Вчера, 29 октября у нас в Казахстане был День траура в память о погибших шахтёрах на шахте Костенко в Караганде. По последним данным погибло 46 человек, это ужасная трагедия для всего Казахстана. Соболезнования родным и близким.

Друзья, среди нас точно есть аудиторы из сферы производства. Я не знаю, как обстоит дело с независимостью - дают ли вам проверять на деле процессы, от которых зависит жизнь и здоровье людей.

Если вдруг вы сталкиваетесь с формализмом, препятствиях в таких проверках / понимаете, что кому-то будут спущены с рук нарушения, которые могут повлиять на чью-то жизнь, давайте пробовать вместе это поменять. (Можно написать в личку и вместе подумаем как на это повлиять).

Не буду спрашивать, дали бы вам "выпустить отчет" с замечаниями о рисках, которые могут привести к гибели людей.
Возможно, для кого-то эта страшная авария будет поводом задуматься о глубине, частоте таких проверок, о раскрытии результатов.

Отчет по результатам интервью и опроса профессионалов в сфере комплаенса северо-американских и европейских компаниях “2023: State of Governance, Risk, and Compliance Management”. Документ дает понимание бенчмаркинга и трендов в GRC программах.

Автор: NAVEX (Орегон, США) - компания предоставляет услуги консультирования в сфере ИТ, разработчик программного обеспечения в области риск менеджмента и комплаенс.

🔹С чем сталкиваются большинство комплаенс-профессионалов

1. Увеличение объема информации к сбору и анализу, начиная с финансовых контролей и заканчивая ESG и обучением персонала;

2. Трудности: недостаточно коммуникации и сотрудничества между отделами, разрозненность данных, нехватка поддержки от высшего руководства;

3. Что хотят: такую систему GRC, которая
▫️консолидирует разрозненные данные по организации, выгружает их в отчет, чтобы далее анализировать данные применительно к потенциальным рискам;
▫️отслеживает тренды и требования;
▫️добавляет новые и отсутствующие категории информации.

🔹По мнению 92% респондентов, наличие сильной и эффективной GRC программы - критическое условие для достижения главных бизнес целей: улучшение клиентского опыта, увеличение выручки и повышение операционной эффективности.
Данные и аналитика GRC программ критичны при принятии решений о денежных поощрениях (51% респондентов), распределении ресурсов/бюджетов (50%), инвестициях и обучении персонала (по 47%).

🔹Топ-3 источников внутрикорпоративной информации, на основе которых формируются GRC программы:
▫️кадровые риски и комплаенс-обучение,
▫️персональные данные, безопасность и IT контроли,
▫️финансовые контроли.
Информация о готовности к аудиту стоит на 9-м месте, а на 10-м - информация, связанная с риск менеджментом третьих сторон и цепочек поставок.

🔹Что препятствует построению всесторонней GRC программы?

По крайней мере 1 из 3 респондентов назвали в числе препятствий
▪️недостаточность технологий (программного обеспечения),
▪️финансовых ресурсов,
▪️нет общего понимания организационного риска,
▪️мало доверия и коммуникации между функциями в организации,
▪️недостаточно персонала,
▪️мало поддержки со стороны высшего руководства.

🔹Искусственный интеллект

98% считают, что ИИ способен улучшить качество GRC программ.
Примеры, где респонденты видят применение ИИ для комплаенс функции:
- сбор информации об инцидентах,
- интеграция данных о риске и статусе комплаенса по этому риску в отчет,
- отслеживание изменений требований регулятора,
- обучение персонала и третьих сторон,
- языковой поиск по организационным политикам,
- прогнозная аналитика потенциальных сфер риска,
- мониторинг рисков третьих сторон в реальном времени.

92% респондентов уверены, что в той или иной степени искусственный интеллект будет внедрен в комплаенс менеджмент их организаций в ближайшие 1-3 года.

P.S. Впервые встретила интересную формулировку, когда речь заходит о полномочиях сотрудника. Может кому-то пригодится.
🔸Я оказываю влияние на решения
🔸Я в составе команды, принимающей решения
🔸У меня основной голос при принятии решения

✏️

✉Коллеги, в рубрику #вопросотучастника получила серию вопросов о найме и адаптации внутренних аудиторов для разбора на нашей площадке:

"Коллеги, поделитесь пожалуйста личными выводами и опытом по найму и адаптации сотрудников:
1)  у вас были случаи когда вы решали уволить нанятого извне внутреннего аудитора до окончания испытательного срока?
2) Если да, то что повлияло на ваше решение?  Какие факторы?
3) Бывало ли так что потом жалели что не уволили? Или наоборот думали слава богу что дали шанс и оставили?
4) Сколько времени по вашему опыту занимает адаптация опытного (7-8 лет опыта)  внутреннего аудитора в компании и команде и выход на проектную мощность?"

