Обеспечение безопасности бизнеса
Содержание
Введение
Глава 1. Безопасность организации
как объект управления
1.1 Общее понятие безопасности
1.2 Понятие кадровой и
имущественной безопасности
.3 Сотрудники как субъект
угрозы имущественной безопасности организации
Глава 2. Обеспечение имущественной
безопасности кредитно-финансовой организации
.1 Краткая характеристика
организации
.2 Служба безопасности в Банке
.3 Предметная классификация угроз
безопасности банка
2.4 Методы
противодействия угрозам имущественной безопасности банка
Глава 3. Рекомендации по повышению
степени защиты
.1 Основные элементы политики
противодействия внутреннему мошенничеству
.2 Рекомендации по взаимодействию
службы внутреннего аудита со службой безопасности
.3 Принципы построения эффективной
системы защиты
.4 Рекомендации профилактики
мошенничества
Заключение
Список используемой литературы
Введение
Обеспечение безопасности бизнеса является
неотъемлемой частью деятельности компании. Состояние безопасности представляет
собой умение и способность компании надежно противостоять любым попыткам
нанести ущерб её законным интересам. Объекты обеспечения безопасности - это
бизнес-процессы; руководство и персонал; финансовые средства; материальные
ценности; технологии; информационные ресурсы; репутация компании и иные объекты.
Действительно, уязвимости в информационной
безопасности (ИБ) могут привести к серьезным потерям, и с точки зрения
финансов, и с точки зрения репутации. Понимание этого на российском рынке
растет, а вместе с ним растет и спрос на ИБ решения. Например, в КРОК за 2012
год направление информационной безопасности выросло почти на 40%.
Но далеко не все организации осознают, что
наибольшую угрозу несут именно инсайдерские действия, например, за утечку
конфиденциальной информации по аналитическим данным в 70% случаев ответственны
именно внутренние пользователи.
Поэтому чтобы обезопасить себя со всех сторон,
важно комплексно подойти к этой задаче - провести аудит инфраструктуры, выявить
активы, которые нужно защищать в первую очередь, создать карту рисков. И,
исходя из результатов аудита, уже внедрять те или иные решения, будь то системы
управления мобильными устройствами, DLP или IRM.
Глава 1. Безопасность организации как объект
управления
.1 Общее понятие безопасности
Безопасность организации - это такое состояние,
которое достигается посредством обеспечения и поддержания защищенности ее
персонала и жизненно важных интересов организации от внутренних и внешних угроз
с целью уменьшения отрицательных последствий нежелательных событий и достижения
наилучших результатов деятельности.
Система безопасности организации - это комплекс
организационно - управленческих, экономических, правовых,
социально-психологических, профилактических, пропагандистских, режимных и
инженерно-технических мер и мероприятий, направленных на обеспечение
безопасности организации и ее персонала. Определяющим и изначальным при
формировании системы безопасности является концепция безопасности организации,
которая представляет собой свод основных документов, касающихся политики и
стратегии безопасности, основных направлений, средств и методов ее обеспечения.
Угроза безопасности организации - это событие,
действие или явление, которое посредством воздействия на персонал, финансовые,
материальные ценности и информацию может привести к нанесению вреда здоровью
работников и ущерба организации, нарушению или приостановке ее
функционирования.
Обеспечение безопасности организации - это
деятельность ее должностных лиц, персонала, специального подразделения по
безопасности, государственных правоохранительных органов и иных структур,
направленная на предотвращение возможного нарушения ее нормального
функционирования.
1.2 Понятие кадровой и имущественной
безопасности
Рассмотрим сущность видов безопасности, их
достаточно много, но в курсовой работе я рассматриваю два из них:
А) Кадровая безопасность - это процесс
предотвращения негативных воздействий на экономическую безопасность предприятия
за счет рисков и угроз, связанных с персоналом, его интеллектуальным
потенциалом и трудовыми отношениями в целом.
Б) Имущественная безопасность - это одна из
составляющих финансовой безопасности, состояние защищенности имущественных
интересов организации от внутренних и внешних угроз посредством минимизации
коммерческих рисков, системы мер экономического, правового и организационного
характера, разработанной администрацией организации.
Два этих вида безопасности очень тесно связаны с
собой, потому что субъектом угроз является собственный сотрудник. Самый сложный
для выявления вид мошенничества - это внутреннее мошенничество, осуществляемое
с участием сотрудников, работающих в организации. Подобного рода мошеннические
действия могут осуществляться в течение длительного промежутка времени и
приводить к весьма серьёзным потерям для организации.
