Без денег
Коллеги, помню обещала вернуться к вопросу привлечения / удержания ресурсов в СВА.

Решений (кроме финансовых), которыми делились коллеги, не так и много:
✔присматривать себе кадры из других (не столичных) городов своей компании, например, при аудитах филиалов (бывает кто сам хочет переехать);

✔приглашать молодежь с потенциалом из других подразделений (знает инф.системы, какие-то процессы) - закладывайте время на обучение и не требуйте сразу много;

✔если зарплата как у всех - подумайте, ради каких плюшек кандидат может выбрать вас/или какие плюшки есть у других, которыми могут переманить ваших (зрелая корпоративная культура, интересные проекты, удаленка, гибкий график, столовая, оплата обучения, спортзал, скидки партнеров, садик для детей, организация мероприятий и т.д.)

Важно: об этом должны знать ваши потенциальные кандидаты - это история про сарафанное радио, бренд и работодателя и, в целом, репутация службы и руководителя СВА

🗣как руководители "наводят справки о потенциальных кандидатах, так и наоборот - имеет смысл задуматься о своей "проф.репутации" на рынке (у меня не так давно спрашивали про одного из руководителей, думаю и про меня узнают😄)

✔нормально (интересно, грамотно, без канцелярита и заезженных фраз типа дружного коллектива с раскрытием ваших преимуществ) составлять описание вакансии;

✔соизмерять требования к кандидатам с предлагаемой зарплатой и вашими реальными потребностями (если супер - английский и сертификация не дело первой необходимости - нужны ли они в резюме?)

✔обратить внимание на "воронку" кандидатов и как с ними общается ваш hr;

✔расширять поиск - проф.сообщества, друзья, соцсети компании и свои собственные;

✔банально - но попробуйте пройти "путь кандидата в аудиторы".
Видела не раз вакансии, на которые чтоб суметь откликнуться нужно пройти целый квест, регистрируясь на отдельных платформах и т.п. Может есть варианты проще?

Конечно, эти "танцы с бубнами", классный шеф, хорошая атмосфера не заменят достойной зарплаты. Но если вы на равных с другими - верю, что это поможет принять решение в вашу пользу.

А чем можно удержать вас?)

#карьера #персонал

20 октября в Астане прошла Конференция "KompraConf: Бизнес.Риски.Данные"

Уже второй год подряд пишу отзыв-впечатление о Конференции и активно #рекомендую_сообществу  как одно из интереснейших мероприятий.

Какие из обсуждаемых тем в этом году я отметила для себя как самые интересные:
✔обсуждение вопросов персональных данных / проектируемая приватность / кража личности;
✔кейсы-журналистские расследования от FBRK;
✔зарубежные"судебные" хроники - как источник информации о контрагентах;
✔know your employee;
✔инструменты и возможности OSINT.

Мне нравится воспринимать контент конференций - не просто как сборник лекций и докладов с классными спикерами.

Скорее это источник новых идей/инсайтов, которые можно брать на вооружение, далее изучить глубже и адаптировать под свои задачи, взглянуть на текущие процессы под новым "соусом".

Поделитесь, что ценного для себя "забрали" из последних мероприятий кроме сертификата участника?))

#конференции
#мероприятия

Впереди выходные - хорошая возможность "посетить" Конференцию, если вы все-таки её пропустили, приятного просмотра, друзья 🍿

Вчера, 29 октября у нас в Казахстане был День траура в память о погибших шахтёрах на шахте Костенко в Караганде. По последним данным погибло 46 человек, это ужасная трагедия для всего Казахстана. Соболезнования родным и близким.

Друзья, среди нас точно есть аудиторы из сферы производства. Я не знаю, как обстоит дело с независимостью - дают ли вам проверять на деле процессы, от которых зависит жизнь и здоровье людей.

Если вдруг вы сталкиваетесь с формализмом, препятствиях в таких проверках / понимаете, что кому-то будут спущены с рук нарушения, которые могут повлиять на чью-то жизнь, давайте пробовать вместе это поменять. (Можно написать в личку и вместе подумаем как на это повлиять).

Не буду спрашивать, дали бы вам "выпустить отчет" с замечаниями о рисках, которые могут привести к гибели людей.
Возможно, для кого-то эта страшная авария будет поводом задуматься о глубине, частоте таких проверок, о раскрытии результатов.

Отчет по результатам интервью и опроса профессионалов в сфере комплаенса северо-американских и европейских компаниях “2023: State of Governance, Risk, and Compliance Management”. Документ дает понимание бенчмаркинга и трендов в GRC программах.

