Category: Intelligence

Профессиональное проведение интервью при расследовании

Профессиональное проведение интервью при расследовании

На картинке выше – программа тренинга “Профессиональное проведение интервью при внутреннем расследовании” (только основные вопросы). Поучиться этому будет полезно не только сотрудникам СБ, но и внутренним аудиторам и всем другим профессиям, кто проводит интервью, стремясь выявить ложь собеседника и узнать то, что ваш собеседник хочет скрыть.

Несмотря на бурное развитие технических средств подслушивания и подглядывания, интернета вещей, больших данных, самым важным источником информации остаются люди. Люди – это маленькие компьютеры, которые всё видят, перерабатывают информацию, запоминают её, даже не всегда понимая её смысл. В Вашей организации, может быть, работают тысячи таких биологических устройств для сбора информации, и информация в их головах – уникальна, хотя не всегда точная и полная. Это в полной мере Big Data – со всеми достоинствами и недостатками, только хранятся данные в специфичной среде – головах персонала. И с этими Big Data тоже надо уметь работать.

Есть ещё один плюс по сравнению с информационными системами: защита доступа к информации в головах людей весьма архаична, последние 30000 лет не апгрейдилась и легко взламывается средствами социальной инженерии. Если уметь ими пользоваться. К тому же психофизиологические особенности конструкции позволяют легко выявлять, когда собеседник вам лжёт или пытается что-то скрыть. Если тоже уметь.

Будем подробно говорить об этом два дня, с выполнением упражнений. Интересно наблюдать, как проясняется сознание и способность выявлять ложь у слушателей за два дня. Ни один другой наш тренинг не даёт таких очевидных результатов. Видимо, это потому, что интуитивно, на уровне подсознания, у всех нас уже есть такие способности, и чтобы взлететь, достаточно маленького пинка.

Внимание: Тренинг проводится только в корпоративном формате! Но если заказчик соглашается, возможна “подсадка” сторонних слушателей. Так что держите связь!

Есть вопросы – пишите на адрес: info@acfe-rus.org В теме сообщения укажите “Профессиональное проведение интервью”

Advertisements
Мы все с нетерпением ждём!

Мы все с нетерпением ждём!

Осталось только 29 дней!

Ещё можно успеть записаться и принять участие в нашей ежегодной конференции по противодействию мошенничеству в бизнесе! Она состоится 10-11 октября в Москве, при поддержке Института внутренних аудиторов России, компании Интерфакс и ряда других уважаемых и полезных для нашей профессии компаний.

Мы проводим нашу конференцию в 12-ый раз (прописью: двенадцатый год подряд) и каждый раз стремимся её сделать ещё лучше. Хотя иногда кажется, что мы уже далеко впереди других конференций. Что у нас такого особенного, отличного от других:

–      мы приглашаем докладчиками только практикующих много лет профессионалов, которым есть что сказать таким же, как вы, профессионалам. Рассказы про COSO и три линии обороны – приводят к полной дисквалификации и освистыванию из зала. Наши докладчики съели много собак в своей узкой профессиональной области и теперь готовы поделиться рецептами, как их готовить. Они не сильно умеют складно говорить, но содержание их рассказа стоит послушать. Поэтому одно из правил нашей конференции – «в пианиста не стрелять»;

–      мы не приглашаем в докладчики профессиональных балаболов на темы типа «как управлять своим временем» или «как дружить со всеми и удачно выйти замуж».

–      мы не приглашаем «знаковых фигур» – типа отставных ичаров гугла или замзам депутата(министра) – сказать они интересного ничего не скажут, а публика тем временем, почему-то, засыпает. А в кулуарах потом всё заплёвано. Только докладчики «от сохи», своими мозолистыми ручками доведшие до обвинительного приговора сотни дел.

–      мы раздаём всем участникам пультики для интерактивного голосования, и каждый докладчик задаёт вопросы и получает ответы от зала; получается иногда очень интересно и неожиданно. К тому же полезно знать, что думают по тому или иному вопросу (анонимно) 150 профессионалов, собравшихся в зале!

–      мы запрещаем доклады рекламного содержания: каждый доклад должен содержать конкретный кейс из жизни и конкретные рекомендации по решению актуальной проблемы, не прибегая к покупке патентованной пилюли.

