Обеспечение безопасности бизнеса
Обеспечение имущественной безопасности кредитно-финансовой организации. Методы противодействия угрозам имущественной безопасности банка. Рекомендации по повышению степени защиты. Основные элементы политики противодействия внутреннему мошенничеству.
Рубрика | Менеджмент и трудовые отношения |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 19.05.2014 |
Размер файла | 810,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Содержание
Введение
Глава 1. Безопасность организации как объект управления
1.1 Общее понятие безопасности
1.2 Понятие кадровой и имущественной безопасности
1.3 Сотрудники как субъект угрозы имущественной безопасности организации
Глава 2. Обеспечение имущественной безопасности кредитно-финансовой организации
2.1 Краткая характеристика организации
2.2 Служба безопасности в Банке
2.3 Предметная классификация угроз безопасности банка
2.4 Методы противодействия угрозам имущественной безопасности банка
Глава 3. Рекомендации по повышению степени защиты
3.1 Основные элементы политики противодействия внутреннему мошенничеству
3.2 Рекомендации по взаимодействию службы внутреннего аудита со службой безопасности
3.3 Принципы построения эффективной системы защиты
3.4 Рекомендации профилактики мошенничества
Заключение
Список используемой литературы
Введение
Обеспечение безопасности бизнеса является неотъемлемой частью деятельности компании. Состояние безопасности представляет собой умение и способность компании надежно противостоять любым попыткам нанести ущерб её законным интересам. Объекты обеспечения безопасности - это бизнес-процессы; руководство и персонал; финансовые средства; материальные ценности; технологии; информационные ресурсы; репутация компании и иные объекты.
Действительно, уязвимости в информационной безопасности (ИБ) могут привести к серьезным потерям, и с точки зрения финансов, и с точки зрения репутации. Понимание этого на российском рынке растет, а вместе с ним растет и спрос на ИБ решения. Например, в КРОК за 2012 год направление информационной безопасности выросло почти на 40%.
Но далеко не все организации осознают, что наибольшую угрозу несут именно инсайдерские действия, например, за утечку конфиденциальной информации по аналитическим данным в 70% случаев ответственны именно внутренние пользователи.
Поэтому чтобы обезопасить себя со всех сторон, важно комплексно подойти к этой задаче -- провести аудит инфраструктуры, выявить активы, которые нужно защищать в первую очередь, создать карту рисков. И, исходя из результатов аудита, уже внедрять те или иные решения, будь то системы управления мобильными устройствами, DLP или IRM.
Глава 1. Безопасность организации как объект управления
1.1 Общее понятие безопасности
Безопасность организации - это такое состояние, которое достигается посредством обеспечения и поддержания защищенности ее персонала и жизненно важных интересов организации от внутренних и внешних угроз с целью уменьшения отрицательных последствий нежелательных событий и достижения наилучших результатов деятельности.
Система безопасности организации - это комплекс организационно - управленческих, экономических, правовых, социально-психологических, профилактических, пропагандистских, режимных и инженерно-технических мер и мероприятий, направленных на обеспечение безопасности организации и ее персонала. Определяющим и изначальным при формировании системы безопасности является концепция безопасности организации, которая представляет собой свод основных документов, касающихся политики и стратегии безопасности, основных направлений, средств и методов ее обеспечения.
Угроза безопасности организации - это событие, действие или явление, которое посредством воздействия на персонал, финансовые, материальные ценности и информацию может привести к нанесению вреда здоровью работников и ущерба организации, нарушению или приостановке ее функционирования.
Обеспечение безопасности организации - это деятельность ее должностных лиц, персонала, специального подразделения по безопасности, государственных правоохранительных органов и иных структур, направленная на предотвращение возможного нарушения ее нормального функционирования.
1.2 Понятие кадровой и имущественной безопасности
Рассмотрим сущность видов безопасности, их достаточно много, но в курсовой работе я рассматриваю два из них:
А) Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.
Б) Имущественная безопасность - это одна из составляющих финансовой безопасности, состояние защищенности имущественных интересов организации от внутренних и внешних угроз посредством минимизации коммерческих рисков, системы мер экономического, правового и организационного характера, разработанной администрацией организации.
Два этих вида безопасности очень тесно связаны с собой, потому что субъектом угроз является собственный сотрудник. Самый сложный для выявления вид мошенничества -- это внутреннее мошенничество, осуществляемое с участием сотрудников, работающих в организации. Подобного рода мошеннические действия могут осуществляться в течение длительного промежутка времени и приводить к весьма серьёзным потерям для организации.
Классификация угроз имущественной безопасности (на примере банка):
· хищение денежных средств путем несанкционированного проникновения в компьютерные сети банка и перехвата управления финансовыми операциями;
· хищение денежных средств с использованием поддельных банковских карточек;
· хищение денежных средств с использованием поддельных платежных документов (поручений, сертификатов, чеков, векселей и т.п.);
· мошенничество при получении кредитов;
· хищение высоколиквидных активов банка (наличных денег, ценных бумаг, золота и т.п.) с использованием насильственных методов (ограбление);
· хищение высоколиквидных активов банка с использованием ненасильственных методов (кража);
· хищение или умышленная порча материальных активов банка.
