🗞 Breaking news
У коллег встретила новость со ссылкой на источник из серии 🤯

"Из информированных источников стало известно, что в отношении высокопоставленного менеджера (этики и комплайнс) одного из крупнейших нефтегазовых операторов начато досудебное расследование по статье 147 УК РК «Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите».

Погуглила о чём речь: заявители отмечают о периодических "допросах", фактах изъятия,  сканирования телефонов, случаях давления с целью "признания" со стороны отдела по этике и комплаенс. Как я поняла - жалобы поступили по принятым в компании методам работы в рамках процедур антикоррупционного комплаенс.

Именно в этом кейсе не всё, наверное однозначно (судя по обсуждениям в сети, а проверенных лично источников у меня нет), рано делать выводы до завершения расследования.

Но это классный повод обсудить наши и "не наши" методы работы.

💭Вспомнила случай из своего опыта. Мы - новая команда, вникаем в процессы, знакомимся с людьми, первые проверки и встречи по ним. Коллега из "стареньких" предупреждает, что товарищ  N (руководитель среднего звена из проверяемых) "всех пишет на диктофон". Не афишируя, конечно, об этом своём "увлечении".

Я возмущенно делюсь с другими нашими ребятами этой информацией и в ответ получаю: "не переживай, мы его тоже пишем"))

Мы со своим коллективом беседу провели, что мы так не работаем и подобные методы у нас "вне закона".

Ну, а вдруг я в розовых очках и отстала от моды, что думаете коллеги насчет этичных или неэтичных методах сбора информации/ауд.доказательств? Что и в каких случаях для себя считаете возможным/ одобряемым/неприемлемым?

*для любителей опросов - сейчас закину

#новости
#этика
#комплаенс

Интересное исследование о мотивах работы и увольнениях от TYPICAL и Я-руководитель (2023г.).

Судя по итогам исследования респонденты показались  мне очень сознательными товарищами)

Прежде чем уволиться, они сначала пытались разобраться с проблемами, обсудив их с шефом (и не раз).
Как оказалось, часто их попытки безуспешны - сотрудники все равно уходят, если им не удаётся переломить ситуацию.

Исследование рассказывает:
✔почему людям 
нравится работать в найме;
✔почему  и как они
увольняются или вообще уходят из найма.

На текущем месте работы привлекает:
49,5% - заработная плата
47,3% -  уровень свободы в работе
Не нравится:
54,8% - не налаженные процессы
49,5% - не выстроена система развития сотрудников
26,9% - уровень оплаты
Насчет увольнений:
65% - при увольнении работников руководители не пытались ничего сделать
38% - систематически говорили о проблемах до увольнения, но не были услышаны
11% - остаются работать т.к отговорил руководитель.
Больше цифр и реальных цитат - в отчете.

#карьера
#начальникам

Исследование увольнений.pdf

Как усилить IT аудит

Интересный отчет от KPMG про внутренний IT аудит. Хорошие советы для IT аудиторов, но будет полезно для аудиторов, чья цель - быть приглашенным на стратегические сессии.

🔸Итак, по мнению KPMG, “поле аудита” меняется в сторону технологий и рисков, относящихся к информации. Поэтому IT аудитору нужно осознать свою стратегическую роль и ответить себе на такие вопросы:
▫️Как могу усилить личный бренд?
▫️Какую ценность и инсайты могу дать?
▫️Как обеспечить главную роль в подтверждении достоверности (assurance) совету директоров?
▫️Что сделать, чтобы руководство доверяло и было уверено во мне?

Двигаться к менее предсказуемым областям риска: быть первопроходцем и новатором. Также важно уметь выстраивать сильные отношения с заинтересованными сторонами: руководством, сотрудниками, клиентами, регулятором, поставщиками.

🔸Операционного риска уже недостаточно. Что нужно высшему руководству и комитетам по аудиту - так это стратегические советы относительно инвестиций, вкладываемых в будущее бизнеса - автоматизацию, сокращение расходов, клиентский опыт, а также новые инсайты, большая жизнестойкость относительно рисков кибербезопасности.

🔸Риски новых технологий для IT аудиторов:
▫️Облачные технологии
▫️Кибер защита
▫️Защита и конфиденциальность данных
▫️Принцип нулевого доверия
▫️DevSecOps
▫️Управление идентификацией и доступом
▫️Искусственный интеллект, машинное обучение и автоматизация процессов
▫️Model assurance
▫️Блокчейн, смарт контракты, NFT

🔸Человеческий элемент

🔹В режиме нехватки квалифицированных кадров предлагается внедрять:
- Гибридные программы обучения - интерактивные, академические, через тренировочные центры и кейсы;
- Программы мотивации аудиторов за выдающиеся результаты, поиск возможностей для автоматизации, командную работу, вклад в обучающие программы;
- “Умный” аутсорс - комбинация in-house и аутсорсинга

🔹Организуйте МФЦ внутреннего аудита, или Internal Audit Hub, чтобы компенсировать недостаток квалификаций. Что учесть при его построении:
- Вовлечь высшее руководство
- Диалог с ключевыми стейкхолдерами
- Согласовать приоритеты
- Тренинги и воркшопы
- Существующие технологии
- Постоянное улучшение дизайна
- Общайтесь с провайдерами квалифицированных кадров

🔸Как сделать аудит инновационным?

