Примерные вопросы для анкетирования
Какие-то из них можно чуть адаптировать и использовать в ходе непосредственного интервью.

1. Как Вы оцениваете итоги своей работы по 5ти балльной шкале? Вы довольны этим результатом?
2. Что из Ваших обязанностей удалось Вам в этом году лучше всего?
3. По каким вопросам Вам требовалась помощь коллег?
4. Как Вы считаете, каких компетенций в этом году Вам не хватило?
5. Как Вы планируете получить недостающие навыки или знания?
6. Опишите 3 пункта, за которые Вы отвечаете в Службе.
7. По каждому из пунктов своей зоны ответственности (см.выше) отметьте:
✅ оцените текущий уровень исполнения;
✅ укажите, что можно изменить или ввести, чтобы повысить эффективность или улучшить результат.
Для этого вопроса удобно сделать таблицу для заполнения.
8. Какие виды работ занимают у Вас больше всего времени? Как можно улучшить этот результат?
9. Как Вы оцениваете своё взаимодействие с объектами аудита по проведённым проверкам. Какие были сложности и как Вам удалось их преодолеть?
10. Какие цели/задачи Вы ставите перед собой на следующий год? Чем мы можем помочь в их выполнении?

❗К этой анкете, обязательно прилагается индивидуальный разговор, обсуждение результатов оценки и ожиданий.
Просто закинуть опросник - не сработает, результаты и планы нужно проговаривать.

#штрафы
#комплаенс
#банки
#чужиеграбли
Danske Bank выплатит 2,4 миллиарда долларов за сбои в сфере борьбы с отмыванием денег в качестве уголовных наказаний и других денежных штрафов

Это связано с крупной схемой отмывания денег, которая разворачивалась в Danske с 2007 по 2016 год, когда через филиал банка в Эстонии прошло подозрительных транзакций на сумму около 236 миллиардов долларов.

Уже в 2007 году внутренний аудит отмечал слабую организацию работы эстонского отделения по борьбе с отмыванием денег и надлежащей проверке клиентов. Высшее руководство банка и правление были в курсе, но эстонский филиал продолжал получать прибыль от отмывочных операций.

К 2013 году высшее руководство Danske в Копенгагене знало, что Danske Eesti предлагает услуги и продукты с высоким уровнем риска, которые банк не разрешал использовать в других отделениях.

Danske также закрывала глаза на отсутствие автоматизированного контроля для проверки клиентов и мониторинга транзакций. У Danske не было доступа к ИТ-платформе Danske Eesti и реальной информации о том, что там происходило. 

После проверки эстонского регулятора в 2014 году высшему руководству Danske был представлен разгромный отчет.Однако инвесторы так ничего и не узнали, Danske заявляла инвесторам о том, что ее процедуры AML были надежными.

В 2017г. СМИ разоблачили махинации Danske Eesti. Генеральный директор Danske Bank Томас Борген ушел в отставку в 2018 году, а в 2019 году датские правоохранительные органы предъявили ему обвинение в неисполнении служебных обязанностей. 
Глава эстонского отделения с 2007 по 2015 год Авиар Рехе, выступавший свидетелем по уголовному делу, в 2019 году был найден мертвым. Его смерть была признана самоубийством. 
По ссылке можно узнать о реформах, которые сейчас проводятся в банке и принятых им обязательствах.

Какие уроки аудиторам можно вынести из этого кейса?
- при наличии филиалов, дочерних компаний, должен быть обеспечен контроль по рисковым областям,  прозрачность, полнота раскрытия существенной информации для материнской компании;
- подходы и методы управления рисками должны быть синхронизированы и идти "сверху". Если на местах есть требования местного законодательства - они идут дополнительно и не отменяют контроли Центрального офиса;
- необходимо убедиться, что контроли внедрены в информационные системы, а не просто задекларированы на бумаге;
- периодический мониторинг корректного функционирования систем позволит снизить риск возможных сюрпризов;
- важно: каким образом и как быстро компания реагирует на несоответствия, которые выявляет внутренний аудит или регулятор.

Про обучение и проверку знаний
Навеяно обязательным обучением в компаниях, которое как раз часто проводят в начале года.
Во многих компаниях есть требования по обучению и проверке знаний среди работников, наверняка вы и сами не раз проходили что-то из этого:
- информационная безопасность
- техника безопасности
- риски
- коррупция
- комплаенс и/или ПОДиФТ т.д.
Набор может отличаться и зависит от сферы деятельности.

По хорошему аудит включает в программы проверок вопрос прохождения обучения.
Обычно проверяется:
- кто, когда проходил;
- когда обновлялись учебные материалы и программа;
- какие были результаты в баллах/%.

