Никита Лисенков, ICSA: «Я развеиваю миф о том, что безопасники – "гири на ногах" бизнеса»

Хочу поделиться своим видением вопроса кросс-функционального взаимодействия. Имея за плечами 15-летний опыт работы – половину в правоохранительных органах, половину в корпоративной безопасности крупных компаний – я хорошо понимаю обе стороны баррикад.

Помню свой первый день в корпоративной среде. Во время неформального общения один из менеджеров отдела логистики прямо заявил: «Ну что, безопасники, будем дружить? Только не становитесь “гирями на ногах” бизнеса». В этих словах была своя правда, и с тех пор я поставил себе цель развеять этот распространённый миф.

Действительно, служба безопасности не создаёт прямой прибыли и не влияет на ключевые бизнес-показатели. Наша основная задача – работа с рисками и предотвращение финансовых потерь. Однако традиционное восприятие безопасности как органа, который только запрещает, блокирует и наказывает, устарело.

Любой бизнес-процесс можно представить как дорогу, где компания выстраивает определённые блокеры для управления рисками. Предпринимательская деятельность по своей сути – это работа на свой страх и риск ради получения прибыли.

В современном бизнесе действует модель трёх линий защиты. Первая линия – это сам бизнес. Например, в закупочной деятельности само подразделение выстраивает контрольные механизмы. В малом и даже среднем бизнесе проверка контрагентов лежит на нем самом.

Вторая линия – это контрольные службы: комплаенс, управление рисками и безопасность. Они обеспечивают дополнительный уровень защиты.

Третья линия – это аудит и служба внутреннего контроля, которые планово проверяют, как работают процессы и контроли в компании. На бумаге эта схема выглядит идеально, но в реальности всё обстоит иначе.

Почему так происходит? Всё дело в давлении внешних факторов. Компании постоянно стремятся:

В этих условиях сотрудники часто ищут обходные пути. И дело не в том, что они плохие специалисты – наоборот, это зачастую самые инициативные и целеустремлённые работники. Их подталкивает к этому сама система: жёсткие сроки, необходимость быстрого результата, давление показателей эффективности.

Возникает парадоксальная ситуация: чем больше барьеров и контрольных точек мы создаём, тем больше появляется способов их обойти. Сотрудники, движимые благими намерениями и желанием достичь результата, могут не заметить важных деталей и совершить ошибки.

С чего начать выбор приоритетных процессов для управления рисками

При определении фокуса внимания службы безопасности ключевым моментом является выбор приоритетных бизнес-процессов компании. И здесь особое место занимают закупки – один из основных процессов, без которого невозможно представить работу большинства организаций.

При определении приоритетов мы руководствуемся несколькими важными критериями:

Именно эти критерии позволяют нам обосновать перед руководством необходимость вмешательства в тот или иной процесс.

Кто в ответе за риск?

В нашей работе мы не просто устанавливаем правила – мы имеем дело с реальными инцидентами. Риски корпоративного мошенничества охватывают целый спектр проблем: коррупция, прямое мошенничество, хищения и кражи. Когда происходит какая-то внештатная ситуация с признаками этих нарушений, мы начинаем работу.

Интересно, что в картах рисков крупных компаний раздел безопасности часто представлен крайне скудно – буквально двумя строчками, где указано только, что есть риски корпоративного мошенничества и ими занимается соответствующая служба. При этом нет ни детального описания сценариев, ни описания инструментов противодействия, ни информации о возможных и наступивших последствиях.

Риск-менеджментом в основном занимаются несколько подразделений: аудит, комплаенс, управление рисками и служба безопасности. Однако существующая система подготовки специалистов по безопасности часто не соответствует потребностям корпоративного мира. Традиционное образование в МВД – это уголовно-правовая специализация, которая даёт навыки выявления и пресечения правонарушений. Там учат тому, что «воруют все». Если приходить в корпоративный мир с такой установкой, вы будете обречены. Чтобы стать партнером в сфере безопасности, нужна «перепрошивка мышления». Сейчас, например, в вузах набирает популярность специальность «экономическая безопасность».

