Про обучение и проверку знаний
Навеяно обязательным обучением в компаниях, которое как раз часто проводят в начале года.
Во многих компаниях есть требования по обучению и проверке знаний среди работников, наверняка вы и сами не раз проходили что-то из этого:
- информационная безопасность
- техника безопасности
- риски
- коррупция
- комплаенс и/или ПОДиФТ т.д.
Набор может отличаться и зависит от сферы деятельности.

По хорошему аудит включает в программы проверок вопрос прохождения обучения.
Обычно проверяется:
- кто, когда проходил;
- когда обновлялись учебные материалы и программа;
- какие были результаты в баллах/%.

Но не так часто проверяют содержание материалов и вопросов в тестах:
- связаны ли они с материалом, который давался на обучении;
- отличается ли материал в зависимости от должности / функционала;
- правильно ли подобраны варианты ответов в тестах, возможно, ответы слишком очевидны или наоборот 4 ответа - "игра слов", как головоломка подходит, но задачу не решает;
- позволяет ли судить успешная сдача теста о том, что теперь работник хорошо знает вопрос в объёме достаточном для исполнения его обязанностей. Все ли ключевые моменты покрыты обучением и проверка именно этих знаний заложена в тест?

Например, я как-то давно проходила внутреннее обязательное обучение/тестирование по ПОДиФТ. Большая часть вопросов была в духе: в каком году был принят Закон, кем утверждены Правила внутреннего контроля. Такого рода вопросы "воруют" пространство у теста и ограничивают кол-во нужных. Или в материалы включались вопросы, которые можно было не заучивать, т.к. на этом участке от работника ничего не требовалось, контроли были вшиты в систему, отчеты формировались автоматически. Естественно, при таком подходе обучение было формальной галочкой и потерей времени для сотрудников. Пример старый, но реальный, после нашей рекомендации тесты были переработаны.

Вдруг кто не знает, бывает, что тесты готовит hr по материалам подразделения заказчика, ориентируясь на поставленную общую задачу: 20 тестов, по 4 варианта в каждом. Понятно, что по узким темам не специалист в этой сфере легко может не учесть важные нюансы, если ему их не подсветить.

🎁Хотите получше разобраться в этом вопросе - по ссылке пособие (не моё) по составлению тестов. Мне очень понравилось, после прочтения легче оценивать, достигает ли тестирование своих целей.
А здесь и здесь разбор, в каких случаях нужно рекомендовать "провести обучение", а в каких - нужно другое.
#аудит_учебныхпрограмм
#обязательноеобучение
#тестирование

Коллеги, добрый день!

На связи Мария.

Открываю год прогнозом рисков на 2023.

По традиции, начнем с мини-теста чтобы проверить себя или свою интуицию.

Цена доверия

Агентство по политическим рискам Eurasia Group опубликовало обзор Top Risks 2023.
Я намеренно не буду комментировать геополитику и соответствующие заключения экспертов, но остановлюсь на одном из рисков: искусственный интеллект.

В обзоре он значится как оружие “массового разрушения”, потому что подрывает доверие в обществе.

Возможности и мощь искусственного интеллекта растут экспоненциально, и революционные технологии уже способны влиять на динамику социума и манипулировать человеком. Например, языковые нейросети GPT-3 и GPT-4, созданные для генерации текстов, почти готовы к тесту Тьюринга. Этот тест определяет, способен ли машинный интеллект имитировать интеллект человека.


🔸 Какие риски несет в себе искусственный интеллект для бизнеса?

Искусственный интеллект может быть использован для генерации и распространения в соцсетях контента в целях саботировать деятельность компании:

▪️заведомо ложные отзывы о товаре,

▪️петиции в адрес менеджмента в целях манипулирования общественным мнением.

Как результат - изменение настроений инвесторов, корпоративный кризис, падение стоимости акций.


🔸 Какой можно сделать из этого вывод-рекомендацию?

Организациям: идентифицировать репутацию как актив и оценить внешний репутационный риск.

Компаниям-разработчикам: сфокусироваться на этической стороне искусственного интеллекта.


