Аутсорсинг и риск менеджмент третьих лиц


🔸 Типичные сложности, с которыми сталкивается бизнес, когда речь идет о риск менеджменте третьих сторон:

▪️Не хватает ресурсов для управления этими рисками на фоне постоянного возникающих угроз и рисков;
▪️Нет последовательности в подходах идентификации и управления рисками на всем жизненном цикле получаемой услуги (взаимоотношений с третьими лицами);
▪️Не используются все преимущества процесса автоматизации при принятии решений и мониторинга;
▪️Комплексность операционной модели, которая охватывает многочисленные аспекты бизнеса.


🔸 Требования регулятора в рассматриваемом случае включают:

1️⃣ Вовлеченность совета директоров
2️⃣ Ответственность высшего руководства
3️⃣ Оценка существенности риска (materiality)
4️⃣ Комплексная проверка (due diligence)
5️⃣ Условия соглашений
6️⃣ Непрерывный мониторинг
7️⃣ Безопасность данных
8️⃣ Облачные технологии
9️⃣ Обеспечение непрерывности бизнеса


🔸 KPMG предлагает план ключевых действий и перечень “акселераторов” по каждому требованию.

По данной схеме предлагаю остановиться на трех их из перечисленных требований:
- система управления,
- оценка существенности риска и
- комплексная проверка.


🔹 Система управления

✅ План
- Вовлечь совет директоров: представить имеющуюся политику по риск менеджменту третьих лиц, уровни риск аппетита;
- Определить зоны ответственности для управляющих директоров (chief operations function) и согласовать единый подход, политику, контроли;
- Определить потребности раскрытия данных и управленческой информации со стороны совета директоров, комитета по рискам, профильных комитетов;
- Установить четкие взаимосвязи и зависимости с программой операционной устойчивости (Operational Resilience);
- Вести регистр аутсорсинга в отношении существенных по значимости третьих лиц.

✅ Акселераторы
- Тренинг для совета директоров и высшего руководства;
- Шаблоны для предоставления данных и управленческой информации;
- Политика по аутсорсингу;
- Показатели ключевой эффективности;
- Шаблон анкеты третьей стороны.


🔹 Оценка существенности риска

✅ План
- Сегментировать “важные” услуги для бизнеса и соотнести их с программой операционной устойчивости;
- Провести оценку всех взаимоотношений с третьими сторонами независимо от того, подпадают ли они под понятие аутсорсинга.

✅ Акселераторы
- Модель оценки существенности риска в отношении третьих лиц;
- Инструменты оценки рисков, связанных с третьими лицами;
- Оценка риска третьих лиц, осуществляемая сторонними организациями (оценка риска привлеченной стороной как услуга).


🔹 Комплексная проверка (due-diligence) на стадии заключения договора

✅ План
- В отношении существенного по значимости аутсорсинга, проверять:
▫️бизнес модель,
▫️комплексность,
▫️финансовую ситуацию,
▫️структуру владения;
▫️способности, экспертизу и репутацию;
▫️финансовые, кадровые и технологические ресурсы;
▫️контроли и безопасность в отношении информационных и коммуникационных технологий;
▫️исполнителей услуг на суб-аутсорсинге.
- Обеспечить, что результаты проверки включают документацию в отношении четвертых сторон или соглашений на суб-аутсорсинг;
- Оценить наличие у третьей стороны контролей в отношении таких четвертых сторон.

✏️

В продолжение материала Марии и дискуссии, нашла свой дааавний пост, навеянный обсуждением с коллегами вопроса внешнего консалтинга. Чтоб было совсем полезно для практического применения, буду рада, если дополните, особенно тезисы "что нужно" и "как правильно".

Для чего или почему приглашают консультантов?
🔸️нет компетенций внутри компании на достаточном уровне;
🔸️нужен новый опыт для новых проектов;
🔸️нужен независимый взгляд;
🔸️меняется руководитель или собственник и нет доверия прежней команде или в короткие сроки нужно определить векторы развития;
🔸️проект сложный, в случае провала есть возможность переложить часть ответственности. Да, я действительно так думаю)

Обычно консалтинг работает поэтапно, например:
оплата 1️⃣: диагностика текущего состояния;
оплата 2️⃣: рекомендации по улучшению;
оплата 3️⃣: сопровождение внедрения.

Нарисовать красивую презентацию, разработать новую структуру, процесс - само по себе это не решит поставленных задач. Консультант - не лечит, он ставит диагноз, выписывает рецепты, назначает витамины. Какие-то действуют быстрее, другие - подороже и качественнее, а третьи необходимо принимать только в комплексе. Ответственность за выбор методов лечения (решения) всегда за Заказчиком. Но как и в медицине, ошибки в работе с консультантами могут дорого Вам обойтись.

