Category: Internal control

Профессиональное проведение интервью при расследовании

Профессиональное проведение интервью при расследовании

На картинке выше – программа тренинга “Профессиональное проведение интервью при внутреннем расследовании” (только основные вопросы). Поучиться этому будет полезно не только сотрудникам СБ, но и внутренним аудиторам и всем другим профессиям, кто проводит интервью, стремясь выявить ложь собеседника и узнать то, что ваш собеседник хочет скрыть.

Несмотря на бурное развитие технических средств подслушивания и подглядывания, интернета вещей, больших данных, самым важным источником информации остаются люди. Люди – это маленькие компьютеры, которые всё видят, перерабатывают информацию, запоминают её, даже не всегда понимая её смысл. В Вашей организации, может быть, работают тысячи таких биологических устройств для сбора информации, и информация в их головах – уникальна, хотя не всегда точная и полная. Это в полной мере Big Data – со всеми достоинствами и недостатками, только хранятся данные в специфичной среде – головах персонала. И с этими Big Data тоже надо уметь работать.

Есть ещё один плюс по сравнению с информационными системами: защита доступа к информации в головах людей весьма архаична, последние 30000 лет не апгрейдилась и легко взламывается средствами социальной инженерии. Если уметь ими пользоваться. К тому же психофизиологические особенности конструкции позволяют легко выявлять, когда собеседник вам лжёт или пытается что-то скрыть. Если тоже уметь.

Будем подробно говорить об этом два дня, с выполнением упражнений. Интересно наблюдать, как проясняется сознание и способность выявлять ложь у слушателей за два дня. Ни один другой наш тренинг не даёт таких очевидных результатов. Видимо, это потому, что интуитивно, на уровне подсознания, у всех нас уже есть такие способности, и чтобы взлететь, достаточно маленького пинка.

Внимание: Тренинг проводится только в корпоративном формате! Но если заказчик соглашается, возможна “подсадка” сторонних слушателей. Так что держите связь!

Есть вопросы – пишите на адрес: info@acfe-rus.org В теме сообщения укажите “Профессиональное проведение интервью”

Advertisements
Мы все с нетерпением ждём!

Мы все с нетерпением ждём!

Осталось только 29 дней!

Ещё можно успеть записаться и принять участие в нашей ежегодной конференции по противодействию мошенничеству в бизнесе! Она состоится 10-11 октября в Москве, при поддержке Института внутренних аудиторов России, компании Интерфакс и ряда других уважаемых и полезных для нашей профессии компаний.

Мы проводим нашу конференцию в 12-ый раз (прописью: двенадцатый год подряд) и каждый раз стремимся её сделать ещё лучше. Хотя иногда кажется, что мы уже далеко впереди других конференций. Что у нас такого особенного, отличного от других:

–      мы приглашаем докладчиками только практикующих много лет профессионалов, которым есть что сказать таким же, как вы, профессионалам. Рассказы про COSO и три линии обороны – приводят к полной дисквалификации и освистыванию из зала. Наши докладчики съели много собак в своей узкой профессиональной области и теперь готовы поделиться рецептами, как их готовить. Они не сильно умеют складно говорить, но содержание их рассказа стоит послушать. Поэтому одно из правил нашей конференции – «в пианиста не стрелять»;

–      мы не приглашаем в докладчики профессиональных балаболов на темы типа «как управлять своим временем» или «как дружить со всеми и удачно выйти замуж».

–      мы не приглашаем «знаковых фигур» – типа отставных ичаров гугла или замзам депутата(министра) – сказать они интересного ничего не скажут, а публика тем временем, почему-то, засыпает. А в кулуарах потом всё заплёвано. Только докладчики «от сохи», своими мозолистыми ручками доведшие до обвинительного приговора сотни дел.

