суббота, 24 августа 2019 г.

Как распознать поддельную учетную запись в LinkedIn (Обновлено)

Социальные сети изобилуют поддельными учетными записями. Кто-то использует их для мошенничества, на подобие Нигерийских писем.
Кто-то рассылает спам. Кто-то пытается влиять на общественное мнение при помощи армии ботов. В любом случае, иметь такое счастье среди своих контактов – радости мало.
Хорошая новость в том, что выявить подобные контакты не так сложно. Как и в большинстве подобных схем, расчет идет на массовость. Разослали очень большому количеству человек – какая-то часть поведется на обман. Но поддельные учетные записи долго не живут.  Кто-то на них подаст жалобу. Какую-то часть выявят сами социальные сети - по нетипичному поведению. И поэтому таких записей нужно создавать много. Массовость является уязвимым местом этого процесса. Ведь создается не просто учетная запись. Создается профиль личности, которая ведет какую-то активность. Мошенники не могут позволить себе тратить много времени на создание каждого профиля. Эта неаккуратность вытекает в признаки, которые достаточно несложно обнаружить.
Про более простые случаи, когда профиль новый, без каких-либо подробностей, я уже писал. Старые случаи можно почитать, кликнув по ярлыку "кунсткамера" или на ссылку (читать лучше в хронологичеком порядке).
Сегодня рассмотрим  случай с профилем, который похож на настоящий.
Итак, получаю приглашение.
Некто старший аудитор интересуется моим профилем и хочет связаться.
Пока размышляю о том, какой интерес может быть у старшего аудитора ISLAMIC BANK LTD ко мне, обращаю внимание на следующие моменты:
  • Приглашение уйти из сети общаться посредством личной электронной почты, мотивированное невнятным интересом к моему профилю.
  • Стандартный текст приглашения изменен, но обращения по имени нет – такой текст удобно рассылать большому количеству адресатов. 
  • Имя и фамилия отправителя – с маленькой буквы.
Смотрим на профиль (фрагмент).
Более 500 контактов. Подробно заполненный опыт, образование, интересы. Очень похоже на "живой" профиль.
Нажимаем contact info. Ого, куча информации!
Довольно странно, что у человека с именем Iewis Oliwia, адрес электронной почты и страницы профиля - Renata Cursino. Как в том анекдоте: «…Вообще-то, Николай, но друзья зовут меня Зиной…».
С физическими адресами тоже не все гладко.
Расположение в профиле указано как United Kingdom. Смотрим на адрес, указанный в Contact info:
Да это же Бразилия, где в лесах много-много диких обезьян! Но зато соответствует бразильскому домену электронной почты.
Кто-то скажет, что все это – косвенно. Переходим к вишенке на торте. Кто у нас на фото в профиле?  Iewis Oliwia?
Знакомьтесь - министр жилищного строительства и бывшая глава отдела экологии Европы «Зеленые» Эммануэль Коссе.
Имея в своем распоряжении только Гугл поиск, Гугл карты и Гугл переводчик (испанский и французский я, увы, не знаю), получаем точный диагноз.
Дальше можно принять контакт и развлечься (если есть время и вдохновение) или сразу оформить жалобу:
Таким образом, потратив на несложные манипуляции не более минуты времени, можно существенно сократить «зверинец» в своих контактах.

P.S.
Разумеется, если мошенничество направлено против конкретной личности, используются более изящные подходы (например, кража личности), которые выявить гораздо сложнее.  Иногда может помочь только беспредельная паранойя. Но это – уже совсем другая история.

