Category: Intelligence

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

2 дня, корпоративный формат (август-сентябрь). Место проведения: определяется заказчиком

Почему: Великая технологическая революция интернета вещей (IoT) приводит к радикальному изменению принципов и правил внутреннего контроля. Каким станет внутренний аудит и внутренний контроль в ближайшие пять лет? Как освоить новые технологии и новый уровень эффективности внутреннего контроля?

Зачем: Чтобы изменить своё понимание внутреннего контроля и внутреннего аудита, увидеть новые пути и способы повышения эффективности бизнеса.

Для кого: Для тех аудиторов и контролёров, кто видит изменения в технологической среде и понимает, что все они требуют от нас знать и уметь нечто, что ещё не написано в стандартах внутреннего аудита и книгах по внутреннему контролю.

В результате: знания теории и практики внутреннего контроля в современной технологической среде. Повышения эффективности процессов: разработки контрольных процедур, оценки рисков системы внутреннего контроля, проведения внутренних расследований.

В программе:

– Интеллидженс и технологии обработки больших данных в системе внутреннего контроля

– Особенности контрольных процедур и их оценки в эпоху технологий интернета вещей.

– Большие данные: основы технологии и использования во внутреннем аудите

– Новые принципы и правила внутреннего контроля с использованием средств Big Data и интеллидженс.

Чего точно не будет:

– рассказа про кубик COSO и три линии обороны и прочих общеизвестных теорий.

Дополнительно:

Для участников тренинга будет проведены два предварительных вебинара по теме тренинга – для предварительной подготовки участников и повышения эффективности восприятия материала непосредственно на тренинге.

Кто проводит: Ассоциация “Объединение сертифицированных специалистов по расследованию хищений” в сотрудничестве с MS Business Security Consulting Oy. Участники получают 12 часов CPE международного образца (ACFE).

Лектор и автор курса: Сергей Мартынов, CFE, CIA, CISA, Ms. Criminal Justice, профессиональный бухгалтер.

Контакты по всем вопросам: e-mail: martynovsa@mac.com

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Забавная фраза из старого радиоспектакля. Вспомнилась, когда речь пошла об ультразвуке.

Ну вот, потихонечку IoT технологии становятся основой внутреннего контроля в бизнесе. Великая технологическая революция, о которой столько лет твердили большевики (то есть я), состоялась.

Цитата (Lenta.ru, 10.05.2017):

«Макдоналдс» следит за вами с помощью ультразвука

Специалисты в области интернет-безопасности из Брауншвейгского технического университета Германии обнаружили, что все больше приложений на Android использует систему слежения с помощью ультразвуковых маячков. Таких сервисов в магазине Google более 200, и среди них — официальное приложение сети ресторанов быстрого питания «Макдоналдс».

Технология работает следующим образом. Человеческое ухо не может уловить ультразвуковые сигналы, в отличие от ноутбуков, смартфонов и прочих гаджетов. Заведения, у большинства из которых есть собственные приложения, могут установить в оффлайн-точках те самые маячки. Как только зарегистрированный в приложении покупатель заходит в магазин или ресторан, его устройство распознает сигналы и передает информацию разработчику сервиса.

Таким образом компании могут собирать огромное количество данных: в какое время суток человек сделал заказ, каким гаджетом он пользуется, как часто посещает заведение и тому подобное.

В действительности устройства не считывают эти сигналы постоянно: чтобы передать информацию, пользователи должны открыть приложение в стенах заведения. Специалисты предполагают, что некоторые магазины и рестораны специально проводят рекламные акции, предоставляя скидки тем, кто откроет программу во время покупок.

В теории ультразвук также может быть встроен в рекламу на телевидении или по радио. Правда, ни в одном рекламном ТВ-ролике ультразвуковых вставок пока не обнаружено.”

Конец цитаты. Ссылка на оригинал исследования: http://bit.ly/2pygktk

Ультразвуковый датчик ( так же, как и излучатель) стоит 1-2 доллара в розницу и несколько центов оптом, как и все остальные железки, необходимые для такого простейшего устройства контроля.