Классификация угроз имущественной безопасности
(на примере банка):
· хищение денежных средств путем
несанкционированного проникновения в компьютерные сети банка и перехвата
управления финансовыми операциями;
· хищение денежных средств с
использованием поддельных банковских карточек;
· хищение денежных средств с
использованием поддельных платежных документов (поручений, сертификатов, чеков,
векселей и т.п.);
· мошенничество при получении
кредитов;
· хищение высоколиквидных активов
банка (наличных денег, ценных бумаг, золота и т.п.) с использованием
насильственных методов (ограбление);
· хищение высоколиквидных активов
банка с использованием ненасильственных методов (кража);
· хищение или умышленная порча
материальных активов банка.
Возможными субъектами угроз имущественной
безопасности банка в современных условиях чаще всего являются индивидуально
действующие злоумышленники (хакеры, мошенники, взломщики), нелояльные
собственные служащие и, реже, преступные группировки. Распространенным и
наиболее опасным явлением выступает преступный сговор между сотрудником банка и
сторонними злоумышленниками. Показательно, что в современных условиях общий
уровень подготовки субъектов угроз в рассматриваемой области несколько ниже,
чем по другим направлениям обеспечения безопасности. Причиной этого является отсутствие
здесь угроз со стороны государства и конкурентов (в отличие от угроз
безопасности информации и персонала). Последние сегодня пользуются услугами
исключительно профессионалов, подготовленных в специальных учебных заведениях и
чаще всего более компетентных в своей области, чем сотрудники службы
безопасности большинства банков.
Мы работаем с человеческим ресурсом, а персонал
- это и главный капитал и основной ресурс компании, и при этом самая главная
его угроза. Ведь недаром говорят: «Бизнес - очень простая вещь. Единственная
сложность в нем - это люди».
.3 Сотрудники как субъект угрозы имущественной
безопасности организации
Если мы не говорим о проблеме, это не значит,
что ее нет. Специалисты уверены: жертвой мошенничества может стать любая
компания. Фродом можно назвать умышленные действия или бездействие физических
и/или юридических лиц с целью получить выгоду за счет компании и/или причинить
ей материальный и/или нематериальный ущерб.
Внутреннее мошенничество - намеренное действие
одного или более лиц среди руководства, управленческого персонала, сотрудников
или третьих лиц, заключающееся в использовании обмана для получения
неправомерной или незаконной выгоды.
Эксперты по борьбе с мошенничеством утверждают,
что в каждом из нас заложен риск совершения неблаговидного поступка, нужно лишь
три фактора, чтобы быть подвергнутым риску совершить мошенничество.
Нужно лишь три фактора, чтобы быть подвергнутым
риску совершить мошенничество:
) давление внешних обстоятельств (например,
тяжелое финансовое положение);
) возможность совершить мошенничество
(несовершенство внутреннего контроля и др.);
) самооправдание («имеет смысл»; «мало платят»,
«ведь все крадут», «почему бы и нет»).
Рис. 1. «Треугольник
мошенничества» Дональда Кресси
Мошенник - это личность, для
которой характерны жадность и лживость. Анализ показал, что сотрудники,
склонные к мошенничеству, работают годами и ничего подобного не совершают, пока
не попадут в определенную ситуацию. В то же время средний период от момента
совершения до момента выявления мошенничества составляет до 3 лет. Это дает
основания для утверждения, что тот, кто совершает мошенничество по прошествии
5-10 лет, на момент поступления в компанию не имел такой установки. К такому
решению подталкивают изменения в личных обстоятельствах и иные критические
ситуации в жизни работников. Они совершают злоупотребления, когда имеют
должностные возможности и условия, располагают доверием коллег, понимают слабые
стороны контроля. Также практика показывает, что причиной значительной части
реализованных угроз безопасности работодателя со стороны собственных
сотрудников является их неспособность противостоять воздействию со стороны
третьих лиц. Эти лица, преследуя собственные интересы, склоняют сотрудников организации
к различным формам нарушения доверия работодателя вплоть до прямых должностных
преступлений (например, коррупция при выдаче кредита). Для этого ими
используются самые разнообразные методы, некоторые из которых были
профессионально разработаны государственными спецслужбами и позднее оказались
востребованными в частном секторе экономики.