Автор: NAVEX (Орегон, США) - компания предоставляет услуги консультирования в сфере ИТ, разработчик программного обеспечения в области риск менеджмента и комплаенс.

🔹С чем сталкиваются большинство комплаенс-профессионалов

1. Увеличение объема информации к сбору и анализу, начиная с финансовых контролей и заканчивая ESG и обучением персонала;

2. Трудности: недостаточно коммуникации и сотрудничества между отделами, разрозненность данных, нехватка поддержки от высшего руководства;

3. Что хотят: такую систему GRC, которая
▫️консолидирует разрозненные данные по организации, выгружает их в отчет, чтобы далее анализировать данные применительно к потенциальным рискам;
▫️отслеживает тренды и требования;
▫️добавляет новые и отсутствующие категории информации.

🔹По мнению 92% респондентов, наличие сильной и эффективной GRC программы - критическое условие для достижения главных бизнес целей: улучшение клиентского опыта, увеличение выручки и повышение операционной эффективности.
Данные и аналитика GRC программ критичны при принятии решений о денежных поощрениях (51% респондентов), распределении ресурсов/бюджетов (50%), инвестициях и обучении персонала (по 47%).

🔹Топ-3 источников внутрикорпоративной информации, на основе которых формируются GRC программы:
▫️кадровые риски и комплаенс-обучение,
▫️персональные данные, безопасность и IT контроли,
▫️финансовые контроли.
Информация о готовности к аудиту стоит на 9-м месте, а на 10-м - информация, связанная с риск менеджментом третьих сторон и цепочек поставок.

🔹Что препятствует построению всесторонней GRC программы?

По крайней мере 1 из 3 респондентов назвали в числе препятствий
▪️недостаточность технологий (программного обеспечения),
▪️финансовых ресурсов,
▪️нет общего понимания организационного риска,
▪️мало доверия и коммуникации между функциями в организации,
▪️недостаточно персонала,
▪️мало поддержки со стороны высшего руководства.

🔹Искусственный интеллект

98% считают, что ИИ способен улучшить качество GRC программ.
Примеры, где респонденты видят применение ИИ для комплаенс функции:
- сбор информации об инцидентах,
- интеграция данных о риске и статусе комплаенса по этому риску в отчет,
- отслеживание изменений требований регулятора,
- обучение персонала и третьих сторон,
- языковой поиск по организационным политикам,
- прогнозная аналитика потенциальных сфер риска,
- мониторинг рисков третьих сторон в реальном времени.

92% респондентов уверены, что в той или иной степени искусственный интеллект будет внедрен в комплаенс менеджмент их организаций в ближайшие 1-3 года.

P.S. Впервые встретила интересную формулировку, когда речь заходит о полномочиях сотрудника. Может кому-то пригодится.
🔸Я оказываю влияние на решения
🔸Я в составе команды, принимающей решения
🔸У меня основной голос при принятии решения

✏️

✉Коллеги, в рубрику #вопросотучастника получила серию вопросов о найме и адаптации внутренних аудиторов для разбора на нашей площадке:

"Коллеги, поделитесь пожалуйста личными выводами и опытом по найму и адаптации сотрудников:
1)  у вас были случаи когда вы решали уволить нанятого извне внутреннего аудитора до окончания испытательного срока?
2) Если да, то что повлияло на ваше решение?  Какие факторы?
3) Бывало ли так что потом жалели что не уволили? Или наоборот думали слава богу что дали шанс и оставили?
4) Сколько времени по вашему опыту занимает адаптация опытного (7-8 лет опыта)  внутреннего аудитора в компании и команде и выход на проектную мощность?"

Все вопросы небанальные, непростые. Если прокомментировать открыто не решитесь, пишите мне @Katerina_proaudit, опубликую обезличенно.

А я пока ушла думать, тоже поделюсь. Любые совпадения считать случайными😉
#карьера

🌂🌧Октябрь: темы месяца в одном посте
#дайджест #итоги #октябрь

• Оказалось, что самосбывающиеся пророчества - реальный феномен, а не просто интересное сочетание слов.

• Мария подготовила Обзор на материалы ИВА Австралии об интегрированной модели управления. Изучаем "как у них" и что из этого можно забрать к нам).

• Я первый раз побыла в роли ведущей Круглого стола на Конференции ИВА Казахстан и вынесла на него реальную острую проблему профессии.
По итогам родился пост про любовь за деньги)

• Нашла для вас результаты блестящего Глобального исследования мошенничества и сделала к нему обзор.

