Актуальность внедрения Системы Комплаенс в РоссииElena Koroleva
В ноябре 2012 года Российский новый университет стал участником Национальной ассоциации комплаенс (НАК).
Ассоциация создана в 2012 году с целью изучения, продвижения и внедрения передового опыта в области комплаенс-менеджмента, противодействия коррупции, предотвращения финансовых мошенничеств и других экономических преступлений. В задачи НАК входит совершенствование бизнес-деятельности и координация усилий бизнес-сообщества по внедрению и развитию системы комплаенс, обеспечивающей соответствие деятельности организаций любой формы собственности нормам закона, правилам и стандартам в области предпринимательской деятельности в РФ и странах-членах ВТО.
— Российский новый университет создал условия для подготовки специалистов по этому направлению в рамках дополнительного образования, — рассказал проректор РосНОУ по инновационно-образовательной деятельности Владимир Минаев. — В первую очередь эти специалисты будут востребованы банками, инвестиционными компаниями. Комплаенс, по сути, это соответствие деятельности организации определенным стандартам, нормам, принятым в ВТО. Это соответствие нормам безопасности, нормам корпоративной этики. Мы живем в глобальном мире и идея комплаенса должна была прийти к нам. У нас есть Конституция, но нам так же предстоит подчиняться и другим, новым правилам.
AACIMP 2010 Summer School lecture. "Information Technologies" stream. "Information Technologies in Business" course.
More info at http://summerschool.ssa.org.ua
Актуальность внедрения Системы Комплаенс в РоссииElena Koroleva
В ноябре 2012 года Российский новый университет стал участником Национальной ассоциации комплаенс (НАК).
Ассоциация создана в 2012 году с целью изучения, продвижения и внедрения передового опыта в области комплаенс-менеджмента, противодействия коррупции, предотвращения финансовых мошенничеств и других экономических преступлений. В задачи НАК входит совершенствование бизнес-деятельности и координация усилий бизнес-сообщества по внедрению и развитию системы комплаенс, обеспечивающей соответствие деятельности организаций любой формы собственности нормам закона, правилам и стандартам в области предпринимательской деятельности в РФ и странах-членах ВТО.
— Российский новый университет создал условия для подготовки специалистов по этому направлению в рамках дополнительного образования, — рассказал проректор РосНОУ по инновационно-образовательной деятельности Владимир Минаев. — В первую очередь эти специалисты будут востребованы банками, инвестиционными компаниями. Комплаенс, по сути, это соответствие деятельности организации определенным стандартам, нормам, принятым в ВТО. Это соответствие нормам безопасности, нормам корпоративной этики. Мы живем в глобальном мире и идея комплаенса должна была прийти к нам. У нас есть Конституция, но нам так же предстоит подчиняться и другим, новым правилам.
AACIMP 2010 Summer School lecture. "Information Technologies" stream. "Information Technologies in Business" course.
More info at http://summerschool.ssa.org.ua
Цель курса обучить руководителей и собственников предприятий основам и особенностям управления рисками в малом и среднем бизнесе. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Семинар позволяет получить необходимые практические знания в области управления рисками, которые помогут в общении с инвесторами и партнерами, а также применить полученные знания на реальных примерах из Вашей деятельности.
Семинар позволит Вам получить ответ на такие вопросы, как «какие риски, связаны с моим бизнесом», «как оценить наши риски», «как наиболее эффективно снизить риски», «как обсуждать риски с потенциальным инвестором».
Вторая часть курса по управлению рисками для малого и среднего бизнеса - оценка рисков. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Третья часть курса по управлению рисками - минимизация рисков, отчетность и мониторинг. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).
Далее мы рассмотрим:
- роль обеспечения безопасности в жизни коммерческой организации;
- место службы информационной безопасности в структуре менеджмента организации;
- практические аспекты обеспечения безопасности;
применение теории управления рисками в ИБ;
- основные угрозы и потенциальный ущерб от их реализации;
- состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.
Андрей Масалович – известный эксперт по информационной безопасности – о 10 приемах, позволяющих получить доступ к вашим данным за 1 минуту без взлома защиты, интернет-разведке и о способах обезопасить данные без серьезных затрат.