Поделитесь, пожалуйста, какие у вас мысли по поводу ИИ в текущих реалиях?
✏️

Замечали, что стоит о чем-то подумать/обсудить, и невольно начинает приходить информация на эту тему?
Я понимаю, рекламный трафик настроить))).
А тут после нашего обсуждения рисков, связанных с ИИ, чисто случайно попался отличный ресурс и классная статья в нем: прогнозы по видам мошенничества на 2023г.
Одним из ключевых проблем отмечается вопрос идентификации личности с учетом новых технологий. Прогнозируют, что это может привести к новым нормативным актам, связанных с требованиями к подтверждению личности.
Здесь же о новых правилах "убедительных доказательств", которые вводит Visa, ограничивающих возможности претензий в случае мошенничества с картами.
Новые варианты "технологического мошенничества" в банках могут стать причиной отзыва/приостановления запуска или развития цифровых продуктов.
2023 год в статье называют годом рассвета мошенников, отмеченный ускоренным использованием новых технологий.
В общем, надеюсь, убедила и вы уже читаете)))
#новыетехнологии
#мошенничество2023
#статья
#ИИ

Коллеги, приветствую!

В продолжение темы искусственного интеллекта. Если помните, я писала про языковую нейросеть GPT.

На сайте можно пообщаться с искусственным интеллектом, на английском языке.

Потребуется регистрация, подтверждение электронного адреса и телефона

Диалог с ИИ

Ради интереса, я спросила GPT про риски, связанные с ИИ для бизнеса.

Получила развернутый ответ, что риски варьируются от области применения и индустрии и могут включать:

1️⃣ Исчезновение ряда профессий - автоматизация на базе ИИ приведет к потере работы для определенных специальностей, которые могут быть заменены машинами

2️⃣ Дискриминация и предубеждения - системы ИИ сохраняют и усиливают предубеждения, заложенные в данных ИИ, соответственно, это ведет к несправедливым и дискриминационных результатам

3️⃣ Безопасность - системы ИИ подвержены кибератакам, соответственно конфиденциальная информация, обрабатываемая ими, может быть скомпрометирована

4️⃣ Комплаенс - бизнесы, использующие ИИ, могут подпадать под разное регулирование (например, персональные данные), а значит, обязаны будут обеспечить, чтобы системы ИИ соответствовали закону

🔸 Однако, не стоит забывать о возможностях, которые несет ИИ для бизнеса: повышение эффективности, экономия затрат, новые источники дохода. Подводя итог, бизнесам следует тщательно оценивать потенциальные риски и выгоды ИИ и принимать меры по уменьшению рисков.

Конец цитаты.

От себя дополню, что GPT активно используется студентами и школьниками для написания курсовых и эссе, о чем уже бьют тревогу преподаватели вузов и школ. Следует также иметь в виду, что подобные технологии генерируют результат, основываясь на массиве существующей информации, по сути выполняя роль поисковика правильного ответа на запрос
✏️

Коллеги, добрый день,

11 января Мировой экономический форум опубликовал доклад о глобальных рисках.

Ниже рассмотрим риски, тезисы, кластеры и принципы, а для начала разминка-тест

Доклад о глобальных рисках 2023-2033

Мировой экономический форум провел опрос 1200 специалистов из сферы науки, бизнеса, госуправления, международных сообществ и общественности и опубликовал результаты исследования в своем докладе.

С основными выводами доклада на русском языке можно ознакомиться на сайте РБК.


🔸 Доклад состоит из 3 частей и описывает:

1️⃣ каким образом текущие кризисы влияют на самые значительные по влиянию глобальные риски в перспективе 2023-25 гг.,

2️⃣ наиболее значимые риски в долгосрочной перспективе (10 лет),

3️⃣ возможные сценарии и взаимное рисков в совокупности, когда это ведет к ситуации “поликризиса” в условиях нехватки природных ресурсов к 2030 г.


🔸 Основные тезисы:

▫️Если в краткосрочной перспективе первое место занимает риск повышения стоимости жизни, то на 10-летнем горизонте - неспособность своевременно реагировать на изменение климата.

▫️Технологии, включая искусственный интеллект, квантовые компьютеры и биотехнологии, будут вести к растущему социальному неравенству.

▫️В долгосрочной перспективе все меньше стран будут способны инвестировать в социальную инфраструктуру, зеленые технологии, образование, здравоохранение, подрывая стабильность и развитие человеческого капитала в глобальном масштабе.


🔸 Кластеры рисков на 2033 г. и возможные варианты решений:

🔹Экосистемы природы
- изменение пищевой промышленности, моделей производства и потребления,
- изучение данных взаимосвязи между потреблением, климатом, энергоносителями и экосистемами.

🔹Здоровье человека
- пересмотр системы здравоохранения,
- продвижение принципов ЗОЖ.

🔹Угроза существования человечества
- прозрачность в вопросах контроля оружия и разоружения.

🔹Права человека, связанные с цифровизацией
- принятие мировых стандартов в отношении персональных данных.

