Как обеспечить безопасность предприятия, если Вам лень этим заниматься

Системный подход при проведении расследований

Как выходцы из правоохранительных органов, многие руководители служб безопасности в качестве цели корпоративного расследования видят установление виновного.

Действительно, согласно Wikipedia:

Служебное расследование (служебная проверка) — деятельность в рамках дисциплинарного производства соответствующих должностных лиц по своевременному, всестороннему, полному и объективному сбору и исследованию материалов по факту дисциплинарного проступка сотрудников (работников), либо невыполнения ими функциональных обязанностей из стадий дисциплинарного производства.

Но если посмотреть на этот инструмент с точки зрения управления рисками безопасности, то приоритеты меняются. Вопрос «Кто виноват?», становится вторичным, а ключевым — «Что делать?». Какие действия необходимо предпринять, какие меры и контроли внедрить для того, чтобы снизить вероятность рецидива нежелательного события?

То есть, устанавливая причины и условия, способствовавших нежелательному событию, мы рассматриваем его не как самостоятельную историю, а в контексте всего бизнес-процесса и, соответственно предлагаем решение, влияющее на него.

Масштабируя от частного к общему, мы как бы «делаем из мухи слона», но исключительно в хорошем смысле!

Лучшим способом понять смысл вышесказанного, обратиться к реальным кейсам, иллюстрирующим такой подход.

Примечание: Кейсы адаптированы для демонстрационных целей, поэтому, предлагаемые меры защиты могут показаться читателю недостаточными или не эффективными. В данном случае, иллюстрируется подход, а не даются советы по митигации конкретных рисков. Частные меры реагирования в отношении нарушителей нами здесь не рассматриваются, но ни в коем случае не отменяются при проведении реальных расследований.

Кейсы:

1.

В одном из областных центров планировалось проложить оптико-волоконные линии связи для подключения вновь построенных домов к интернету и кабельному телевидению.

Установленным порядком был выбран подрядчик, предложивший самую низкую цену за единицу объема по основным видам работ (договор рамочный).

В целях компенсации низкой стоимости в договоре, контрагент завышал количество специальных работ (ручные земляные, в ночное/холодное время и т. п.), оптимизировал маршрут кабельных трасс (вместо прямых углов и огибания объектов местности прокладывал напрямую), использовал материалы с пониженными эксплуатационными свойствами, а также уже ранее бывшие в эксплуатации кабельные магистрали.

Риски:

накопление негативного клиентского опыта в связи периодической потерей сервиса из-за некачественной арматуры;

повреждения линий связи при проведении земляных работ, так как охранная зона определена по проекту, а кабели проложены «по месту»;

материальные потери в связи с оплатой завышенных объемов работ.

Системная проблема:

Существующий порядок приемки работ не обеспечивает их качество и надлежащий контроль за исполнением контрагентом своих договорных обязательств.

Системное решение:

Внести изменения в Процедуру приемки строительных работ (локальный нормативный акт), дополнив ее требованиями:

к службе заказчика (приемщику) об обязательной фиксации средствами объективного контроля факта и объема выполненных работ (фотографии, геолокация и т. п.) с приобщением этих материалов к приемочным актам;

к службе закупок — вносить во все новые договоры подряда на проведение строительных работ требования к исполнителю предоставлять такие подтверждения и ужесточить штрафные санкции за отклонения от проекта, как в части маршрутов, так и используемых материалов.

2.

Из-за несовершенства мотивационной программы, сотрудники розницы для выполнения плана осуществляли фиктивные продажи SIM-карт (на вымышленные персональные данные, либо на существующих клиентов без их ведома).

Риски:

репутационные риски, связанные с нарушением прав и законных интересов клиентов;

риски штрафных и иных санкций со стороны регулятора в связи с недостоверными данными об абонентах;

неверные сведения о количестве абонентов и доле рынка;

уголовное преследования продавцов за неправомерный доступ к компьютерной информации (ст. 272УК РФ) за оформление SIM-карт на реальных людей без их ведома.

Системная проблема:

Принятая мотивационная программа, стимулирует продавцов к совершению фиктивных продаж и обману работодателя.

Системное решение:

Изменить мотивационную программу продавцов — вознаграждение за продажу выплачивать в зависимости от Life-time (времени существования в активном статусе) новых абонентов (скоринг 4M base — оплачиваются лишь SIM-карт сохранившие активность спустя 4 месяца после продажи).

3.

Одной из опций, предлагаемых клиентам при продаже сложного технического оборудования, является его страхование.

Согласно предварительному расчету дирекции по маркетингу, компания предоставляет клиентам скидку на приобретаемые девайсы в размере стоимости страхового полиса и отдает его покупателю фактически по цене закупки. Маржу продавца составляет агентское вознаграждение от партнера-страховщика.

Однако, при расчете кейса не было учтено, что в соответствии с ФЗ «О защите прав потребителей» клиент имеет право расторгнуть договор в течение 14 дней с момента его заключения, после чего ему возвращается стоимость полиса.

Недобросовестные сотрудники розничной сети, после оформления Договора страхования имущества, в системе 1С производят корректировку, заменяя персональные данные клиента на собственные (либо друзей/родственников). После этого новый «владелец» полиса подает заявление на расторжение договора и через 10 дней получает денежные средства в размере, присваивает их и расходует по своему усмотрению.

Риски:

репутационные риски, связанные с обманом клиентов;

риски судебного преследования Компании со стороны обманутых клиентов;

риски штрафных и иных санкций со стороны регулятора за ущемление прав и законных интересов потребителей;

риски судебных споров со страховой компанией-партнером;

убытки от продажи товара (из-за неполучения агентского вознаграждения от страховщика).

Системная проблема:

Процесс расчета бизнес-кейсов в рамках, планируемых акционных и иных маркетинговых активностей не обеспечивает объективность их оценки с точки зрения рисков и возможных негативных сценариев.

Системные решения:

Доработать программную оболочку, используемую продавцами для оформления операций — заблокировать техническую возможность корректировки персональных данных в страховом полисе.

Изменить мотивационную программу продавцов — вознаграждение за продажу полисов выплачивать с отсрочкой на две недели (срок возможного расторжения договора страхования).

Включить в состав экспертов, оценивающих перспективы акционных и иных маркетинговых активностей, специалиста СБ.