Возможными субъектами угроз имущественной безопасности банка в современных условиях чаще всего являются индивидуально действующие злоумышленники (хакеры, мошенники, взломщики), нелояльные собственные служащие и, реже, преступные группировки. Распространенным и наиболее опасным явлением выступает преступный сговор между сотрудником банка и сторонними злоумышленниками. Показательно, что в современных условиях общий уровень подготовки субъектов угроз в рассматриваемой области несколько ниже, чем по другим направлениям обеспечения безопасности. Причиной этого является отсутствие здесь угроз со стороны государства и конкурентов (в отличие от угроз безопасности информации и персонала). Последние сегодня пользуются услугами исключительно профессионалов, подготовленных в специальных учебных заведениях и чаще всего более компетентных в своей области, чем сотрудники службы безопасности большинства банков.
Мы работаем с человеческим ресурсом, а персонал -- это и главный капитал и основной ресурс компании, и при этом самая главная его угроза. Ведь недаром говорят: «Бизнес -- очень простая вещь. Единственная сложность в нем -- это люди».
1.3 Сотрудники как субъект угрозы имущественной безопасности организации
Если мы не говорим о проблеме, это не значит, что ее нет. Специалисты уверены: жертвой мошенничества может стать любая компания. Фродом можно назвать умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.
Внутреннее мошенничество -- намеренное действие одного или более лиц среди руководства, управленческого персонала, сотрудников или третьих лиц, заключающееся в использовании обмана для получения неправомерной или незаконной выгоды.
Эксперты по борьбе с мошенничеством утверждают, что в каждом из нас заложен риск совершения неблаговидного поступка, нужно лишь три фактора, чтобы быть подвергнутым риску совершить мошенничество.
Нужно лишь три фактора, чтобы быть подвергнутым риску совершить мошенничество:
1) давление внешних обстоятельств (например, тяжелое финансовое положение);
2) возможность совершить мошенничество (несовершенство внутреннего контроля и др.);
3) самооправдание («имеет смысл»; «мало платят», «ведь все крадут», «почему бы и нет»).
Рис. 1. «Треугольник мошенничества» Дональда Кресси
Мошенник -- это личность, для которой характерны жадность и лживость. Анализ показал, что сотрудники, склонные к мошенничеству, работают годами и ничего подобного не совершают, пока не попадут в определенную ситуацию. В то же время средний период от момента совершения до момента выявления мошенничества составляет до 3 лет. Это дает основания для утверждения, что тот, кто совершает мошенничество по прошествии 5-10 лет, на момент поступления в компанию не имел такой установки. К такому решению подталкивают изменения в личных обстоятельствах и иные критические ситуации в жизни работников. Они совершают злоупотребления, когда имеют должностные возможности и условия, располагают доверием коллег, понимают слабые стороны контроля. Также практика показывает, что причиной значительной части реализованных угроз безопасности работодателя со стороны собственных сотрудников является их неспособность противостоять воздействию со стороны третьих лиц. Эти лица, преследуя собственные интересы, склоняют сотрудников организации к различным формам нарушения доверия работодателя вплоть до прямых должностных преступлений (например, коррупция при выдаче кредита). Для этого ими используются самые разнообразные методы, некоторые из которых были профессионально разработаны государственными спецслужбами и позднее оказались востребованными в частном секторе экономики.
Чаще всего объектами рассматриваемой угрозы являются должностные лица банка, рабочие места которых обеспечивают доступ к: - конфиденциальной информации; - управлению денежными средствами и иными ликвидными активами; - реализации функций управления, регулирования и надзора.
Глава 2. Обеспечение имущественной безопасности кредитно-финансовой организации.
2.1 Краткая характеристика организации
Банк «ВТБ 24» (ЗАО) образован на базе ЗАО «КБ ГУТА-Банк», не выдержавшего межбанковского кризиса 2004 года и выкупленного Внешторгбанком (ныне «ВТБ») при активном участии Банка России.
Официальной датой рождения ВТБ24 (корректно слитное написание бренда -- ВТБ24, в отличие от юридического лица -- «ВТБ 24» (ЗАО)) принято считать 1 августа 2005 года, когда ЗАО «КБ ГУТА-Банк» был переименован в ЗАО «Внешторгбанк Розничные услуги». Во внутреннем обиходе этот банк сразу получил негласное название ВТБ РУ. 14 ноября 2006 года в результате ребрендинга всей группы ВТБ он был переименован в Банк ВТБ 24 (Закрытое акционерное общество).
ВТБ24 -- розничный банк, специализируется на обслуживании физических лиц, индивидуальных предпринимателей и предприятий малого бизнеса. Сеть банка формируют более 690 офисов в 69 регионах страны.
Для физических лиц банк ВТБ24 предоставляет кредитование, банковские карты, вклады, инвестиционное обслуживание. Для юридических лиц -- кредитование, расчетно-кассовое обслуживание, банковские карты и корпоративные программы.