• Наш первый Networking day состоялся в небольшой, но очень уютной компании. Постараемся сделать такие встречи регулярными - это прям классный ресурс.

• Без денег: как найти и удержать кадры во внутреннем аудите

• Отчет о результатах опроса комплаенс-офицеров за 2023г. от Марии: поможет ознакомиться, с какими трудностями сталкиваются коллеги из смежной сферы и какой должна быть лучшая GRC-программа

• Переработки это зло, можно ли с этим бороться и надо ли?

• Разобрали крутые вопросы о кадрах в ВА, спасибо всем, кто присылает вопросы в рубрику #вопросотучастника

• А ещё мы собирались узким кругом и обсудили  тему мастермайндов. Отдельное спасибо Марии за организацию и Александре за то, что поделилась своим опытом. Появились доп.идеи и мысли по этому поводу.

Но это всё "официальная программа". А всё самое интересное, пикантное, остренькое проходило в нашем чате:
✔шутили
✔душнили
✔спорили/оспаривали
✔обсуждали, решали проблемы/вопросы коллег, помогали с поиском информации
✔знакомились
✔удивляли и удивлялись
✔делились впечатлениями
✔встречались
✔обсудили бухгалтеров и бух.учет, книги, новичков, начальников, удаленку, переработки, внешних аудиторов, ИСО, переход в ИТ-аудиторы и тучу всего другого.
🧩Я добавила всего несколько ссылочек, но всегда рекомендую почитать полностью чатик, если прогуляли)) тогда точно не пропустите ничего😉

✏дайджест за сентябрь можно найти здесь

🏆поделитесь, пожалуйста, чем октябрь запомнился вам, какая тема или чей комментарий был самым-самым (нужным/полезным/ярким)?

#чужиеграбли
#управлениерисками
#compliance
#данные
🗞Хорошая статья-пример под кружечку ☕ перед началом рабочего дня.
Особенно полезно почитать коллегам из банков и финтех.компаний.

Недооценка рисков третьих сторон, незнание как выстроены (и выстроены ли..) критичные контрольные процедуры у партнёра и отсутствие своевременной реакции на явные тревожные сигналы привели к мошенничеству на 300 млн $ и штрафу на 30 млн $.
"...каждую неделю открывалось от 60 000 до 80 000 мошеннических счетов MovoCash и каждый день выводилось 2 миллиона долларов".

Хороший повод обратить внимание на "пиковые" показатели, "исторические максимумы"* в своих компаниях. Появились вопросы - позадавать.
Есть ли у вас данные, которые позволят не пропустить неадекватную активность / отклонения от стандартных значений / накопление какой-то "критической массы"?

*исторические минимумы - тоже нехороший симптом, если для этого нет предпосылок.

Предлагаю забрать из статьи мысль последнего абзаца. Успех в том, чтобы серьезно относиться к соблюдению требований в обычное время, чтобы вы могли лучше справляться с ситуацией, когда наступят периоды пика (в статье рассказывается о событиях в ковид).

🗞 Breaking news
У коллег встретила новость со ссылкой на источник из серии 🤯

"Из информированных источников стало известно, что в отношении высокопоставленного менеджера (этики и комплайнс) одного из крупнейших нефтегазовых операторов начато досудебное расследование по статье 147 УК РК «Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите».

Погуглила о чём речь: заявители отмечают о периодических "допросах", фактах изъятия,  сканирования телефонов, случаях давления с целью "признания" со стороны отдела по этике и комплаенс. Как я поняла - жалобы поступили по принятым в компании методам работы в рамках процедур антикоррупционного комплаенс.

Именно в этом кейсе не всё, наверное однозначно (судя по обсуждениям в сети, а проверенных лично источников у меня нет), рано делать выводы до завершения расследования.

Но это классный повод обсудить наши и "не наши" методы работы.

💭Вспомнила случай из своего опыта. Мы - новая команда, вникаем в процессы, знакомимся с людьми, первые проверки и встречи по ним. Коллега из "стареньких" предупреждает, что товарищ  N (руководитель среднего звена из проверяемых) "всех пишет на диктофон". Не афишируя, конечно, об этом своём "увлечении".

Я возмущенно делюсь с другими нашими ребятами этой информацией и в ответ получаю: "не переживай, мы его тоже пишем"))

Мы со своим коллективом беседу провели, что мы так не работаем и подобные методы у нас "вне закона".

