1 Программа курса «Политика безопасности предприятия» Аннотация к семинару Прошедшие курс «Политика безопасности предприятия» получат системное видение того, что называется «корпоративная безопасность», то есть защищенность предприятия от внешних и внутренних угроз для бизнеса. Понятие политика безопасности широко применяется в иностранных компаниях, но пока не нашло должного применения на российских предприятиях. Корпоративная безопасность очень объемна по задачам, и быть узким специалистом по решению каждой из них невозможно. Но сотрудник, отвечающий за политику безопасности предприятия и не должен быть узким специалистом во всех вопросах. Он должен уметь строить систему защиты, знать каких узких специалистов ему нужно найти, понимать, что нужно бизнесу от безопасности, применять на практике медицинский принцип «не навреди». Именно так. Безопасность не должна навредить бизнесу. И не должна существовать ради себя. Не должна раскручивать гендиректора на лишние деньги. Она должна быть оптимальна встроена в те бизнес-процессы, которые протекают в организации. И еще – безопасность не зарабатывает деньги, она их тратит, но позволяет защитить оставшуюся часть. Политика безопасности строится на основе анализа рисков для организации, очень индивидуальна и стоит, как правило, из трех китах – политики экономической безопасности, политики кадровой безопасности и политики информационной безопасности. На этом пятидневном курсе каждый день будут закрывать одну тему, которая будет интересна как сотруднику, отвечающему за политику безопасности на предприятии, так и узкому специалисту по данному вопросу (риск-менеджеру, кадровику, юристу, специалисту по информационно-аналитической работе и т.д.). Желающему получить комплексные системные знания по вопросам корпоративной безопасности рекомендуется пройти все пять дней обучения. Также участникам будет выданы шаблоны локальных правовых актов по безопасности. Целевая аудитория директора предприятий, руководители подразделений и бизнес единиц заместители руководителей предприятий по безопасности, директора по безопасности руководители и сотрудники служб безопасности предприятия специалисты по экономической безопасности специалисты по информационной безопасности сотрудники подразделений внутреннего контроля и аудита специалисты по HR безопасности корпоративные юристы День 1 Политика корпоративной безопасности. Определение экономических рисков и построение корпоративной защиты - международные акты в сфере безопасности бизнеса. Законодательство Российской Федерации в области корпоративной безопасности. Ведомственные и отраслевые требования и стандарты в области защиты бизнеса; - международный опыт и корпоративные стандарты по защите компаний от экономических преступлений. Международные акты по борьбе с мошенничеством (UK Bribery Act, Foreign Corrupt Practices Act, Закон Сарбейнза — Оксли); - понятие безопасность в российском бизнесе. Постановочные вопросы перед созданием системы защиты бизнеса. Определение объектов защиты. Построение системы корпоративной безопасности; - особенность обеспечения корпоративной безопасности в представительствах иностранных компаний, действующих на территории России, в холдингах, в дочерних компаниях, в компаниях, имеющих сложную организационную (территориально разделенную) структуру; - корпоративная безопасность как элемент риск-менеджмента. Определение внешних и внутренних угроз для предприятия. Составление карты экономических рисков. Участие «безопасника» в управлении рисками на предприятии; 2 - методика проведения аудита безопасности предприятия. Составление плана аудита на основе карты экономических рисков и формирования моделей угроз. Определение видов экономических рисков и вероятности их наступления. Оценка защищенности организационной структуры бизнеса и основных бизнес процессов; - экспертные системы оценки защищенности предприятия. Оценка возможности защиты предприятия от внештатных ситуаций. Создание кризисных планов. Наличие мониторинга безопасности предприятия; - определение субъектов корпоративной безопасности. Своя служба безопасности (СБ) или аутсорсинговое обслуживание. Плюсы и минусы обоих вариантов. Распределение полномочий и зон ответственности между СБ и иными подразделениями предприятия; - юридические тонкости договорных отношений с аутсорсинговыми организациями, предлагающими услуги по защите бизнеса. Правовое обеспечение взаимодействия с частными охранными