–      мы всегда обсуждаем на конференции не только то, что было вчера, а и то, где мы будем завтра в нашей профессии. На этой конференции в повестке дня: – технологии интернета вещей, большие данные и интеллидженс во внутреннем контроле.

–      Много времени отведено на дискуссии – но без перехода в драку. Наши участники уважают друг друга, но готовы отстаивать свои точки зрения. И, как я заметил, многие знакомятся и потом дружат семьями и компаниями. Вообще, мы слегка боимся превратиться в место случки рекрутеров и профессионалов в области безопасности бизнеса.

–      Мы смеёмся над собой, своими проблемами и поэтому легко их решаем. Это настроение нашей конференции – фирменный стиль.

–      И ещё мы любим своих постоянных участников, и любим индивидуально каждого.

Вот поэтому мы прожили 12 (прописью: двенадцать) лет!

До встречи на конференции!

Контакты: info@acfe-rus.orgwww.acfe-rus.com

З.Ы.

Кто хочет увидеть меня пораньше – приезжайте в Базель (есть такой город в Швейцарии), на конференцию Европейского института внутренних аудиторов, 21-22 сентября. Буду рассказывать, как космические корабли бороздят просторы внутреннего контроля.

Или в Сочи, на конференцию Российского ИВА, 5-6 октября. То же самое, но в профиль.

 

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

2 дня, корпоративный формат (август-сентябрь). Место проведения: определяется заказчиком

Почему: Великая технологическая революция интернета вещей (IoT) приводит к радикальному изменению принципов и правил внутреннего контроля. Каким станет внутренний аудит и внутренний контроль в ближайшие пять лет? Как освоить новые технологии и новый уровень эффективности внутреннего контроля?

Зачем: Чтобы изменить своё понимание внутреннего контроля и внутреннего аудита, увидеть новые пути и способы повышения эффективности бизнеса.

Для кого: Для тех аудиторов и контролёров, кто видит изменения в технологической среде и понимает, что все они требуют от нас знать и уметь нечто, что ещё не написано в стандартах внутреннего аудита и книгах по внутреннему контролю.

В результате: знания теории и практики внутреннего контроля в современной технологической среде. Повышения эффективности процессов: разработки контрольных процедур, оценки рисков системы внутреннего контроля, проведения внутренних расследований.

В программе:

– Интеллидженс и технологии обработки больших данных в системе внутреннего контроля

– Особенности контрольных процедур и их оценки в эпоху технологий интернета вещей.

– Большие данные: основы технологии и использования во внутреннем аудите

– Новые принципы и правила внутреннего контроля с использованием средств Big Data и интеллидженс.

Чего точно не будет:

– рассказа про кубик COSO и три линии обороны и прочих общеизвестных теорий.

Дополнительно:

Для участников тренинга будет проведены два предварительных вебинара по теме тренинга – для предварительной подготовки участников и повышения эффективности восприятия материала непосредственно на тренинге.

Кто проводит: Ассоциация “Объединение сертифицированных специалистов по расследованию хищений” в сотрудничестве с MS Business Security Consulting Oy. Участники получают 12 часов CPE международного образца (ACFE).

Лектор и автор курса: Сергей Мартынов, CFE, CIA, CISA, Ms. Criminal Justice, профессиональный бухгалтер.

Контакты по всем вопросам: e-mail: martynovsa@mac.com

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Забавная фраза из старого радиоспектакля. Вспомнилась, когда речь пошла об ультразвуке.

Ну вот, потихонечку IoT технологии становятся основой внутреннего контроля в бизнесе. Великая технологическая революция, о которой столько лет твердили большевики (то есть я), состоялась.

Цитата (Lenta.ru, 10.05.2017):

«Макдоналдс» следит за вами с помощью ультразвука

Специалисты в области интернет-безопасности из Брауншвейгского технического университета Германии обнаружили, что все больше приложений на Android использует систему слежения с помощью ультразвуковых маячков. Таких сервисов в магазине Google более 200, и среди них — официальное приложение сети ресторанов быстрого питания «Макдоналдс».

Технология работает следующим образом. Человеческое ухо не может уловить ультразвуковые сигналы, в отличие от ноутбуков, смартфонов и прочих гаджетов. Заведения, у большинства из которых есть собственные приложения, могут установить в оффлайн-точках те самые маячки. Как только зарегистрированный в приложении покупатель заходит в магазин или ресторан, его устройство распознает сигналы и передает информацию разработчику сервиса.

