Ключевые слова: система внутреннего контроля, информационная безопасность, рекомендации по организации внутреннего контроля, безопасность компании, управление рисками.
Как уже известно, для стабильного функционирования любой компании необходимо создание и поддержание системы внутреннего контроля. Ответственность за функционирование данной системы лежит на каждом субъекте компании: руководство, специально созданные подразделения внутреннего контроля, менеджеры и сотрудники.
Структура контрольной деятельности должна соответствовать структуре управления компании. Контроль в свою очередь, должен действовать на всех уровнях управления [1].
Действия сотрудников, которые могут привести к отрицательным последствиям для компании, должны быть рассмотрены, установлены их причины и возможные масштабы последствий. За нарушения со стороны сотрудников должны предусматриваться меры материальной и дисциплинарной ответственности.
Говоря о нарушениях, которые могут нанести компании как материальный, так и репутационный ущерб, стоит особенно выделить коррупционный факт.
По сообщению Следственного комитета, за девять месяцев 2021 года в следственные органы поступило 23634 сообщения о коррупционных преступлениях, а ущерб от этих преступлений составил 13 млрд рублей, число уголовных дел выросло на 15 % по сравнению с аналогичным периодом 2020 года [2].
Как отмечает Генеральная прокуратура, в России наблюдается тенденция к увеличению общего массива преступлений экономического характера. Так, за 7 месяцев 2021 года их число перевалило за 78 тысяч и выросло на 7 тысяч в сравнении с 2020 годом [2].
Еще одним негативным фактором в деятельности компаний является использование инсайдерской информации сотрудниками в целях личной материальной выгоды. К этому вопросу необходимо очень внимательно отнестись и определить четкую позицию компании в отношении сотрудников, совершивших такого рода нарушение.
С учетом этого особое внимание со стороны подразделений внутреннего контроля должно уделяться обеспечению информационной безопасности. В компании могут быть организованы тренинги с целью обучения сотрудников процессу обеспечения экономической безопасности, а также с целью защитить сохранность информации от фишинговых атак.
Фишинговые атаки, несомненно, можно назвать главной проблемой современности, а вред наносится в виде многомилионного материального ущерба, а также отрицательного влияния на имидж компании. Целью таких атак является возможность овладеть логинами, паролями и данными кредитных карт жертвы, а в случаях атак на компании — получить доступ к чувствительной корпоративной информации.
Типология фишинговых атак расширяется, а злоумышленники становятся более настойчивыми в своих действиях. Наиболее распространенные виды фишинговых атак рассмотрены в таблице 1.
Таблица 1
Распространенные виды фишинговых атак
Виды атак |
Описание |
Атаки через электронную почту |
Злоумышленник посылает электронное письмо, в котором требуется нажать на ссылку. Особенностью такого вида фишинга заключается в том, что в письме намеренно производится давление на жертву, ключевыми словами при этом служат: «срочно», «во избежание наложения штрафа» «против вас будет возбуждено судебное дело», такие слова побуждают жертву в панике выполнять требования, указанные в письме. |
Вишинг |
Злоумышленником производится звонок на телефон, с целью вовлечения пользователя в разговор и добычи ценной информации. |
Смишинг |
Пользователь получает СМС от злоумышленников с просьбой нажать на ссылку или позвонить на указанный номер. |
Фарминг |
Еще один распространенный вид фишинговой атаки, при которой пользователя намеренно направляют на поддельные сайты вместо реальных. |
Направленный фишинг |
Нацелен на конкретную компанию или группу лиц. Злоумышленник направляет электронные письма руководителям или сотрудникам отделов, на которые нацелена атака. |
Уэйлинг |
Жертвами атак становятся руководители высшего звена компании. |
Еще одной из проблем информационной безопасности является безответственное отношение сотрудников, работающих с конфиденциальной информацией. Примером такого рода нарушений со стороны сотрудников являются:
– оставление без присмотра корпоративных гаджетов, документов, с содержащейся в них конфиденциальной информацией;
– пересылка сообщений с конфиденциальной информацией на личный почтовый ящик или отправка такого сообщения не тому адресату;
– обсуждение конфиденциальной информации с некомпетентными коллегами или с иными лицами;
– несвоевременное принятие необходимых мер по обеспечению безопасности хранения корпоративных гаджетов и конфиденциальных документов;
– сокрытие фактов потери конфиденциальной информации.
Со стороны компании нарушениями являются:
– несвоевременное информирование сотрудников о правилах использования конфиденциальной информации, а также о мерах наказания за совершение такого вида нарушения;
– необеспечение сотрудников необходимыми условиями соблюдения безопасности в сфере использования, хранения и передачи конфиденциальных данных;
– не уделение должного внимания определению конфиденциальности данных и закреплению этого понятия во внутренних документах компании
Еще одной из актуальных проблем современных систем внутреннего контроля является неопределенность конкретных принципов, которых должны придерживаться все сотрудники компании или их нарушение.
Среди принципов можно выделить 3-главных:
- Принцип ответственности — каждый сотрудник несет личную ответственность за качество выполняемого задания, а также может быть привлечен к различным видам ответственности за нарушения внутренних требований;
- Принцип независимости — сотрудники, осуществляющие контрольные процедуры не могут отвечать за их реализацию;
- Экономический принцип — контрольные процедуры в компании не должны обходиться дороже тех потерь, которые могут быть предотвращены в результате реализации этих контрольных процедур.