–      мы раздаём всем участникам пультики для интерактивного голосования, и каждый докладчик задаёт вопросы и получает ответы от зала; получается иногда очень интересно и неожиданно. К тому же полезно знать, что думают по тому или иному вопросу (анонимно) 150 профессионалов, собравшихся в зале!

–      мы запрещаем доклады рекламного содержания: каждый доклад должен содержать конкретный кейс из жизни и конкретные рекомендации по решению актуальной проблемы, не прибегая к покупке патентованной пилюли.

–      мы всегда обсуждаем на конференции не только то, что было вчера, а и то, где мы будем завтра в нашей профессии. На этой конференции в повестке дня: – технологии интернета вещей, большие данные и интеллидженс во внутреннем контроле.

–      Много времени отведено на дискуссии – но без перехода в драку. Наши участники уважают друг друга, но готовы отстаивать свои точки зрения. И, как я заметил, многие знакомятся и потом дружат семьями и компаниями. Вообще, мы слегка боимся превратиться в место случки рекрутеров и профессионалов в области безопасности бизнеса.

–      Мы смеёмся над собой, своими проблемами и поэтому легко их решаем. Это настроение нашей конференции – фирменный стиль.

–      И ещё мы любим своих постоянных участников, и любим индивидуально каждого.

Вот поэтому мы прожили 12 (прописью: двенадцать) лет!

До встречи на конференции!

Контакты: info@acfe-rus.orgwww.acfe-rus.com

З.Ы.

Кто хочет увидеть меня пораньше – приезжайте в Базель (есть такой город в Швейцарии), на конференцию Европейского института внутренних аудиторов, 21-22 сентября. Буду рассказывать, как космические корабли бороздят просторы внутреннего контроля.

Или в Сочи, на конференцию Российского ИВА, 5-6 октября. То же самое, но в профиль.

 

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

2 дня, корпоративный формат (август-сентябрь). Место проведения: определяется заказчиком

Почему: Великая технологическая революция интернета вещей (IoT) приводит к радикальному изменению принципов и правил внутреннего контроля. Каким станет внутренний аудит и внутренний контроль в ближайшие пять лет? Как освоить новые технологии и новый уровень эффективности внутреннего контроля?

Зачем: Чтобы изменить своё понимание внутреннего контроля и внутреннего аудита, увидеть новые пути и способы повышения эффективности бизнеса.

Для кого: Для тех аудиторов и контролёров, кто видит изменения в технологической среде и понимает, что все они требуют от нас знать и уметь нечто, что ещё не написано в стандартах внутреннего аудита и книгах по внутреннему контролю.

В результате: знания теории и практики внутреннего контроля в современной технологической среде. Повышения эффективности процессов: разработки контрольных процедур, оценки рисков системы внутреннего контроля, проведения внутренних расследований.

В программе:

– Интеллидженс и технологии обработки больших данных в системе внутреннего контроля

– Особенности контрольных процедур и их оценки в эпоху технологий интернета вещей.

– Большие данные: основы технологии и использования во внутреннем аудите

– Новые принципы и правила внутреннего контроля с использованием средств Big Data и интеллидженс.

Чего точно не будет:

– рассказа про кубик COSO и три линии обороны и прочих общеизвестных теорий.

Дополнительно:

Для участников тренинга будет проведены два предварительных вебинара по теме тренинга – для предварительной подготовки участников и повышения эффективности восприятия материала непосредственно на тренинге.

Кто проводит: Ассоциация “Объединение сертифицированных специалистов по расследованию хищений” в сотрудничестве с MS Business Security Consulting Oy. Участники получают 12 часов CPE международного образца (ACFE).

Лектор и автор курса: Сергей Мартынов, CFE, CIA, CISA, Ms. Criminal Justice, профессиональный бухгалтер.

Контакты по всем вопросам: e-mail: martynovsa@mac.com

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Ложитесь спать, Ватсон. А я немного поиграю на скрипке.

Забавная фраза из старого радиоспектакля. Вспомнилась, когда речь пошла об ультразвуке.