В Банке разработана и действует Политика противодействия внутреннему мошенничеству, в которой изложена система мер по предупреждению, выявлению и реагированию на факты мошенничества и злоупотреблений. Также созданы внутренние инструкции работы сотрудника Банка именно в этой части. Указанные внутрибанковские документы обязательны для исполнения сотрудниками всех структурных подразделений.
Политика противодействия внутреннему мошенничеству устанавливает требования и правила поведения сотрудников Банка, определяет перечень действий по предупреждению мошенничества.
Цель Политики противодействия мошенничеству - реализация эффективных мер по предотвращению мошенничества и злоупотреблений в Банке, формирование культуры этики и высокой честности среди сотрудников.
2.2 Служба безопасности в Банке
В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т.е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов кредитно-финансовой организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.
Особое место рассматриваемой здесь службы среди других структурных подразделений банка определено самим характером ее деятельности. Она включает в себя исполнение сотрудниками службы безопасности по отношению к другим работникам фирмы многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает подсознательную негативную реакцию даже у той части персонала, которая в силу своего должностного уровня не может не понимать вынужденную необходимость подобных действий. Ощущая такое отношение, сотрудники службы безопасности часто «идут на принцип», т.е. намеренно демонстрируют свои полномочия, ведут себя откровенно агрессивно - недружелюбно по отношению к работникам других подразделений банка (так называемый «милицейский синдром») и, тем самым, лишь усугубляют ситуацию. Поэтому отношения между службой безопасности и остальной частью трудового коллектива банка всегда имеют потенциально конфликтный характер. Это определяет необходимость регулярных профилактических мероприятий, направленных, с одной стороны, на основную часть персонала, а с другой - на сотрудников самой службы безопасности. В противном случае становится невозможным обеспечить практическую реализацию одного из базовых методических требований к организации управления безопасностью, а именно вовлечения в этот процесс всех сотрудников и инстанций.
Выбор принципиального подхода к организации службы безопасности в конкретном банке определяется многими факторами.
Главным из них является избранная ее руководством стратегия по рассматриваемому направлению деятельности, а именно - степень ее активности (агрессивности). Чем более активна эта стратегия, тем большие требования предъявляются к службе безопасности, соответственно, сложнее ее внутренняя структура, больше численность персонала. Например, при ориентации руководства кредитной организации на проведение стратегии пассивной защиты от возможных угроз, явно нецелесообразно создание в составе службы специального аналитического подразделения, занимающегося экономической разведкой.
Вторым фактором является ориентация руководства на возможное использование услуг специализированных структур в лице частных охранных агентств или службы вневедомственной охраны Министерства внутренних дел. Ниже проводится сравнительный анализ трех возможных подходов.
Первый из них предполагает полный отказ от их услуг и характерен, обычно, для крупных банков, ориентированных на проведение стратегии «упреждающего противодействия». В этом случае кредитная организация вынуждена формировать собственную службу безопасности «по полной программе», комплектуя ее всеми необходимыми специалистами и обеспечивая соответствующими ресурсами.
Основным преимуществом данного варианта является большая степень доверия со стороны руководства банка к собственным сотрудникам, входящим в постоянный штат организации. При правильной организации управления деятельностью службы и, прежде всего, ее персоналом, появляется возможность воспитания у него так называемого «корпоративного духа». Этот термин, пришедший в Россию из зарубежной теории персонального менеджмента, предполагает наличие у сотрудника не только лояльности (которая может быть обеспечена и иными средствами), но личной преданности интересам работодателя. Это может скомпенсировать изложенные ниже недостатки рассматриваемого варианта, за исключением, естественно, полной профессиональной некомпетентности.
Недостатками данного варианта выступают высокий уровень затрат на содержание подобной службы, а для периферийных банков - объективные сложности с комплектацией ее высококвалифицированными сотрудниками всех необходимых специальностей. Принципиальная организационная структура управления службы безопасности, созданной по такому варианту, представлена на рис. 2.
Рис. 2. Типовая структура департамента безопасности банка
Второй, прямо противоположенный, подход предполагает минимизацию штатных сотрудников службы безопасности банка, с возложением основных ее функций на сторонние специализированные структуры, привлекаемые на контрактной основе.
Привлекательность данного подхода обеспечивается многими факторами, среди которых можно выделить:
· меньшую капиталоемкость;
· гарантированный контрактом профессионализм привлеченных из специализированных структур сотрудников;
· в отечественных условиях - отсутствие многих ограничений, связанных с частной охранной деятельностью.
Однако, в отличие от предприятий в других отраслях экономики, российские и зарубежные банки используют данный подход крайне редко. Это определяется в первую очередь низким доверием к любым сторонним для конкретного банка структурам.
Рекомендации по применению: для государственных и небольших банков, реализующих пассивную конкурентную стратегию.
Принципиальная организационная структура управления службы безопасности, созданной по такому варианту, представлена рис. 3.