Таким образом компании могут собирать огромное количество данных: в какое время суток человек сделал заказ, каким гаджетом он пользуется, как часто посещает заведение и тому подобное.

В действительности устройства не считывают эти сигналы постоянно: чтобы передать информацию, пользователи должны открыть приложение в стенах заведения. Специалисты предполагают, что некоторые магазины и рестораны специально проводят рекламные акции, предоставляя скидки тем, кто откроет программу во время покупок.

В теории ультразвук также может быть встроен в рекламу на телевидении или по радио. Правда, ни в одном рекламном ТВ-ролике ультразвуковых вставок пока не обнаружено.”

Конец цитаты. Ссылка на оригинал исследования: http://bit.ly/2pygktk

Ультразвуковый датчик ( так же, как и излучатель) стоит 1-2 доллара в розницу и несколько центов оптом, как и все остальные железки, необходимые для такого простейшего устройства контроля.

Пока ещё нашу персональную информационную безопасность спасает только то, что все эти устройства достаточно примитивны. Потому что ребята, их придумывающие, имеют знания на уровне только прикладных навыков как припаять одну железку к другой и написать код опроса датчиков. Это как муравьи, каждый из которых обладает только базовыми “знаниями” и поэтому, что бы они не строили, всегда получится муравейник (http://bit.ly/2i9Gd3a). Например, многие, кто умеют работать с Hadoop (к примеру), не знают, что такое большие данные (http://bit.ly/2izu0Ek). То есть они, конечно, думают, что знают. И если посмотреть на то, что они творят, то результаты больше напоминают броуновское движение или творчество ремесленника (здесь “ремесленник” – это человек, который до всего доходит практическими упражнениями и избегает изучения всяких наук и теорий). Всё это результат отсутствия базового академического образования в массах.

Конечно, броуновское движение тоже есть способ достигнуть места назначения – для тех, кому повезет случайно дёрнуться в нужном направлении. Однако вероятность невелика.

Для того, чтобы разработать действительно интелектуальное устройство контроля на базе технологий IoT, интеллидженс и BigData, нужно как минимум знать, к примеру, методики интеллидженс и уметь их применять. Для того чтобы знать интеллидженс, нужно изучить критическое мышление (в числе многих других тем). Чтобы знать критическое мышление, нужно изучить и уметь применять логику. А чтобы понимать логику, неплохо бы сначала изучить некоторые основы философии, и сделать это в возрасте до 20 лет. В возрасте, когда все полученные знания становятся условными рефлексами.

Готов поспорить, что 146% из читающих этот текст никогда логику (как науку) не изучали. Ну, может быть, в институте проходили (мимо). Хотя современные программы обучения в высшей школе изучением именно логики не страдают.

Так что хотя медленно и неуклонно, методом броуновского движения и i-robota, но всё-таки мы движемся к всеобщей победе тотального общества контроля, основанного на интернете вещей, в котором:

– вещи, не подключенные к интернет, и постоянно не собирающие и передающие информацию станут редкостью и в конечном счёте будут запрещены как потенциально опасные (под любым предлогом);

– идентификация человека станет повсеместной, всегда и везде в любой момент времени

– государства будут пытаться ставить под свой монопольный контроль сбор информации и контроль своих (и чужих) граждан…

З.Ы.

Про новый внутренний контроль поговорим подробнее на нашей ежегодной конференции “Комплексная безопасность бизнеса и противодействие хищениям” в октябре. До конца мая действует скидка до 50%. http://bit.ly/2otLfpw

А еще – 25 мая состоится эксклюзивное мероприятие: вебинар Михаила Щепакина “Методы сбора и анализ данных, необходимых для возврата похищенных объектов недвижимости”. Только 50 мест (технические ограничения). http://bit.ly/2pYMTE4

Внутренний контроль в эпоху интернета вещей и больших данных

Внутренний контроль в эпоху интернета вещей и больших данных

Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.

Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.

И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:

   1) научиться оценивать затраты на внутренний контроль

   2) научиться сокращать затраты на внутренний контроль

Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.

Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.

Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.

С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.

И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.