Ну вот, потихонечку IoT технологии становятся основой внутреннего контроля в бизнесе. Великая технологическая революция, о которой столько лет твердили большевики (то есть я), состоялась.

Цитата (Lenta.ru, 10.05.2017):

«Макдоналдс» следит за вами с помощью ультразвука

Специалисты в области интернет-безопасности из Брауншвейгского технического университета Германии обнаружили, что все больше приложений на Android использует систему слежения с помощью ультразвуковых маячков. Таких сервисов в магазине Google более 200, и среди них — официальное приложение сети ресторанов быстрого питания «Макдоналдс».

Технология работает следующим образом. Человеческое ухо не может уловить ультразвуковые сигналы, в отличие от ноутбуков, смартфонов и прочих гаджетов. Заведения, у большинства из которых есть собственные приложения, могут установить в оффлайн-точках те самые маячки. Как только зарегистрированный в приложении покупатель заходит в магазин или ресторан, его устройство распознает сигналы и передает информацию разработчику сервиса.

Таким образом компании могут собирать огромное количество данных: в какое время суток человек сделал заказ, каким гаджетом он пользуется, как часто посещает заведение и тому подобное.

В действительности устройства не считывают эти сигналы постоянно: чтобы передать информацию, пользователи должны открыть приложение в стенах заведения. Специалисты предполагают, что некоторые магазины и рестораны специально проводят рекламные акции, предоставляя скидки тем, кто откроет программу во время покупок.

В теории ультразвук также может быть встроен в рекламу на телевидении или по радио. Правда, ни в одном рекламном ТВ-ролике ультразвуковых вставок пока не обнаружено.”

Конец цитаты. Ссылка на оригинал исследования: http://bit.ly/2pygktk

Ультразвуковый датчик ( так же, как и излучатель) стоит 1-2 доллара в розницу и несколько центов оптом, как и все остальные железки, необходимые для такого простейшего устройства контроля.

Пока ещё нашу персональную информационную безопасность спасает только то, что все эти устройства достаточно примитивны. Потому что ребята, их придумывающие, имеют знания на уровне только прикладных навыков как припаять одну железку к другой и написать код опроса датчиков. Это как муравьи, каждый из которых обладает только базовыми “знаниями” и поэтому, что бы они не строили, всегда получится муравейник (http://bit.ly/2i9Gd3a). Например, многие, кто умеют работать с Hadoop (к примеру), не знают, что такое большие данные (http://bit.ly/2izu0Ek). То есть они, конечно, думают, что знают. И если посмотреть на то, что они творят, то результаты больше напоминают броуновское движение или творчество ремесленника (здесь “ремесленник” – это человек, который до всего доходит практическими упражнениями и избегает изучения всяких наук и теорий). Всё это результат отсутствия базового академического образования в массах.

Конечно, броуновское движение тоже есть способ достигнуть места назначения – для тех, кому повезет случайно дёрнуться в нужном направлении. Однако вероятность невелика.

Для того, чтобы разработать действительно интелектуальное устройство контроля на базе технологий IoT, интеллидженс и BigData, нужно как минимум знать, к примеру, методики интеллидженс и уметь их применять. Для того чтобы знать интеллидженс, нужно изучить критическое мышление (в числе многих других тем). Чтобы знать критическое мышление, нужно изучить и уметь применять логику. А чтобы понимать логику, неплохо бы сначала изучить некоторые основы философии, и сделать это в возрасте до 20 лет. В возрасте, когда все полученные знания становятся условными рефлексами.

Готов поспорить, что 146% из читающих этот текст никогда логику (как науку) не изучали. Ну, может быть, в институте проходили (мимо). Хотя современные программы обучения в высшей школе изучением именно логики не страдают.