Ну, а вдруг я в розовых очках и отстала от моды, что думаете коллеги насчет этичных или неэтичных методах сбора информации/ауд.доказательств? Что и в каких случаях для себя считаете возможным/ одобряемым/неприемлемым?

*для любителей опросов - сейчас закину

#новости
#этика
#комплаенс

Интересное исследование о мотивах работы и увольнениях от TYPICAL и Я-руководитель (2023г.).

Судя по итогам исследования респонденты показались  мне очень сознательными товарищами)

Прежде чем уволиться, они сначала пытались разобраться с проблемами, обсудив их с шефом (и не раз).
Как оказалось, часто их попытки безуспешны - сотрудники все равно уходят, если им не удаётся переломить ситуацию.

Исследование рассказывает:
✔почему людям 
нравится работать в найме;
✔почему  и как они
увольняются или вообще уходят из найма.

На текущем месте работы привлекает:
49,5% - заработная плата
47,3% -  уровень свободы в работе
Не нравится:
54,8% - не налаженные процессы
49,5% - не выстроена система развития сотрудников
26,9% - уровень оплаты
Насчет увольнений:
65% - при увольнении работников руководители не пытались ничего сделать
38% - систематически говорили о проблемах до увольнения, но не были услышаны
11% - остаются работать т.к отговорил руководитель.
Больше цифр и реальных цитат - в отчете.

#карьера
#начальникам

Исследование увольнений.pdf

Как усилить IT аудит

Интересный отчет от KPMG про внутренний IT аудит. Хорошие советы для IT аудиторов, но будет полезно для аудиторов, чья цель - быть приглашенным на стратегические сессии.

🔸Итак, по мнению KPMG, “поле аудита” меняется в сторону технологий и рисков, относящихся к информации. Поэтому IT аудитору нужно осознать свою стратегическую роль и ответить себе на такие вопросы:
▫️Как могу усилить личный бренд?
▫️Какую ценность и инсайты могу дать?
▫️Как обеспечить главную роль в подтверждении достоверности (assurance) совету директоров?
▫️Что сделать, чтобы руководство доверяло и было уверено во мне?

Двигаться к менее предсказуемым областям риска: быть первопроходцем и новатором. Также важно уметь выстраивать сильные отношения с заинтересованными сторонами: руководством, сотрудниками, клиентами, регулятором, поставщиками.

🔸Операционного риска уже недостаточно. Что нужно высшему руководству и комитетам по аудиту - так это стратегические советы относительно инвестиций, вкладываемых в будущее бизнеса - автоматизацию, сокращение расходов, клиентский опыт, а также новые инсайты, большая жизнестойкость относительно рисков кибербезопасности.

🔸Риски новых технологий для IT аудиторов:
▫️Облачные технологии
▫️Кибер защита
▫️Защита и конфиденциальность данных
▫️Принцип нулевого доверия
▫️DevSecOps
▫️Управление идентификацией и доступом
▫️Искусственный интеллект, машинное обучение и автоматизация процессов
▫️Model assurance
▫️Блокчейн, смарт контракты, NFT

🔸Человеческий элемент

🔹В режиме нехватки квалифицированных кадров предлагается внедрять:
- Гибридные программы обучения - интерактивные, академические, через тренировочные центры и кейсы;
- Программы мотивации аудиторов за выдающиеся результаты, поиск возможностей для автоматизации, командную работу, вклад в обучающие программы;
- “Умный” аутсорс - комбинация in-house и аутсорсинга

🔹Организуйте МФЦ внутреннего аудита, или Internal Audit Hub, чтобы компенсировать недостаток квалификаций. Что учесть при его построении:
- Вовлечь высшее руководство
- Диалог с ключевыми стейкхолдерами
- Согласовать приоритеты
- Тренинги и воркшопы
- Существующие технологии
- Постоянное улучшение дизайна
- Общайтесь с провайдерами квалифицированных кадров

🔸Как сделать аудит инновационным?

▪️Через лучшие практики agile
- Фокус на ценности для бизнеса
- Постоянный пересмотр приоритетов
- Прозрачность проектов
- Улучшение качества и сокращение ресурсов
- Коллаборация с аудитируемыми лицами
- Своевременные инсайты
- Ускоренный цикл аудита
- Постоянная коммуникация
- Меньше отходов и документации

▪️Путем повторения шагов
- Генерировать выводы (инсайты) через переформулировку проблемы и поиск данных
- Совершенствовать выводы, сводя их вместе и исследуя последствия
- Генерировать идеи и концепции, формулируя преимущества для бизнеса, модели создания ценности и планы достижения

✏️