На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.

Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.

Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.

Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:

1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,

2) выявления отклонений процесса от заданных параметров,

3) выдачи сигнала тревоги.

-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.

Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.

Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.

Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.

Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:

– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.

2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.

3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.

На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.

А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.

На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br

Отметим особенности технологического уровня внутреннего контроля:

– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,

– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.

То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.

Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:

«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);

«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;

«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);

«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)

Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:

– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.

– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.

– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.

– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.

Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).

Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.

Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).

Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:

– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.

– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz

– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!

– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3

И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.

Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.

А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.

Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.

А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.

Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.

И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.

З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org

Как узнать о контрагенте больше, чем он знает о себе сам.

Как узнать о контрагенте больше, чем он знает о себе сам.

До чего дошёл прогресс, однако. Вообще-то я в интернетах если что и ищу, то только не мази и кремы, сами понимаете. И посему контекстную рекламу в браузере получаю совсем не про них. А тут шел по улице, никого не трогал. Вдруг “звонок друга” – “Аптеку поблизости видишь? Зайди, купи крем”. Далее внимательно следим за руками.

Захожу в аптеку, покупаю крем, расплачиваюсь наликом, ухожу. Вечером открываю трубу посмотреть для души фильмик на халяву, и на тебе: повалилась контекстная реклама про средства лечения прыщей, от которых покупал сей кремчик. Чего в жизни никогда не было. Узнал много интересного про них, прыщей, аж жутко стало. Задумался, однако.

Откуда же эти гады узнали, что я этот кремчик покупал, и стали грузить прыщавой рекламой по самые гланды? Получается, по всей раскладке, так: зашёл в аптеку, смартфон в кармане. Опсос или Гугл сразу продал рекламщикам моё местонахождение. Дальше касса аптеки выбивает чек, и информация о том, что куплено, тут же сливается рекламщикам. Вроде бы всё анонимно, чинно-благородно, (как бы даже) закон о персональных данных не нарушается.

Дальше, сопоставляя дважды два (где я и что куплено), рекламщики принимают решение, что это я купил кремчик от прыщей, и для меня на сей день нету более актуальной проблемы. И начинают продавать, продавать и продавать мне во все дыры изо всех щелей.

Страшно подумать, что бы было, если бы я, как еврей в анекдоте, вышел с кладбища. Какой бы я рекламы тогда насмотрелся? Порубили все дубы на гробы…

Это называется интеллидженс – когда по косвенным признакам делают выводы о свойствах объекта (то есть меня), как покупателя. Пример хорош ещё и тем, как показывает, что интеллидженс не даёт гарантированно правильного решения – всегда есть вероятность ошибки. Но небольшая. Ну, со мной не повезло, а с сотнями других – в точку. Так что в целом всё окупается, да ещё как.

Скоро наступит полная благодать: как только пукнешь, тут же получишь от своего смартфона кучу советов по поводу лечения метеоризма и список адресов ближайших туалетов.

А теперь – самое главное: Без-воз-мезд-но, то есть даром!  Прямо как здесь: https://www.youtube.com/watch?v=gO1PIg6i0FU

Жизнь такова, что иногда, правда редко-редко, бесплатный сыр бывает не только в мышеловке. Просто места знать надо. Вот пара мест, для тех, кто хочет послушать про практическое применение интеллидженс для защиты бизнеса:

Учебный центр «Интерфакса» при информационной поддержке российского отделения ACFE, приглашает всех неравнодушных к безопасности бизнеса: руководителей компаний и бизнес-подразделений, а также руководителей и специалистов служб безопасности принять участие в конференции

 “Безопасность бизнеса. Современные информационные системы оценки рисков”.

Где и когда:

·       Краснодар – 29 марта – Регистрация по ссылке http://event.interfax.ru/meetings/159?utm_source=29.03.17&utm_medium=acfe

·        Казань – 5 апреля – Регистрация по ссылке http://event.interfax.ru/meetings/154?utm_source=05.04.17&utm_medium=acfe

В интереснейшей программе:

  • Современные тенденции и новеллы в области управления рисками
  • Риски, связанные с «качеством» контрагентов
  • Выявление фирм-однодневок
  • Индекс должной осмотрительности: методология расчета, интерпретация результатов
  • Выработка критериев благонадежности, типичные портреты рискованных контрагентов
  • Смена статуса и ключевые источники деловой информации
  • Оперативный мониторинг контрагентов
  • Анализ корпоративных связей
  • Платежная дисциплина – как заранее узнать о надвигающихся проблемах
  • Матрица рисков по всему портфелю контрагентов

Спикеры:

Сергей Яковлев – к.э.н., заместитель генерального директора, Международная информационная группа “Интерфакс”

Андрей Захаров – к.э.н., руководитель учебных проектов, директор по развитию проекта СПАРК, Международная информационная группа “Интерфакс”

Количество мест, ясно дело, ограничено!