Рис. 3. Типовая структура внештатной службы безопасности банка
Третий, компромиссный, подход предполагает возможность частичного использования услуг специализированных частных структур для выполнения локальных задач. Он ориентирован на кредитные организации, реализующие стратегию «адекватного ответа» и при этом относительно редко сталкивающиеся со сложными задачами обеспечения собственной безопасности, например, утечкой конфиденциальной информации, хищением денежных средств с использованием компьютерных технологий, шантажом и угрозами в адрес сотрудников. В соответствии с изложенными выше требованиями к организации системы, для таких банков целесообразно ориентироваться на принцип «разумной достаточности» и не включать в постоянный штат службы безопасности сотрудников, чей опыт и квалификация будет востребована от случая к случаю.
2.3 Предметная классификация угроз безопасности банка
а) По признаку целевой направленности угрозы выделяются:
· угроза разглашения конфиденциальной информации, которое может нанести банку ущерб в форме ухудшения его конкурентных позиций, имиджа, отношений с клиентами или вызвать санкции со стороны государства;
· угроза имуществу банка в форме его хищения или умышленного повреждения, а также сознательного провоцирования к осуществлению или непосредственного осуществления заведомо убыточных финансовых операций;
· угроза персоналу банка, реализация которой способна ухудшить состояние кадрового направления деятельности, например, в форме потери ценного специалиста или возникновения трудовых конфликтов.
б) По признаку источника угрозы (субъекта агрессии) выделяются:
· угрозы со стороны конкурентов, т.е. отечественных и зарубежных банков, стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции, например, экономического шпионажа, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государства;
· угрозы со стороны криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретного банка, например, захвату контроля над ним, хищению имущества, нанесению иного ущерба;
· угрозы со стороны нелояльных сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения личных целей, например, улучшения материального положения, карьерного роста, мщения работодателю за реальные или мнимые обиды и т.п.
в) По экономическому характеру угрозы выделяются:
· угрозы имущественного характера, наносящие банку прямой финансовый ущерб, например, похищенные денежные средства и товарно-материальные ценности, сорванный контракт, примененные штрафные санкции;
· угрозы неимущественного характера, точный размер ущерба от реализации которых обычно невозможно точно определить, например, сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его клиентов и деловых партнеров, утеря ценного специалиста.
г) По вероятности практической реализации угрозы выделяются:
· потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (соответственно, у субъекта управления есть время на их профилактику или подготовку к отражению);
· реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в различных стадиях развития (соответственно, у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);
· реализованные угрозы, негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно, субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).
Проведенная классификация позволяет сформулировать три основных компонента безопасности современной кредитно-финансовой организации:
· информационная безопасность банка, предполагающая его защищенность от любых угроз разглашения или утери информации, имеющей коммерческую или иную ценность;
· безопасность персонала банка, предполагающая его защищенность от любых угроз персоналу, прежде всего, высококвалифицированной его части;
· имущественная безопасность банка, предполагающая его защищенность от любых угроз денежным средствам, ценным бумагам, товарно-материальным ценностям и другим элементам активов.
Общая направленность мероприятий по защите банка от рассмотренных выше угроз иллюстрируется с использованием следующей принципиальной схемы:
Рис. 4. Принципиальная схема обеспечения безопасности банка
2.4 Методы противодействия угрозам имущественной безопасности банка
Организация контроля над соблюдением персоналом правил обеспечения безопасности и его лояльностью
Контроль по рассматриваемому направлению осуществляется службой безопасности банка. В зависимости от ее организационной структуры, им могут заниматься либо уполномоченные сотрудники специализированных подразделений (отдела информационной безопасности, физической защиты и т.п.), либо инспектора специального подразделения контроля внутреннего режима. Основными задачами проведения данной работы выступают:
· оценка общей эффективности управления обеспечением безопасности в конкретных структурных подразделениях банка;
· контроль над лояльностью конкретных сотрудников;
· выявление конкретных нарушений и их виновников.
Исходя из этого, организация данной работы осуществляется службой безопасности одновременно по нескольким направлениям.
Профилактический контроль над соблюдением правил обеспечения безопасности в трудовых коллективах банка проводится с использованием различных методов и процедур, в частности:
· плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, хранения денежных и иных ценностей, а также работоспособность технических средств защиты;
· мониторинга ситуации с использованием специальных технических средств наблюдения (например, видеокамер, первоначально установленных в качестве технических средств защиты имущества и персонала);
· мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений банка (подобная практика широко используется службами безопасности предприятий и органов государственного управления, хотя обычно и не рекомендуется в открытых учебных материалах).
По результатам оперативного контроля служба безопасности готовит специальные отчеты для президента банка, информационные записки на имя руководителей его структурных подразделений. При необходимости она организует проведение специальных совещаний у руководства, собраний в трудовых коллективах подразделений, готовит проекты приказов о поощрениях или взысканиях.
Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников:
· занимающих ключевые рабочие места (кроме должности президента), обеспечивающие доступ к особо конфиденциальной информации или возможность принимать решения стратегического характера;
· привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность.
Обязательным условием организации такого контроля является соблюдение требований действующего законодательства, прежде всего, Закона РФ «О частной детективной и охранной деятельности в РФ», а также конституционных гарантий неприкосновенности прав граждан.