Пока ещё нашу персональную информационную безопасность спасает только то, что все эти устройства достаточно примитивны. Потому что ребята, их придумывающие, имеют знания на уровне только прикладных навыков как припаять одну железку к другой и написать код опроса датчиков. Это как муравьи, каждый из которых обладает только базовыми “знаниями” и поэтому, что бы они не строили, всегда получится муравейник (http://bit.ly/2i9Gd3a). Например, многие, кто умеют работать с Hadoop (к примеру), не знают, что такое большие данные (http://bit.ly/2izu0Ek). То есть они, конечно, думают, что знают. И если посмотреть на то, что они творят, то результаты больше напоминают броуновское движение или творчество ремесленника (здесь “ремесленник” – это человек, который до всего доходит практическими упражнениями и избегает изучения всяких наук и теорий). Всё это результат отсутствия базового академического образования в массах.

Конечно, броуновское движение тоже есть способ достигнуть места назначения – для тех, кому повезет случайно дёрнуться в нужном направлении. Однако вероятность невелика.

Для того, чтобы разработать действительно интелектуальное устройство контроля на базе технологий IoT, интеллидженс и BigData, нужно как минимум знать, к примеру, методики интеллидженс и уметь их применять. Для того чтобы знать интеллидженс, нужно изучить критическое мышление (в числе многих других тем). Чтобы знать критическое мышление, нужно изучить и уметь применять логику. А чтобы понимать логику, неплохо бы сначала изучить некоторые основы философии, и сделать это в возрасте до 20 лет. В возрасте, когда все полученные знания становятся условными рефлексами.

Готов поспорить, что 146% из читающих этот текст никогда логику (как науку) не изучали. Ну, может быть, в институте проходили (мимо). Хотя современные программы обучения в высшей школе изучением именно логики не страдают.

Так что хотя медленно и неуклонно, методом броуновского движения и i-robota, но всё-таки мы движемся к всеобщей победе тотального общества контроля, основанного на интернете вещей, в котором:

– вещи, не подключенные к интернет, и постоянно не собирающие и передающие информацию станут редкостью и в конечном счёте будут запрещены как потенциально опасные (под любым предлогом);

– идентификация человека станет повсеместной, всегда и везде в любой момент времени

– государства будут пытаться ставить под свой монопольный контроль сбор информации и контроль своих (и чужих) граждан…

З.Ы.

Про новый внутренний контроль поговорим подробнее на нашей ежегодной конференции “Комплексная безопасность бизнеса и противодействие хищениям” в октябре. До конца мая действует скидка до 50%. http://bit.ly/2otLfpw

А еще – 25 мая состоится эксклюзивное мероприятие: вебинар Михаила Щепакина “Методы сбора и анализ данных, необходимых для возврата похищенных объектов недвижимости”. Только 50 мест (технические ограничения). http://bit.ly/2pYMTE4

Внутренний контроль в эпоху интернета вещей и больших данных

Внутренний контроль в эпоху интернета вещей и больших данных

Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.

Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.

И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:

   1) научиться оценивать затраты на внутренний контроль

   2) научиться сокращать затраты на внутренний контроль

Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.

Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.

Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.

С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.

И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.

На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.

Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.

Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.

Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:

1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,

2) выявления отклонений процесса от заданных параметров,

3) выдачи сигнала тревоги.

-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.

Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.

Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.

Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.

Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:

– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.

2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.

3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.

На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.

А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.

На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br

Отметим особенности технологического уровня внутреннего контроля:

– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,

– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.

То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.

Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:

«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);

«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;

«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);

«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)

Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:

– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.

– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.

– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.

– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.

Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).

Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.

Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).

Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:

– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.

– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz

– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!

– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3

И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.

Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.

А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.

Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.

А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.

Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.

И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.

З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org

Как узнать о контрагенте больше, чем он знает о себе сам.

Как узнать о контрагенте больше, чем он знает о себе сам.

До чего дошёл прогресс, однако. Вообще-то я в интернетах если что и ищу, то только не мази и кремы, сами понимаете. И посему контекстную рекламу в браузере получаю совсем не про них. А тут шел по улице, никого не трогал. Вдруг “звонок друга” – “Аптеку поблизости видишь? Зайди, купи крем”. Далее внимательно следим за руками.

