Warning: fopen(/var/www/solution/data/www/expert-solutions.org/system/storage/logs/openbay.log): failed to open stream: Permission denied in /var/www/solution/data/www/expert-solutions.org/system/library/log.php on line 6 Аудит безопасности бизнеса

Проводим аудит безопасности самостоятельно

Базовый аспект построения собственной системы защиты

12 марта 2016                    Автор: Горпинченко Александр

Понятие «Аудит безопасности» многогранно. В нашем понимании это ­ комплексная проверка состояния компании на предмет наличия рисков, которые могут существенно повлиять на ведение бизнеса, на физическое и финансовое состояние компании, физическое и финансовое состояние учредителей и топ­менеджмента компании.

Этот вид проверки позволяет собственникам выявить упущения в организации бизнеса, которые могут служить предпосылками для финансовых потерь, получения репутационного ущерба для компании, рисков физического воздействия на собственников.

Аудит безопасности проводится для разных компаний, как больших, так и малых. Основное отличие состоит в механизме его проведении, а основное различие заключается в количестве поставленных для исследования вопросов.

Например, в крупных компаниях аудит безопасности целесообразно совместить с финансовым аудитом, в связи с тем, что финансисты могут выявить проблемы, которые напрямую могут быть связаны с вопросами безопасности. В небольших компаниях, аналитик безопасности сможет самостоятельно промониторить движение средств по счетам, выявить рисковые платежи, провести анализ контрагентов на предмет платежеспособности и выявить контрагентов с признаками «фиктивности».

Если ваш офис состоит из одного кабинета, то соответственно перечень вопросов по режиму объекта будет гораздо меньше.

Например, если Вы работаете с «наличкой», то Вам желательно придерживаться следующих мер предосторожности:

  •  у вас не должно быть свободного доступа в офис для посторонних;
  • сейф не должен стоять на видном месте (как минимум!);
  • в ваше отсутствие (особенно выходные и праздничные дни) в офисе не должны оставаться крупные суммы денежных средств.

Данные об учете денежных средств желательно хранить на «облаке», а не в компьютере, который, как правило, стоит на столе.

Вышеуказанные примеры носят рекомендательный характер, так как каждый бизнес имеет собственную специфику.

Именно поэтому, мы предлагаем Вам провести мониторинг рисков безопасности бизнеса самостоятельно.

Рекомендуем Вам использовать приблизительный универсальный перечень вопросов, необходимых при составлении плана мероприятий аудита безопасности:

1Мониторинг режима объектов.

1.1  Проверка пропускного режима персонала, посетителей предприятия.

1.2  Проверка пропускного режима автотранспорта.

1.3  Проверка документации, регламентирующей режимные мероприятия.

1.4  Доступ к помещениям на территории объекта.

1.5  Мониторинг работы технических средств обеспечения работы объекта.

1.6  Выявление возможных зон на территории предприятия, которые не охвачены системой охраны.

1.7 Изучение договоров с охранными структурами.

2Определение внешних и внутренних рисков

2.1. Внешние риски.​

  • чиновники, коррупционные проявления в различных хозяйствования;
  •  конкуренты;

  • правоохранительныеиконтролирующиеорганы,работающиепо«заказу»;

  •  мошенники, кидалы и прочие, работающие как временные партнёры

    (покупатели, продавцы товара и различных услуг);

  • кредиторыидебиторы(постоянные,созначительнымисуммами).

2.2. Внутренние риски.​

  • воровствосостороныперсонала;

  • мошенничествоперсонала;

  • халатностьдолжностныхлицпредприятия;

  • недостатки в организации производственного процесса ведущая к финансовым потерям;

  • «слив»конфиденциальнойинформациизаинтересованнымлицам.

Исходя из выявленных источников рисков, необходимо осуществить следующие действия:

  • оценка степени серьезности угрозы (уровень ресурсов источника угрозы и его цели ­ возможного ущерба ресурсам предприятия);
  • выделение групп источников угроз по целям, ресурсам, интересам;

  • оптимальное выделение ресурсов, выбор и применение оптимального алгоритма локализации угроз (построение системы защиты) с учетом выделенного на это бюджета.

3. Финансово­экономическая безопасность предприятия

3.1. Порядок защиты ресурсов компании:

  • информация;
  • интеллектуальная собственность;
  • активы;
  • имущество;
  • клиенты;
  • персонал;
  • технологии.

3.2. Мониторинг системы бухгалтерского, финансового и налогового учета.