Алгоритм при реализации инцидента

Документируем правонарушение.

Проводим внутреннее расследование.

Фиксируем результаты в базе знаний. Речь идёт не о типичной базе данных службы безопасности с чёрными списками нарушителей. Наша база знаний – это хранилище опыта по выявленным инцидентам, сборник практических решений, инструмент для анализа тенденций, база для предотвращения будущих рисков.

Локализуем точку риска в бизнес-процессе. Когда возникает проблема в бизнес-процессе, нам нужно точно определить, где именно случился сбой. Возьмём процесс закупок – он подробно описан в регламенте, но там много этапов и ответвлений. Наша задача – выяснить, в какой системе произошёл инцидент, на каком этапе случился сбой, кто отвечал за этот участок работы.

Проверяем актуальность регламентирующих документов. Важно понимать, что документы часто не отражают реальную картину. Регламент может быть написан пять лет назад и не учитывать современные системы и процессы.

Определяем реальные риск-факторы. Здесь нужно обращаться к риск-факторам реального процесса, а не описанного на бумаге.

Оцениваем достаточность существующих контролей в точке риска. Приведу пример из практики. В одном из кейсов по закупкам были выявлены манипуляции с тарифами, что привело к финансовым потерям около 200 миллионов рублей. Закупщик в последний момент менял маршрут доставки, указывая короткий путь вместо реального длинного маршрута. После выявления нарушения мы не только наказали виновного, но и работали над устранением системных проблем. В этом случае удалось изменить дизайн бизнес-процесса совместно с бизнесом, не усложняя и не замедляя его.

Создаем формулу отклонения. Далее мы формируем гипотезу о возможном риске и внедряем её в антифрод-систему – инструмент, изначально разработанный для банковского сектора, но актуальный для любого цифрового бизнес-процесса. Такой подход позволяет не просто реагировать на инциденты, но и предотвращать их появление в будущем.

Роль данных для системного управления рисками

Именно через них мы можем сделать процессы понятными для всех участников бизнеса. Путь от данных к принятию решений проходит через несколько важных этапов. Всё, что хранится в наших системах, требует тщательной проверки. Не вся информация:

Однако из полезной информации мы выделяем два ключевых направления анализа:

В большинстве случаев этих двух типов анализа достаточно для принятия взвешенных решений.

Как внедрить антифрод

Первый важный этап – определить риск-факторы, сформировать базу инцидентов и научиться формулировать гипотезы. Это наша отправная точка, на основе которой строится вся дальнейшая работа по управлению рисками.

Интересный опыт у нас появился с использованием искусственного интеллекта. Мы оцифровали 16-томный справочник по корпоративному мошенничеству и загрузили его во внутренний чат GPT. Теперь используем его как вспомогательный инструмент для поиска применимых к нашим бизнес-процессам гипотез и сценариев рисков. Это помогает быстрее анализировать большие объёмы информации и находить потенциальные угрозы.

Следующий важный этап – оценка контрольной среды. Здесь мы точно локализовали все риски, детально изучили их природу, определили действующие контрольные механизмы и проанализировали существующие меры защиты. На этом этапе критически важно понять – достаточно ли имеющихся мер контроля? Когда вся информация собрана и структурирована в одном месте, сделать обоснованный вывод становится значительно проще, причём этот процесс происходит в тесном взаимодействии с бизнесом.

Третий этап – формирование перечня правил. Рассмотрим практический пример на базе закупочной деятельности. У нас есть команда высококвалифицированных экспертов, которая разработала целых 40 различных критериев отклонений, указывающих на потенциальные проблемы в закупочных процедурах. При этом в условиях тысяч закупочных процедур, проходящих через систему ежегодно, проверкой занимались всего около 10 специалистов. Мы столкнулись с ситуацией, когда сотрудники говорили: «Точно всё проверяем», но так ли это на самом деле? Может, они просто нажимают кнопку согласования, а не проверяют все 40 параметров? Поэтому мы решили автоматизировать процесс. Из 40 критериев выбрали те, что можно перевести в цифровой формат.