организациями и субъектами детективной деятельности; - правовая сторона деятельности СБ. Закон и этика в работе. Подчинение, финансирование и оценка эффективности работы СБ. Взаимодействие с акционерами, владельцами и руководителями. Начальник СБ. Какие требования к нему предъявлять, какими чертами характера и профессиональными качествами он должен обладать. Какой образовательный уровень и опыт в прошлой жизни; - корпоративные стандарты безопасности предприятия (КСБ). Совместимость КСБ с иными стандартами, действующими на предприятии. Включение процесс защиты бизнеса в процесс менеджмента непрерывности бизнеса; - разработка локальных актов по обеспечению безопасности предприятия (концепция безопасности, политики, инструкции, регламенты и т.д.). Создание сводов правил и поведений сотрудников; День 2 Политика экономической безопасности. Обеспечение безопасности договорной работы - общие принципы договорной работы на предприятии исходя из требований Гражданского кодекса Российской Федерации и иного законодательства РФ; - организация договорной работы на предприятии. Инструкция о договорной работе. Делегирование полномочий в договорной работе. Процедуры внутреннего согласования. Распределение компетенции и зон ответственности между подразделениями предприятия в договорной работе; - преддоговорная работа на предприятии. Оценка надежности контрагента и безопасности коммерческих предложений. Составление матрицы проверки контрагента на основе рисков гражданско-правовых отношений; - налоговые риски в договорной работе. Понятие «должная осмотрительность» в спорах с налоговыми органами. Требования нормативных правовых актов ФНС России по самостоятельной оценке налоговых рисков в гражданско-правовых отношениях; - коррупционные риски в договорной работе. Требования законодательства РФ по принятию предприятиями мер по предупреждению и противодействию коррупции. Антикоррупционная хартия российского бизнеса. Урегулирование конфликта интересов; - риски аффилированности сотрудников предприятия с контрагентами. Информационно-аналитические и психологические способы выявления связей. Основы оперативной психологии; 3 - организация конкурсов, торгов и запросов котировок на предприятии. Плюсы и минусы конкурсных процедур. Основные требования федеральных законов от 05.04.2013 г. № 44-ФЗ и от 18.07.2011 г № 223-ФЗ к безопасной договорной работе; - оценка надежности контрагента на основе официальной информации и информации, предоставляемой самим контрагентом. Обзор официальных сайтов государственных органов и представленных на них информационных ресурсов. Использование программных комплексов для сбора и анализа информации (СПАРК, Интегрум и т.д.); - оценка надежности контрагента на основе неофициальной информации. Серые базы данных. Специализированные ресурсы по отраслям бизнеса и территориям. Работа в чатах, блогах, живых журналах и иных информационных массивах. Работа с невидимой частью Интернета (интернет разведка); - оценка надежности контрагента на основе оперативной информации. Способы получение информации, используя «человеческий фактор». Мотивация человека на передачу (разглашение) информации. Визуальное наблюдение, осмотр помещений и местности; - анализ безопасности коммерческих предложений. Изучение инициаторов проекта, их интересы и деловую репутацию. Верификация представителей. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при оценке ненадежности контрагента. - методы анализа надежности контрагента. Признаки опасности в деятельности организации. Применение метода Due Diligence при оценке компании. Методы оценки финансовой устойчивости контрагента; - обзор автоматизированных информационных систем (АИС), применяемых на предприятиях в договорной работе. Мониторинг информации по контрагентам. Создание алгоритмов реагирования на невыполнение контрагентами договорных обязательств; - ведение эффективной и безопасной претензионно-исковой работы. Мониторинг неплатежей. Медиаторство как способ досудебного урегулирования спора. Психологические, юридические и имиджевые способы воздействия на должника; - третейское судопроизводство, как наиболее эффективное решение проблемы взыскания долга. Компетенция и подсудность третейских судов. Отличие третейских судов от государственных арбитражных судов; - создание эффективного внутреннего контроля за договорной работой на предприятии. Система внутреннего контроля по модели COSO. Компоненты по модели COSO (контрольная