Задать вопросы можно по тел.:

·        Москва: +7 (495) 357-39-77

·        Интерфакс-Юг: +7 (861) 274-88-15

·        Интерфакс-Поволжье: +7 (831) 439-73-48

История одной библиотеки

История одной библиотеки

Сначала был хаос… Нет, Эксель. И было это 8 лет назад. И вели мы в нём табличку, в которую записывали все наши расследования – кто, что, когда и как украл. В одном столбце – кто, в другом – что, и так далее. И велась эта табличка для целей статистики, отчётности и прочего очковтирательства.

На второй год от сотворения таблички, когда в ней уже стало больше сотни строк, зародилась мысль использовать её как источник знаний для обучения подрастающих поколений  аудиторов и ревизоров, чтобы они знали, насколько низко может пасть человек в жажде незаконного обогащения, и каким именно образом пасть. И назвали мы эту табличку гордо: “Библиотека типовых способов хищений”, и с тех пор стал этот термин жить своей жизнью в профессиональном сообществе. А многие непосвящённые употребляют его всуе, не ведая тайный смысл и правильное применение.

На третий год заметили аудиторы и ревизоры, что ничего не ново под луной, и хотя изрядно распухшую табличку уже уважительно звали “базой данных”, многие строчки в ней были как близнецы – менялись только фамилии действующих жуликов и названия подразделений. А общими между ними были – способ действия (Modus operandi) преступника и некоторые факты, сопутствующие преступлению.

Оказывается, каждому типу преступления и схеме хищения свойственны определённые признаки (индикаторы). Это те факты, которые обычно сопутствуют преступлению и легко устанавливаются. То есть скрыть их невозможно в принципе. Например, ездит кладовщик на дорогой машине, цена которой в 10 раз выше его пожизненнаго содержания.  Или частые поломки автомобильных весов на складе. И дополнили мы тогда табличку разными полями, содержащими признаки (индикаторы) преступлений.

Естественным процессом стало собирательство и коллекционирование разных индикаторов хищений, и в конце концов, в 2013 году мы провели (совместно с E&Y Russia) исследование, в котором определили перечень самых значимых индикаторов хищений.  Есть индикаторы – есть риск хищения. Или оно само. Можно искать, предотвращать, расследовать.  Как минимум, оценить риск хищения. Чтобы собственник знал, где завтра, возможно, своруют. И насколько широка и глубока эта возможность. Так родилась оценка рисков хищений.

И на шестой год от сотворения таблички одну светлую голову (а может не одну, и не голову:) посетила идея – а нельзя ли по набору индикаторов определять схему преступления. Ну, хотя бы, приблизительно. Если знаем набор индикаторов – какие схемы под неё подходят. Потому что у каждого типа хищений есть свой профиль, состоящий из определённого набора индикаторов и их значений. Знаем профиль – находим в библиотеке  типовых способов хищений все подходящие преступления. А там – уже готовые описания схемы действия преступника, что чрезвычайно облегчает  задачу выработки версий при проведении расследования. Вот тут, когда надо для набора индикаторов (фактов) выбрать наиболее подходящие версии, и пригодились методики интеллидженс.

В самом деле, при проведении расследований самая нетривиальная и творческая задача – выработка версий, которые потом надо опровергать и доказывать. Откуда их взять простому бедному аудитору или ревизору, не отягощённому многолетним опытом? И правильно структурированная, оснащенная адаптивными алгоритмами поиска “библиотека типовых способов хищений” превращается в мощный инструмент, объединяющий в себе и оценку рисков хищений, и выработку версий для расследования.

А вообще это тема относится к тренингу про проведение расследований. Для получения подробной информации пишите: info@acfe-rus.org