🔹Экономическая стабильность
- списание национальных долгов, система финансирования и грантов.


🔸 Четыре принципа, чтобы обеспечить готовность к рискам:

✅ Сконцентрироваться на процессе выявления и прогноза рисков
✅ Провести калибровку текущей стоимости “будущих” рисков
✅ Инвестировать в меры по подготовке к рискам из разных доменов
✅ Укреплять сотрудничество при подготовке и реагированию на риск

✏️

Друзья, первый прототип Базы знаний для обсуждения готов!
По паре разделов заполнение в процессе - как обычно 2х рук сильно мало. Но, в целом картинка вырисовывается.

Будет здорово, если вы поделитесь своим впечатлением.

UPD: коллеги, файл на переработке.

Каждый из вас может внести свой вклад в пополнение нашей Базы знаний.
Вы можете заполнить простую формочку, а я обязательно все просмотрю и внесу.
Наверняка, у каждого есть своя "золотая коллекция" ссылок)), давайте делиться?

#исследования
#отчеты
#комплаенс
Коллеги, хочу поделиться ссылкой на отличный материал об организации,  развитии, сложностях и вызовах, актуальных для комплаенс-функции. Большое внимание уделяется вопросам автоматизации и участию комплаенс в бизнес-процессах компании.

Исследование проводилось
KPMG Caucasus and Central Asia совместно с Ассоциацией комплаенс и деловой этики Казахстана.
В исследовании приняло участие
7️⃣2️⃣2️⃣  руководителя направлений: комплаенс, юридических и финансовых подразделений, служб внутреннего аудита/контроля и безопасности из Казахстана, Узбекистана, Кыргызстана, Азербайджана, Грузии и Армении.

Полезно будет как самим представителям комплаенс, так и внутренним аудиторам для планирования проверок и определения наиболее приоритетных / уязвимых участков, неохваченных областей, подверженных комплаенс рискам.

Добрый день, коллеги!

Сегодня на повестке обзор от консалтинговой компании KPMG.

Документ касается официальных требований к аутсорсингу и риск менеджменту третьих лиц, принятых Комиссией по регулированию банковской деятельности (Великобритания) и вступивших в силу в 2022 г.

Для начала встречайте мини-тест про зарплаты и про юристов в разрезе третьих сторон.

Аутсорсинг и риск менеджмент третьих лиц


🔸 Типичные сложности, с которыми сталкивается бизнес, когда речь идет о риск менеджменте третьих сторон:

▪️Не хватает ресурсов для управления этими рисками на фоне постоянного возникающих угроз и рисков;
▪️Нет последовательности в подходах идентификации и управления рисками на всем жизненном цикле получаемой услуги (взаимоотношений с третьими лицами);
▪️Не используются все преимущества процесса автоматизации при принятии решений и мониторинга;
▪️Комплексность операционной модели, которая охватывает многочисленные аспекты бизнеса.


🔸 Требования регулятора в рассматриваемом случае включают:

1️⃣ Вовлеченность совета директоров
2️⃣ Ответственность высшего руководства
3️⃣ Оценка существенности риска (materiality)
4️⃣ Комплексная проверка (due diligence)
5️⃣ Условия соглашений
6️⃣ Непрерывный мониторинг
7️⃣ Безопасность данных
8️⃣ Облачные технологии
9️⃣ Обеспечение непрерывности бизнеса


🔸 KPMG предлагает план ключевых действий и перечень “акселераторов” по каждому требованию.

По данной схеме предлагаю остановиться на трех их из перечисленных требований:
- система управления,
- оценка существенности риска и
- комплексная проверка.


🔹 Система управления

✅ План
- Вовлечь совет директоров: представить имеющуюся политику по риск менеджменту третьих лиц, уровни риск аппетита;
- Определить зоны ответственности для управляющих директоров (chief operations function) и согласовать единый подход, политику, контроли;
- Определить потребности раскрытия данных и управленческой информации со стороны совета директоров, комитета по рискам, профильных комитетов;
- Установить четкие взаимосвязи и зависимости с программой операционной устойчивости (Operational Resilience);
- Вести регистр аутсорсинга в отношении существенных по значимости третьих лиц.

✅ Акселераторы
- Тренинг для совета директоров и высшего руководства;
- Шаблоны для предоставления данных и управленческой информации;
- Политика по аутсорсингу;
- Показатели ключевой эффективности;
- Шаблон анкеты третьей стороны.