The document discusses a survey of 225 global executives about their Sarbanes-Oxley (SOX) compliance functions. While most organizations treat SOX compliance as a necessary burden, some have evolved to view it as an opportunity for innovation, automation, and competitive advantage. These forward-thinking companies see correlations between SOX practices and adding value to the business. The document outlines four actions for empowering SOX functions: 1) automating controls, 2) offshoring lower-cost resources, 3) leveraging IT investments, and 4) innovating strategies.
More Related Content
Similar to Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Цель курса обучить руководителей и собственников предприятий основам и особенностям управления рисками в малом и среднем бизнесе. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Семинар позволяет получить необходимые практические знания в области управления рисками, которые помогут в общении с инвесторами и партнерами, а также применить полученные знания на реальных примерах из Вашей деятельности.
Семинар позволит Вам получить ответ на такие вопросы, как «какие риски, связаны с моим бизнесом», «как оценить наши риски», «как наиболее эффективно снизить риски», «как обсуждать риски с потенциальным инвестором».
Вторая часть курса по управлению рисками для малого и среднего бизнеса - оценка рисков. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Третья часть курса по управлению рисками - минимизация рисков, отчетность и мониторинг. Ресурсы по управления рисками для малого и среднего бизнеса www.risk-academy.ru
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ).
Далее мы рассмотрим:
- роль обеспечения безопасности в жизни коммерческой организации;
- место службы информационной безопасности в структуре менеджмента организации;
- практические аспекты обеспечения безопасности;
применение теории управления рисками в ИБ;
- основные угрозы и потенциальный ущерб от их реализации;
- состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.
Андрей Масалович – известный эксперт по информационной безопасности – о 10 приемах, позволяющих получить доступ к вашим данным за 1 минуту без взлома защиты, интернет-разведке и о способах обезопасить данные без серьезных затрат.
Similar to Роль ИТ в выявлении и предотвращении мошенничества на предприятии (20)
The document discusses a survey of 225 global executives about their Sarbanes-Oxley (SOX) compliance functions. While most organizations treat SOX compliance as a necessary burden, some have evolved to view it as an opportunity for innovation, automation, and competitive advantage. These forward-thinking companies see correlations between SOX practices and adding value to the business. The document outlines four actions for empowering SOX functions: 1) automating controls, 2) offshoring lower-cost resources, 3) leveraging IT investments, and 4) innovating strategies.
This document discusses opportunities to transform a company's Sarbanes-Oxley (SOX) compliance function for competitive advantage. It identifies four actions: 1) automating manual controls to significantly reduce SOX costs and resource burden, 2) offshoring SOX functions for lower costs, 3) leveraging existing IT investments to improve SOX processes, and 4) innovating SOX execution strategically to enhance competitive positioning. A survey found that while most firms treat SOX as a compliance exercise, some have transformed their functions to drive value through automation, cost efficiencies, and strategic innovation around SOX practices.
This document discusses current trends in business continuity management. It notes that effective BCM is rising in importance for corporations due to increased complexity, tighter margins for error, and higher expectations for resilience and recovery times after disruptions. Leading trends that companies are adopting to improve their ability to manage emergencies and minimize impacts include implementing an enterprise-wide BCM framework and governance model, integrating business impact analysis and risk assessments, leveraging technologies like cloud computing and virtualization, and fully understanding application interdependencies for recovery.
The document discusses the evolving IT risk landscape for businesses as new technologies like mobile computing, cloud services, and social media break down barriers between work and personal life. This has increased risks around data leakage, third party dependencies, and regulatory compliance. Effective IT risk management is important for businesses to address these challenges and support overall enterprise risk management and business objectives. The document outlines an "IT Risk Universe" framework that identifies 11 key risk categories including security, resilience, data, and strategy alignment that companies can use to assess their IT risk exposure. How much a company relies on defensive IT versus offensive IT impacts the priorities for managing these IT risks.
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
Increased government reporting requirements have forced those responsible for internal controls to do more. The global recession has required them to do more with less. While regulators press for accountability, investors press for performance. Now, those responsible for internal controls must now take charge by assessing their processes and tools, and execute on efforts to make them as efficient – and effective – as possible. Those able to optimize their controls will be more able to move past compliance toward improved performance and competitive advantage.