Все вопросы небанальные, непростые. Если прокомментировать открыто не решитесь, пишите мне @Katerina_proaudit, опубликую обезличенно.

А я пока ушла думать, тоже поделюсь. Любые совпадения считать случайными😉
#карьера

🌂🌧Октябрь: темы месяца в одном посте
#дайджест #итоги #октябрь

• Оказалось, что самосбывающиеся пророчества - реальный феномен, а не просто интересное сочетание слов.

• Мария подготовила Обзор на материалы ИВА Австралии об интегрированной модели управления. Изучаем "как у них" и что из этого можно забрать к нам).

• Я первый раз побыла в роли ведущей Круглого стола на Конференции ИВА Казахстан и вынесла на него реальную острую проблему профессии.
По итогам родился пост про любовь за деньги)

• Нашла для вас результаты блестящего Глобального исследования мошенничества и сделала к нему обзор.

• Наш первый Networking day состоялся в небольшой, но очень уютной компании. Постараемся сделать такие встречи регулярными - это прям классный ресурс.

• Без денег: как найти и удержать кадры во внутреннем аудите

• Отчет о результатах опроса комплаенс-офицеров за 2023г. от Марии: поможет ознакомиться, с какими трудностями сталкиваются коллеги из смежной сферы и какой должна быть лучшая GRC-программа

• Переработки это зло, можно ли с этим бороться и надо ли?

• Разобрали крутые вопросы о кадрах в ВА, спасибо всем, кто присылает вопросы в рубрику #вопросотучастника

• А ещё мы собирались узким кругом и обсудили  тему мастермайндов. Отдельное спасибо Марии за организацию и Александре за то, что поделилась своим опытом. Появились доп.идеи и мысли по этому поводу.

Но это всё "официальная программа". А всё самое интересное, пикантное, остренькое проходило в нашем чате:
✔шутили
✔душнили
✔спорили/оспаривали
✔обсуждали, решали проблемы/вопросы коллег, помогали с поиском информации
✔знакомились
✔удивляли и удивлялись
✔делились впечатлениями
✔встречались
✔обсудили бухгалтеров и бух.учет, книги, новичков, начальников, удаленку, переработки, внешних аудиторов, ИСО, переход в ИТ-аудиторы и тучу всего другого.
🧩Я добавила всего несколько ссылочек, но всегда рекомендую почитать полностью чатик, если прогуляли)) тогда точно не пропустите ничего😉

✏дайджест за сентябрь можно найти здесь

🏆поделитесь, пожалуйста, чем октябрь запомнился вам, какая тема или чей комментарий был самым-самым (нужным/полезным/ярким)?

#чужиеграбли
#управлениерисками
#compliance
#данные
🗞Хорошая статья-пример под кружечку ☕ перед началом рабочего дня.
Особенно полезно почитать коллегам из банков и финтех.компаний.

Недооценка рисков третьих сторон, незнание как выстроены (и выстроены ли..) критичные контрольные процедуры у партнёра и отсутствие своевременной реакции на явные тревожные сигналы привели к мошенничеству на 300 млн $ и штрафу на 30 млн $.
"...каждую неделю открывалось от 60 000 до 80 000 мошеннических счетов MovoCash и каждый день выводилось 2 миллиона долларов".

Хороший повод обратить внимание на "пиковые" показатели, "исторические максимумы"* в своих компаниях. Появились вопросы - позадавать.
Есть ли у вас данные, которые позволят не пропустить неадекватную активность / отклонения от стандартных значений / накопление какой-то "критической массы"?

*исторические минимумы - тоже нехороший симптом, если для этого нет предпосылок.

Предлагаю забрать из статьи мысль последнего абзаца. Успех в том, чтобы серьезно относиться к соблюдению требований в обычное время, чтобы вы могли лучше справляться с ситуацией, когда наступят периоды пика (в статье рассказывается о событиях в ковид).

🗞 Breaking news
У коллег встретила новость со ссылкой на источник из серии 🤯

"Из информированных источников стало известно, что в отношении высокопоставленного менеджера (этики и комплайнс) одного из крупнейших нефтегазовых операторов начато досудебное расследование по статье 147 УК РК «Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите».

Погуглила о чём речь: заявители отмечают о периодических "допросах", фактах изъятия,  сканирования телефонов, случаях давления с целью "признания" со стороны отдела по этике и комплаенс. Как я поняла - жалобы поступили по принятым в компании методам работы в рамках процедур антикоррупционного комплаенс.