среда, оценка рисков, контрольные процедуры, мониторинг рисков, информация/коммуникация). «Магический куб» COSO; - система внутренних проверок (Internal Investigation), финансовых расследований и иные процедуры. Методики проведения Forensic accounting (форензик). Вычисление фрода и иных мошеннических сделок в договорной работе. День 3 Политика кадровой безопасности. Проведение внутренних проверок и финансовых расследований (форензик) - виды угроз, исходящих от сотрудников предприятия, варианты их реализации и возможные направления защиты. Противоправные действия сотрудников, ответственность за которые предусмотрена УК РФ, КОАП, ТК РФ и основные способы защиты от них; - проверка персонала при приеме на работу. Какая информация собирается о кандидате. Сбор и анализ информации о физическом лице по методу SMICE. Порядок анализа ре- 4 зюме. На что обращать внимание при изучении трудовой книжки, дипломов, характеристик и иных официальных документов. Анкеты для кандидатов на работу; - «растровые признаки опасности» у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального правонарушителя, применительно к различным должностям; - формирование корпоративного кодекса поведения сотрудников. Создание стимулов и мотивационных факторов, направленных на усиление лояльности сотрудников; - «оперативная психология». Анализ личности человека и формирование моделей его поведения. Методы выявления лжи в процессе коммуникаций (профайлинг). Анализ языка тела. Манипуляции в общении и технологии убеждения. - система внутренних проверок (Internal Investigation), финансовых расследований и иные комплаенс процедуры. Методики проведения Forensic accounting (форензик). Вычисление фрода и иных мошеннических сделок. Обеспечение достоверности отчетности организации; - особенность проведения внутрикорпоративного расследования (проверки) по наиболее характерным противоправным действиям сотрудников (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.); - использование полиграфа (детектора лжи) при проведении внутрикорпоративных расследований (проверок). Контактный или бесконтактный полиграф, что лучше? Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?; - документальное оформление результатов внутрикорпоративного расследования (проверки). Возможность использования результатов в качестве доказательства вины сотрудника; - процедуры увольнения сотрудников с позиции безопасности. Как лучше расстаться с «нехорошими людьми». Правила проведения индивидуальных бесед с увольняющимися сотрудниками. Имиджевые и репутационные аспекты воздействия на увольняющегося сотрудника. Алгоритм передачи «дел и должности». Что сделать, чтобы увольняющийся сотрудник не увел клиентов. День 4 Политика информационной безопасности. Создание режима коммерческой тайны. Защита персональных данных своими силами - законодательство Российской Федерации в области защиты информации. Международные стандарты безопасности информационных систем. Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security); - служба информационной безопасности (СИБ) на предприятии. Разделение функций между СИБ, СБ и ИT-подразделением. Менеджмент информационной безопасности. Порядок проведения аудита информационной безопасности в организации; - основные направления защиты конфиденциальной информации. Системный подход к защите информации. Методика разработки политики информационной безопасности предприятия; - правовые, организационные, режимные и инженерно-технические мероприятия по защите конфиденциальной информации. Создание внутриобъектового и контрольнопропускного режимов на предприятии. Физическая защита охраняемых информационных ресурсов; - ИT мероприятия по защите конфиденциальной информации. Защита компьютерных сетей. Применение средств криптографической защиты информации; 5 - законодательство РФ о коммерческой тайны. Понятие режима коммерческой тайны. Формирование перечня сведений, составляющих коммерческую тайну. Создание конфиденциального делопроизводства. - правовые, режимные, технические и ИТ мероприятия по защите коммерческой тайны. Создание корпоративной правовой базы для функционирования режима коммерческой тайны; - виды юридической ответственности за разглашение коммерческой тайны, а также за незаконное получение этой информации. Необходимые и достаточные условия для ее наступления; - законодательство РФ о защите персональных данных. Основные требования федерального закона «О персональных данных» и