На сегодняшний день — самое распространенное мошенничество — это в сфере ИТ. Их количество продолжает расти. Скорее всего, самый большой урон наносит недобросовестность собственных сотрудников, заведомо умышленное раскрытие тайны третьей стороной.
Согласно статистике, чаще корпоративные правонарушители прикарманивают активы компании (42%), некорректно отображают бухгалтерскую отчетность (10%) и требуют откаты от контрагентов (9%). Четверть компаний за последние несколько лет лишились из-за мошенничества не меньше $1 млн. Интересный факт, но под подозрение может попасть руководитель, который проработал на руководящей должности больше пяти — семи лет. Высокий ранг, отсутствие подозрений со стороны руководства, а также опыт работы на протяжении нескольких лет позволяют им избегать контрольные мероприятия и продолжительное время оставаться вне поля зрения.
Например, технический директор организации занимался выбором поставщика и закупкой оборудования, и не предоставлял документацию, кроме накладных и счетов-фактур.
К примеру, когда крупная компания по просьбе IT-директора заложила в бюджет на внедрение IT-системы около 100 млн., из них около 10%– для создания проектной команды. Консультанты, привлеченные для аудита компании обратили внимание работодателя, на это. Сделали вывод, что такая цифра слишком много для мероприятий по сплочению сотрудников.
Наиболее часто подвергается риску следующая информация: информация об инвестициях, проектная документация, коммерческие предложения, персональную информацию и контактные данные клиентской базы, информация о движениях по счетах клиентов, и другое.
Рассмотрим подробнее:
Взяточничество. При покупке товаров или услуг менеджеры различных компаний нередко дают откаты или получают от третьих лиц. Откат – синоним взятки, используемый в коммерческих компаниях.
Вымышленные услуги. Директор либо менеджер имеет возможность подписать с «нужной фирмой» договор на вымышленные услуги. Ну а компания обязана оплатить соответствующую сумму. Акты выполненных работ к оплате от неизвестной фирмы обычно предоставляются в момент увольнения менеджера.
Списание техники. Создается внутренняя комиссия. Основная задача в принятии коллегиального решения относительно техники, которую уже пора списывать. Решение должно основываться на экспертном заключении. Экспертом может быть либо штатный сотрудник, который имеет документы об образовании в сфере обслуживания/ремонта данного оборудования либо привлеченным независимым специалистом. Так же будет необходим акт технической экспертизы от компании-производителя либо от компании оказывающей услуги по ремонту и сервисному обслуживанию техники. Этот акт гарантирует, что техника не подлежит ремонту и ее необходимо списать.
Аудит информационной структуры. Он проводится по многим причинам, как в предупредительных мерах, обеспечения полной антивирусной защищенности, так и по другим причинам. Несмотря на сложившееся мнение о хакерах и других злоумышленниках при изъятии данных третьим лицам, их роль очень незначительна. Вся ответственность ложится на сотрудников компании, потому что очень часто они и являются источником утечки данных.
Утечка информации может происходить через:
- Бездумное пользование мессенджерами
- Неполноценная антивирусная система
- Использование флэш-носителей, пишущих приводов
С их помощью становятся общедоступными пароли почты, сайты, документы, бухгалтерские и клиентские базы.
Аудит непосредственно компьютеров. Проводится проверка каждого компьютера и составляется отчет, показывающий конфигурацию, установленные программы, а также даты их установки. Указываются системные характеристики и прочее. Цель отчета – выявление несоответствий и составление рекомендаций по оптимизации системы.
Профессионалы советуют проводить полный аудит не реже одного раза в году.
Приведем основные меры по предотвращению умышленного мошенничества:
- Организовывать комитет по закупкам. Использовать электронный формат
- Отказ от полной передачи полномочий топ-менеджеру.
- Запрет на совершение сделок в отношении нематериальных услуг, займов и прочего без согласования работодателя. Ввести личную ответственность
- Исключение работы с подрядчиками в случае скрытия их владельцев
- Создать такую систему поощрений и мотивации, которая исключит мошенничество
- Ввести ретробонусы- как замену откатов для поставщиков
- Мониторить отчеты о продажах и запретить скидки и отсрочку платежей без согласования с работодателем.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.