Несмотря на увеличивающийся интерес к вопросу создания эффективной системы внутреннего контроля, в данной сфере есть свои проблемы. Среди них следует выделить:
– недостаточное количество необходимых методических разработок;
– недостаточное количество квалифицированных кадров;
– отсутствие единых форм необходимых документов;
– поверхностное отношение компаний к рискам отмывания денежных средств, коррупции и неправомерного использования инсайдерской информации;
– отсутствие в большинстве компаний автоматизации внутреннего контроля;
– несоответствие контрольной и управленческой структур;
– несоответствующий уровень обеспечения информационной безопасности, при котором возникает высокий риск различных видов фишинговых атак;
– отсутствие требований обеспечения сотрудниками безопасного уровня хранения, использования и передачи конфиденциальной информации;
– отсутствие четко установленных корпоративных принципов в компании, которые являются основой личной ответственности, независимости и приверженности целям компании и качеству работы каждого сотрудника.
На основе практических исследований, автором предлагается комплекс рекомендаций по организации эффективной системы внутреннего контроля для аудиторских фирм, компаний, занимающихся консультационными услугами и для предприятий в целом. Данный комплекс состоит из следующих рекомендаций:
- Позиция руководящего состава компании — через демонстрацию приверженности качеству, принципам профессиональной этики и деловой порядочности, а также ответственность руководства за качество и управление рисками, четкое делегирование полномочий Совета директоров, Генерального директора и Руководителя подразделения, ответственного за контроль качества и управления рисками. Дополнительная опция — разработка и внедрение Кодекса поведения в компании.
- Должная проверка клиентов при принятии решения о начале или продолжении работы с этими клиентами. Необходимо разработать и довести до всех компетентных сотрудников политики и процедуры для выявления и оценки потенциальных рисков до начала или продолжения работы с клиентом. Проверка клиентов подразумевает получение достаточной информации о потенциальном клиенте, его ключевых руководителях и крупных бенефициарных собственниках, анализ полученной информации для принятия решения о сотрудничестве с этим клиентом.
- Автоматизация процесса аудита, путем внедрения электронных платформ для оказания аудиторских услуг.
- Внедрение автоматизированной системы поддержания независимости, добросовестности и объективности сотрудников, а также периодическая проверка исполнения данного требования. Например, Система, которая предполагает внесение определенными сотрудниками информации о приобретении или продаже ценных бумаг. До осуществления инвестиций необходимо провести поиск в системе и убедиться, что инвестиция не запрещена. Когда ранее разрешенные инвестиции попадают в категорию запрещенных, система высылает автоматическое уведомление, в течение пяти рабочих дней после которого сотрудники должны отказаться от участия в инвестициях.
- Разработка и внедрение тренингов для сотрудников в интерактивном формате. Тематика тренингов может быть разнообразна, начиная от тренинга по пожарной безопасности, мошенничеству, коррупции, предупреждения отмывания денег, вплоть до тренинга по соблюдению требований личной независимости. При внедрении тренингов необходимо учитывать статус сотрудника: специалист, консультант, менеджер и другие.
- Внедрение политики по вопросу разрешения конфликта интересов, обеспечение осуществления данной процедуры с помощью автоматизированных систем, ведение мониторинга правильного функционирования данного процесса.
- Организация системы информирования, в случае, когда сотруднику стало известно о факте какого-либо нарушения, будь то требования независимости, неразглашения данных, конфликт интересов и т. п. Данная система может быть организована в формате анонимного обращения через горячую линию компании, телефон доверия, либо личного обращения к Уполномоченному по данным вопросам лицу.
- Разработка стратегии грамотного и справедливого подбора квалифицированного персонала. Создание условий для личностного роста каждого сотрудника, мотивация в виде вознаграждения и повышения в должности, организация процесса повышения квалификации сотрудников.
- Обеспечение соблюдения требований информационной безопасности, использования инсайдерской информации путем подписания определенных договоров, предупреждение сотрудников о возможных последствиях в случае нарушения данных требований.
- Внедрение и реализация программы мониторинга качества заданий. Непрерывное наблюдение за статусом выполняемых заданий и обеспечение их своевременного выполнения.
- Организация подразделений или установление лиц, ответственных за контроль соблюдения требований и стандартов, за оценку рисков как на уровне фирмы, так и на уровне заданий для своевременного реагирования в случае наступления негативной ситуации.
- Разработка и внедрение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения. Такие правила призваны установить обязанности, порядок действия руководства и сотрудников компании, а также ответственных лиц в целях осуществления внутреннего контроля.
- Утверждение в компании Антикоррупционной политики, характеризующая порядок действия сотрудников в случае возникновения коррупционной ситуации.
- Организация в компании системы корпоративных ценностей, которые послужат для поддержания имиджа компании и будут служить залогом качества работы каждого сотрудника.
- Внедрение независимого исследования для получения мнения сотрудников компании по вопросам качества аудита, соблюдения ценностей компании, восприятии сотрудниками таких категорий, как качество, управление и позиция руководящего состава.
- Периодическая оценка эффективности функционирования системы внутреннего контроля.
Для успешного функционирования компании, постоянного роста уровня рентабельности, сохранения и увеличения активов, необходим отлаженный механизм управления, главным инструментом которого является внутренний контроль. Поэтому к вопросу организации системы внутреннего контроля необходимо подходить продуманно и основательно.
Литература:
- Петракова, Н. И. Проблемы и перспективы развития внутреннего контроля на предприятии / Н. И. Петракова. — Текст: непосредственный // Молодой ученый. — 2018. — № 13 (199). — С. 257–260.
- Материал из статьи «Бастрыкин назвал ущерб от коррупционных преступлений в 2021 году» / Электронная версия газеты «Известия» / URL: https://iz.ru/1261808/2021–12–09/bastrykin-nazval-ushcherb-ot-korruptcionnykh-prestuplenii-v-2021-godu