Что нужно учитывать?
Развитие - это всегда изменения, но не всякие изменения ведут к развитию.
‼ консультант не гарантирует результат и не несет ответственности
‼ даже хорошие рекомендации могут быть не применимы в конкретный момент времени или в конкретной компании,
‼Заказчик может по своему реализовать идеи консультантов или не реализовать их вовсе.

Как правильно, #но_это_неточно:
⬇️выбор консультантов с похожими выполненными кейсами;
⬇️пошаговый план работ с указанием сроков, ожидаемых результатов и действий от обеих сторон;
⬇️список документов/данных, которые будут подготовлены на каждом этапе;
⬇️регулярная обратная связь и контроль хода работ Заказчиком;
⬇️закрепление метрик успеха в виде достигнутых показателей по итогам внедрения (хорошо разделить вознаграждение, выделив бонус за результат);
⬇️если в проект вовлечено несколько подразделений, важно предусмотреть оценку качества выполнения работ консультантом по каждому направлению.

Эти пункты, не гарантируют 💯% успех, но повысят уровень ответственности и заинтересованность консультантов.

🌐Международному каналу вакансий или выделенной рубрике быть и мы уже активно над этим думаем!

А пока начнем формировать Базу вакансий, посмотрим, где и кого ищут прямо сейчас, каких требований ждут от кандидата.

• Алматы
Вакансия внутреннего аудитора в VERNY CAPITAL

• Коллекция вакансий в Сингапуре (может нам пора больше узнать об этой стране🤔)
- Randstad Singapore,
Regional Internal Auditor
- TP ICAP, Senior Auditor
DB Schenker,
Senior Internal Auditor
- Internal Auditor
- Dyson,
Senior Internal Auditor
- Regional Internal Auditor-Retail
- Clermont Group,
Risk & Internal Auditor
- Senior Internal Auditor

• Европа, Ближний Восток, Африка (удалёнка)
Binance, не вн.аудит, но тоже контрольные функции
Quality Assurance Compliance Manager

Всем, кто в поиске, удачи🤞

Мы уже не раз затрагивали тему рисков, связанных с ИИ.
Попалась статья, где эта тема также хорошо раскрывается.
И есть несколько рекомендаций, как понять, что перед тобой творчество ИИ.
Уверена это пока, дальше будет сложнее с идентификацией ((
#искусственныйинтеллект #ИИ #фрод #новыетехнологии #fraud

У каждого из нас есть свой багаж сожалений:
- чему-то не научились
- с кем-то не встретились
- где-то не поработали или работали слишком много/мало
- сказали лишнее или не сказали важного
- кому-то не поверили или поверили не тому
- не решились что-то изменить, попробовать
- куда-то не съездили или наоборот мало времени проводили с семьей,
это можно продолжать бесконечно..

В непростые моменты сожаления всплывают и кажется "если бы не.." жизнь сложилась бы совсем другой, более счастливой/успешной/богатой/интересной.

Так ли это?
У меня тоже есть свои "если", конечно (например, если б вовремя выучила английский, если б приняла несколько предложений по работе, от которых легко отмахнулась в своё время), но..кто знает, что было бы дальше, какая у меня была бы жизнь, было бы в ней то, что так дорого мне сейчас?

Для тех, кто задает себе подобные вопросы, примеряет на себя возможные сценарии, сильно рекомендую книгу "Полночная библиотека" Мэтта Хейга. Начало немного мрачноватое, видимо, чтобы больше погрузить читателя в безысходность героини. Так надо, не бросайте читать).

"Каждая книга здесь - это версия твоей жизни",
"..жизнь любого человека может развиться в бесконечное число вариантов".
"Каждая жизнь содержит миллионы решений".
"Есть жизни, в которых ты выбирала иначе..."
"Каждая книга даёт шанс попробовать другую жизнь...Увидеть как всё обернулось бы, принимай ты другие решения..."

Была уверена, что в одной из жизней она останется, но авторский финал ценнее. Дочитала быстро, сильно хотела узнать, чем кончится.

❓Сожалеете о каких-то своих решениях, хотели бы заглянуть, что было бы, если б поступили по другому?

#книжныйклуб

Добрый день, коллеги!

На связи Мария.

Сегодня представляю вам обзор от компании NAVEX на тему главных трендов комплаенс и риск менеджмента в 2023 г.

Ремарка к сегодняшнему тесту:

Whistleblowing - это сообщение о совершенных или предполагаемых неправомерных действиях в организации в адрес вышестоящих органов.