Именно в этом кейсе не всё, наверное однозначно (судя по обсуждениям в сети, а проверенных лично источников у меня нет), рано делать выводы до завершения расследования.

Но это классный повод обсудить наши и "не наши" методы работы.

💭Вспомнила случай из своего опыта. Мы - новая команда, вникаем в процессы, знакомимся с людьми, первые проверки и встречи по ним. Коллега из "стареньких" предупреждает, что товарищ  N (руководитель среднего звена из проверяемых) "всех пишет на диктофон". Не афишируя, конечно, об этом своём "увлечении".

Я возмущенно делюсь с другими нашими ребятами этой информацией и в ответ получаю: "не переживай, мы его тоже пишем"))

Мы со своим коллективом беседу провели, что мы так не работаем и подобные методы у нас "вне закона".

Ну, а вдруг я в розовых очках и отстала от моды, что думаете коллеги насчет этичных или неэтичных методах сбора информации/ауд.доказательств? Что и в каких случаях для себя считаете возможным/ одобряемым/неприемлемым?

*для любителей опросов - сейчас закину

#новости
#этика
#комплаенс

Интересное исследование о мотивах работы и увольнениях от TYPICAL и Я-руководитель (2023г.).

Судя по итогам исследования респонденты показались  мне очень сознательными товарищами)

Прежде чем уволиться, они сначала пытались разобраться с проблемами, обсудив их с шефом (и не раз).
Как оказалось, часто их попытки безуспешны - сотрудники все равно уходят, если им не удаётся переломить ситуацию.

Исследование рассказывает:
✔почему людям 
нравится работать в найме;
✔почему  и как они
увольняются или вообще уходят из найма.

На текущем месте работы привлекает:
49,5% - заработная плата
47,3% -  уровень свободы в работе
Не нравится:
54,8% - не налаженные процессы
49,5% - не выстроена система развития сотрудников
26,9% - уровень оплаты
Насчет увольнений:
65% - при увольнении работников руководители не пытались ничего сделать
38% - систематически говорили о проблемах до увольнения, но не были услышаны
11% - остаются работать т.к отговорил руководитель.
Больше цифр и реальных цитат - в отчете.

#карьера
#начальникам

Исследование увольнений.pdf

Как усилить IT аудит

Интересный отчет от KPMG про внутренний IT аудит. Хорошие советы для IT аудиторов, но будет полезно для аудиторов, чья цель - быть приглашенным на стратегические сессии.

🔸Итак, по мнению KPMG, “поле аудита” меняется в сторону технологий и рисков, относящихся к информации. Поэтому IT аудитору нужно осознать свою стратегическую роль и ответить себе на такие вопросы:
▫️Как могу усилить личный бренд?
▫️Какую ценность и инсайты могу дать?
▫️Как обеспечить главную роль в подтверждении достоверности (assurance) совету директоров?
▫️Что сделать, чтобы руководство доверяло и было уверено во мне?

Двигаться к менее предсказуемым областям риска: быть первопроходцем и новатором. Также важно уметь выстраивать сильные отношения с заинтересованными сторонами: руководством, сотрудниками, клиентами, регулятором, поставщиками.

🔸Операционного риска уже недостаточно. Что нужно высшему руководству и комитетам по аудиту - так это стратегические советы относительно инвестиций, вкладываемых в будущее бизнеса - автоматизацию, сокращение расходов, клиентский опыт, а также новые инсайты, большая жизнестойкость относительно рисков кибербезопасности.

🔸Риски новых технологий для IT аудиторов:
▫️Облачные технологии
▫️Кибер защита
▫️Защита и конфиденциальность данных
▫️Принцип нулевого доверия
▫️DevSecOps
▫️Управление идентификацией и доступом
▫️Искусственный интеллект, машинное обучение и автоматизация процессов
▫️Model assurance
▫️Блокчейн, смарт контракты, NFT

🔸Человеческий элемент

🔹В режиме нехватки квалифицированных кадров предлагается внедрять:
- Гибридные программы обучения - интерактивные, академические, через тренировочные центры и кейсы;
- Программы мотивации аудиторов за выдающиеся результаты, поиск возможностей для автоматизации, командную работу, вклад в обучающие программы;
- “Умный” аутсорс - комбинация in-house и аутсорсинга

🔹Организуйте МФЦ внутреннего аудита, или Internal Audit Hub, чтобы компенсировать недостаток квалификаций. Что учесть при его построении:
- Вовлечь высшее руководство
- Диалог с ключевыми стейкхолдерами
- Согласовать приоритеты
- Тренинги и воркшопы
- Существующие технологии
- Постоянное улучшение дизайна
- Общайтесь с провайдерами квалифицированных кадров

🔸Как сделать аудит инновационным?