P.P.S.
Забавный сегодня день. Не успел выложить пост, как получил приглашение в Facebook.
  • Тут более простой случай:
  • Первое событие (фото профиля) – меньше месяца назад
  • Никакой активности
28 друзей, из которых я никого не знаю
Но самое главное – это фото. В отличие от случая, когда фото взято из первого попавшегося сайта, тут фото человека, которого в природе не существует. Вы, наверное, уже слышали о сайте thispersondoesnotexist.com ?
При каждом обращении к нему, нейронная сеть генерирует фото человека, которого никогда не существовало. Должен отметить, что, в большинстве случаев, нейронная сеть справляется очень неплохо. Фото и правда выглядят как живые. 


Но, насмотревшись их большое количество, начинаешь угадывать стиль и замечать огрехи. Так сети пока не очень хорошо даются зубы:
Этот артефакт и выдал источник фото. Но попытка засчитана.


вторник, 20 августа 2019 г.

Не работает внутренний контроль? Часть первая. При чем тут комплаенс?

Лирика и предисловие

Получил просьбу написать «что-нибудь на тему внутреннего контроля». Мол, нет ничего на эту тему, а хочется (и с английским беда). 
Удивился, порылся в интернете – действительно ли ничего нет? По запросу "внутренний контроль" поисковик возвращает порядка 16 млн ссылок, но большинство статей фрагментарно, по верхам, одним глазом. С литературой ситуация еще хуже. Большая часть того малого, что есть, безнадежно устарела и является очень вольным трактованием COSO модели. 
Долго думал, что выбрать. Тема не маленькая – можно написать целую книгу и не одну. В конечном счете, решил написать о самой обделенной вниманием части - Контрольной среде.
Если у Вас в компании попытки наладить контроли заканчиваются тем, что они или работают неправильно, или не работают вовсе – верный признак того, что у вас проблема с Контрольной средой.
Контрольная среда – это фундамент для системы внутреннего контроля.  В зависимости от того, насколько прочен фундамент – настолько надежно будет работать система.
А еще, это – самый сложный для внедрения компонент. В первую очередь – ментально.

Место Контрольной среды в COSO модели и первый принцип.

Кубик COSO уже, наверно, набил оскомину, но для целостности изложения очень быстро напомню.