Четвертый этап – оценка источников данных. Описали источники информации для контролей (бумажный носитель, excel/word/pdf-файл, информационная система) и структурировали данные в информационной системе-источнике для реализации контролей.

Пятый этап – разработка ФТТ. Из 40 изначально разработанных критериев мы отобрали те, которые возможно перевести в цифровой формат. В результате провели детальную оценку источников данных, отобрали 21 критерий для немедленной автоматизации и определили ещё несколько критериев, находящихся в стадии разработки.

В рамках шестого этапа дали старт проекту и реализовали его как цифровое рабочее место безопасности на базе системы Jira. Стоит отметить, что совсем не обязательно внедрять новую систему или стремиться к нашему выбору, вы можете реализовать решение, используя корпоративный инструмент управления задачами. Функционал реализован следующим образом:

На какие критичные индикаторы мы смотрим

Очень большое внимание мы уделяем аффилированности, то есть автоматизации работы с различными информационными агрегаторами. В этих системах примерно одинаковая информация, и мы проверяем через них соответствие данных в конкурентном листе и спецификации договора, наличие сведений о банкротстве или ликвидации организации. Это базовая проверка, которую важно проводить не только на этапе первичного знакомства с контрагентом, но и на регулярной основе измерять «здоровье» партнера, она не требует существенных ресурсов, но является критически важным элементом управления рисками взаимодействия.

В спецификацию также включается анализ отзывов о закупках, которые не были реализованы в конкурсе, и дополнительные индикаторы риска. Все эти показатели мы отслеживаем и анализируем, что позволяет нам принимать взвешенные решения. Благодаря цифровизации процессов у нас есть статистика по количеству индикаторов, их распределению по закупкам, товарным группам и контрагентам. Эти данные крайне важны для ведения диалога с бизнесом и принятия управленческих решений.

Что мы делаем уже сегодня

Сейчас мы работаем над классификатором причин отклонений. В сфере безопасности глобально существует всего две причины: злой умысел и человеческий фактор. Практика показывает, что большинство нарушений связано именно с человеческим фактором, когда сотрудники в стремлении быстрее достичь цели пренебрегают установленными процедурами.

Мы стремимся предоставить бизнесу инструменты для самостоятельного контроля рисков в своих закупках.

Также формируем аналитику инцидентов с привязкой к конкретным сотрудникам компании. При этом мы готовы делегировать определённые полномочия: например, бизнес может самостоятельно контролировать закупки до определённой суммы, а служба безопасности будет фокусироваться на более крупных сделках. Мы рассматриваем такую модель: пусть бизнес самостоятельно контролирует закупки стоимостью до 5 миллионов рублей. Проведя анализ ресурсов и объем подлежащей проверке информации, вы определите оптимальные для вашей компании параметры.

Важный момент: каждый сотрудник сможет самостоятельно указывать причины отклонений, а мы, в свою очередь, будем их рассматривать – либо подтверждать, либо запрашивать дополнительную информацию, а в критических случаях можем и отклонить заявку.

Наша цель – не мешать бизнес-процессу, а лишь оперативно отрабатывать инциденты и обращать особое внимание на «красные флаги». Мы внедрили систему приоритизации задач: в первую очередь занимаемся критическими ситуациями, отмеченными как «красные».

При этом мы используем весь арсенал инструментов корпоративной безопасности, но делаем это целенаправленно. Для нас это не просто формальный контроль – каждый сигнал становится триггером для более детального изучения конкретной ситуации. Мы стремимся не «кошмарить» бизнес лишними проверками, а обеспечивать реальную защиту интересов компании там, где это действительно необходимо.

Почему бизнесу это интересно?

Никита Лисенков, член Международной ассоциации корпоративной безопасности ICSA