Захожу в аптеку, покупаю крем, расплачиваюсь наликом, ухожу. Вечером открываю трубу посмотреть для души фильмик на халяву, и на тебе: повалилась контекстная реклама про средства лечения прыщей, от которых покупал сей кремчик. Чего в жизни никогда не было. Узнал много интересного про них, прыщей, аж жутко стало. Задумался, однако.

Откуда же эти гады узнали, что я этот кремчик покупал, и стали грузить прыщавой рекламой по самые гланды? Получается, по всей раскладке, так: зашёл в аптеку, смартфон в кармане. Опсос или Гугл сразу продал рекламщикам моё местонахождение. Дальше касса аптеки выбивает чек, и информация о том, что куплено, тут же сливается рекламщикам. Вроде бы всё анонимно, чинно-благородно, (как бы даже) закон о персональных данных не нарушается.

Дальше, сопоставляя дважды два (где я и что куплено), рекламщики принимают решение, что это я купил кремчик от прыщей, и для меня на сей день нету более актуальной проблемы. И начинают продавать, продавать и продавать мне во все дыры изо всех щелей.

Страшно подумать, что бы было, если бы я, как еврей в анекдоте, вышел с кладбища. Какой бы я рекламы тогда насмотрелся? Порубили все дубы на гробы…

Это называется интеллидженс – когда по косвенным признакам делают выводы о свойствах объекта (то есть меня), как покупателя. Пример хорош ещё и тем, как показывает, что интеллидженс не даёт гарантированно правильного решения – всегда есть вероятность ошибки. Но небольшая. Ну, со мной не повезло, а с сотнями других – в точку. Так что в целом всё окупается, да ещё как.

Скоро наступит полная благодать: как только пукнешь, тут же получишь от своего смартфона кучу советов по поводу лечения метеоризма и список адресов ближайших туалетов.

А теперь – самое главное: Без-воз-мезд-но, то есть даром!  Прямо как здесь: https://www.youtube.com/watch?v=gO1PIg6i0FU

Жизнь такова, что иногда, правда редко-редко, бесплатный сыр бывает не только в мышеловке. Просто места знать надо. Вот пара мест, для тех, кто хочет послушать про практическое применение интеллидженс для защиты бизнеса:

Учебный центр «Интерфакса» при информационной поддержке российского отделения ACFE, приглашает всех неравнодушных к безопасности бизнеса: руководителей компаний и бизнес-подразделений, а также руководителей и специалистов служб безопасности принять участие в конференции

 “Безопасность бизнеса. Современные информационные системы оценки рисков”.

Где и когда:

·       Краснодар – 29 марта – Регистрация по ссылке http://event.interfax.ru/meetings/159?utm_source=29.03.17&utm_medium=acfe

·        Казань – 5 апреля – Регистрация по ссылке http://event.interfax.ru/meetings/154?utm_source=05.04.17&utm_medium=acfe

В интереснейшей программе:

  • Современные тенденции и новеллы в области управления рисками
  • Риски, связанные с «качеством» контрагентов
  • Выявление фирм-однодневок
  • Индекс должной осмотрительности: методология расчета, интерпретация результатов
  • Выработка критериев благонадежности, типичные портреты рискованных контрагентов
  • Смена статуса и ключевые источники деловой информации
  • Оперативный мониторинг контрагентов
  • Анализ корпоративных связей
  • Платежная дисциплина – как заранее узнать о надвигающихся проблемах
  • Матрица рисков по всему портфелю контрагентов

Спикеры:

Сергей Яковлев – к.э.н., заместитель генерального директора, Международная информационная группа “Интерфакс”

Андрей Захаров – к.э.н., руководитель учебных проектов, директор по развитию проекта СПАРК, Международная информационная группа “Интерфакс”

Количество мест, ясно дело, ограничено!