Модель состоит из 5 компонент (лицевая грань), которые в совокупности составляют систему внутреннего контроля, работающих на всех уровнях предприятия (правая грань) и направленных на достижение трех целей (верхняя грань):
  • Эффективность и результативность операций
  • Полнота и достоверность отчетности (управленческой и финансовой)
  • Соблюдение законов и нормативных актов
Сам внутренний контроль COSO определяет, как:
Процесс, осуществляемый советом директоров, руководством и другим персоналом, призванный обеспечить разумную уверенность в достижении целей (указанных выше).
Два очень важных момента, вытекающих из этой формулировки:
  • Это процесс, в котором участвую все, и, в первую очередь, менеджмент, а не сам внутренний контроль (функция).
  • Процесс в первую очередь направлен на обеспечение достижения целей, т.е. процессы, а не поиск и карание виноватых. Хотя, в отдельных случаях, без этого не обойтись.
Вся работа системы внутреннего контроля базируется на 17 принципах.  Для того, чтобы помочь менеджменту понять, что принципы реализованы и функционируют, COSO предлагает «точки фокуса» для каждого принципа.
Первым компонентом является Контрольная среда. COSO определяет ее следующим образом:
Контрольная среда - это совокупность стандартов, процессов и структур, которые являются основой для осуществления внутреннего контроля во всей организации. Совет директоров и высшее исполнительное руководство задают «тон сверху» касательно важности внутреннего контроля, включая ожидаемые стандарты поведения. Менеджмент реализует эти ожидания на различных уровнях организации. Понятие контрольной среды включает в себя принцип честности и этические ценности организации; параметры, позволяющие совету директоров выполнять свои обязанности по осуществлению корпоративного надзора; организационную структуру и распределение полномочий и ответственности; процесс привлечения, развития и удержания компетентных сотрудников; строгий контроль показателей деятельности, стимулов и вознаграждении в целях усиления подотчетности за результаты. Сформированная в итоге контрольная среда оказывает всеобъемлющее воздействие на систему внутреннего контроля.
Другими словами, Контрольная среда это:
  • Как делать правильно? Правила игры, понятные для всех. Контроль соблюдения, выявление и устранение несоответствий.
  • Кто что может, и кто за что отвечает?
  • Правильные исполнители. Наличие людей с правильными знаниями и навыками на местах.
  • Что стимулирует это делать? Оценка и мотивация.
Контрольная среда базируется на пяти принципах. Первый принцип звучит так:
Организация демонстрирует приверженность честности и этическим ценностям.
Точки фокуса для первого принципа следующие:
  • Определение «тона сверху»
  • Определение стандартов поведения
  • Оценка соблюдения стандартов поведения
  • Своевременное устранение отклонений 
Обычно дойдя до слов «тон сверху», аудитория говорит: «ну, это понятно, давайте дальше…». А потом оказывается, что «тон сверху» воспринимается как, когда топы надувают щеки и важно говорят: «да, уж…» тем самым давая понять, что задачу действительно нужно делать не для галочки. COSO же ожидает гораздо большего:
Определение тона сверху. Совет директоров и руководство на всех уровнях организации демонстрируют своими директивами, действиями и поведением важность честности и этических ценностей для поддержки функционирования системы внутреннего контроля.
Зачем вообще это нужно? Обычно собственники компании очень хорошо представляют себе, что из себя должна представлять компания, какова ее миссия, какое отношение должно быть к поставщикам и клиентам, какие ожидания от менеджмента и сотрудников компании, как они это все должны обеспечивать. Беда в том, что видение сотрудников (да порой и менеджмента) может очень сильно отличаться от ожиданий собственников. А значит и делать они будут не совсем так. Что приведет к не совсем тем результатам. И эти результаты могут оказаться не тем, что можно назвать «приятным сюрпризом». Чтобы этого избежать, нужно эти ожидания сформулировать, донести и контролировать понимание и соблюдение.
Как это происходит? Высшее руководство и совет директоров (или эквивалентный надзорный орган) формируют ценности, философию и стиль работы организации. При этом должны быть учтены ожидания различных заинтересованных сторон организации, таких как сотрудники, поставщики, клиенты, инвесторы и сообщество. Кроме того, должны быть учтены социальные и этические нормы на рынках, на которых действует организация.
Сформированные ожидания с различной степенью формальности должны отражаться в:
  • Миссии и ценностях организации
  • Стандартах или Кодексе корпоративной этики (или Кодексе поведения)
  • Политиках и практиках
  • Принципах операционной деятельности
  • Директивах, руководствах и другие вспомогательных сообщениях
  • Действиях и решениях менеджмента на разных уровнях и совета директоров
  • Отношении и реакции на отклонения от ожидаемых стандартов поведения
  • Неформальных и ежедневных действиях и коммуникациях лидеров на всех уровнях организации