В зависимости от цели и используемых методов контроля могут быть выявлены прямые нарушения в деятельности сотрудника, являющиеся основанием для передачи соответствующего иска в судебные или заявления в правоохранительные органы, увольнения, иных форм дисциплинарных взысканий. К числу подобных нарушений относятся подтвержденные соответствующими документами или иными материалами факты:
· проникновения в закрытые компьютерные базы данных и операционные системы с целью их копирования или проведения несанкционированных операций по счетам;
· любых попыток хищения денежных средств или материальных ценностей;
· коррупции в форме получения взяток от клиентов или партнеров банка;
· успешной вербовки сотрудника субъектами потенциальных угроз;
· склонения подчиненных к нарушению доверия работодателя;
· нарушений правил внутренней безопасности банка, в том числе и не приведших к реализации соответствующих угроз.
Кроме того, по результатам персонифицированного контроля служба безопасности может выявить факторы, определяющие сомнения в потенциальной лояльности сотрудника, например:
· необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников;
· не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурирующих банков, криминальных структур, налоговой полиции и т.п.);
· изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа;
· зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.
В этом случае, в зависимости от занимаемого сотрудником служебного положения, профессиональных качеств, отзывов руководителя, к нему могут быть применены разнообразные методы воздействия. По отношению к малоценным для банка работникам рекомендуется невозобновление трудового контракта после истечения его срока, а до этого момента постоянный контроль над их поведением. В остальных случаях с сотрудником должна быть проведена индивидуальная профилактическая работа силами непосредственного руководителя, психолога службы персонала или специалиста службы безопасности.
Результаты персонифицированного контроля должны отражаться в системе специального учета самой службы безопасности и в индивидуальном досье сотрудника.
Выявление уже реализованных угроз безопасности банка с участием его собственного персонала может осуществляться силами штатных специалистов службы безопасности, приглашенных сотрудников частных охранных структур, государственных правоохранительных органов. При этом используются разнообразные оперативно-следственные мероприятия, не являющиеся предметом изучения в рамках настоящего Пособия. Ниже формулируются лишь общие методические правила и ограничения, которые необходимо соблюдать при проведении этой работы:
· при проведении расследования без привлечения государственных правоохранительных органов, обязательным условием является соблюдение требований действующего законодательства, прежде всего, Закона РФ «О частной детективной и охранной деятельности в РФ»;
· главной организационной предпосылкой эффективной работы по расследованию фактов нелояльности собственного персонала является наличие механизма персонифицированного контроля и учета;
· при наличии такой возможности - использование материалов и результатов подобных расследований для последующего обучения сотрудников.
Рис. 5. Элементы программы противодействия мошенничеству.
Глава 3. Рекомендации по повышению степени защиты
3.1 Основные элементы политики противодействия внутреннему мошенничеству
Оценка эффективности управления кадровой безопасностью является необходимым элементом рассматриваемой системы. Она позволяет решить несколько прикладных задач, например, осуществлять статистический анализ вероятности негативной реализации тех или иных угроз, а также объективно оценивать результативность деятельности службы безопасности. В отличие от большинства других направлений менеджмента здесь не всегда можно точно подсчитать обеспеченный экономический эффект. В частности, затруднительно определить возможные потери от своевременно пресеченных угроз. По некоторым видам угроз, например, в адрес сотрудников кредитной организации, прямой эффект невозможно рассчитать в принципе. Поэтому приходится опираться на результаты не только прямой, но и косвенной оценки.
Приведем перечень критериев, для решения этой задачи:
1) динамика текучести кадров в форме инициативных увольнений сотрудников, в том числе ушедших на работу к непосредственным конкурентам;
2) общее количество выявленных угроз с дифференциацией на угрозы, пресеченные в полном объеме, пресеченные частично, негативно реализованные в полном объеме (в сравнении с предыдущими периодами);
3) прямой финансовый ущерб, нанесенный организации в результате частично и полностью реализованных угроз;
4) потенциальный ущерб, который могли бы нанести организации полностью или частично пресеченные угрозы;
5) результаты реализации плановых профилактических мероприятий;
6) отсутствие обоснованных претензий к службе безопасности со стороны правоохранительных органов, собственных подразделений и отдельных сотрудников.
Факторы, влияющие на внутреннее мошенничество:
1) Слабая система внутреннего контроля или ее отсутствие.
2) Отсутствие адекватного разделения полномочий.
3) Неадекватная компенсационная политика.
4) Отсутствие кодекса корпоративной этики и четких правил «что хорошо, а что плохо» внутри компании.
5) Пренебрежительное отношение со стороны руководства и персонала к этическим ценностям компании.
6) Невозможность/нежелание публичного наказания (например, уголовное дело) выявленных корпоративных мошенников.
Организация системы внутреннего контроля Банка через:
1) Наблюдение со стороны Наблюдательного Совета
2) Наблюдение со стороны Совета Директоров Банка
3) Функциональные обязанности и контроль исполнительного руководства всех уровней
4) Соблюдение функциональных обязанностей специалистов всех уровней
5) Организация работы служб внутреннего аудита и службы безопасности относительно проверки, оценки рисков и предупреждения, блокировки возможных рисковых операций.