Но не так часто проверяют содержание материалов и вопросов в тестах:
- связаны ли они с материалом, который давался на обучении;
- отличается ли материал в зависимости от должности / функционала;
- правильно ли подобраны варианты ответов в тестах, возможно, ответы слишком очевидны или наоборот 4 ответа - "игра слов", как головоломка подходит, но задачу не решает;
- позволяет ли судить успешная сдача теста о том, что теперь работник хорошо знает вопрос в объёме достаточном для исполнения его обязанностей. Все ли ключевые моменты покрыты обучением и проверка именно этих знаний заложена в тест?

Например, я как-то давно проходила внутреннее обязательное обучение/тестирование по ПОДиФТ. Большая часть вопросов была в духе: в каком году был принят Закон, кем утверждены Правила внутреннего контроля. Такого рода вопросы "воруют" пространство у теста и ограничивают кол-во нужных. Или в материалы включались вопросы, которые можно было не заучивать, т.к. на этом участке от работника ничего не требовалось, контроли были вшиты в систему, отчеты формировались автоматически. Естественно, при таком подходе обучение было формальной галочкой и потерей времени для сотрудников. Пример старый, но реальный, после нашей рекомендации тесты были переработаны.

Вдруг кто не знает, бывает, что тесты готовит hr по материалам подразделения заказчика, ориентируясь на поставленную общую задачу: 20 тестов, по 4 варианта в каждом. Понятно, что по узким темам не специалист в этой сфере легко может не учесть важные нюансы, если ему их не подсветить.

🎁Хотите получше разобраться в этом вопросе - по ссылке пособие (не моё) по составлению тестов. Мне очень понравилось, после прочтения легче оценивать, достигает ли тестирование своих целей.
А здесь и здесь разбор, в каких случаях нужно рекомендовать "провести обучение", а в каких - нужно другое.
#аудит_учебныхпрограмм
#обязательноеобучение
#тестирование

Коллеги, добрый день!

На связи Мария.

Открываю год прогнозом рисков на 2023.

По традиции, начнем с мини-теста чтобы проверить себя или свою интуицию.

Цена доверия

Агентство по политическим рискам Eurasia Group опубликовало обзор Top Risks 2023.
Я намеренно не буду комментировать геополитику и соответствующие заключения экспертов, но остановлюсь на одном из рисков: искусственный интеллект.

В обзоре он значится как оружие “массового разрушения”, потому что подрывает доверие в обществе.

Возможности и мощь искусственного интеллекта растут экспоненциально, и революционные технологии уже способны влиять на динамику социума и манипулировать человеком. Например, языковые нейросети GPT-3 и GPT-4, созданные для генерации текстов, почти готовы к тесту Тьюринга. Этот тест определяет, способен ли машинный интеллект имитировать интеллект человека.


🔸 Какие риски несет в себе искусственный интеллект для бизнеса?

Искусственный интеллект может быть использован для генерации и распространения в соцсетях контента в целях саботировать деятельность компании:

▪️заведомо ложные отзывы о товаре,

▪️петиции в адрес менеджмента в целях манипулирования общественным мнением.

Как результат - изменение настроений инвесторов, корпоративный кризис, падение стоимости акций.


🔸 Какой можно сделать из этого вывод-рекомендацию?

Организациям: идентифицировать репутацию как актив и оценить внешний репутационный риск.

Компаниям-разработчикам: сфокусироваться на этической стороне искусственного интеллекта.


Поделитесь, пожалуйста, какие у вас мысли по поводу ИИ в текущих реалиях?
✏️

Замечали, что стоит о чем-то подумать/обсудить, и невольно начинает приходить информация на эту тему?
Я понимаю, рекламный трафик настроить))).
А тут после нашего обсуждения рисков, связанных с ИИ, чисто случайно попался отличный ресурс и классная статья в нем: прогнозы по видам мошенничества на 2023г.
Одним из ключевых проблем отмечается вопрос идентификации личности с учетом новых технологий. Прогнозируют, что это может привести к новым нормативным актам, связанных с требованиями к подтверждению личности.
Здесь же о новых правилах "убедительных доказательств", которые вводит Visa, ограничивающих возможности претензий в случае мошенничества с картами.
Новые варианты "технологического мошенничества" в банках могут стать причиной отзыва/приостановления запуска или развития цифровых продуктов.
2023 год в статье называют годом рассвета мошенников, отмеченный ускоренным использованием новых технологий.
В общем, надеюсь, убедила и вы уже читаете)))
#новыетехнологии
#мошенничество2023
#статья
#ИИ

Коллеги, приветствую!

В продолжение темы искусственного интеллекта. Если помните, я писала про языковую нейросеть GPT.