Очень важный момент. Ожидается, что руководство и совет директоров не просто участвуют в разработке ценностей, философии и стиля работы организации, но и своими поступками демонстрируют приверженность и соблюдение этих ценностей. Не секрет, в отечественных компаниях высшее руководство исповедует философию Quod licet Iovi, non licet bovi. И изменение такого подхода на уровне высшего руководства требует просто фантастических усилий. Но без этого дальше ничего не будет. Можно потратить хоть все время на рассказы сотрудникам о честности и этических ценностях, но, если поступки «наверху» им не соответствуют – сотрудники вам никогда не поверят и желающих придерживаться ценностей будет не много. И наоборот, этическое и ответственное поведения со стороны руководства и совета директоров и демонстрация неприемлемости неправомерных действий посылают сильные сигналы сотрудникам. Сотрудники, скорее всего, выработают такое же отношение к правильному и неправильному, а также к рискам и мерам контроля, как те, которые демонстрирует руководство.
Без сильного тона сверху, поддерживающего сильную культуру внутреннего контроля, последствия будут очень серьезными для всей системы внутреннего контроля:
  • Оценка рисков может быть некорректной
  • Ответные меры на риски могут быть неадекватными
  • Контрольные действия могут быть нечеткими или не соблюдаться
  • Коммуникации могут давать сбои
  • Обратная связь по мониторингу может быть не услышана или не приняты меры
Поэтому тон сверху может быть либо драйвером, либо барьером для внутреннего контроля.
Идем к следующей точке фокуса:
Определение стандартов поведения. Ожидания совета директоров и высшего руководства в отношении честности и этических ценностей определены в стандартах поведения организации и понятны на всех уровнях организации, а также сторонними поставщиками услуг и деловыми партнерами.
Стандарты поведения разъясняют сотрудникам:
  • Что хорошо, а что плохо (бережливое отношение, честность, порядочность, нетерпимость к мошенничеству, недопустимость искажения информации и учетных данных и т.д.)
  • Какие риски для компании влечет нарушение стандартов
  • Законодательные и регуляторные требования, правила и другие ожидания акционеров, (например, корпоративная социальная ответственность)
Как правило, стандарты поведения публикуются в виде Кодекса корпоративной этики или аналогичного документа. Стоп, это же функция комплаенс! При чем тут внутренний контроль? Сюрприз! Работа функции комплаенс – это часть Контрольной среды.
Типичный кодекс корпоративной этики плюс/минус содержит в себе (не ограничиваясь) следующие группы тем:
  • Общие моменты (на кого распространяется, ожидания от сотрудников, ожидания от менеджмента, кому задавать вопросы, кому сообщать о нарушении, гарантии безопасности сообщившему о нарушении, дополнительные информационные ресурсы)
  • Сотрудники (равные условия, отношение к детскому и принудительному труду, отношение к харастменту, здоровье и безопасность рабочего места, отношение к алкоголю и наркотикам)
  • Клиенты, партнеры, конкуренты (персональные данные, добропорядочное отношение, защита интеллектуальной собственности, антимонопольное законодательство, легализация незаконно нажитых средств, торговые ограничения и контроль экспорта, конфликт интересов, подарки и проявления гостеприимства)
  • Взаимоотношения с органами государственной власти (взяточничество и коррупция, политическая деятельность, запросы органов государственной власти, внешние коммуникации, окружающая среда)
  • Отношение к активам организации и финансовая отчётность (точность и полнота данных в учете и отчетности, уровни полномочий, требования к сохранности документов, инсайдерские сделки, интеллектуальная собственность и конфиденциальная информация)
  • Администрирование Кодекса (ответственность, обучение, получение согласия соблюдать, расследование возможных нарушений, принятие решений, дисциплинарные меры, отчетность о расследованиях и принятых мерах)
Не следует ожидать, что, единожды разослав сотрудникам уведомление о наличии Кодекса корпоративной этики, сотрудники тут же все поймут и бросятся соответствовать и настанет всеобщее счастье.
При внедрении Кодекса корпоративной этики следует провести целый букет мероприятий. Об этом тоже можно написать целую книгу, но поскольку это – не книга, пройдусь широкими мазками по точкам боли.
Коммуникации о положениях кодекса.
  • Должны быть регулярными и по всем доступным каналам.
  • Отдельная коммуникация с менеджментом о его роли в обеспечении соблюдения требований. Сюда входит демонстрация соблюдения на собственном примере, разъяснения сотрудникам, контроль и ответственность за соблюдения требований сотрудниками в своем подразделении. 
  • Обязательное ознакомление с кодексом всех новых сотрудников. Прочтение и письменное согласие соблюдать (зачем – об этом чуть позже) плюс тренинг с разъяснением положений, примерами и серией вопросов/ответов.
  • Периодические информационные бюллетени с напоминанием к кому обращаться, разбором выявленных нарушений и принятых корректирующих действий.
  • Каналы связи с комплаенс-офицером для уточнений и разъяснений. 
Письменное согласие соблюдать требования.
Сбор письменных согласий с каждого сотрудника, на первый взгляд, может показаться проявлением ненужной бюрократии и переводом времени и ресурсов. Но эти затраты вполне оправданы. Форма письменного согласия сообщает сотруднику о том, что:
  • Кодекс корпоративной этики есть неотъемлемой частью внутреннего распорядка организации.
  • Нарушение требований Кодекса считается серьезным дисциплинарным проступком.
  • К сотруднику, не соблюдающему требования Кодекса могут быть применены дисциплинарные меры, вплоть до увольнения.
  • Отказ от подписания согласия может привести к прекращению трудовых отношений. 
Теперь у организации есть юридическое основание уволить сотрудника за неэтичное поведение, а сотрудник, ознакомившийся с данными условиями, серьезнее отнесется к требованиям Кодекса. 
Простота изложения и принцип «сомневаешься - спрашивай».
От того, насколько понятно написан Кодекс, напрямую зависит насколько правильно его требования будут соблюдаться. Обтекаемые формулировки всегда увеличивают вероятность того, что требование будет трактовано некорректно (умышленно или случайно). Текст должен быть однозначно понятен всем - от высшего руководства до разнорабочих и уборщиц. Но как просто не пиши и не приводи примеры, всех нюансов отразить в Кодексе просто невозможно. Поэтому очень важно поощрять сотрудников задавать вопросы. И очень важно, чтобы было кому правильно отвечать на эти вопросы. Это ожидается не только от функции комплаенс, но и от непосредственных руководителей сотрудника, у которого возникли вопросы.
Пока на этом ограничимся и перейдем к следующей точке фокуса.
Оценка соблюдения стандартов поведения.  В организации существуют процессы для оценки деятельности отдельных лиц и групп на соответствие ожидаемым стандартам поведения организации.
От каждого сотрудника в организации ожидается, что, если он стал свидетелем потенциального нарушения требований Кодекса, он должен незамедлительно об этом сообщить через «горячую линию» (в том числе анонимно) функции комплаенс. В зависимости от ситуации и вида нарушения, сообщение может быть и непосредственному руководителю, HR, внутреннему аудиту финансовой службе и т.д. Статистика о таких обращениях и реакция менеджмента в какой-то степени дает представление о том, насколько хорошо все работает, но такая оценка очень субъективна.
Гораздо лучше, когда на регулярной основе проводится независимая оценка работы процессов, связанных с Кодексом. Ее можно проводить как своими силами (например, внутренним аудитом) или привлекать внешнего консультанта. Независимый взгляд позволит выявит те моменты, которые могут быть и не видны участникам процесса. Пример из собственной практики. В одной крупной международной компании произошло серьезное обновление функции комплаенс.  Обновился кодекс, появились новые процессы, началось много коммуникаций и тренингов.  Все выглядело очень даже прилично. Руководство поручило провести независимую оценку, которая неожиданно выявила много сюрпризов. Например, при попытке позвонить на номера телефонов горячей линии, указанных в Кодексе, выяснилось, что один номер не обслуживается, а второй – ведет в кол-центр компании. Т.е. канал, который по статистике является самым эффективным для выявления нарушений, не работает. Также выяснилось, что различные виды нарушения регистрируются и расследуются разными функциями и коммуникаций между ними нет. И функции комплаенс видна только какая-то часть.  Т.е. у нас элементарно нет общей картины о том, что происходит и какой масштаб. В общем, независимая оценка пришлась весьма кстати и помогла своевременно поправить косяки.
Последняя по списку (но не по важности) точка фокуса:
Своевременное устранение отклонений. Отклонения от ожидаемых стандартов поведения организации выявляются и исправляются своевременно и последовательно.
Тоже очень большой процесс с кучей нюансов. Но, если на пальцах, то обычно это работает так. Все обращения и выявления потенциальных нарушений должны быть зарегистрированы. Реестр обращений ведет комплаенс. Учитывая специфику информации, доступ к реестру очень ограничен. Особенно к информации о сообщившем о потенциальном нарушении. Реестр, помимо статистики обращений, нужен для контроля того, что ни одно обращение не осталось без внимания и не застряло на любом из этапов обработки. Комплаенс проводит предварительную оценку обращения и, если есть признаки потенциального нарушения, инициирует расследование. При этом, сообщившему о потенциальном нарушении идет обратная связь, о том, что по его информации начата работа.  Вариантов, кто проводит расследование может быть несколько. Один из удачных, на мой взгляд, вариантов, когда в процессе виды нарушений классифицированы и по каждому виду определено, какая функция вовлекается в рабочую группу для расследования. Комплаенс координирует работу расследований и отслеживает сроки. По завершению расследования формируются рекомендации по дисциплинарным мерам и мерам, направленным на предотвращение повтора инцидента. Комплаенс на регулярной основе готовит для совета директоров отчетность со статистикой инцидентов, результатами расследований, принятыми мерами. Информация о «преступлениях и наказаниях» может доводиться до сотрудников, демонстрируя для них неприятие со стороны менеджмента нарушений этических норм. Механизм коммуникации может быть разный - периодические информационные бюллетени, общие встречи сотрудников, публикация приказов о дисциплинарных мерах на корпоративном портале и т.д. 