Чаще всего объектами
рассматриваемой угрозы являются должностные лица банка, рабочие места которых
обеспечивают доступ к: - конфиденциальной информации; - управлению денежными
средствами и иными ликвидными активами; - реализации функций управления,
регулирования и надзора.
Глава 2. Обеспечение имущественной безопасности
кредитно-финансовой организации.
.1 Краткая характеристика организации
Банк «ВТБ 24» (ЗАО) образован на
базе ЗАО «КБ ГУТА-Банк
<#"722327.files/image002.gif">
Рис. 2. Типовая структура
департамента безопасности банка
Второй, прямо противоположенный,
подход предполагает минимизацию штатных сотрудников службы безопасности банка,
с возложением основных ее функций на сторонние специализированные структуры,
привлекаемые на контрактной основе.
Привлекательность данного подхода
обеспечивается многими факторами, среди которых можно выделить:
· меньшую капиталоемкость;
· гарантированный контрактом
профессионализм привлеченных из специализированных структур сотрудников;
· в отечественных условиях -
отсутствие многих ограничений, связанных с частной охранной деятельностью.
Однако, в отличие от предприятий в других
отраслях экономики, российские и зарубежные банки используют данный подход
крайне редко. Это определяется в первую очередь низким доверием к любым
сторонним для конкретного банка структурам.
Рекомендации по применению: для государственных
и небольших банков, реализующих пассивную конкурентную стратегию.
Принципиальная организационная структура
управления службы безопасности, созданной по такому варианту, представлена рис.
3.
Рис. 3. Типовая структура внештатной службы
безопасности банка
.3 Предметная классификация угроз безопасности
банка
а) По признаку целевой направленности угрозы
выделяются:
· угроза разглашения конфиденциальной
информации, которое может нанести банку ущерб в форме ухудшения его
конкурентных позиций, имиджа, отношений с клиентами или вызвать санкции со
стороны государства;
· угроза имуществу банка в форме его
хищения или умышленного повреждения, а также сознательного провоцирования к
осуществлению или непосредственного осуществления заведомо убыточных финансовых
операций;
· угроза персоналу банка, реализация
которой способна ухудшить состояние кадрового направления деятельности,
например, в форме потери ценного специалиста или возникновения трудовых конфликтов.
б) По признаку источника угрозы (субъекта
агрессии) выделяются:
· угрозы со стороны конкурентов, т.е.
отечественных и зарубежных банков, стремящихся к усилению собственных позиций
на соответствующем рынке путем использования методов недобросовестной
конкуренции, например, экономического шпионажа, переманивания
высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров
и государства;
· угрозы со стороны криминальных
структур и отдельных злоумышленников, стремящихся к достижению собственных
целей, находящихся в противоречии с интересами конкретного банка, например,
захвату контроля над ним, хищению имущества, нанесению иного ущерба;
· угрозы со стороны нелояльных
сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения
личных целей, например, улучшения материального положения, карьерного роста,
мщения работодателю за реальные или мнимые обиды и т.п.
в) По экономическому характеру угрозы
выделяются:
· угрозы имущественного характера,
наносящие банку прямой финансовый ущерб, например, похищенные денежные средства
и товарно-материальные ценности, сорванный контракт, примененные штрафные
санкции;
· угрозы неимущественного характера,
точный размер ущерба от реализации которых обычно невозможно точно определить,
например, сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его
клиентов и деловых партнеров, утеря ценного специалиста.
г) По вероятности практической реализации угрозы
выделяются:
· потенциальные угрозы, практическая
реализация которых на конкретный момент имеет лишь вероятностный характер
(соответственно, у субъекта управления есть время на их профилактику или
подготовку к отражению);
· реализуемые угрозы, негативное
воздействие которых на деятельность субъекта управления находится в конкретный
момент в различных стадиях развития (соответственно, у субъекта имеются шансы
на их оперативное отражение в целях недопущения или минимизации конечного
ущерба);
· реализованные угрозы, негативное
воздействие которых уже закончилось и ущерб фактически нанесен (соответственно,
субъект управления имеет возможность лишь оценить ущерб, выявить виновников и
подготовиться к отражению подобных угроз в дальнейшем).