На сайте можно пообщаться с искусственным интеллектом, на английском языке.

Потребуется регистрация, подтверждение электронного адреса и телефона

Диалог с ИИ

Ради интереса, я спросила GPT про риски, связанные с ИИ для бизнеса.

Получила развернутый ответ, что риски варьируются от области применения и индустрии и могут включать:

1️⃣ Исчезновение ряда профессий - автоматизация на базе ИИ приведет к потере работы для определенных специальностей, которые могут быть заменены машинами

2️⃣ Дискриминация и предубеждения - системы ИИ сохраняют и усиливают предубеждения, заложенные в данных ИИ, соответственно, это ведет к несправедливым и дискриминационных результатам

3️⃣ Безопасность - системы ИИ подвержены кибератакам, соответственно конфиденциальная информация, обрабатываемая ими, может быть скомпрометирована

4️⃣ Комплаенс - бизнесы, использующие ИИ, могут подпадать под разное регулирование (например, персональные данные), а значит, обязаны будут обеспечить, чтобы системы ИИ соответствовали закону

🔸 Однако, не стоит забывать о возможностях, которые несет ИИ для бизнеса: повышение эффективности, экономия затрат, новые источники дохода. Подводя итог, бизнесам следует тщательно оценивать потенциальные риски и выгоды ИИ и принимать меры по уменьшению рисков.

Конец цитаты.

От себя дополню, что GPT активно используется студентами и школьниками для написания курсовых и эссе, о чем уже бьют тревогу преподаватели вузов и школ. Следует также иметь в виду, что подобные технологии генерируют результат, основываясь на массиве существующей информации, по сути выполняя роль поисковика правильного ответа на запрос
✏️

Коллеги, добрый день,

11 января Мировой экономический форум опубликовал доклад о глобальных рисках.

Ниже рассмотрим риски, тезисы, кластеры и принципы, а для начала разминка-тест

Доклад о глобальных рисках 2023-2033

Мировой экономический форум провел опрос 1200 специалистов из сферы науки, бизнеса, госуправления, международных сообществ и общественности и опубликовал результаты исследования в своем докладе.

С основными выводами доклада на русском языке можно ознакомиться на сайте РБК.


🔸 Доклад состоит из 3 частей и описывает:

1️⃣ каким образом текущие кризисы влияют на самые значительные по влиянию глобальные риски в перспективе 2023-25 гг.,

2️⃣ наиболее значимые риски в долгосрочной перспективе (10 лет),

3️⃣ возможные сценарии и взаимное рисков в совокупности, когда это ведет к ситуации “поликризиса” в условиях нехватки природных ресурсов к 2030 г.


🔸 Основные тезисы:

▫️Если в краткосрочной перспективе первое место занимает риск повышения стоимости жизни, то на 10-летнем горизонте - неспособность своевременно реагировать на изменение климата.

▫️Технологии, включая искусственный интеллект, квантовые компьютеры и биотехнологии, будут вести к растущему социальному неравенству.

▫️В долгосрочной перспективе все меньше стран будут способны инвестировать в социальную инфраструктуру, зеленые технологии, образование, здравоохранение, подрывая стабильность и развитие человеческого капитала в глобальном масштабе.


🔸 Кластеры рисков на 2033 г. и возможные варианты решений:

🔹Экосистемы природы
- изменение пищевой промышленности, моделей производства и потребления,
- изучение данных взаимосвязи между потреблением, климатом, энергоносителями и экосистемами.

🔹Здоровье человека
- пересмотр системы здравоохранения,
- продвижение принципов ЗОЖ.

🔹Угроза существования человечества
- прозрачность в вопросах контроля оружия и разоружения.

🔹Права человека, связанные с цифровизацией
- принятие мировых стандартов в отношении персональных данных.

🔹Экономическая стабильность
- списание национальных долгов, система финансирования и грантов.


🔸 Четыре принципа, чтобы обеспечить готовность к рискам:

✅ Сконцентрироваться на процессе выявления и прогноза рисков
✅ Провести калибровку текущей стоимости “будущих” рисков
✅ Инвестировать в меры по подготовке к рискам из разных доменов
✅ Укреплять сотрудничество при подготовке и реагированию на риск

✏️

Друзья, первый прототип Базы знаний для обсуждения готов!
По паре разделов заполнение в процессе - как обычно 2х рук сильно мало. Но, в целом картинка вырисовывается.

Будет здорово, если вы поделитесь своим впечатлением.

UPD: коллеги, файл на переработке.

Каждый из вас может внести свой вклад в пополнение нашей Базы знаний.
Вы можете заполнить простую формочку, а я обязательно все просмотрю и внесу.
Наверняка, у каждого есть своя "золотая коллекция" ссылок)), давайте делиться?