3.2 Рекомендации по взаимодействию службы внутреннего аудита со службой безопасности
На практике возникает необходимость тесного взаимодействия специалистов внутреннего аудита со службой безопасности. В организационной структуре управления служба безопасности выступает в качестве одного из наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.
Особое место службы безопасности среди других структурных подразделений юридического лица определено самим характером ее деятельности. Она включает в себя исполнение сотрудниками службы безопасности по отношению к другим работникам фирмы многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает подсознательную негативную реакцию даже у той части персонала, которая в силу своего должностного уровня не может не понимать вынужденную необходимость подобных действий. Поэтому отношения между службой безопасности и подразделением внутреннего аудита не должны носить потенциально конфликтный характер. Это определяет необходимость совместных регулярных профилактических мероприятий, направленных, с одной стороны, на основную часть персонала, а с другой - на сотрудников самой службы безопасности.
Рис. 6. Взаимодействие СБ и СВА
В противном случае становится невозможным обеспечить практическую реализацию одного из базовых методических требований к организации управления безопасностью, а именно вовлечения в этот процесс всех сотрудников и инстанций. Структура взаимодействия представлена на рис. 6.
Сегодня наличие внутреннего аудита в организациях рассматривается как важный фактор эффективности вне зависимости от того, есть в организации система менеджмента качества (экологии и т.д.) или нет. Наличие системы внутреннего аудита повышает доверие инвесторов и других заинтересованных сторон, повышает их уверенность в рациональном использовании компанией ресурсов, сохранности активов, оптимизации компанией рисков деятельности, прозрачности компании, а также в соответствии организации деятельности компании лучшим практикам корпоративного управления.
3.3 Принципы построения эффективной системы защиты
Принцип 1. В системе управления организацией должна быть разработана программа управления уровнем мошенничества, включающая в себя специальную политику (документ), отражающую требования совета директоров и высших топ-менеджеров в части снижения уровня фрода.
Принцип 2. В каждой компании риск фрода должен периодически проверяться (оцениваться) для идентификации специальных потенциальных схем и событий с целью его снижения до приемлемого уровня.
Принцип 3. Технические приемы предотвращения (снижения) риска мошенничества должны быть внедрены, где это возможно.
Принцип 4. Технические приемы выявления риска мошенничества должны быть внедрены для нахождения новых схем (методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен риск мошенничества, уровень которого нельзя снизить.
Принцип 5. Процесс подготовки периодических отчетов должен быть включен в карту бизнес-процессов организации для оценки уровня существующего фрода. Отчетность помогает координировать методы расследования и корректирующие действия с целью снижения уровня риска фрода должным образом в соответствующее время.
3.4 Рекомендации профилактики мошенничества
Система противодействия мошенничеству основывается на оценке рисков мошенничества и должна включать в себя три линии обороны.
1 линия обороны -- кодекс поведения сотрудников и политики, связанные с ним. Формирование соответствующей атмосферы, позиции нетерпимости к мошенничеству, культуры этики и высокой честности. Информирование и обучение сотрудников, периодические коммуникации через корпоративные.
2 линия обороны -- система внутреннего контроля. Ведь контроль рождает порядок, а где порядок -- там меньше возможности для совершения мошенничества.
3 линия обороны -- деятельность служб внутреннего аудита и внутренней безопасности.
Профилактика мошенничества должна начинается с тщательного отбора кандидата, проверки его безупречной деловой репутации, сбора и проверки рекомендаций:
1) При оформлении в штат новый сотрудник обязательно должен знакомится под роспись с внутренними инструкциями, политикой внутренней безопасности, политикой противодействия внутреннему мошенничеству, правилами внутреннего трудового распорядка, должностной инструкцией и другими нормативными документами, регламентирующими деятельность подразделения. Лист ознакомления хранится в личном деле сотрудника.
2) Для новых сотрудников должно быть обязательным адаптационное обучение. Обучение проводиться должно аудиторно в формате семинара-тренинга, 1-2 раза в месяц в зависимости от количества вновь зашедших сотрудников. В программе тренинга не только информация о банке, его истории, достижениях, организационной структуре и культуре (миссия, ценности, традиции, культура этики и высокой честности), а также вопросы информационной безопасности и политики банка по противодействию мошенничеству.
3) Тестирование в Банке должно быть нормой. Кроме профессиональных тестов, новые сотрудники за 2 недели до окончания испытательного срока должны сдать тест на знание кодекса поведения сотрудника, политики стандартов и политики противодействия мошенничеству.
4) Все сотрудники проходят специальное тематическое обучение по вопросам противодействия мошенничеству. Такое обучение, как правило, организовано совместными усилиями HR-департамента и департамента безопасности.
Например:
-- «Противодействие мошенничеству» -- обучение нормам этического поведения, повышение осознанности сотрудниками банка актуальности проблемы мошенничества, объяснение процедуры информирования о подозрительных действиях, каналы обратной связи.