Проведенная классификация позволяет
сформулировать три основных компонента безопасности современной
кредитно-финансовой организации:
· информационная безопасность банка,
предполагающая его защищенность от любых угроз разглашения или утери
информации, имеющей коммерческую или иную ценность;
· безопасность персонала банка,
предполагающая его защищенность от любых угроз персоналу, прежде всего,
высококвалифицированной его части;
· имущественная безопасность банка,
предполагающая его защищенность от любых угроз денежным средствам, ценным
бумагам, товарно-материальным ценностям и другим элементам активов.
Общая направленность мероприятий по защите банка
от рассмотренных выше угроз иллюстрируется с использованием следующей
принципиальной схемы:
Рис. 4. Принципиальная схема обеспечения
безопасности банка
2.4 Методы противодействия угрозам имущественной
безопасности банка
Организация контроля над соблюдением персоналом
правил обеспечения безопасности и его лояльностью
Контроль по рассматриваемому направлению
осуществляется службой безопасности банка. В зависимости от ее организационной
структуры, им могут заниматься либо уполномоченные сотрудники
специализированных подразделений (отдела информационной безопасности,
физической защиты и т.п.), либо инспектора специального подразделения контроля
внутреннего режима. Основными задачами проведения данной работы выступают:
· оценка общей эффективности
управления обеспечением безопасности в конкретных структурных подразделениях
банка;
· контроль над лояльностью конкретных
сотрудников;
· выявление конкретных нарушений и их
виновников.
Исходя из этого, организация данной работы
осуществляется службой безопасности одновременно по нескольким направлениям.
Профилактический контроль над соблюдением правил
обеспечения безопасности в трудовых коллективах банка проводится с
использованием различных методов и процедур, в частности:
· плановых и внезапных проверок, в
процессе которых служба безопасности проверяет соблюдения в структурных
подразделениях правил работы с конфиденциальной информацией, хранения денежных
и иных ценностей, а также работоспособность технических средств защиты;
· мониторинга ситуации с
использованием специальных технических средств наблюдения (например,
видеокамер, первоначально установленных в качестве технических средств защиты
имущества и персонала);
· мониторинга ситуации силами
нештатных информаторов службы безопасности из числа сотрудников соответствующих
подразделений банка (подобная практика широко используется службами
безопасности предприятий и органов государственного управления, хотя обычно и
не рекомендуется в открытых учебных материалах).
По результатам оперативного контроля служба
безопасности готовит специальные отчеты для президента банка, информационные
записки на имя руководителей его структурных подразделений. При необходимости
она организует проведение специальных совещаний у руководства, собраний в
трудовых коллективах подразделений, готовит проекты приказов о поощрениях или
взысканиях.
Контроль личной лояльности персонала
осуществляется службой безопасности в отношении сотрудников:
· занимающих ключевые рабочие места
(кроме должности президента), обеспечивающие доступ к особо конфиденциальной
информации или возможность принимать решения стратегического характера;
· привлекших внимание службы
безопасности своим поведением или иными фактами, ставящими под сомнение их
лояльность.
Обязательным условием организации такого
контроля является соблюдение требований действующего законодательства, прежде
всего, Закона РФ «О частной детективной и охранной деятельности в РФ», а также
конституционных гарантий неприкосновенности прав граждан.
В зависимости от цели и используемых методов
контроля могут быть выявлены прямые нарушения в деятельности сотрудника,
являющиеся основанием для передачи соответствующего иска в судебные или
заявления в правоохранительные органы, увольнения, иных форм дисциплинарных
взысканий. К числу подобных нарушений относятся подтвержденные соответствующими
документами или иными материалами факты:
· проникновения в закрытые
компьютерные базы данных и операционные системы с целью их копирования или
проведения несанкционированных операций по счетам;
· любых попыток хищения денежных
средств или материальных ценностей;
· коррупции в форме получения взяток
от клиентов или партнеров банка;
· успешной вербовки сотрудника
субъектами потенциальных угроз;
· склонения подчиненных к нарушению
доверия работодателя;
· нарушений правил внутренней
безопасности банка, в том числе и не приведших к реализации соответствующих
угроз.
Кроме того, по результатам персонифицированного
контроля служба безопасности может выявить факторы, определяющие сомнения в
потенциальной лояльности сотрудника, например:
· необъяснимое объективными причинами
внезапное улучшение материального положения сотрудника или контактирующих с ним
родственников;
· не вызванные служебной необходимостью
контакты с представителями субъектов потенциальных угроз (конкурирующих банков,
криминальных структур, налоговой полиции и т.п.);
· изменение образа жизни сотрудника
или появление привычек и личностных качеств, делающих его уязвимым для вербовки
и шантажа;
· зафиксированные регулярные
высказывания недовольства работодателем, служебным положением, доходами и т.п.