#исследования
#отчеты
#комплаенс
Коллеги, хочу поделиться ссылкой на отличный материал об организации,  развитии, сложностях и вызовах, актуальных для комплаенс-функции. Большое внимание уделяется вопросам автоматизации и участию комплаенс в бизнес-процессах компании.

Исследование проводилось
KPMG Caucasus and Central Asia совместно с Ассоциацией комплаенс и деловой этики Казахстана.
В исследовании приняло участие
7️⃣2️⃣2️⃣  руководителя направлений: комплаенс, юридических и финансовых подразделений, служб внутреннего аудита/контроля и безопасности из Казахстана, Узбекистана, Кыргызстана, Азербайджана, Грузии и Армении.

Полезно будет как самим представителям комплаенс, так и внутренним аудиторам для планирования проверок и определения наиболее приоритетных / уязвимых участков, неохваченных областей, подверженных комплаенс рискам.

Добрый день, коллеги!

Сегодня на повестке обзор от консалтинговой компании KPMG.

Документ касается официальных требований к аутсорсингу и риск менеджменту третьих лиц, принятых Комиссией по регулированию банковской деятельности (Великобритания) и вступивших в силу в 2022 г.

Для начала встречайте мини-тест про зарплаты и про юристов в разрезе третьих сторон.

Аутсорсинг и риск менеджмент третьих лиц


🔸 Типичные сложности, с которыми сталкивается бизнес, когда речь идет о риск менеджменте третьих сторон:

▪️Не хватает ресурсов для управления этими рисками на фоне постоянного возникающих угроз и рисков;
▪️Нет последовательности в подходах идентификации и управления рисками на всем жизненном цикле получаемой услуги (взаимоотношений с третьими лицами);
▪️Не используются все преимущества процесса автоматизации при принятии решений и мониторинга;
▪️Комплексность операционной модели, которая охватывает многочисленные аспекты бизнеса.


🔸 Требования регулятора в рассматриваемом случае включают:

1️⃣ Вовлеченность совета директоров
2️⃣ Ответственность высшего руководства
3️⃣ Оценка существенности риска (materiality)
4️⃣ Комплексная проверка (due diligence)
5️⃣ Условия соглашений
6️⃣ Непрерывный мониторинг
7️⃣ Безопасность данных
8️⃣ Облачные технологии
9️⃣ Обеспечение непрерывности бизнеса


🔸 KPMG предлагает план ключевых действий и перечень “акселераторов” по каждому требованию.

По данной схеме предлагаю остановиться на трех их из перечисленных требований:
- система управления,
- оценка существенности риска и
- комплексная проверка.


🔹 Система управления

✅ План
- Вовлечь совет директоров: представить имеющуюся политику по риск менеджменту третьих лиц, уровни риск аппетита;
- Определить зоны ответственности для управляющих директоров (chief operations function) и согласовать единый подход, политику, контроли;
- Определить потребности раскрытия данных и управленческой информации со стороны совета директоров, комитета по рискам, профильных комитетов;
- Установить четкие взаимосвязи и зависимости с программой операционной устойчивости (Operational Resilience);
- Вести регистр аутсорсинга в отношении существенных по значимости третьих лиц.

✅ Акселераторы
- Тренинг для совета директоров и высшего руководства;
- Шаблоны для предоставления данных и управленческой информации;
- Политика по аутсорсингу;
- Показатели ключевой эффективности;
- Шаблон анкеты третьей стороны.


🔹 Оценка существенности риска

✅ План
- Сегментировать “важные” услуги для бизнеса и соотнести их с программой операционной устойчивости;
- Провести оценку всех взаимоотношений с третьими сторонами независимо от того, подпадают ли они под понятие аутсорсинга.

✅ Акселераторы
- Модель оценки существенности риска в отношении третьих лиц;
- Инструменты оценки рисков, связанных с третьими лицами;
- Оценка риска третьих лиц, осуществляемая сторонними организациями (оценка риска привлеченной стороной как услуга).


🔹 Комплексная проверка (due-diligence) на стадии заключения договора

✅ План
- В отношении существенного по значимости аутсорсинга, проверять:
▫️бизнес модель,
▫️комплексность,
▫️финансовую ситуацию,
▫️структуру владения;
▫️способности, экспертизу и репутацию;
▫️финансовые, кадровые и технологические ресурсы;
▫️контроли и безопасность в отношении информационных и коммуникационных технологий;
▫️исполнителей услуг на суб-аутсорсинге.
- Обеспечить, что результаты проверки включают документацию в отношении четвертых сторон или соглашений на суб-аутсорсинг;
- Оценить наличие у третьей стороны контролей в отношении таких четвертых сторон.

✏️