▪️Через лучшие практики agile
- Фокус на ценности для бизнеса
- Постоянный пересмотр приоритетов
- Прозрачность проектов
- Улучшение качества и сокращение ресурсов
- Коллаборация с аудитируемыми лицами
- Своевременные инсайты
- Ускоренный цикл аудита
- Постоянная коммуникация
- Меньше отходов и документации

▪️Путем повторения шагов
- Генерировать выводы (инсайты) через переформулировку проблемы и поиск данных
- Совершенствовать выводы, сводя их вместе и исследуя последствия
- Генерировать идеи и концепции, формулируя преимущества для бизнеса, модели создания ценности и планы достижения

✏️

Друзья, за последний месяц в канале и чате нас стало больше, спасибо вам за доверие и всем, кто нас рекомендует 💛

Пользуясь случаем, хочу предоставить возможность рассказать о себе нашим новым коллегам и тем, кто вроде как и не новенький, а в своё время представиться не успел или повода не было))

Это не принудительно, но очень рекомендую.
Зачем?
Когда знаком с человеком легче и за помощью обратиться, и себя проявить и попробовать порешать какие-то проблемки.
Возможно, здесь есть коллеги с одной сферы и даже с вашего города (можно встречаться за ☕).

А что рассказать о себе?
🚫 персональные данные не нужны;
✅ приветствуется написать имя, город, какая сфера или темы интересны, остальное - на ваше усмотрение (хобби?книга любимая, фильм?спорт? зачем вступили - ожидания?);
⚠️ осторожно, в чате может быть ваш шеф или коллеги)

#сообщество

#вебинары
📣Коллеги, бесплатный вебинар по вопросам кадровой безопасности (суды, конфликты, разглашение информации, причинение ущерба и т.д.).

Программа и ссылочка ниже

🗣Вебинар от КРЭБ АИС 🦀

"Позиции судов по конфликтным ситуациям, связанных с кадровой безопасностью. Кейсы 2023 года"

Трудовые споры и конфликты – это неизбежность в современном мире бизнеса. В таких ситуациях работодатели и работники часто обращаются к судам для разрешения противоречий. Однако, чтобы правильно аргументировать свою позицию в суде, необходимо хорошо разбираться в судебной практике и знать, какие решения принимаются по конкретным делам. На вебинаре мы разберем реальные кейсы 2023 года и проанализируем позиции судов по различным конфликтным ситуациям.

🔵Что конкретно рассмотрим:

⬇️ Конфликтные ситуации, связанные с разглашением охраняемой законом тайны;
⬇️ Особенности доказательства вины работника при разглашении коммерческой тайны, персональных данных или иной конфиденциальной информации;
⬇️ Конфликтные ситуации, связанные с причинением ущерба работодателю и третьим лицам;
⬇️ Конфликтные ситуации, связанные с контролем работников;
⬇️ Правовые основания использования видеонаблюдения и технических средств защиты информации для контроля за персоналом.

📍 Спикер: Панкратьев Вячеслав Вячеславович - преподаватель АИС, полковник юстиции в запасе, заведующий кафедрой безопасности в Университете государственного и муниципального управления, эксперт в области корпоративной безопасности, защиты активов и управления рисками.

🕓 Дата: 20 ноября в 15:00

🖼 Формат: онлайн

🔗 Регистрация на вебинар

✉Друзья, очередной #вопросотучастника (кейс), который, может возникнуть у каждого.

"На фоне регулярных запросов-заданий от менеджмента (кроме проверок вн.аудита) вдруг прилетела претензия "вашу работу мало видно".

При этом, зачастую, такие доп.задания  - это область работы других подразделений.  А тут раз нам поручают - значит больше доверяют.
Но в определенные моменты видимо об этом забывается вышестоящими и уже понимается "как должное".

Вот думаю, как сделать нашу работу более видимой, чтоб не получать такой обратной связи?
Что уже делаем:
- помимо отчетов о проверках, шеф раз в месяц "докладывается наверх";
- проводим обучение / дни открытых дверей;
- в отчетах всегда оцифровываем результаты.