В этом случае, в зависимости от занимаемого
сотрудником служебного положения, профессиональных качеств, отзывов
руководителя, к нему могут быть применены разнообразные методы воздействия. По
отношению к малоценным для банка работникам рекомендуется невозобновление
трудового контракта после истечения его срока, а до этого момента постоянный
контроль над их поведением. В остальных случаях с сотрудником должна быть
проведена индивидуальная профилактическая работа силами непосредственного
руководителя, психолога службы персонала или специалиста службы безопасности.
Результаты персонифицированного контроля должны
отражаться в системе специального учета самой службы безопасности и в
индивидуальном досье сотрудника.
Выявление уже реализованных угроз безопасности
банка с участием его собственного персонала может осуществляться силами штатных
специалистов службы безопасности, приглашенных сотрудников частных охранных
структур, государственных правоохранительных органов. При этом используются
разнообразные оперативно-следственные мероприятия, не являющиеся предметом
изучения в рамках настоящего Пособия. Ниже формулируются лишь общие
методические правила и ограничения, которые необходимо соблюдать при проведении
этой работы:
· при проведении расследования без
привлечения государственных правоохранительных органов, обязательным условием
является соблюдение требований действующего законодательства, прежде всего, Закона
РФ «О частной детективной и охранной деятельности в РФ»;
· главной организационной предпосылкой
эффективной работы по расследованию фактов нелояльности собственного персонала
является наличие механизма персонифицированного контроля и учета;
· при наличии такой возможности -
использование материалов и результатов подобных расследований для последующего
обучения сотрудников.
Рис. 5. Элементы программы противодействия
мошенничеству.
Глава 3. Рекомендации по повышению степени
защиты
.1 Основные элементы политики противодействия
внутреннему мошенничеству
Оценка эффективности управления кадровой
безопасностью является необходимым элементом рассматриваемой системы. Она
позволяет решить несколько прикладных задач, например, осуществлять
статистический анализ вероятности негативной реализации тех или иных угроз, а
также объективно оценивать результативность деятельности службы безопасности. В
отличие от большинства других направлений менеджмента здесь не всегда можно точно
подсчитать обеспеченный экономический эффект. В частности, затруднительно
определить возможные потери от своевременно пресеченных угроз. По некоторым
видам угроз, например, в адрес сотрудников кредитной организации, прямой эффект
невозможно рассчитать в принципе. Поэтому приходится опираться на результаты не
только прямой, но и косвенной оценки.
Приведем перечень критериев, для решения этой
задачи:
) динамика текучести кадров в форме инициативных
увольнений сотрудников, в том числе ушедших на работу к непосредственным
конкурентам;
) общее количество выявленных угроз с
дифференциацией на угрозы, пресеченные в полном объеме, пресеченные частично,
негативно реализованные в полном объеме (в сравнении с предыдущими периодами);
) прямой финансовый ущерб, нанесенный
организации в результате частично и полностью реализованных угроз;
) потенциальный ущерб, который могли бы нанести
организации полностью или частично пресеченные угрозы;
) результаты реализации плановых
профилактических мероприятий;
) отсутствие обоснованных претензий к службе
безопасности со стороны правоохранительных органов, собственных подразделений и
отдельных сотрудников.
Факторы, влияющие на внутреннее мошенничество:
) Отсутствие адекватного
разделения полномочий.
) Неадекватная
компенсационная политика.
) Отсутствие кодекса
корпоративной этики и четких правил «что хорошо, а что плохо» внутри компании.
) Пренебрежительное
отношение со стороны руководства и персонала к этическим ценностям компании.
) Невозможность/нежелание
публичного наказания (например, уголовное дело) выявленных корпоративных
мошенников.
Организация системы внутреннего контроля Банка
через:
) Наблюдение со стороны Наблюдательного
Совета
) Наблюдение со стороны Совета Директоров
Банка
) Функциональные обязанности и контроль
исполнительного руководства всех уровней
) Соблюдение функциональных обязанностей
специалистов всех уровней
5) Организация работы
служб внутреннего аудита и службы безопасности относительно проверки, оценки
рисков и предупреждения, блокировки возможных рисковых операций.