правовых актов регуляторов в части защиты персональных данных; - организационные, правовые и технические требования по обработке персональных данных. Алгоритмы и пошаговые действия предприятия по выполнению требований законодательства в области обработки персональных данных; - особенности обработки персональных данных, осуществляемой без использования средств автоматизации. Подготовка организационно-распорядительной документации на предприятии по защите персональных данных; - особенности обработки персональных данных, осуществляемой в информационных системах персональных данных. Требования к уровню защиты персональных данных в зависимости от типа угроз; - государственный контроль за обработкой в компаниях персональных данных. Административный регламент государственной функции. Права и обязанности должностных лиц, осуществляющих государственный контроль и лиц, в отношении которых осуществляются мероприятия по контролю. Психологические приемы общения с проверяющими. День 5 Комплаенс политики. Выполнение на предприятии требований законодательства РФ в области противодействия коррупции. Антикоррупционная политика предприятия. - основные нормативно-правовые акты РФ по профилактике и противодействию коррупции и обязательность выполнения их требований в организациях независимо от их форм собственности, организационно-правовых форм, отраслевой принадлежности и иных обстоятельств; - основные положения международных антикоррупционных актов (UK Bribery Act, Foreign Corrupt Practices Act, закон Сарбейнcа-Оксли); - понятие «взятка», «коммерческий подкуп», «конфликт интересов», «личная заинтересованность работника» «комплаенс риски и комплаенс контроль» в российском и международном законодательстве; - ответственность юридических и физических лиц за коррупционные правонарушения и непринятие мер по противодействию коррупции. Возможность привлечения к дисциплинарной ответственности сотрудника за нарушение антикоррупционного законодательства, включая непринятие мер по урегулированию конфликта интересов; - основные нормы антикоррупционной хартии российского бизнеса и ее дорожная карта; - формирование антикоррупционной политики организации. Кодекс этики и корпоративного поведения, положение о конфликте интересов и иные документы, регламенти- 6 рующие антикоррупционную политику в организации. Регламенты проведения операций и должностные обязанности сотрудников; - методики оценки бизнес процессов с позиции коррупционных рисков. Составление карты коррупционных рисков в организации. Разработка и введение специальных антикоррупционных процедур. Примерный перечень антикоррупционных мер в организации; - комплаенс контроль сотрудников компании, занимающих должности с коррупционными рисками. Неучастие сотрудников в противоправной деятельности. Анализ полномочий и результатов работы сотрудника в организации. Процедуры приемаувольнения сотрудников. Политика кадровой безопасности по минимизации коррупционных рисков; - минимизация коррупционных рисков в договорной работе. Вычисление аффилированности и конфликта интересов в договорной работе. Мминимизация коррупционных рисков при осуществлении конкурсов, торгов и запросов котировок; - антикоррупционная экспертиза проектов гражданско-правовых договоров и локальных правовых актов организации; - взаимодействие организации с государственными, общественно-политическими и правоохранительными органами по вопросам профилактики и противодействия коррупции; - особенности создания и проведения антикоррупционной политики в различных видах бизнеса. Автор и ведущий семинара Панкратьев Вячеслав Вячеславович, специалист в области безопасности бизнеса, преподаватель - консультант, автор и ведущий обучающих программ (MBA, Executive MBA, открытые семинары, корпоративные мероприятия, индивидуальные консультации) по проблемам защиты бизнеса в Академии народного хозяйства и государственной службы при Правительстве РФ, Государственном университете управления, Всероссийской академии внешней торговли, Московской бизнес-школе, Русской школе управления, учебном центре Финконт, бизнес школе Эксперт, Международной московской финансово-банковской школе, и других учебных заведений, автор книг и методических пособий по безопасности предпринимательской деятельности. Независимый эксперт в области корпоративной безопасности. Автор методик аудита безопасности компании и создании КСБ – корпоративных стандартов безопасности. Личный сайт www.vvpankrat.ru