▪️Через лучшие практики agile
- Фокус на ценности для бизнеса
- Постоянный пересмотр приоритетов
- Прозрачность проектов
- Улучшение качества и сокращение ресурсов
- Коллаборация с аудитируемыми лицами
- Своевременные инсайты
- Ускоренный цикл аудита
- Постоянная коммуникация
- Меньше отходов и документации

▪️Путем повторения шагов
- Генерировать выводы (инсайты) через переформулировку проблемы и поиск данных
- Совершенствовать выводы, сводя их вместе и исследуя последствия
- Генерировать идеи и концепции, формулируя преимущества для бизнеса, модели создания ценности и планы достижения

✏️

Друзья, за последний месяц в канале и чате нас стало больше, спасибо вам за доверие и всем, кто нас рекомендует 💛

Пользуясь случаем, хочу предоставить возможность рассказать о себе нашим новым коллегам и тем, кто вроде как и не новенький, а в своё время представиться не успел или повода не было))

Это не принудительно, но очень рекомендую.
Зачем?
Когда знаком с человеком легче и за помощью обратиться, и себя проявить и попробовать порешать какие-то проблемки.
Возможно, здесь есть коллеги с одной сферы и даже с вашего города (можно встречаться за ☕).

А что рассказать о себе?
🚫 персональные данные не нужны;
✅ приветствуется написать имя, город, какая сфера или темы интересны, остальное - на ваше усмотрение (хобби?книга любимая, фильм?спорт? зачем вступили - ожидания?);
⚠️ осторожно, в чате может быть ваш шеф или коллеги)

#сообщество

#вебинары
📣Коллеги, бесплатный вебинар по вопросам кадровой безопасности (суды, конфликты, разглашение информации, причинение ущерба и т.д.).

Программа и ссылочка ниже

🗣Вебинар от КРЭБ АИС 🦀

"Позиции судов по конфликтным ситуациям, связанных с кадровой безопасностью. Кейсы 2023 года"

Трудовые споры и конфликты – это неизбежность в современном мире бизнеса. В таких ситуациях работодатели и работники часто обращаются к судам для разрешения противоречий. Однако, чтобы правильно аргументировать свою позицию в суде, необходимо хорошо разбираться в судебной практике и знать, какие решения принимаются по конкретным делам. На вебинаре мы разберем реальные кейсы 2023 года и проанализируем позиции судов по различным конфликтным ситуациям.

🔵Что конкретно рассмотрим:

⬇️ Конфликтные ситуации, связанные с разглашением охраняемой законом тайны;
⬇️ Особенности доказательства вины работника при разглашении коммерческой тайны, персональных данных или иной конфиденциальной информации;
⬇️ Конфликтные ситуации, связанные с причинением ущерба работодателю и третьим лицам;
⬇️ Конфликтные ситуации, связанные с контролем работников;
⬇️ Правовые основания использования видеонаблюдения и технических средств защиты информации для контроля за персоналом.

📍 Спикер: Панкратьев Вячеслав Вячеславович - преподаватель АИС, полковник юстиции в запасе, заведующий кафедрой безопасности в Университете государственного и муниципального управления, эксперт в области корпоративной безопасности, защиты активов и управления рисками.

🕓 Дата: 20 ноября в 15:00

🖼 Формат: онлайн

🔗 Регистрация на вебинар

✉Друзья, очередной #вопросотучастника (кейс), который, может возникнуть у каждого.

"На фоне регулярных запросов-заданий от менеджмента (кроме проверок вн.аудита) вдруг прилетела претензия "вашу работу мало видно".

При этом, зачастую, такие доп.задания  - это область работы других подразделений.  А тут раз нам поручают - значит больше доверяют.
Но в определенные моменты видимо об этом забывается вышестоящими и уже понимается "как должное".

Вот думаю, как сделать нашу работу более видимой, чтоб не получать такой обратной связи?
Что уже делаем:
- помимо отчетов о проверках, шеф раз в месяц "докладывается наверх";
- проводим обучение / дни открытых дверей;
- в отчетах всегда оцифровываем результаты.

В целом, я вижу, что к нашему мнению прислушиваются, коммуникации с коллегами из других подразделений хорошие - пользу приносим.
То есть, вопрос именно в восприятии руководством.
Ну а вдруг вы что-то ещё новое попробовали, может формат какой?"

❓Добавление - вопрос уже от меня, как бы вы среагировали на подобные претензии топа, если понимаете, что делаете тонну всего и это несправедливо?
Мне всё же кажется, в данном случае, триггернуло именно это. Автора вопроса знаю лично, та ещё трудяга и подавать информацию умеет.