Главные тренды комплаенс и риск менеджмента 2023 г.

Автор: NAVEX (Орегон, США) - компания предоставляет услуги консультирования в сфере информационных технологий, разработчик программного обеспечения в области риск менеджмента и комплаенс.

1️⃣ Информирование о предположительно неправомерных действиях, или whistleblower

Всё больше стран принимают законы о защите информаторов, соответственно, будет увеличиваться число и разнообразие заявлений о нарушениях как непосредственно в организацию, так и в адрес регуляторов.
Компаниям предлагается обратить особое внимание на разработку программ о недопустимости преследований за информирование.

2️⃣ Цифровая трансформация для программ этики и комплаенса

Повышенный контроль со стороны регуляторов и внимание общественности ведет к формированию консолидированных информационных систем в отношении управления, рисков и комплаенс.
Важный аспект такой консолидации - это возможность предоставить доступ к данным не только руководству, но и сотрудникам, регулятору, общественности, иным заинтересованным сторонам.

3️⃣ Персональные данные

Приведен анализ законодательных инициатив на федеральном уровне США, на уровне штатов, а также инициатив Европейского союза и Великобритании. К весне 2023 планируется принятие финальной версии соглашения о трансатлантической передаче данных между Европейским союзом и США.

Для примера, тренды законодательных запретов в отношении персональных данных:

▪️Использование и раскрытие конфиденциальных данных,
▪️Их продажа,
▪️Раскрытие персональных данных для целей рекламы,
▪️Сбор персональных данных несовершеннолетних.

4️⃣ Третьи лица

Предлагается проверить, не используются ли в ваших организациях устаревшие практики риск менеджмента третьих лиц:

▪️Разрозненный контроль третьих лиц со стороны разных бизнес функций,
▪️Ограниченность ресурсов в условиях растущих требований регулятора,
▪️Зависимость от процессов, выполняемых вручную,
▪️Полагаться исключительно на финансовые риски и риски информационной безопасности в отношении оценки третьих стороны,
▪️Излишнее полагание на периодическую оценку риска.

5️⃣ Раскрытие данных ESG

По своей сути, раскрытие данных ESG служит цели более полного информирования перед принятием инвестиционных решений.
Законодательство еще в стадии развития, но можно с полной уверенностью предположить: вне зависимости от размера компании, учет парниковых газов станет таким универсальным явлением, как и финансовый учет.

✏️

Чем запомнился первый месяц года?
#дайджест материалов/обсуждений/настроений января.

Начали с логичного - статьи о статистике выполнения новогодних деклараций/целей/обещаний и факторах, которые могут помочь.

Пост о том, как провести анкетирование по итогам года и закрепить с командной договоренности на следующий.
А здесь - пример вопросов.

Стали больше интересоваться деньгами и штрафами.
2.4 млрд $ за нарушение антиотмывочных требований
С лёгкой руки Марии присвоен хэштэг #чужиеграбли

Пока обсуждали что мог сделать внутренний аудит в кейсе выше и должен ли был?- могла пройти незаметной статья о штрафах, предъявленных теперь уже аудиторам. За наводку спасибо Евгении.

Пост про обязательное обучение и тестирование: почему не работает и статья с инструкцией как к этому подступиться правильно.

Появился новый хэштэг #хорошиеновости, который можно использовать, чтобы рассказать о новых достижениях, хороших решениях (своих или участников).

Мария подготовила:
- Обзор к докладу ТОР Risk 2023 от Агентства по политическим рискам Eurasia Group. Особый интерес вызвала тема рисков, связанных с искусственным интеллектом, которая получила дальнейшее развитие.

Эмиль, сразу "по горячим следам" рассказал о своём опыте сдачи одной из частей экзамена CIA

Лена рассказала о своём прошлом опыте защиты компаний в судах и вызвала бурное обсуждение темы кому и что дозволено было в то время.

Лонгрид с прогнозами о видах мошенничества, которые ожидаются в 2023, который назван годом рассвета мошенничества. Классная подборка с описанием потенциальных сценариев "технологического" мошенничества.

От рисков к расследованиям)
Лена поделилась не только впечатлением, но и ссылочкой на расследование проишествия на МКС

Мария рассказала о своем опыте общения с ИИ и сориентировала как это сделать. Вы уже пробовали, кстати?

Ещё одна статья про риски, связанные с ИИ и простые, понятные пояснения, как понять, что текст подготовлен ИИ.

Посмотрели Доклад с Мирового экономического форума о глобальных рисках на ближайшие 10 лет.

Мария подготовила обзор к докладу КПМГ о рисках, связанных с аусорсингом, который перешел в активную дискуссию, когда нужны консультанты, когда нет и почему так дорого?).