This document discusses advanced persistent threats (APTs) and provides recommendations for countering them. It notes that APTs target specific organizations over long periods to steal large amounts of sensitive information undetected. Traditional security methods are ineffective against APTs, which require new detection and response approaches using multiple layers of defense. The document recommends assuming infrastructure infiltration and granting response teams autonomy to investigate incidents. It also stresses hardening web browsers, mobile devices, and cloud applications against emerging attack vectors.
Organizations face increasing privacy challenges in 2011 due to factors such as:
1) Stricter privacy regulations and enforcement globally, with regulators planning expanded reach and tougher penalties.
2) Additional data breach notification requirements being adopted worldwide, requiring organizations to adapt processes.
3) Growing emphasis on governance, risk and compliance initiatives to better integrate privacy monitoring and reduce redundancies.
4) Issues around use of cloud computing and mobile devices, requiring organizations to implement controls over personal data use by third parties.
Overall organizations need robust strategies to proactively address evolving privacy requirements across diverse jurisdictions.
This document discusses the results of Ernst & Young's 2010 Global Information Security Survey. Some key findings include:
- 60% of respondents perceived an increase in risk due to new technologies like social media, cloud computing, and mobile devices.
- 46% planned to increase spending on information security.
- Increased workforce mobility and data leakage were significant challenges for many organizations.
- Many organizations are taking steps to address mobile security risks through policies, encryption, and identity management controls.
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
1. Роль ИТ в выявлении и
предотвращении мошенничества на
предприятии
круглый стол “Корпоративное мошенничество в
украинских компаниях: смириться или
побороться?”
17 декабря 2009
2. Ожидания украинских топ менеджеров:
результаты исследования Ernst & Young
Вопрос: Вы ожидаете рост или снижение
уровня корпоративного мошенничества в
течение следующих нескольких лет?
Не знаю
Уменьшится
значительно
Уменьшится
21% 45% незначительно
67% Не изменится
1% 22%
Увеличится
4% незначительно
7% Увеличится
значительно
17.12.2009 Страница 2 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
3. Треугольник мошенничества
Давление
Треугольник
мошенничества
Возможность Оправдание
Adapted from Occupational Fraud and Abuse, Joseph T. Wells, Obsidian Publishing Company
17.12.2009 Страница 3 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
4. Введение контрольных мер
Оценка
риска
Упреждение/
Расследование Предотвращение
информирование
Выявление/
мониторинг
17.12.2009 Страница 4 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
5. Управление рисками мошенничества
Управление рисками мошенничества
Целевой Риск Правила Внутренний Внутренний Аудит Остаточные
Корпоративной Контроль существенные
Этики риски
мошенничества
Риск
Риск
Риск
Расследование
Риск
Упреждающие Предотвра – Выявление Снижение риска
меры щающие меры до приемлемого
уровня
17.12.2009 Страница 5 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
6. Программа по управлению рисками
мошенничества: 3 линии обороны
1 линия обороны
Кодекс корпоративной этики и политики, связанные с ним
2 линия обороны
Система внутреннего контроля
3 линия обороны
Деятельность службы внутреннего аудита
17.12.2009 Страница 6 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
7. Кодекс корпоративной этики:
Первая линия обороны
► На основании оценки возможных рисков, в компании
должен быть разработан, принят и доведен до
сотрудников Кодекс Корпоративной Этики. Важно –
необходима регулярная проверка знаний
сотрудников в отношении ККЭ.
► Эффективный ККЭ должен содержать:
1 линия обороны
Кодекс корпоративной этики и ► «Упреждающие» элементы (например, наказания
политики, связанные с ним за неэтичное поведение)
► «Выявляющие» элементы (например,
2 линия обороны стимулировать сотрудников на сообщение о
Система внутреннего контроля фактах неэтичного поведения)
► ККЭ должен основываться на этических ценностях, а
3 линия обороны не регламентированных правилах
Деятельность службы ► ККЭ должен акцентироваться на позитивных
внутреннего аудита моментах этичного поведения
► ККЭ должен устанавливать честные отношения
между сотрудником и компанией (например,
предусматривать меры по защите сотрудников в
спорных ситуациях)
17.12.2009 Страница 7 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
8. Кодекс корпоративной этики: роль ИТ
► Наличие в компании людей, не понимающих и потому не соблюдающих
существующие политики информационной безопасности, может свести
на нет все усилия и затраты на защиту информации
► Необходимо внедрение программы повышения осведомленности в
области информационной безопасности и проведения соответствующих
тренингов для сотрудников компании
17.12.2009 Страница 8 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
9. Система Внутреннего Контроля:
Вторая линия обороны
► Эффективная система внутреннего контроля
обладает и предотвращающими и выявляющими
элементами, но не упреждающими. Она направлена
в основном на подавление факторов группы
«Возможность».
