют в разы. При этом сложность профессии, уровень ответственности, требований - несопоставимы.

➡️ Мы конкурируем за людей между компаниями или другими подразделениями в своих же организациях.
Сегодня для внутреннего аудитора рынок "кандидата", если кандидат стоит того.

🤔Может показаться, что эта история про любовь (к профессии) за деньги, а аудиторы такими быть не должны. Очень уж корыстный пост получился, что думаете?

#зарплата
#управление
#мотивация

🗞25.5% населения планеты обмануто на 1.026 трлн $.

Global Anti Scam Alliance (GASA) совместно со ScamAdviser презентовали результаты исследования Global State of Scams Report 2023.

В исследовании принимало участие 49 459 человек из 43 стран.

Что в отчете:
✔какой % участников уверены, что смогут распознать мошенничество и как на самом деле обстоит дело с этим?
✔как часто люди сталкивались с мошенничеством в мире?
✔какие виды мошенничества лидируют?
✔какие каналы чаще всего используются мошенниками?
WhatsApp, Telegram, Facebook, Instagram в отчете называют "горячими точками" для мошенничества;
✔глобальный феномен - повторная виктимизация, когда мошенники повторно преследовали свою жертву;
✔как часто люди сообщают о произошедшем с ними мошенничестве и почему они этого не делают;
✔как обычно люди перепроверяют информацию, чтобы избежать мошенничества;
✔кому удаётся вернуть потерянные средства;
✔помимо огромного финансового влияния отмечаются значительные эмоциональные последствия для жертв мошенничества.

Отчет содержит:
✔множество данных в разрезе стран, видов мошенничества;
✔несколько интервью с экспертами, которые делятся международным опытом и успехами в борьбе с мошенничеством, рассказывают о текущих "трендах" и уловках мошенников.

🔝причин/факторов, по которым чаще всего люди подвергаются мошенничеству:
📌получение слишком привлекательного предложения.
Недавно, на Антифрод Конференции услышала отличную фразу на эту тему: "если вы получили нереально выгодное предложение, значит вы и есть товар" (дословно могу ошибаться, но смысл такой);
📌неспособность выявить обман, недостаток знаний для распознавания мошенничества.

С отчетом можно и нужно ознакомиться как для работы, так и для себя по ссылке

#новости
#мошенничество
#исследования
#полезное
#чужиеграбли

Наш Networking day получился уютным дружеским вечером☕
✅6 человек из 4х стран;
✅1.5 часа;
✅десяток обсужденных тем и фактов из жизни 👀
Рассказать?)

О чём говорили, что узнали, что обсуждали?
- как олени угрожают урожаю и какого роста индейки в жизни;
- как набраться смелости и написать автору понравившейся книги;
- фасилитация - целая наука, достойная книг;
- о профессиональных сертификатах;
- футбол (игра или бизнес);
- зеленая тема: нефть, батарейки в электрокарах;
- что можно успеть кроме работы за 3 года удаленки;
- удаленка помогает удерживать в компаниях мам с детьми, а карьерный марафон - получать повышение;
- ходить на собеседования для нетворкинга;
- MBA для переезда и управленческой карьеры;
- участие в проектах или основная работа;
- смена стратегии поиска работы;
- хочешь изменений, а руководство за тихое болотце;
- чем чреваты разногласия с комитетом по аудиту;
- какая зима в Ташкенте;
- как пройти внешнюю оценку и за что "срезают" соответствие;
- книжные клубы и книжные рекомендации;
- немножко печалей банковских аудиторов;
- истории переезда, о возрасте и количестве "наследников" и т.д...

А думали перемыть косточки тем, кто не пришел)
#сообщество

LinkedIn плохого не посоветует

Ссылка в одном из постов сегодня на эту статью о силе профессиональных связей и построении сообщества "своих" для внутренних аудиторов.

Как думаете, подсмотрели мою идею))?
В общем, друзья-сообщники, мы в тренде👌

Хороший повод обратить внимание, какую роль играют профессиональные связи в вашей жизни и весь ли потенциал своего окружения вы используете и чем делитесь взамен?

Для любителей книг и исследований напомню о книге Большой потенциал (по ссылочке обзор с личными впечатлениями) как раз на эту тему.

#сообщество

Друзья, в Казахстане сегодня отмечают день аудитора🎊

От души поздравляю, карьерных побед, новых проектов, личных и профессиональных успехов!

Коллеги,
напоминаем, что в эту пятницу мы проводим встречу, посвященную мастермайндам #cамому_не_проще.
Это пилотный проект в рамках сообщества PROaudit, и мы приглашаем абсолютно всех!

Дата: 20 октября

Время: 21:00 Алматы / 20:00 Ташкент / 18:00 Москва / 16:00 Лондон / 11:00 Нью-Йорк

Продолжительность: 1 час.
- Вы узнаете, для чего нужны, как проходят мастермайнды, и научитесь собирать  свою группу
- Обсудим ценность мастермайндов для участников сообщества PROaudit
- Сформируем группу или группы и назначим дальнейшие встречи.