Так что хотя медленно и неуклонно, методом броуновского движения и i-robota, но всё-таки мы движемся к всеобщей победе тотального общества контроля, основанного на интернете вещей, в котором:

– вещи, не подключенные к интернет, и постоянно не собирающие и передающие информацию станут редкостью и в конечном счёте будут запрещены как потенциально опасные (под любым предлогом);

– идентификация человека станет повсеместной, всегда и везде в любой момент времени

– государства будут пытаться ставить под свой монопольный контроль сбор информации и контроль своих (и чужих) граждан…

З.Ы.

Про новый внутренний контроль поговорим подробнее на нашей ежегодной конференции “Комплексная безопасность бизнеса и противодействие хищениям” в октябре. До конца мая действует скидка до 50%. http://bit.ly/2otLfpw

А еще – 25 мая состоится эксклюзивное мероприятие: вебинар Михаила Щепакина “Методы сбора и анализ данных, необходимых для возврата похищенных объектов недвижимости”. Только 50 мест (технические ограничения). http://bit.ly/2pYMTE4

Внутренний контроль в эпоху интернета вещей и больших данных

Внутренний контроль в эпоху интернета вещей и больших данных

Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.

Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.

И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:

   1) научиться оценивать затраты на внутренний контроль

   2) научиться сокращать затраты на внутренний контроль

Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.

Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.

Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.

С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.

И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.

На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.

Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.

Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.

Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:

1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,

2) выявления отклонений процесса от заданных параметров,

3) выдачи сигнала тревоги.

-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.

Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.

Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.

Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.

Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:

– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.

2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.

3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.

На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.

А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.

На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br

Отметим особенности технологического уровня внутреннего контроля:

– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,

– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.

То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.

Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:

«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);

«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;

«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);

«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)

Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:

– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.

– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.

– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.

– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.

Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).

Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.

Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).

Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:

– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.

– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz

– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!

– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3

И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.

Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.

А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.

Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.

А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.

Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.

И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.

З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org

Про всякие определения и маленьких мышек.

Про всякие определения и маленьких мышек.

Определения бывают всякие. Например: “Хороший человек – это человек, который хороший”. Такое определение называется тавтологией, то есть определением через само себя. Прямо говоря, смыслового содержания оно не имеет. Также как и другой вариант этой же ошибки – “порочный круг”: «Умножением называется действие отыскания произведения». На вопрос “А что такое произведение?” следует ответ: “Результат умножения”.

А ещё определение должно быть достаточным, то есть описывать интересующий предмет так, чтобы цель описания была достигнута. Например, мы хотим объяснить, что такое внутренний контроль, и даём классическое определение (см.COSO):

“Внутренний контроль – процесс, осуществляемый советом директоров, руководством и другим персоналом организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации в части:

·       эффективности и экономичности операций;

·       достоверности финансовой отчетности;

·       соответствия деятельности действующему законодательству.”

Хорошее определение, правильное. Только описывает оно процесс так, что невозможно понять, из чего он состоит. Тётя Маша поёт в заводском хоре – так она есть а) персонал б) осуществляет процесс г) процесс очевидно направлен на повышение эффективности операций тёти Маши и её сослуживцев. Значит ли это, что тётя Маша занимается внутренним контролем? Направлено ли её хоровое пение на повышение у кого-то там (кстати, непонятно у кого) обоснованной уверенности, что цели организации будут достигнуты? – А то, как же! Нам песня строить и жить помогает…

Давайте опишем перевозку грузов подобным образом: “Это процесс, которым управляет водитель, и он направлен на то, что груз будет доставлен куда надо вовремя, без потерь и не испорченным”.  А теперь представьте, что вы пришли на работу в грузовую компанию, и вам надо организовать процесс перевозок. Вопрос: “а как это сделать конкретно?” появится у вас немедленно.

Но увы, наше определение очерчивает только цели, которых надо достичь, да и то в общем виде.

Так и с внутренним контролем. Жили-были – нет, не аудиторы, а мыши и все их обижали. Как-то пошли они к мудрому филину и говорят:

— Мудрый филин, помоги советом. Все нас обижают, коты разные, совы, лисы. Что нам делать?