Мария поделилась очередной находкой о трендах в рисках и комплаенс от NAVEX.

Накидала первый пилотный вариант нашей Базы знаний.
Кто готов поучаствовать в наполнении - есть такая возможность.

Заглянули в исследование "близких" к нам коллег из комплаенс, а самые продуманные взяли себе на заметку, на что можно обратить внимание при аудите этой функции.

Всё идёт к тому, что совсем скоро у нас будет новый проект с вакансиями, вот здесь мне нужна будет ваша помощь.

Александр @ka1naM и @AndyVirak откликнулись на запрос Ольги и теперь, кому нужно, есть на что ориентироваться в базовых вопросах ИБ, ловите ссылочку и эту.

Артём @DolgovArFe своими комментариями, типа этого очень способствовал созданию настроения, за что ему огромное спасибо!

А ещё Артем опубликовал отличный реальный кейс о юристах, судебных исках и резервах, с ними связанных. В итоге коллективным разумом приведено несколько интересных вариантов, что можно предусмотреть в этой ситуации.

Евгения внесла свой вклад в виде статьи с примером как можно за один день потерять состояние в 22 млрд $

А также обсуждали Сири и Алексу, модели смартфонов и подходы к их выбору, книги и цитаты из них. Иногда было жарко, а иногда сильно весело, ведь сообщество живоё и это норм!

Спасибо за ваши комментарии, реакции и вопросы, ответы, советы и рекомендации🤍. Тут всех отметить в посте не смогу, нас становится больше и это не так-то просто)).

А что из этого вам запомнилось/откликнулось больше, чего не хватило?
#итоги
#январь
#сообщество

#конференции
#события
Друзья, рада поделиться с вами анонсом Конференции «Новые технологии в аудите и управлении рисками», которая будет проводиться 1 марта компанией Business-Format (онлайн-формат).
По итогам выдается Сертификат на 7 СPЕ часов.

Новость приятная - мы с Александрой Власовой будем в числе спикеров, а Евгения Россова - модератор. Буду очень рада, если среди участников будет кто-то из наших.
Мы сегодня уже от коллектива тоже подали заявки на несколько участников.

Блоки очень интересные, проект программы скину отдельно.

Условия оплаты:
Для групп есть акция 1+1=3.
А если успеете зарегистрироваться по ссылке до 15 февраля, стоимость будет 125 евро с человека.

Контакты: Каролина Александрова СЕО Business-Format – Whatsapp, Telegram +380675627782
[email protected]

UPD: коллеги пишут, что на данный момент регистрация из РФ недоступна, к сожалению (сразу напомню, обсуждение политики и военных конфликтов в чате запрещено).

Коллеги, приветствую!

На связи Мария.

Предлагаю вашему вниманию исследование об индексе восприятия коррупции и одну статью про угон автомобилей в Канаде.

Было бы интересно узнать ваше мнение, есть ли коррупционный элемент в описанной ситуации.

Карта коррупции

Международная организация Transparency International (Берлин) выпустила исследование “Индекс восприятия коррупции 2022”.

С 1993 г. Transparency International проводит опросы экспертов и предпринимателей по всему миру об уровне восприятия коррупции в государственном секторе и публикует результаты.

Исследование по итогам 2022 г. охватывает 180 стран, каждой из которых присвоено значение по шкале 0-100 баллов, где 100 - наилучшая оценка.


Коррупция в цифрах:

🔹За период 2012-2022, 124 страны стагнировали на текущем уровне индекса восприятия коррупции.
25 стран улучшили показатели, где лидируют Ангола, Мальдивы и Вьетнам.
В 31 стране ситуация ухудшилась. Здесь “анти-лидеры” Канада, Великобритания, Пакистан и Малайзия.

🔹43/100 средний показатель в целом по миру.
⅔ стран с индексом ниже 50.
В большинстве стран с низким индексом идут или только закончились вооруженные конфликты.

🔹Наилучшие показатели у стран Западной Европы и ЕС, где 66/100 - это среднее значение по региону.
Худшие показатели у стран Африки к югу от Сахары (32/100).

🔹Лучшие представители и их индексы по регионам (регионы ранжированы в порядке убывания индекса):

🔸Дания, 90/100 - Западная Европа, ЕС
🔸Новая Зеландия, 87/100 - Азиатско-Тихиатлантический регион
🔸Канада и Уругвай, 74/100 - вся Америка
🔸Объединенные Арабские Эмираты, 67/100 - Ближний Восток и Северная Африка
🔸Грузия, 56/100 - Восточная Европа и Центральная Азия
🔸Сейшелы, 70/100 - Африка

✏️

Как обещала, делюсь свежей статьей про кражу машин в Канаде.
В 2022 случился всплеск угонов, и эксперты частично связывают его с замедлением выпуска автомобилей.