Задать вопросы можно по тел.:

·        Москва: +7 (495) 357-39-77

·        Интерфакс-Юг: +7 (861) 274-88-15

·        Интерфакс-Поволжье: +7 (831) 439-73-48

История одной библиотеки

История одной библиотеки

Сначала был хаос… Нет, Эксель. И было это 8 лет назад. И вели мы в нём табличку, в которую записывали все наши расследования – кто, что, когда и как украл. В одном столбце – кто, в другом – что, и так далее. И велась эта табличка для целей статистики, отчётности и прочего очковтирательства.

На второй год от сотворения таблички, когда в ней уже стало больше сотни строк, зародилась мысль использовать её как источник знаний для обучения подрастающих поколений  аудиторов и ревизоров, чтобы они знали, насколько низко может пасть человек в жажде незаконного обогащения, и каким именно образом пасть. И назвали мы эту табличку гордо: “Библиотека типовых способов хищений”, и с тех пор стал этот термин жить своей жизнью в профессиональном сообществе. А многие непосвящённые употребляют его всуе, не ведая тайный смысл и правильное применение.

На третий год заметили аудиторы и ревизоры, что ничего не ново под луной, и хотя изрядно распухшую табличку уже уважительно звали “базой данных”, многие строчки в ней были как близнецы – менялись только фамилии действующих жуликов и названия подразделений. А общими между ними были – способ действия (Modus operandi) преступника и некоторые факты, сопутствующие преступлению.

Оказывается, каждому типу преступления и схеме хищения свойственны определённые признаки (индикаторы). Это те факты, которые обычно сопутствуют преступлению и легко устанавливаются. То есть скрыть их невозможно в принципе. Например, ездит кладовщик на дорогой машине, цена которой в 10 раз выше его пожизненнаго содержания.  Или частые поломки автомобильных весов на складе. И дополнили мы тогда табличку разными полями, содержащими признаки (индикаторы) преступлений.

Естественным процессом стало собирательство и коллекционирование разных индикаторов хищений, и в конце концов, в 2013 году мы провели (совместно с E&Y Russia) исследование, в котором определили перечень самых значимых индикаторов хищений.  Есть индикаторы – есть риск хищения. Или оно само. Можно искать, предотвращать, расследовать.  Как минимум, оценить риск хищения. Чтобы собственник знал, где завтра, возможно, своруют. И насколько широка и глубока эта возможность. Так родилась оценка рисков хищений.

И на шестой год от сотворения таблички одну светлую голову (а может не одну, и не голову:) посетила идея – а нельзя ли по набору индикаторов определять схему преступления. Ну, хотя бы, приблизительно. Если знаем набор индикаторов – какие схемы под неё подходят. Потому что у каждого типа хищений есть свой профиль, состоящий из определённого набора индикаторов и их значений. Знаем профиль – находим в библиотеке  типовых способов хищений все подходящие преступления. А там – уже готовые описания схемы действия преступника, что чрезвычайно облегчает  задачу выработки версий при проведении расследования. Вот тут, когда надо для набора индикаторов (фактов) выбрать наиболее подходящие версии, и пригодились методики интеллидженс.

В самом деле, при проведении расследований самая нетривиальная и творческая задача – выработка версий, которые потом надо опровергать и доказывать. Откуда их взять простому бедному аудитору или ревизору, не отягощённому многолетним опытом? И правильно структурированная, оснащенная адаптивными алгоритмами поиска “библиотека типовых способов хищений” превращается в мощный инструмент, объединяющий в себе и оценку рисков хищений, и выработку версий для расследования.

Мы будем об этом говорить на нашем тренинге-конференции 15-16 февраля в г.Москва. Подробная информация: http://www.acfe-rus.com/2017-02-15-16-

Осталось 37 дней

Осталось 37 дней

Безопасность бизнеса – она как здоровье для человека – заниматься им всегда некогда. Пока не заболело. А чтобы потом не было “мучительно больно” (это выражение классика:) – напоминаю про главное событие года в области безопасности бизнеса:

12-13 октября 2016г., в Москве пройдёт  XI Ежегодная конференция «Комплексная безопасность бизнеса и противодействие хищениям»

Кому это надо: специалистам и руководителям всех подразделений, занимающихся контролем в той или иной форме – аудит, расследования, оценка рисков, комплайенс, информационная безопасность.