В сухом остатке

Для закрепления всего вышенаписанного, суть первого принципа в одном предложении:
Менеджмент и Наблюдательный совет устанавливают стандарты и механизмы для организации, чтобы понимать и придерживаться того, что правильно, и определяет процесс и ресурсы для выявления и устранения потенциальных отклонений.

На этом о первом принципе все. Осталось разобраться еще с четырьмя.

Продолжение во второй части.

среда, 14 августа 2019 г.

Странный поздний интерес к Cobit 5


Обратил внимание на странный всплеск интереса читателей к посту о выходе Cobit 5. Прям бум какой-то последние несколько недель. Спешу сообщить, что посту уже 7 лет и давно пора читать про Cobit 2019. Не планировал про него писать, но раз такое дело - будем наверстывать.
Cobit 2019 вышел в конце прошлого года и является наследником Cobit 5. Концептуальная модель была полностью переработана. Платный Enabler Guidance теперь отсутствует. «Факторы влияния» теперь стали «компонентами системы управления». Поменялись и переименовались принципы системы управления и модели правления. «Цели, связанные с ИТ» теперь стали «целями соответствия». Процессы превратились в «цели управления», и их количество выросло до 40. Появились такие новые цели как:

  • APO14 – Managed Data
  •  BAI11 – Managed Projects
  •  MEA04 – Managed Assurance

«Цели управления» теперь описывают не только постановку процесса для достижения этих самых целей. Пересмотрена система каскадирования целей. «Новая» система оценки процессов вернулась к уровням зрелости.
По структуре Cobit 2019 представляет собой набор из четырех публикаций:

  • COBIT 2019 Framework: Introduction and Methodology - введение в ключевые понятия

  • COBIT2019 Framework: GovernanceandManagementObjectives - подробно описывает 40 основных задач управления (governance) и менеджмента, процессы, содержащиеся в них, и другие связанные компоненты.

  • COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution - рассматриваются факторы проектирования, которые могут влиять на управление, а также описывается рабочий процесс планирования адаптированной для предприятия системы управления.

  • COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution - представляет собой эволюцию COBIT 5 «Implementation guide and develops a road map for continuous governance improvement». Может использоваться в сочетании с COBIT 2019 Design Guide.

Все публикации бесплатно доступны для членов ISACA. Всего около 600 страниц.
Приятного чтения.