.2 Рекомендации по
взаимодействию службы внутреннего аудита со службой безопасности
На практике возникает
необходимость тесного взаимодействия специалистов внутреннего аудита со службой
безопасности. В организационной структуре управления служба безопасности
выступает в качестве одного из наделенных распорядительными полномочиями,
подразделений. Она несет основную ответственность за эффективную защиту
имущественных и неимущественных интересов организации от рассматриваемого в
настоящем курсе перечня угроз, получая для этого необходимые ресурсы и
полномочия.
Особое место службы
безопасности среди других структурных подразделений юридического лица
определено самим характером ее деятельности. Она включает в себя исполнение
сотрудниками службы безопасности по отношению к другим работникам фирмы
многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает
подсознательную негативную реакцию даже у той части персонала, которая в силу
своего должностного уровня не может не понимать вынужденную необходимость
подобных действий. Поэтому отношения между службой безопасности и
подразделением внутреннего аудита не должны носить потенциально конфликтный
характер. Это определяет необходимость совместных регулярных профилактических
мероприятий, направленных, с одной стороны, на основную часть персонала, а с
другой - на сотрудников самой службы безопасности.
Рис. 6. Взаимодействие СБ и СВА
В противном случае становится невозможным
обеспечить практическую реализацию одного из базовых методических требований к
организации управления безопасностью, а именно вовлечения в этот процесс всех
сотрудников и инстанций. Структура взаимодействия представлена на рис. 6.
Сегодня наличие внутреннего аудита в
организациях рассматривается как важный фактор эффективности вне зависимости от
того, есть в организации система менеджмента качества (экологии и т.д.) или
нет. Наличие системы внутреннего аудита повышает доверие инвесторов и других
заинтересованных сторон, повышает их уверенность в рациональном использовании
компанией ресурсов, сохранности активов, оптимизации компанией рисков
деятельности, прозрачности компании, а также в соответствии организации
деятельности компании лучшим практикам корпоративного управления.
.3 Принципы построения эффективной системы
защиты
Принцип 1. В системе управления
организацией должна быть разработана программа управления уровнем
мошенничества, включающая в себя специальную политику (документ), отражающую
требования совета директоров и высших топ-менеджеров в части снижения уровня
фрода.
Принцип 2. В каждой компании
риск фрода должен периодически проверяться (оцениваться) для идентификации
специальных потенциальных схем и событий с целью его снижения до приемлемого
уровня.
Принцип 3. Технические приемы
предотвращения (снижения) риска мошенничества должны быть внедрены, где это
возможно.
Принцип 4. Технические приемы
выявления риска мошенничества должны быть внедрены для нахождения новых схем
(методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен
риск мошенничества, уровень которого нельзя снизить.
Принцип 5. Процесс подготовки
периодических отчетов должен быть включен в карту бизнес-процессов организации
для оценки уровня существующего фрода. Отчетность помогает координировать
методы расследования и корректирующие действия с целью снижения уровня риска
фрода должным образом в соответствующее время.
3.4 Рекомендации профилактики мошенничества
Система противодействия мошенничеству
основывается на оценке рисков мошенничества и должна включать в себя три линии
обороны.
линия обороны - кодекс поведения сотрудников и
политики, связанные с ним. Формирование соответствующей атмосферы, позиции
нетерпимости к мошенничеству, культуры этики и высокой честности.
Информирование и обучение сотрудников, периодические коммуникации через
корпоративные.
линия обороны - система внутреннего контроля.
Ведь контроль рождает порядок, а где порядок - там меньше возможности для
совершения мошенничества.
линия обороны - деятельность служб внутреннего
аудита и внутренней безопасности.
Профилактика мошенничества должна начинается с
тщательного отбора кандидата, проверки его безупречной деловой репутации, сбора
и проверки рекомендаций:
) При оформлении в штат новый сотрудник
обязательно должен знакомится под роспись с внутренними инструкциями, политикой
внутренней безопасности, политикой противодействия внутреннему мошенничеству,
правилами внутреннего трудового распорядка, должностной инструкцией и другими
нормативными документами, регламентирующими деятельность подразделения. Лист
ознакомления хранится в личном деле сотрудника.