В программе конференции, как обычно, БУДЕТ:

– актуальные вопросы безопасности бизнеса, изменения, произошедшие за прошедший год;

– последние новости методик, технологий, мнения экспертов о путях развития нашего направления;

– выступления лучших практиков в области внутреннего аудита, расследований, интеллидженс, информационной безопасности и искусственного интеллекта (это те, которые не говорят красиво, а говорят правильно).

– круглые столы и обсуждения со всеми участниками самых актуальных тем;

–  интерактивные опросы и голосования,

–  знакомство и обмен мнениями с другими участниками,

– 14 часов международной сертификации CPE (непрерывное профессиональное обучение),

– подарки самым активным участникам.

В программе конференции, как обычно, НЕ БУДЕТ:

– выступлений консультантов, занудливо рекламирующих свои услуги;

– выступлений свадебных генералов и чиновников, вещающих с трибуны прописные истины;

ВНИМАНИЕ:

Тех кто уже зарегистрировался для участия в конференции или уже близок к этому,  приглашаю на бесплатный вебинар, который состоится 14 сентября. На нем мы обсудим программу  конференции, а также самые актуальные вопросы, намеченные к обсуждению на ней – например, влияние IoT (интернета вещей) и BigData на жизнь нашей профессии. На конференции, как всегда, времени мало, поэтому попробуем обсудить некоторые темы заранее. Приглашу принять участие в вебинаре  докладчиков конференции с рассказом про интересный кейс из реальной жизни.

А ВОТ ТЕПЕРЬ самое интересное: употребляю своё служебное положение: всем моим активным читателям и друзьям из ЛинкедИн, которые примут участие в конференции –  подарок: презентация или вебинар на любую интересующую их тему. Для регистрации на этих условиях пишите напрямую мне (martynovsa@mac.com).  Просто люблю делать людям приятное.

З.Ы. Программа конференции – здесь:

http://www.acfe-rus.org/page.php?id=250&file=1200

Как я провёл лето

Как я провёл лето

План сочинения.

Место действия: окрестности Москвы, Хельсинки, Брюсселя или ваш собственный офис (учебный центр). По цене, что самое интересное, разницы нет. За границей даже дешевле. Приглашения на визу напишем. Если слушателей больше 15, то выгоднее корпоративный тренинг.

Даты проведения: с 20 июля по 3 сентября. Да, пора отпусков – но это же хорошо. Как пиво по утрам. Не только вредно, но и полезно. Трудно отрываться для обучения, когда надо год или квартал закрывать, командировки, отчёты, советы директоров, комитеты по аудиту. Готовь летом сани, что называется.

   О чём это:

“Выстраиваем систему знаний: внутренний аудит и контроль в безопасности бизнеса”

Ну, это вообще-то не только для внутренних аудиторов, но и для всех, кто занимается контролем – СЭБ, КРУ, риск-менеджеры, комплайенс и так далее. Очень хорошо для начинающих – кто в профессии один-два года. Пока связки в мозгу не срослись неправильно.

Факт: на внутренних аудиторов не учат нигде. Причины обсуждать здесь не будем, лучше попробуем решить проблему. Стандарты внутреннего аудита, конечно, хороши, но в доме надо иметь и мясные закуски. То есть что жить надо правильно, в стандартах написано, а как жить правильно – об этом мы и поговорим.

Без учебников и стандартов, без лишней формалистики: что такое система внутреннего контроля, что такое контрольная процедура, что такое хорошая контрольная процедура, критерии оценки устойчивости контрольных процедур к намеренному нарушению и хищениям, секреты оптимизации контрольных процедур, оценка рисков не формально, расследования, профессиональное проведение интервью, интеллидженс в бизнесе, корпоративная культура – её создание и аудит, психология менеджмента, планирование и организация работы ВА, разработка методик и так далее. Абсолютно уникальный курс на 4 дня, в него собрал всё, что нажито непомерным трудом за более чем 15 лет работы во внутреннем аудите и нужно знать контролёру и аудитору для жизни.

До связи: martynovsa@mac.com

Искренне Ваш,  MS Business Security Consulting Oy