Мы уверены, что это классная возможность найти единомышленников, расширить профессиональные связи, прокачать свои навыки, а также получить порцию мотивации и вдохновения.

Встреча пройдет онлайн, ссылку опубликуем в день мероприятия. Ждем вас!

📣Друзья, сегодня и завтра пройдет Eurasian Data Protection Congress 2023 (EDPC).

Формат: онлайн/оффлайн.
Язык: русский и английский.
Участие бесплатно.

В программе*:
✔Законное распространение персональных данных или как не быть обвиненным в утечке.
✔Защита персональных данных с точки зрения комплаенса.
✔Идентифицированный и анонимный: когда лицо становится идентифицированным, и что за свойство - идентифицируемость

и другие важные вопросы по этой теме.

*Полная программа по ссылке: https://edpc.network/

Сама трансляция будет проходить здесь: https://www.youtube.com/watch?v=634HYa205ak

#мероприятия
#compliance
#данные #цифроваясреда
#кибербезопасность

✉Коллеги, получила сегодня практичный #вопросотучастника. Большинство из нас наверняка с этим сталкивались и либо решили, либо "привыкли".

"...Есть проблема в коллективе. Систематические задержки до 19-20-21 и даже 22 часов вечера. Именно систематические. На мой взгляд это не норма, хочу изменить ситуацию. Есть опыт? Какие-то советы может?"

Я попросила чуть больше подробностей для полноты картины. Вот они:
"Это не в командировках, где спешить некуда и сроки ограничены (командировок практически нет). Скорее вопрос в другом. В чем? Вот и пытаемся разобраться".

"Не хватает единиц в отделе. И это сказывается на работе подразделения".

"Неправильное распределение задач /, задач больше чем можем реально сделать".

"Есть кто не успевает, не может быстро или в течение дня расфокус. Помочь, пояснить, направить и пусть сидит разбирается».

Я так поняла, что сейчас уже у коллеги ситуация близка к "так принято", "неудобно/чревато уходить, если шеф сидит ещё" и "работа есть всегда".

❓Коллеги, что посоветуем? Есть у кого-то успешный кейс на эту тему? Кто уходит домой вовремя - так было исторически или что-то помогло?

Спойлер: сама ухожу вовремя, если не прям что-то экстренно-срочное

👋Напомню, что к каналу привязан чат, где живёт очень активное сообщество и делится своими мыслями, опытом и т.п.
Например, отсюда и далее начинается ветка обсуждения этого вопроса.

Если вы подписаны на канал, то видите только сообщения канала и прямые комментарии к ним. Вдруг вам этого мало)

Без денег
Коллеги, помню обещала вернуться к вопросу привлечения / удержания ресурсов в СВА.

Решений (кроме финансовых), которыми делились коллеги, не так и много:
✔присматривать себе кадры из других (не столичных) городов своей компании, например, при аудитах филиалов (бывает кто сам хочет переехать);

✔приглашать молодежь с потенциалом из других подразделений (знает инф.системы, какие-то процессы) - закладывайте время на обучение и не требуйте сразу много;

✔если зарплата как у всех - подумайте, ради каких плюшек кандидат может выбрать вас/или какие плюшки есть у других, которыми могут переманить ваших (зрелая корпоративная культура, интересные проекты, удаленка, гибкий график, столовая, оплата обучения, спортзал, скидки партнеров, садик для детей, организация мероприятий и т.д.)

Важно: об этом должны знать ваши потенциальные кандидаты - это история про сарафанное радио, бренд и работодателя и, в целом, репутация службы и руководителя СВА

🗣как руководители "наводят справки о потенциальных кандидатах, так и наоборот - имеет смысл задуматься о своей "проф.репутации" на рынке (у меня не так давно спрашивали про одного из руководителей, думаю и про меня узнают😄)

✔нормально (интересно, грамотно, без канцелярита и заезженных фраз типа дружного коллектива с раскрытием ваших преимуществ) составлять описание вакансии;

✔соизмерять требования к кандидатам с предлагаемой зарплатой и вашими реальными потребностями (если супер - английский и сертификация не дело первой необходимости - нужны ли они в резюме?)

✔обратить внимание на "воронку" кандидатов и как с ними общается ваш hr;

✔расширять поиск - проф.сообщества, друзья, соцсети компании и свои собственные;

✔банально - но попробуйте пройти "путь кандидата в аудиторы".
Видела не раз вакансии, на которые чтоб суметь откликнуться нужно пройти целый квест, регистрируясь на отдельных платформах и т.п. Может есть варианты проще?

Конечно, эти "танцы с бубнами", классный шеф, хорошая атмосфера не заменят достойной зарплаты. Но если вы на равных с другими - верю, что это поможет принять решение в вашу пользу.

А чем можно удержать вас?)

#карьера #персонал

20 октября в Астане прошла Конференция "KompraConf: Бизнес.Риски.Данные"

Уже второй год подряд пишу отзыв-впечатление о Конференции и активно #рекомендую_сообществу  как одно из интереснейших мероприятий.