) Для новых сотрудников должно быть
обязательным адаптационное обучение. Обучение проводиться должно аудиторно в формате
семинара-тренинга, 1-2 раза в месяц в зависимости от количества вновь зашедших
сотрудников. В программе тренинга не только информация о банке, его истории,
достижениях, организационной структуре и культуре (миссия, ценности, традиции,
культура этики и высокой честности), а также вопросы информационной
безопасности и политики банка по противодействию мошенничеству.
) Тестирование в Банке должно быть
нормой. Кроме профессиональных тестов, новые сотрудники за 2 недели до
окончания испытательного срока должны сдать тест на знание кодекса поведения
сотрудника, политики стандартов и политики противодействия мошенничеству.
) Все сотрудники проходят специальное
тематическое обучение по вопросам противодействия мошенничеству. Такое
обучение, как правило, организовано совместными усилиями HR-департамента и
департамента безопасности.
Например:
«Противодействие мошенничеству» - обучение
нормам этического поведения, повышение осознанности сотрудниками банка
актуальности проблемы мошенничества, объяснение процедуры информирования о
подозрительных действиях, каналы обратной связи.
«Виды мошенничества в банковской сфере и
противодействие им».
Информационные митинги (информирование о фактах
нарушений и злоупотреблений, дисциплинарных взысканиях или поощрения) и др.
Есть примеры, когда в банках вводятся каналы
обратной связи для сотрудников. Это каналы связи, по которым сотрудник может
обратиться в банк и сообщить о подозрении в мошенничестве или о фактах
злоупотреблений и мошенничества.
Первое, что в таком случае приходит на ум
обычному сотруднику, - это каналы для того, чтобы «стучать». И задача эйчара -
правильно выстроить коммуникацию и вовлечь сотрудников в обсуждение,
сформировать правильное отношение к нововведению.
Как показывает практический
опыт, обеспечение безопасности организации должно соответствовать следующим
принципам:
непрерывность - осуществление
мер по обеспечению безопасности должно быть основано на постоянной готовности к
отражению как внутренних, так и внешних угроз безопасности организации. При этом
руководители организаций должны ясно осознавать: процесс обеспечения
безопасности не допускает перерывов, иначе придется все начинать сначала;
комплексность - использование
всех средств защиты финансовых, материальных, информационных и человеческих
ресурсов во всех структурных подразделениях организации и на всех этапах ее
деятельности. При этом комплексность реализуется через совокупность правовых,
организационных и инженерно-технических мероприятий без их приоритетного
выделения;
своевременность - обеспечение
безопасности с использованием упреждающих мер. При этом принцип своевременности
предполагает постановку задач по комплексной безопасности на ранних стадиях
разработки системы безопасности, а также разработку эффективных мер
предупреждения посягательств на интересы организации;
законность - обеспечение
безопасности на основе законодательства РФ и других нормативных актов,
утвержденных органами государственного управления в пределах их компетенции.
При этом необходимо иметь в виду, что вопрос дозволенности тех или иных методов
обнаружения и пресечения правонарушений в рамках действующего законодательства
и большого количества ведомственных подзаконных актов в настоящее время в
большинстве случаев остается открытым;
активность - обеспечение
безопасности организации с достаточной степенью настойчивости и с широким
использованием маневра имеющихся сил и средств;
универсальность - обеспечение
безопасности посредством применения таких мер и проведения таких мероприятий,
которые дают положительный эффект независимо от места их конкретного
применения;
экономическая целесообразность
- сопоставление возможного ущерба и затрат на обеспечение безопасности. При
этом во всех случаях стоимость системы безопасности должна не превышать размера
возможного ущерба от любых видов риска;
конкретность и надежность -
определение конкретных видов ресурсов, выделяемых на обеспечение безопасности.
При этом обязательным является достаточное дублирование методов, средств и форм
защиты при обеспечении безопасности организации;
профессионализм - реализация
мер безопасности должна осуществляться только профессионально подготовленными
специалистами. При этом в условиях быстрого развития средств и систем
безопасности необходимо постоянное совершенствование мер и средств защиты на
базе обучения личного состава;
взаимодействие и координация -
осуществление мер обеспечения безопасности на основе четкой взаимосвязи
соответствующих подразделений, служб и ответственных лиц. При этом вопрос о
взаимодействии и координации касается не только подразделений и лиц,
непосредственно отвечающих за безопасность, но и их связи с остальными
подразделениями организации;
централизация управления и
автономность - обеспечение организационно-функциональной самостоятельности
процесса организации защиты всех объектов охраны и централизованное управление
обеспечением безопасности организации в целом.