Так, в провинции Квебек, страховые компании выплатили $269 млн канадских долларов компенсаций в 2022 против $111 млн в 2018.

Процент раскрытия дел низкий, и судя по всему, авто грузят в морские контейнеры в порту Монреаль, а оттуда они плывут через Италию в Западную Африку. Стоит отметить, что оборот контейнеров в порту Монреаля составляет около 1,5 миллиона контейнеров в год.

Если сработали индикаторы риска, сотрудники пограничной службы проверяют содержимое контейнеров, и благодаря таким проверкам нашли 1000 авто в 2022 году. Для сравнения, только в самом Монреале было угнано 9500 машин за год.

А тем временем в Нигерии и Гане идет открытая реклама на канадские автомобили, а по улицам ездят машины с “родными” канадскими регистрационными номерами.

Как думаете, присутствует коррупционный элемент на стадии отправки машин из порта?

Смотрите, какой интересный вариант управления совещаниями.
Пока посчитали кого звать, решили, что дешевле по почте порешать)
Ну или можно позвать кого подешевле🙃

Но это не всегда спасает, бывает по почте еще дольше, муторнее и ни на чем не договорились.

Идея, повторюсь, классная: не забывать, сколько стоит время участников/коллег/шефа сопоставлять, соответствует ли то, за что тебя платят тому, куда действительно утекает твоё время в течение дня.
Мало того, что своё время не все и не всегда тратят по делу, так еще и воруют его у других. И это можно без совещаний делать, через:
- неясные / ненужные задачи и поручения;
- "можно я кое-что спрошу/я на минуточку";
- двойную работу (переделки)
- "я лучше сама сделаю"
- "давайте ещё ....скинем, пусть почитает"
- "работу в стол" и т.д.
Какие еще варианты?
Как боретесь с ворами времени?

Внимание, опрос, нужны добровольцы)!!!

Друзья, готовлюсь к Конференции, о которой писала выше и мне очень пригодится, если кто-то из вас сможет поучаствовать и дать мини-интервью (проверяю свои гипотезы).
Результатами анализа ответов потом обязательно поделюсь, уверена, это многим пригодится.

Вопросов примерно 4-5, не сложные, сам опрос будет в личной переписке (я и вы).
Кто нужен? - 2 категории:
1️⃣ кто увлекается/изучает/анализирует/использует различные исследования в работе прямо или косвенно;
2️⃣ кто особо не обращал внимания на исследования / смотрит их по верхам и не задумывался или не верит, что они могут быть полезными для работы.

Если интересно/ готовы помочь, буду очень признательна, можно здесь в комментариях или в личку написать, к какой категории Вы ближе и я сразу сегодня отправлю вопросы.

Идеально, если у Вас получится ответить за выходные. Это нетрудно, честно) и не долго.

Друзья, мы решили поддержать профессионалов нашей сферы и создать отдельный канал вакансий, связанных с аудитом, контролем, управлением рисками, оптимизацией процессов.
Как видите, это не "проаудит" в чистом виде, что позволит рассматривать вакансии из смежных сфер.

Это первый канал такого рода и я буду очень рада за помощь и поддержку от участников. И, конечно, будет здорово, если вы будете отправлять вакансии для публикации в канал или поделитесь ссылкой на канал с коллегами https://t.iss.one/job_proaudit.

Чтобы поделиться вакансией, отправляйте сообщение с описанием @Katerina_proaudit.

Есть несколько простых правил, которые должны быть в вакансии, чтобы мы ее опубликовали.
А именно, укажите, пожалуйста:
✅ название позиции;
✅ город (если есть удаленный формат, отметьте, пожалуйста)
✅ сфера компании (кратко)
✅ контакты для обратной связи.
*Идеально, если вместо длинного описания требований будет ссылка, по которой можно с ними ознакомиться. Но, можно и по тексту самого сообщения.

Насколько канал успешно будет развиваться - зависит от наших общих усилий.

Следующий этап, если поддержите, в этом же канале: дать возможность тем, кто в поиске, рассказать о себе (публикации от кандидатов).

Про цену и ценность
Интересная статья вышла у экс-Президента IIA. Если простыми словами в ней рассматривается гипотеза, что аудиторам могут намеренно предлагать низкие зарплаты и это не вопрос скупости или экономии.
А скорее - цель привлечь более слабых аудиторов🤔 (которые подешевле), чтоб меньше "находили".