Какие из обсуждаемых тем в этом году я отметила для себя как самые интересные:
✔обсуждение вопросов персональных данных / проектируемая приватность / кража личности;
✔кейсы-журналистские расследования от FBRK;
✔зарубежные"судебные" хроники - как источник информации о контрагентах;
✔know your employee;
✔инструменты и возможности OSINT.

Мне нравится воспринимать контент конференций - не просто как сборник лекций и докладов с классными спикерами.

Скорее это источник новых идей/инсайтов, которые можно брать на вооружение, далее изучить глубже и адаптировать под свои задачи, взглянуть на текущие процессы под новым "соусом".

Поделитесь, что ценного для себя "забрали" из последних мероприятий кроме сертификата участника?))

#конференции
#мероприятия

Впереди выходные - хорошая возможность "посетить" Конференцию, если вы все-таки её пропустили, приятного просмотра, друзья 🍿

Вчера, 29 октября у нас в Казахстане был День траура в память о погибших шахтёрах на шахте Костенко в Караганде. По последним данным погибло 46 человек, это ужасная трагедия для всего Казахстана. Соболезнования родным и близким.

Друзья, среди нас точно есть аудиторы из сферы производства. Я не знаю, как обстоит дело с независимостью - дают ли вам проверять на деле процессы, от которых зависит жизнь и здоровье людей.

Если вдруг вы сталкиваетесь с формализмом, препятствиях в таких проверках / понимаете, что кому-то будут спущены с рук нарушения, которые могут повлиять на чью-то жизнь, давайте пробовать вместе это поменять. (Можно написать в личку и вместе подумаем как на это повлиять).

Не буду спрашивать, дали бы вам "выпустить отчет" с замечаниями о рисках, которые могут привести к гибели людей.
Возможно, для кого-то эта страшная авария будет поводом задуматься о глубине, частоте таких проверок, о раскрытии результатов.

Отчет по результатам интервью и опроса профессионалов в сфере комплаенса северо-американских и европейских компаниях “2023: State of Governance, Risk, and Compliance Management”. Документ дает понимание бенчмаркинга и трендов в GRC программах.

Автор: NAVEX (Орегон, США) - компания предоставляет услуги консультирования в сфере ИТ, разработчик программного обеспечения в области риск менеджмента и комплаенс.

🔹С чем сталкиваются большинство комплаенс-профессионалов

1. Увеличение объема информации к сбору и анализу, начиная с финансовых контролей и заканчивая ESG и обучением персонала;

2. Трудности: недостаточно коммуникации и сотрудничества между отделами, разрозненность данных, нехватка поддержки от высшего руководства;

3. Что хотят: такую систему GRC, которая
▫️консолидирует разрозненные данные по организации, выгружает их в отчет, чтобы далее анализировать данные применительно к потенциальным рискам;
▫️отслеживает тренды и требования;
▫️добавляет новые и отсутствующие категории информации.

🔹По мнению 92% респондентов, наличие сильной и эффективной GRC программы - критическое условие для достижения главных бизнес целей: улучшение клиентского опыта, увеличение выручки и повышение операционной эффективности.
Данные и аналитика GRC программ критичны при принятии решений о денежных поощрениях (51% респондентов), распределении ресурсов/бюджетов (50%), инвестициях и обучении персонала (по 47%).

🔹Топ-3 источников внутрикорпоративной информации, на основе которых формируются GRC программы:
▫️кадровые риски и комплаенс-обучение,
▫️персональные данные, безопасность и IT контроли,
▫️финансовые контроли.
Информация о готовности к аудиту стоит на 9-м месте, а на 10-м - информация, связанная с риск менеджментом третьих сторон и цепочек поставок.

🔹Что препятствует построению всесторонней GRC программы?

По крайней мере 1 из 3 респондентов назвали в числе препятствий
▪️недостаточность технологий (программного обеспечения),
▪️финансовых ресурсов,
▪️нет общего понимания организационного риска,
▪️мало доверия и коммуникации между функциями в организации,
▪️недостаточно персонала,
▪️мало поддержки со стороны высшего руководства.

🔹Искусственный интеллект

98% считают, что ИИ способен улучшить качество GRC программ.
Примеры, где респонденты видят применение ИИ для комплаенс функции:
- сбор информации об инцидентах,
- интеграция данных о риске и статусе комплаенса по этому риску в отчет,
- отслеживание изменений требований регулятора,
- обучение персонала и третьих сторон,
- языковой поиск по организационным политикам,
- прогнозная аналитика потенциальных сфер риска,
- мониторинг рисков третьих сторон в реальном времени.

92% респондентов уверены, что в той или иной степени искусственный интеллект будет внедрен в комплаенс менеджмент их организаций в ближайшие 1-3 года.

P.S. Впервые встретила интересную формулировку, когда речь заходит о полномочиях сотрудника. Может кому-то пригодится.
🔸Я оказываю влияние на решения
🔸Я в составе команды, принимающей решения
🔸У меня основной голос при принятии решения

✏️