В целом, я вижу, что к нашему мнению прислушиваются, коммуникации с коллегами из других подразделений хорошие - пользу приносим.
То есть, вопрос именно в восприятии руководством.
Ну а вдруг вы что-то ещё новое попробовали, может формат какой?"

❓Добавление - вопрос уже от меня, как бы вы среагировали на подобные претензии топа, если понимаете, что делаете тонну всего и это несправедливо?
Мне всё же кажется, в данном случае, триггернуло именно это. Автора вопроса знаю лично, та ещё трудяга и подавать информацию умеет.

🐍Эффект кобры
Коллеги, встретила интересный термин, вдруг вы тоже ещё не знаете?

История термина начинается в Индии во времена британского колониального правления.
В тот период развелось слишком много кобр и лучшим придуманным решением было внедрение "системы мотивации".

За каждую голову змеи полагалась награда.
И это вначале сработало, количество змей уменьшилось в разы. Но..
Индийцы оказались не глупыми людьми и стали разводить кобр, чтоб получать "бонус")).

В итоге, когда премия за убитую кобру была отменена, разводчики выпустили змей на волю, и оказалось ядовитых змей стало больше, чем до запуска программы.

Ещё примеры:
✏Во Вьетнаме в период французского правления колониальные власти разработали аналогичную программу по уничтожению крыс. Население стало зарабатывать их разведением.

✏Немецкий экономист Хорст Зиберт отмечал в своей примеры из сферы экономики и политики, когда власти, принимая меры регулирования каких-то проблем, не учитывали в полной мере, каким образом будут действовать те лица, на которых рассчитаны эти меры воздействия.
Пример - выплата щедрых пособий по безработице в Германии. Власти внедряли их в качесте соц.поддержки, чтоб люди смогли спокойно найти новую работу. А людям понравилось получать деньги просто так и в итоге безработица в Германии только выросла.

Итого, эффектом кобры называют решения, принимаемые без должного анализа проблемы, не достигающие при этом желаемого результата.
Источник

❓Добавите свои примеры?)

О других интересных эффектах можно почитать в чате, например:
1 | 2 | 3 | 4

🔥Успеть везде: полезная подборка мероприятий на ноябрь
✍Для тех, кто в выходные занимается планированием  - выбирайте и отмечайте в календаре

1️⃣6️⃣ ноября
«Форум этики в сфере искусственного интеллекта: Поколение GPT. Красные линИИ» Ссылка и отличная подборка материалов по теме от Маргариты, автора канала ComplianceCraft.
Формат: онлайн, бесплатно.

2️⃣0️⃣ ноября
Бесплатный онлайн - вебинар от КРЭБ АИС
"Позиции судов по конфликтным ситуациям, связанных с кадровой безопасностью. Кейсы 2023 года"
Его уже здесь успела проанонсировать.

2️⃣2️⃣ ноября
Profit Security Day 2023 — конференция об информационной безопасности в Казахстане
Форматы: онлайн/офлайн, бесплатно.

2️⃣3️⃣ ноября
Онлайн-конференция
152-ФЗ (требования законодательства РФ): что важно знать бизнесу, чтобы работать с персональными данными правильно.
Формат: онлайн, бесплатно.

2️⃣9️⃣ ноября
Форум Compliance Community Day от Ассоциации комплаенс и деловой этики (Казахстан) для руководителей и специалистов комплаенс, ПОД/ФТ, ответственных по этике и других работников смежных подразделений.
Формат: офлайн, цена символическая (15 000 тенге).

А ещё у нас в Казахстане
1️⃣5️⃣ ноября День национальной валюты, он же День финансиста / банковского работника - мой любимый праздник корпоративного мира. У нас его отмечают все работники финансового сектора. Потусим с коллегами🎉

#мероприятия #конференция
#вебинары

📣Fraud Awereness Week: что за событие?

Международная неделя осведомленности о мошенничестве пройдет с 12 по 18 ноября 2023 года.
Это ежегодное мероприятие, проводится уже 24 года.
🎯Цель: "продвижение" важности предотвращения и обнаружения мошенничества.

По аналогии с Internal Audit Awareness Month (ежегодно проводится в мае)
Fraud Awereness Week - это глобальное движение по повышению осведомленности и просвещения по вопросам борьбы с мошенничеством. 

Мой вклад - интересная статья под утреннюю чашечку ☕ - о предлагаемых современных мерах и антифрод подходах.

🎈Хотите поддержать инициативу? Приглашаю вас в комментариях поделиться своими ссылками на полезные анти-фрод материалы, ресурсы, статьи и почитать подборки коллег.