► Эффективность СВК наиболее четко поддается
1 линия обороны измерению, кроме того, этот вопрос наиболее
Кодекс корпоративной этики и проработан методологически (например, COSO)
политики, связанные с ним
2 линия обороны
Система внутреннего
контроля
3 линия обороны
Деятельность службы
внутреннего аудита
17.12.2009 Страница 9 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
10. Система Внутреннего Контроля: роль ИТ
► Общие ИТ контроли
► Внедрение технологий по предотвращению утечки информации (DLP).
► DLP технологии не панацея!
► В компании должны быть внедрены контроли, позволяющие определить,
аутентифицировать и авторизовать доступ к информации в информационных системах
► Контроли аутентификации транзакций должны обеспечивать условия невозможности
отказа (non-repudiation) и определения владельца (accountability)
► Должны быть внедрены контроли авторизации прав доступа пользователям
информационных систем
► Контроли должны обеспечивать необходимое разграничение обязанностей
► Должны быть внедрены контроли, позволяющие фиксировать все операции
(логирование)
► Должны быть внедрены контроли, обеспечивающие конфиденциальность ключевой
информации операций
► Должен быть поставлен процесс управления инцидентами, связанными с процессом
управления доступом
► Контроли уровня приложения
17.12.2009 Страница 10 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
11. Деятельность службы внутреннего
аудита: Третья линия обороны
► Служба внутреннего аудита во многих компаниях
отвечает за выявление мошенничества, представляя
третью линию обороны
► Операционные аудиты и проверка внутреннего
контроля
1 линия обороны ► Аналитические процедуры для выявления
Кодекс корпоративной этики и «необычных» данных
политики, связанные с ним ► Детальные тесты областей с высокими рисками
► Внутренний аудит может нести и упреждающую
2 линия обороны функцию (неотвратимость наказания), но из-за
Система внутреннего контроля прогнозируемости аудиторских процедур, это не
всегда так
3 линия обороны
Деятельность службы
внутреннего аудита
17.12.2009 Страница 11 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
12. Деятельность службы внутреннего аудита:
Третья линия обороны (продолжение)
► На основании оценки рисков, Служба внутреннего
аудита должна выявить, критически оценить и
протестировать эффективность «защитных мер»
первой и второй линий обороны
► Если защитные меры (в частности, СВК)
эффективны, то требуется проведение
1 линия обороны аналитических процедур для выявления необычных
Кодекс корпоративной этики и показателей с целью их дальнейшего анализа на
политики, связанные с ним возможные признаки мошенничества
► Если защитные меры признаются неэффективными
2 линия обороны или недостаточно эффективными, то требуется
Система внутреннего контроля детальное тестирование для выявления
мошенничества
3 линия обороны ► В сущности, именно Служба внутреннего аудита (или
Деятельность службы ее аналог) отвечает за выявление мошеннических
внутреннего аудита действий
► Расследование мошенничества может проводиться
совместно с другими подразделениями (например,
Службой безопасности)
17.12.2009 Страница 12 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
13. Деятельность службы внутреннего
аудита: роль ИТ
► Анализ рисков
► Поиск индикаторов мошенничества
► Анализ 100% транзакций
► Сопоставление данных из различных баз данных и
информационных систем
► Определение влияния мошенничества
► Проактивное тестирование
► Непрерывный мониторинг
17.12.2009 Страница 13 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
14. Три подхода по выявлению
мошенничества
► Детальный анализ(drill-down)
► Анализе большой популяции данных и определение зон риска
► Детальный анализ рисковых зон
► Выборка по качественным признакам
► Выборка данных удовлетворяющих определенным критериям
► Сравнение данных из разных источников
► Сравнение данных, содержащихся в различных источниках, на предмет
отличий (например, выявление несуществующих поставщиков)
17.12.2009 Страница 14 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
15. Примеры тестов по выявлению
мошенничества
► Сомнительные закупки
► Заказ с незаполненной/нулевой суммой
► Заказ / счет где уплаченная сумма > полученной суммы
► Сомнительные счета
► Счет без действительного заказа