-- «Виды мошенничества в банковской сфере и противодействие им».
-- Информационные митинги (информирование о фактах нарушений и злоупотреблений, дисциплинарных взысканиях или поощрения) и др.
Есть примеры, когда в банках вводятся каналы обратной связи для сотрудников. Это каналы связи, по которым сотрудник может обратиться в банк и сообщить о подозрении в мошенничестве или о фактах злоупотреблений и мошенничества.
Первое, что в таком случае приходит на ум обычному сотруднику, -- это каналы для того, чтобы «стучать». И задача эйчара -- правильно выстроить коммуникацию и вовлечь сотрудников в обсуждение, сформировать правильное отношение к нововведению.
Как показывает практический опыт, обеспечение безопасности организации должно соответствовать следующим принципам:
- непрерывность - осуществление мер по обеспечению безопасности должно быть основано на постоянной готовности к отражению как внутренних, так и внешних угроз безопасности организации. При этом руководители организаций должны ясно осознавать: процесс обеспечения безопасности не допускает перерывов, иначе придется все начинать сначала;
- комплексность - использование всех средств защиты финансовых, материальных, информационных и человеческих ресурсов во всех структурных подразделениях организации и на всех этапах ее деятельности. При этом комплексность реализуется через совокупность правовых, организационных и инженерно-технических мероприятий без их приоритетного выделения;
- своевременность - обеспечение безопасности с использованием упреждающих мер. При этом принцип своевременности предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности, а также разработку эффективных мер предупреждения посягательств на интересы организации;
- законность - обеспечение безопасности на основе законодательства РФ и других нормативных актов, утвержденных органами государственного управления в пределах их компетенции. При этом необходимо иметь в виду, что вопрос дозволенности тех или иных методов обнаружения и пресечения правонарушений в рамках действующего законодательства и большого количества ведомственных подзаконных актов в настоящее время в большинстве случаев остается открытым;
- активность - обеспечение безопасности организации с достаточной степенью настойчивости и с широким использованием маневра имеющихся сил и средств;
- универсальность - обеспечение безопасности посредством применения таких мер и проведения таких мероприятий, которые дают положительный эффект независимо от места их конкретного применения;
- экономическая целесообразность - сопоставление возможного ущерба и затрат на обеспечение безопасности. При этом во всех случаях стоимость системы безопасности должна не превышать размера возможного ущерба от любых видов риска;
- конкретность и надежность - определение конкретных видов ресурсов, выделяемых на обеспечение безопасности. При этом обязательным является достаточное дублирование методов, средств и форм защиты при обеспечении безопасности организации;
- профессионализм - реализация мер безопасности должна осуществляться только профессионально подготовленными специалистами. При этом в условиях быстрого развития средств и систем безопасности необходимо постоянное совершенствование мер и средств защиты на базе обучения личного состава;
- взаимодействие и координация - осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений, служб и ответственных лиц. При этом вопрос о взаимодействии и координации касается не только подразделений и лиц, непосредственно отвечающих за безопасность, но и их связи с остальными подразделениями организации;
- централизация управления и автономность - обеспечение организационно-функциональной самостоятельности процесса организации защиты всех объектов охраны и централизованное управление обеспечением безопасности организации в целом.
Заключение
В заключение подведём итоги проделанного исследования и сформулируем основные выводы:
1) Создание крепкой линии обороны против мошенничества -- дело не одного дня, это кропотливая работа всего HR-подразделения и руководителей на всех уровнях. Угрожать безопасности имущества на предприятии могут случайные или преднамеренные воздействия персонала. Эти действия могут быть направлены на мелкие хищения товарно-материальных ценностей или хищение денежных средств с помощью IT или финансовых махинаций. Следовательно, предпринимателю необходима надёжная защита ценных документов, прежде всего конфиденциальных.
2) В Банке ВТБ 24 (ЗАО) есть служба безопасности, в чьи обязанности, в числе прочих входит работа с кадрами и выявление групп риска. Также внедрен комплекс мер по защите информации. Данная служба вполне удовлетворительно справляется с данными задачами.
3) Было предложено несколько основных направлений совершенствования системы противодействия угрозам имущественной безопасности организации со стороны собственного персонала: тщательный отбор новых сотрудников, внедрение системы адаптации сотрудников, обучение сотрудников работе с конфиденциальной информацией, эффективная мотивация сотрудников, минимизация утечек информации при увольнении сотрудника и внедрение комплексной системы защиты информации.
4) Основным требованием к системе обеспечения собственной безопасности банка является комплексный подход к организации защиты от всех возможных угроз, исключающий наличие незащищенных или плохо защищенных объектов.
5) При формировании перечня используемых методов защиты от возможных угроз безопасности банка однозначный приоритет должны иметь методы профилактического характера (и лишь затем - пресекающего и карающего).
6) Приоритетным объектом защиты в рамках системы является конфиденциальная информация, имеющаяся в распоряжении банка. В свою очередь, приоритет в системе информационной безопасности банка должна иметь конфиденциальная информация, составляющая банковскую тайну, что вытекает из статуса кредитно-финансовой организации как «особо доверенного лица» для своей клиентуры.