Филин подумал и говорит:

— А вы станьте ёжиками. У ёжиков иголки, их никто не обижает.

Мыши обрадовались и побежали домой. По дороге на всяких конференциях выступают и про то, что надо стать ёжиками, рассказывают. Но тут одна мышка спросила:

— Как же мы станем ёжиками? — и все побежали обратно, чтобы задать этот вопрос мудрому филину. Прибежав, они спросили:

— Мудрый филин, а как же мы станем ёжиками?

И ответил филин:

— Ребята, вы меня ерундой не грузите. Я тут как раз про три линии обороны теорию пишу.

И побежали мышки опять домой, восторженно пища: “три линии обороны, три линии обороны!”

Так и бегают туда-сюда, а что такое внутренний контроль, каждая до сих пор понимает в меру своей испорченности.

Мораль сей правдивой истории: как стать мышке ёжиком, расскажу 25-26 мая в Москве, в учебном центре Сбербанка (дай бог ему здоровья за наше сотрудничество). Все желающие в ограниченном количестве тоже приглашаются.  Там и дадим правильное определение внутреннего контроля, и пойдем дальше со всеми остановками – контрольные процедуры, корпоративная культура и так далее. Только про COSO и три линии обороны рассказывать не буду, не обижайтесь. Пусть мудрый филин этим балуется.

Подробную программу можно получить вот здесь: info@acfe-rus.org

В общем, умерли все…

В общем, умерли все…

Внутренний контроль умер. Часть 2.

Сначала умер SoD…

Разделение прав и полномочий (SoD Segregation of Duties). Один из основных принципов внутреннего контроля для предотвращения злоупотреблений. В эпоху примитивных технологий (лет 20 назад) считалось, что для предотвращения хищений нужно, чтобы функции принятия решений о продаже (приобретении) актива, учёт операций с активом и само физическое перемещение актива были разделены. По идее требовалось как минимум три человека: Менеджер по закупкам – подписывает договор, бухгалтер – проводит оплату и ведёт учёт, и грузчик – круглое переносит, а квадратное перекатывает:) Смысл всего этого SoDа был в том, что, дескать, они теперь не своруют, потому что для этого им всем надо сговориться между собой. На историческом фото: учётчик или зав складом эпохи примитивных технологий. Следит за работой грузчика и записывает количество отпущенных мешков в амбарную книгу. SoD рулит.

Жизнь, однако, показала, что люди умеют договариваться. Несмотря на SoDы. В моей практике неоднократно были случаи, когда преступная группа включала по 20-40 человек, а остальные знали, но молчали по разным причинам. И SoD был на месте, и бумажек оформлялась куча, и внутренние аудиторы были целы, и жулики сыты. Я бы сказал так: в нашем обществе SoD как принцип контроля не имеет под собой социальной базы. Возможно, где-то там на севере, в Скандинавии, где хотя бы один из трёх принципиально честный-неподкупный…

Однако потом изобрели всякие технические штучки – штрих-коды, сканеры, RFID метки и, когда они стали дешёвы, многие участники процесса были заменены на вот такие маленькие приборчики. Договориться с ними нельзя, но сломать или подделать при желании файлы – можно.

Дальше – больше. Появились технологии IoT (интернет вещей), когда датчик, контроллер и всё остальное к нему стало стоить 10 уё и умещаться в спичечной коробке. Чем больше всяких датчиков осматривают процесс, тем больше данных о происходящих событиях поступает в систему. А уж если пошли технологии IoT и Big Data, – то потоки данных с сотен датчиков позволяют аналитически выявить любые необычные действия персонала, даже если часть датчиков убита и часть данных отсутствует или искажена. “Всех не перебьёшь” – кричали датчики перед расстрелом. Чтобы из некачественных данных сделать правильные выводы, применяются методики интеллидженс (http://bit.ly/1PdcED3).