► Счет от поставщика, которого нет в списке поставщиков
► Несколько счетов с одинаковыми реквизитами
► Поставщики с повторяющимся номерами заказов
► Высокая/несоответствующая цена
► Счета с одинаковыми суммами и датами
► Счета с одинаковыми заказами и датами
► Новые или не утвержденные поставщики
► Тесты поставщиков
► Сверка имен поставщиков / сотрудников
► Поставщики и сотрудники с одинаковыми адресами или телефонами
► Адрес поставщика – абонентский ящик
► Большое количество возвратов от одного поставщика
► Платеж без счета
► Дублирующиеся документы
17.12.2009 Страница 15 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
16. Сложности при выявлении
мошенничества
► Выборки
► Выборки эффективны в случае с проблемами, которые
релевантны ко всей популяции данных
► Мошеннические операции по своей природе не возникают
случайным образом
► Мошеннические операции часто попадают «в рамки» для
стандартного тестирования и следовательно не выделяются
для анализа
17.12.2009 Страница 16 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
17. Анализ аномалий
Случайная выборка
17.12.2009 Страница 17 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
19. Закон Бенфорда
► Во многих списках чисел из произвольных реальных источников, числа
встречаются с предсказуемой частотой:
Вероятность = LOG(1+1 / Первое_число)
Где Первое_число – целое число от 1 до 9
1=30.1%
2=17.6%
3=12.5%
4=9.7%
5=7.9%
6=6.7%
7=5.8%
8=5.1%
9=4.6%
17.12.2009 Страница 19 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
20. Проведение расследования: общие
моменты
► Система управления рисками мошенничества сфокусирована на организации в
целом, а не на конкретных инцидентах. В таких случаях, основной фокус надо
делать на расследования. Расследования становятся неотъемлемой частью
системы
► В случае возникновения и выявления инцидента необходимо организовать
расследование, провести его, составить отчет о результатах и довести их до
руководства
► Необходимо учесть, что потенциальный конфликт интересов внутри компании
может помешать проведению расследования только внутренними силами,
поэтому целесообразно рассмотреть участие внешних ресурсов
► Кроме того, отсутствие четкого понимания четких юридических последствий
расследования и его результатов может существенно снизить возможности их
дальнейшего использования. Поэтому целесообразно консультироваться с
юристами (внешними и внутренними) на всех этапах подготовки и проведения
расследования
► Рекомендуется разработать, утвердить и применять на практике внутренний
документ, устанавливающий правила проведения расследования и
использование его результатов
17.12.2009 Страница 20 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
21. Расследование мошенничества: анализ
информационных систем
Преимущества Сложности
► То, что однажды было занесено на ► Если расследование проводит человек не
компьютер практически невозможно имеющий необходимого опыта:
полностью уничтожить ► важные доказательства могут быть
► Даже если это уничтожено, процесс упущены
уничтожения как правило оставляет следы ► качественные доказательства могут
► Следы остаются в таких местах, которые быть испорчены
недоступны для каждого пользователя
► Доказательства могут быть собраны
► Доказательства, на подобии электронных
писем, как правило можно обнаружить на таким способом, который сделает их
других носителях информации бесполезными в суде
► Доказательства могут быть не выявлены
по причине того что:
► Они защищены паролем
► Они зашифрованы
► Скрыты
17.12.2009 Страница 21 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
22. Типы анализа
► Носители
► Данные
► Сеть
► Электронная почта
► Интернет
► Исходный код
17.12.2009 Страница 22 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
23. Инструменты
► Программы для
► создания образов диска
► просмотра истории посещения Интернет
► восстановления электронных сообщений
► анализа неиспользуемого пространства (slack space,
unallocated cluster )
► подбора паролей
► восстановления удаленных файлов
► комплексные решения:
► EnCase
► Vogon
17.12.2009 Страница 23 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
24. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
17.12.2009 Страница 24 Роль ИТ в выявлении и предотвращении мошенничества на предприятии