7) Развитие информатики и связанное с этим широкое распространение компьютерных технологий в банковском деле определило расширение перечня возможных угроз как информационной, так и имущественной безопасности кредитно-финансовых организаций. В современных условиях защита банка от несанкционированного проникновения в его компьютерные сети (для последующего вмешательства в финансовые операции или перехвата информации) стала приоритетной задачей службы безопасности.
8) Главной особенностью организации системы безопасности российских банков является необходимость большего внимание к защите от угроз со стороны собственных сотрудников. Основными причинами низкого уровня лояльности банковских служащих выступают, с одной стороны, специфический трудовой менталитет россиян и, с другой стороны, недостаточное внимание к проблемам персонального менеджмента со стороны руководства многих отечественных банков. В этой связи, важнейшей задачей по профилактике подобных угроз определяется формирование в трудовом коллективе кредитно-финансовой организации «корпоративного духа», предполагающего наличие уважения и доверия со стороны сотрудников к своему работодателю.
имущественный безопасность банк защита
Список используемой литературы
1. Алавердов А.Р. Управление кадровой безопасностью организации./ А.Р. Алавердов. - М.: Маркет ДС Синергия, 2011. - 176 с.
2. Алавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях./ А.Р. Алавердов. - М.: http://www.e-biblio.ru/cgi-bin/lib.pl
3. Алавердов А.Р. Менеджмент персонала в коммерческом банке./ А.Р. Алавердов. - М.: Маркет ДС Синергия, 2010. - 360 с.
4. Чумарин И.Г. Внутреннее мошенничество на предприятии - 2. Выявление./ Чумарин И.Г. - М. Опубликовано: БДИ №5/1996 01.05.1996, http://www.poteri.net
5. Комаров Вадим. Роль внутреннего аудита в обеспечении экономической безопасности предприятия./ http://guardmag.com/experts/show/id/113
6. Россол Сергей. Обеспечение безопасности организации./ http://www.delo-press.ru/articles.php?n=6410
7. Кибанов А.Я. Кадровая безопасность в системе безопасности организации./ А.Я. Кибанов. - М.: http://hr-portal.ru/article/kadrovaya-bezopasnost-v-sisteme-bezopasnosti-organizacii
8. Бадалова А.Г. Управление кадровыми рисками предприятия./ А.Г. Бадалова, К.П. Москвитин- М.: Российское предпринимательство. 2005. N 7.
9. Кибанов А.Я. Управление персоналом организации./ А.Я. Кибанов- М.: ИНФРА-М, 2006.
Размещено на Allbest.ru
Подобные документы
Правовое регулирование экономической и информационной безопасности предпринимательства, осуществляемое государственными органами власти и менеджерским составом предприятия. Противоречия и проблемы существующей правовой базы безопасности бизнеса в РФ.
реферат [27,8 K], добавлен 29.12.2016Персонал банка как объект потенциальных угроз. Организация защиты персонала от возможных угроз, вербовки и переманивания сотрудников конкурентами. Защита от шантажа и угроз в адрес сотрудников банка, покушений на сотрудников банка и членов их семей.
контрольная работа [29,4 K], добавлен 02.03.2012Общие вопросы кадровой безопасности. Особенности в построении системы кадровой безопасности в высокотехнологичных организациях различных форм собственности. Защита персональных данных работника. Коммерческая тайна: механизм закрепления и защиты.
аттестационная работа [188,2 K], добавлен 26.01.2007Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Теоретический анализ сущности и методов управления в сфере обеспечения безопасности предпринимательства. Особенности построения оптимальной системы безопасности, в наибольшей степени отвечающей задачам и стратегии фирмы, а также условиям внешней среды.
реферат [21,8 K], добавлен 10.06.2010Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа [235,0 K], добавлен 03.02.2011Задачи и основные направления обеспечения защиты корпоративной информации. Получение корпоративной информации. Уязвимые места: промышленный шпионаж, поджог, нападение на сотрудников компании. Служба безопасности: задачи и правила работы ее сотрудников.
контрольная работа [56,5 K], добавлен 19.01.2008Сущность безопасности труда персонала в современной организации, направления ее обеспечения. Анализ безопасности труда персонала и оценка кадровой политики предприятия ООО "Фортуна". Разработка проекта по эффективному обеспечению трудовой безопасности.
дипломная работа [86,1 K], добавлен 30.07.2013Характеристика ведущих государственных моделей обеспечения безопасности промышленных предприятий Германии, США, Китая, Франции и Украины. Рассмотрение нормативно-правовых документов экономической защиты: Конституция, Концепция национальной безопасности.
реферат [17,7 K], добавлен 08.06.2010Суть информационно-аналитического обеспечения в сфере управления и бизнеса – сбора и анализа сведений, которые могут обеспечить хозяйствующему субъекту конкурентные преимущества, повысить уровень его экономической, финансовой, информационной безопасности.
дипломная работа [87,4 K], добавлен 20.05.2012