И стоит всё это дешевле, чем упомянутая выше святая троица (менеджер, бухгалтер и грузчик) и к ним впридачу – внутренний аудитор – чтобы выявлять сговор предыдущих товарищей.

И печальное в этой истории то, что принцип разделения прав и полномочий во внутреннем контроле умер. Что же теперь писать внутреннему аудитору в отчёте?

А потом умерла инвентаризация….

Проведение инвентаризаций.

Автоматизируются с использованием RFID или аналогичных технологий. В каждый материальный предмет встраивается крошечная и неудаляемая метка с чипом, и при инвентаризации сканер опрашивает все устройства, находящиеся в радиусе нескольких метров. Проведение инвентаризации в помещении или секции склада занимает несколько секунд, и может проводиться хоть каждый час. На картинке – RFID метка для имплантации под шкуру скота (или персонала:)

А потом умер усатый охранник на проходной…

Предотвращение краж готовой продукции. В недалёком будущем надо будет не просто купить утюг (кофеварку) в магазине, но и активировать его через интернет.

Это технология активации устройства конечным пользователем – когда без знания пароля (кода активации) устройство неработоспособно и не имеет ценности. Вы с ней хорошо знакомы – когда покупаете программу, её нужно активировать её через интернет. А что мешает использовать такую технологию при продаже бытовой техники? По мере того, как бытовая техника всё больше будет использовать IoT технологии, принцип активации будет всё больше использоваться для предотвращения краж готовой продукции. В недалёком будущем надо будет не просто купить утюг(кофеварку) в магазине, но и активировать его через интернет – введя все свои персональные данные. Украденное со склада или из магазина изделие станет бесполезным куском металла и пластика. И к тому же, опасным для вора – через wireless M-Bus оно может вещать на радиус до 2 км, где его искать.

Использование технологий IoT позволит выпускать устройства с новым принципом оплаты – абонентской платой. То есть вы получаете само устройство даром или за символическую плату, но работать оно будет только при внесении арендной или абонентской платы определённый период времени. Проверять своевременную оплату оно будет, самостоятельно связываясь с изготовителем (продавцом) через интернет.

И, как оказалось, умерли подписи и печати…

Издавна печать на документе была гарантией его подлинности. Смерды не могли вырезать сложный узор (инструментов не было), и печать на воске или сургуче печать была единственным средством удостоверить волю великого и всемогущего. Кстати, с 2011 года Почта России решила отказаться от использования сургуча при опечатывании корреспонденции.

В советское время печать была необходимым атрибутом документа. В те времена шутили: -А вы принесите нам справку с подписью и печатью, что вы не верблюд.

Давным-давно потеряли свой сакральный смысл подпись и печать. Сейчас обмен документами идёт по электронной почте, а идентификация отправителя принимается в суде по адресу e-mail, ip-адресу, “browser fingerprints” и так далее.

Что такое “отпечатки пальцев” вашего браузера? Когда вы заходите в интернет, ваш браузер сообщает сайту, который вы изволили посетить, кучу полезной информации – какую операционную систему вы используете, какое разрешение экрана на вашем дисплее и так далее. Десятки параметров вместе образуют уникальный “отпечаток пальцев” вашего браузера, по которому вас можно вычислить персонально. Даже если вы используете Tor или любой другой анонимайзер.

В общем, цивилизованный мир давно обходится без подписи и печати, да и без бумажных документов вообще. В договорах так и пишут: “сообщения эл.почты юридически значимы”.

В общем, умерли все…

-Это была песня о бедном рыбаке, который попал из Неаполя в бурное море, а его бедная девушка ждала на берегу. Пока не дождалась… Тогда она сбросила с себя последние одежды и тоже бросилась в бурное море. И сия пучина поглотила её в один момент. В общем, внутренний контроль в том виде, как он был, умер..