Риски | Статьи
4 мин.
Как выявить коррупцию в IT-отделе

Как выявить коррупцию в IT-отделе

14.10.2019 Мошенничество

Топ-менеджменту нужно разобраться, что на самом деле происходит в IT-службе

Сегодня деятельность любой компании зависит от информационных систем, а руководители компаний – от собственных IT-отделов. По моему опыту, IT-службы более половины российских компаний – непрозрачные структуры не только для других подразделений, но и для корпоративных служб безопасности.

Но непрозрачность, слабый контроль и высокие риски мошенничества в IT приводят к проблемам посерьезнее лишних расходов. Мы сталкивались с ситуациями, когда IT-специалисты способствовали рейдерским атакам на компанию, раскрывая график поступления кредитов, устанавливали специализированное ПО для слежки и сбора компромата на руководителей компании, организовывали утечки клиентских данных к конкурентам и взламывали личную почту сотрудников. Существуют и внешние риски – так, намеренное раскрытие или утечка персональных данных граждан ЕС может привести к многомиллионным штрафам за нарушение закона о защите данных GDPR и серьезному урону репутации. 

Как понять, есть ли злоупотребления и мошенничество в IT-службе компании? Есть несколько признаков.


В бизнесе либо не хватает экспертов, способных системно и критически оценить происходящее в IT-подразделении, либо этих экспертов никто не слышит. Собственники и топ-менеджеры, если у компании есть деньги, обычно соглашаются увеличить бюджет отдела, не желая погружаться в детали.

Рост расходов на IT. Значительный рост затрат на IT, как капитальных, так и операционных, должен насторожить собственников компании. Пример: IT-директор настаивает на том, что необходимо срочно вложить миллионы долларов в обновление ERP-системы, потому что ее разработчик перестанет поддерживать текущую версию уже в следующем году.

Руководители IT-служб обычно играют на страхах руководства – что упадет производительность, что компания останется без поддержки, что системы будут уязвимы перед атаками хакеров. Или убеждают, что компания, купив дорогостоящий продукт, станет привлекательнее для инвесторов. Эти аргументы могут быть правдой отчасти или полностью. Cобственнику или топ-менеджеру, как бы их ни призывали к срочным действиям, надо получить альтернативное заключение внутренних и внешних экспертов о том, реальны ли эти проблемы и каковы варианты их решения. А уже потом делать выводы.  Отдельно надо заниматься проверкой обещанных перед началом IT-проектов выгод. Проблема в том, что крупные сложные проекты сами по себе являются полем для манипуляций, потому что их не с чем сравнивать. Внедрение новой информационной системы всегда уникальный проект. Нужно не только купить программное обеспечение, но потратить время и деньги на его доработку, настройку и интеграцию с имеющимися информационными системами. А когда проект завершится, нужно будет обновлять системы, и так до бесконечности. Всегда надо помнить, что далеко не все новые информационные системы нужны, а нужные системы не обязательно глубоко интегрировать с другими приложениями. Часто достаточно периодического обмена пакетами данных. 

Любому проекту должны предшествовать детальные расчеты. Проект должен быть оценен по инвестициям и планируемым выгодам, должны быть учтены альтернативные варианты и риски. Значимый IT-проект лучше всего раздробить на этапы: чем раньше компания поймет, что заявленные цели не достигаются, а риски растут, тем больше шансов снизить потери и скорректировать планы.

Собственникам стоит обратить внимание и на операционные расходы на IT-службу, ведь специалисты, работающие в ней, стоят дорого, а оценить необходимость их найма непосвященному человеку трудно.

Непрозрачные IT-закупки. Если более 15% бюджета на IT уходит одному контрагенту или нескольким связанным компаниям, хотя речь идет не об уникальном, а о стандартном оборудовании и ПО, – это повод насторожиться и изучить закупочный процесс. Если на тендеры IT-департамента вашей компании откликается мало компаний, если в торгах участвуют одни и те же игроки, может быть, объемы работ завышены с точки зрения предложенных цен? А может быть, рынок уже давно знает, с кем предпочитает работать ваш IT-директор. Ничего страшного в работе с одними и теми же проверенными поставщиками нет. Проблемой это становится, если закупки проводятся по нерыночным ценам.

Уволить руководство IT-службы, действующее не в интересах акционеров, за один день не всегда возможно. Для этого нужно иметь кадровый резерв по наиболее значимым и рискованным позициям. В моей практике были случаи, когда на создание резерва уходило более года. В критических ситуациях можно пойти на компромисс: предложить большее жалованье при обязательном условии полной нетерпимости к злоупотреблениям.


Сигнал опасности – это рост затрат больше чем на 15–20% в год при отсутствии новых крупных проектов.

Руководитель компании должен знать расходные статьи бюджета на IT и всегда задаваться вопросами, нужно ли нам то, что мы покупаем? Какова эффективность? Есть ли альтернативы? А служба персонала должна обязательно проводить интервью с увольняющимися IT-специалистами: люди этой профессии обычно не склонны к частой смене работодателей, и их уход может быть признаком проблем в отделе. Также полезна будет анонимная горячая линия, по которой сотрудники смогут сообщать о злоупотреблениях.

Опубликовано в газете Ведомости и на сайте vedomosti.ru

Александр Тарасенко

Директор отдела консультирования по управлению рисками КПМГ в России и СНГ

Александр присоединился к КПМГ в октябре 2018 года. До этого он работал в практике форензик другой компании «Большой четверки», а также в нефтяной отрасли, где возглавлял контрольную службу корпоративного офиса управления ИТ и бизнес-проектами («ТНК-BP»), а затем — управления аналитикой и контроля закупок в корпоративной службе внутреннего аудита («Роснефть»).

Александр имеет разносторонний опыт, включающий руководство комплексными и трансграничными расследованиями, выявлением и анализом рисков мошеннических действий, внутренним аудитом, оценкой и внедрением систем противодействия мошенничеству.






Подписаться на рассылку
Зарегистрируйтесь, если хотите получать наши материалы
  • Эксперт: Александр Тарасенко

поделиться:

2

Комментарии

Загрузка комментариев...
Вам может быть интересно
«Реальное обучение оказывает реальное влияние»
Деканы бизнес-школ IESE, IMD и Стэнфорда о хорошем образовании и эволюции амбиций своих выпускников
7 мин.
Персонал
Как защитить корпоративные данные при удаленной работе?
Илья Шаленков рассказывает, как повысить уровень информационной безопасности рабочих процессов вне офиса
Каким будет мир после коронавируса?
Гуриев, Хьюз, Гощанский, Репик, Шехтерман, Надоршин — мы собрали мнения экспертов из разных отраслей