Ранее в канале:
🖇Шикарный отчет - исследование Global State of Scams Report 2023
🖇Ссылка на подборку с материалами, посвященными Global Romance Scam Awareness Day - Всемирый день осведомлённости о мошенничестве в романтических отношениях
🖇Обзор и ссылка на лонгрид о мошенничестве основателя Frank
🖇Статья о 20летнем опыте "ненастоящего" психиатра
🖇Пост со ссылкой на отличный антифрод - ресурс и классной статьёй - прогнозом и будущих видах мошенничества с ИИ

#мошенничество
#рекомендую_сообществу
#полезное

Сегодня в Казахстане самый "финансовый" праздник страны - День национальной валюты. Он же - День банковского работника, негласно - День банкира)

Поздравляю всех причастных с 30летием тенге👏👏👏

Благополучия, финансовой удачи, карьерных успехов и чтоб валюты на счетах хватало на все ваши планы!

🍂Всем доброго осеннего утра, друзья.

✉У нас новый вопрос в рубрике #вопросотучастника , приглашаю к обсуждению:

"Коллеги,  поделитесь пожалуйста, как вы проверяете расходы на it разработку (капекс и опекс), которая идет как собственными силами  так и с привлечением внешних консультантов и разработчиков  (при наличии собственного штата разработчиков)? 

Привлекаете ли внешних экспертов для такой оценки  или у вас есть такие эксперты в штате аудита?"

Спасибо за доверие тем, кто присылает такие "жизненные" вопросы и всем, кто участвует в их разборе 💛

Не сталкивались с такой ситуацией, как в вопросе или не уверены в правильном ответе? У нас тут философия, что любое мнение и мысль может оказаться полезной. Часто хорошие идеи как раз появляются в ходе обсуждения.

Тоже хотите опубликовать свой вопрос для обсуждения в чате? - пишите @Katerina_proaudit. Если сомневаетесь что именно/как спросить - помогу сформулировать. Денег не беру😁, но буду рада вашим отзывам и рекомендациям нашего сообщества🙌

Друзья, с началом новой недели!
✉новый #вопросотучастника

"Какие риски несет организация и ее руководство при продолжении работы с компаниями, которые входят в санкционные списки США и Евросоюза.
Нюансы: Руководитель компании -  гражданин Германии, сама компания - резидент РФ.

Например, варианты:
- проблемы у шефа потом на Родине?)
- проблемы/отказ других партнеров работать с нами, если мы работаем с компаниями из сан.списков."

Примечание от меня: речь о компании в РФ. Если хотите помочь "не публично", можно написать в личку мне, опубликую обезличенно.

🤔 Из того, что точно могло бы быть у нас и то, что сразу приходит на ум: риски вторичных санкций. Плюс остальное зависит от деятельности и масштабов сотрудничества, есть ли зарубежные партнеры, многое ли на них завязано.
Как сказывается на деятельности санкционных компаний ввод санкций - не повлияет ли это критично на их бизнес и возможность исполнять обязательства. Что-то в этом духе.

UPD: не всё так однозначно, коллеги подсказали о других рисках.

✏🗒Друзья, дополнение ещё одного события в ваш календарь на ноябрь:

2️⃣2️⃣ ноября
Profit Security Day 2023 — Конференция об информационной безопасности в Казахстане.
Бесплатно.

❗У них вроде всегда есть записи потом, поэтому рекомендую зарегистрироваться, даже если онлайн не сможете принять участие.

#мероприятия
#конференции
#кибербезопасность

Новое исследование от экспертов «Инфосистемы Джет»: Атаки инсайдеров: угроза внутри периметра.

🔢Несколько интересных / полезных цифр из отчета:
▶️43% компаний не принимают контрольных мер в отношении сотрудников из группы риска;
▶️в 63% случаев отсутствие возможности своевременного реагирования - причина успешной реализации действий инсайдера;
▶️в 70% компаний критичные недостатки в процессе управления доступами;
▶️25% компаний до увольнения контролируют все каналы передачи информации увольняющихся работников и блокируют потенциально опасную передачу.

Что ещё интересного в отчете о результатах исследования?
✔3 типа инсайдеров (инсайдеры по незнанию / нелояльные и откровенно зарабатывающие) и какие опасности исходят от каждого;
✔основные этапы инсайдерской цепочки Insider Kill Chain и чем они характеризуются;
✔какие меры технического и организационного характера могут быть приняты / принимаются для защиты на различных этапах:
✔заметание следов инсайдером: он может "наследить" ещё больше - на что обращать внимание;
✔несколько интересных кейсов, описание хода действий инсайдеров и многое другое.

Хороший повод выяснить - какая работа проводится в отношении потенциальных инсайдеров в ваших компаниях. Все ли они идентифицированы или о ком-то забыли? Держим ли мы руку на пульсе по увольняемым работникам?

✍Больше интересных исследований в канале и чате по тэгу #исследования, а тематические материалы и примеры кейсов по #кибербезопасность и #чужиеграбли