Заключение
В заключение подведём итоги проделанного
исследования и сформулируем основные выводы:
) Создание крепкой линии обороны против
мошенничества - дело не одного дня, это кропотливая работа всего
HR-подразделения и руководителей на всех уровнях. Угрожать безопасности
имущества на предприятии могут случайные или преднамеренные воздействия
персонала. Эти действия могут быть направлены на мелкие хищения товарно-материальных
ценностей или хищение денежных средств с помощью IT или финансовых махинаций.
Следовательно, предпринимателю необходима надёжная защита ценных документов,
прежде всего конфиденциальных.
) В Банке ВТБ 24 (ЗАО) есть служба
безопасности, в чьи обязанности, в числе прочих входит работа с кадрами и
выявление групп риска. Также внедрен комплекс мер по защите информации. Данная
служба вполне удовлетворительно справляется с данными задачами.
) Было предложено несколько основных
направлений совершенствования системы противодействия угрозам имущественной
безопасности организации со стороны собственного персонала: тщательный отбор
новых сотрудников, внедрение системы адаптации сотрудников, обучение
сотрудников работе с конфиденциальной информацией, эффективная мотивация
сотрудников, минимизация утечек информации при увольнении сотрудника и
внедрение комплексной системы защиты информации.
) Основным требованием к системе
обеспечения собственной безопасности банка является комплексный подход к
организации защиты от всех возможных угроз, исключающий наличие незащищенных
или плохо защищенных объектов.
) При формировании перечня используемых
методов защиты от возможных угроз безопасности банка однозначный приоритет
должны иметь методы профилактического характера (и лишь затем - пресекающего и
карающего).
) Приоритетным объектом защиты в рамках
системы является конфиденциальная информация, имеющаяся в распоряжении банка. В
свою очередь, приоритет в системе информационной безопасности банка должна
иметь конфиденциальная информация, составляющая банковскую тайну, что вытекает
из статуса кредитно-финансовой организации как «особо доверенного лица» для
своей клиентуры.
) Развитие информатики и связанное с этим
широкое распространение компьютерных технологий в банковском деле определило
расширение перечня возможных угроз как информационной, так и имущественной
безопасности кредитно-финансовых организаций. В современных условиях защита
банка от несанкционированного проникновения в его компьютерные сети (для
последующего вмешательства в финансовые операции или перехвата информации)
стала приоритетной задачей службы безопасности.
) Главной особенностью организации
системы безопасности российских банков является необходимость большего внимание
к защите от угроз со стороны собственных сотрудников. Основными причинами
низкого уровня лояльности банковских служащих выступают, с одной стороны,
специфический трудовой менталитет россиян и, с другой стороны, недостаточное
внимание к проблемам персонального менеджмента со стороны руководства многих
отечественных банков. В этой связи, важнейшей задачей по профилактике подобных
угроз определяется формирование в трудовом коллективе кредитно-финансовой
организации «корпоративного духа», предполагающего наличие уважения и доверия
со стороны сотрудников к своему работодателю.
имущественный безопасность банк
защита
Список используемой литературы
1. Алавердов А.Р. Управление
кадровой безопасностью организации./ А.Р. Алавердов. - М.: Маркет ДС Синергия,
2011. - 176 с.
. Алавердов А.Р. Организация
и управление безопасностью в кредитно-финансовых организациях./ А.Р. Алавердов.
- М.: http://www.e-biblio.ru/cgi-bin/lib.pl
. Алавердов А.Р. Менеджмент
персонала в коммерческом банке./ А.Р. Алавердов. - М.: Маркет ДС Синергия,
2010. - 360 с.
. Чумарин И.Г. Внутреннее
мошенничество на предприятии - 2. Выявление./ Чумарин И.Г. - М. Опубликовано:
БДИ №5/1996 01.05.1996, http://www.poteri.net
. Комаров Вадим. Роль
внутреннего аудита в обеспечении экономической безопасности предприятия./
http://guardmag.com/experts/show/id/113
. Россол Сергей. Обеспечение
безопасности организации./ http://www.delo-press.ru/articles.php?n=6410
. Бадалова А.Г. Управление
кадровыми рисками предприятия./ А.Г. Бадалова, К.П. Москвитин- М.: Российское
предпринимательство. 2005. N 7.
. Кибанов А.Я. Управление
персоналом организации./ А.Я. Кибанов- М.: ИНФРА-М, 2006.