🔹 Оценка существенности риска

✅ План
- Сегментировать “важные” услуги для бизнеса и соотнести их с программой операционной устойчивости;
- Провести оценку всех взаимоотношений с третьими сторонами независимо от того, подпадают ли они под понятие аутсорсинга.

✅ Акселераторы
- Модель оценки существенности риска в отношении третьих лиц;
- Инструменты оценки рисков, связанных с третьими лицами;
- Оценка риска третьих лиц, осуществляемая сторонними организациями (оценка риска привлеченной стороной как услуга).


🔹 Комплексная проверка (due-diligence) на стадии заключения договора

✅ План
- В отношении существенного по значимости аутсорсинга, проверять:
▫️бизнес модель,
▫️комплексность,
▫️финансовую ситуацию,
▫️структуру владения;
▫️способности, экспертизу и репутацию;
▫️финансовые, кадровые и технологические ресурсы;
▫️контроли и безопасность в отношении информационных и коммуникационных технологий;
▫️исполнителей услуг на суб-аутсорсинге.
- Обеспечить, что результаты проверки включают документацию в отношении четвертых сторон или соглашений на суб-аутсорсинг;
- Оценить наличие у третьей стороны контролей в отношении таких четвертых сторон.

✏️

В продолжение материала Марии и дискуссии, нашла свой дааавний пост, навеянный обсуждением с коллегами вопроса внешнего консалтинга. Чтоб было совсем полезно для практического применения, буду рада, если дополните, особенно тезисы "что нужно" и "как правильно".

Для чего или почему приглашают консультантов?
🔸️нет компетенций внутри компании на достаточном уровне;
🔸️нужен новый опыт для новых проектов;
🔸️нужен независимый взгляд;
🔸️меняется руководитель или собственник и нет доверия прежней команде или в короткие сроки нужно определить векторы развития;
🔸️проект сложный, в случае провала есть возможность переложить часть ответственности. Да, я действительно так думаю)

Обычно консалтинг работает поэтапно, например:
оплата 1️⃣: диагностика текущего состояния;
оплата 2️⃣: рекомендации по улучшению;
оплата 3️⃣: сопровождение внедрения.

Нарисовать красивую презентацию, разработать новую структуру, процесс - само по себе это не решит поставленных задач. Консультант - не лечит, он ставит диагноз, выписывает рецепты, назначает витамины. Какие-то действуют быстрее, другие - подороже и качественнее, а третьи необходимо принимать только в комплексе. Ответственность за выбор методов лечения (решения) всегда за Заказчиком. Но как и в медицине, ошибки в работе с консультантами могут дорого Вам обойтись.

Что нужно учитывать?
Развитие - это всегда изменения, но не всякие изменения ведут к развитию.
‼ консультант не гарантирует результат и не несет ответственности
‼ даже хорошие рекомендации могут быть не применимы в конкретный момент времени или в конкретной компании,
‼Заказчик может по своему реализовать идеи консультантов или не реализовать их вовсе.

Как правильно, #но_это_неточно:
⬇️выбор консультантов с похожими выполненными кейсами;
⬇️пошаговый план работ с указанием сроков, ожидаемых результатов и действий от обеих сторон;
⬇️список документов/данных, которые будут подготовлены на каждом этапе;
⬇️регулярная обратная связь и контроль хода работ Заказчиком;
⬇️закрепление метрик успеха в виде достигнутых показателей по итогам внедрения (хорошо разделить вознаграждение, выделив бонус за результат);
⬇️если в проект вовлечено несколько подразделений, важно предусмотреть оценку качества выполнения работ консультантом по каждому направлению.

Эти пункты, не гарантируют 💯% успех, но повысят уровень ответственности и заинтересованность консультантов.

🌐Международному каналу вакансий или выделенной рубрике быть и мы уже активно над этим думаем!

А пока начнем формировать Базу вакансий, посмотрим, где и кого ищут прямо сейчас, каких требований ждут от кандидата.

• Алматы
Вакансия внутреннего аудитора в VERNY CAPITAL

• Коллекция вакансий в Сингапуре (может нам пора больше узнать об этой стране🤔)
- Randstad Singapore,
Regional Internal Auditor
- TP ICAP, Senior Auditor
DB Schenker,
Senior Internal Auditor
- Internal Auditor
- Dyson,
Senior Internal Auditor
- Regional Internal Auditor-Retail
- Clermont Group,
Risk & Internal Auditor
- Senior Internal Auditor

• Европа, Ближний Восток, Африка (удалёнка)
Binance, не вн.аудит, но тоже контрольные функции
Quality Assurance Compliance Manager

Всем, кто в поиске, удачи🤞