  • порядок списания материальных активов, контроль за текущими расходами;
  • учет и контроль движения наличных средств. 

3.3. Мониторинг логистики:

  • изучение порядка складского учета и хранения товарно­материальных ценностей;
  • изучение порядка перевозок ТМЦ, соответствие документации, порядка контроля за сохранностью и приема-­передачи товара; 
  • выявление возможностей хищения ГСМ и других материальных ценностей. 

3.4. Налоговое планирование.

3.5. Проверка рисков, связанных с лицензированием партнеров.

3.6. Мониторинг работы отдела продаж. Основания для предоставления, скидок, рассрочек, регулировки ассортимента. Возможные риски получения «откатов», с учетом нанесения ущерба компании (финансовая и деловая репутация).

4. Соблюдение коммерческой тайны на предприятии.

4.1. Проверка документации, регламентирующей соблюдения коммерческой тайны и конфиденциальной информации на предприятии.

4.2. Установление возможных источников утечки информации, подпадающей под определение коммерческой тайны.

4.3. Проверка режима соблюдения коммерческой тайны на предприятии:

  • порядок работы с техническими носителями информации;

  • наличие режимных помещений и порядок допуска в них;

  • проверка помещений, относящихся к режимным, на наличие в них средств негласного съема информации.

5Порядок работы с сотрудниками компании

5.1. Порядок подбора и принятия на работу будущих сотрудников компании;

5.2. Изучение порядка режима работы и условий труда членов трудового коллектива.

5.3. Изучение и определение возможных рисков, которым подвержен персонал компании, и которые могут принести финансовые потери предприятию;

5.4. Порядок выплаты заработной платы трудовому коллективу, материальное стимулирование работников;

5.5. Порядок увольнения сотрудников.

6. Порядок взаимодействия с филиалами компании, выявление возможных рисков.

7. Порядок взаимодействия с правоохранительными и контролирующими органами.

8. Изучение рисков, которым подвержены VIP-персоны компании.

Итоги проверки.

Зачем нужны подобные проверки?

Проведение проверочных мероприятий по выявлению рисков для компании поможет в будущем предотвратить любые негативные последствия, которые тем или иным образом повлияют на эффективность работы компании.

Это может быть и воровство сотрудников компании или иных лиц, которые могут иметь доступ на территорию компании (офис). В данном случае, как риски, следует отобразить такие моменты:

  • пропускной режим;

  • учет автотранспорта;

  • возможные места проникновения на территорию (офис);

  • возможность вывоза (выноса) материальных средств и т.д.

Риски проведения антиконкурентных мероприятий, которые могут повлечь за собой остановку производственного предприятия:

  • поджог;

  • затопление производственных площадей;

  • обесточивание;

  • риски проведения рейдерских действий;

  • захват офиса и материальных средств.

Достаточно сложно, да? Многолетний опыт показывает, что проведение аудита безопасности целесообразно поручить независимой компании. Это обусловлено тем, что «не замыленный глаз» сразу увидит рисковые места в системе.

До начала проверки собственник компании утверждает план проведения мероприятий. В план включаются именно те вопросы, которые необходимо отобразить при проведении проверки. Это может быть аудит всей деятельности предприятия по вопросам безопасности, аудит пропускного режима и сохранности материальных средств, аудит физической безопасности и т.д., исходя из того примерного перечня вопросов, которые мы привели выше.

На основании полученных материалов изучения рисков компании, готовится акт по всем вышеперечисленным пунктам, с указанием выявленных недостатков, их причин, а также способов и методов их устранения. В акте также будет указан расчет ресурсов, в том числе и финансовых, на устранение выявленных проблем, дальнейшей профилактики и поддержания системы безопасности предприятия на надлежащем уровне.

 

Как пример, мы приводим план проверки объекта по вопросам пропускного режима:

1. Проверка пропускного режима персонала, посетителей предприятия.

  • порядок пропускного режима на территорию предприятия;

  • фиксация входа-выхода персонала, посетителей;

  • наличие документации, предусматривающей фиксацию посетителей, иных лиц пребывающих на территорию.

2. Проверка пропускного режима автотранспорта.

  • допуск автотранспорта на территорию;

  • контроль за местами парковки и размещения автомобилей;

  • порядок контроля выезда автомобилей;

  • проверка автомобилей на предмет вывоза ТМЦ, наличия сопроводительных документов, досмотр автомобилей или иного транспорта;

  • порядок документирования въезда, выезда пребывания на территории предприятия транспортных средств.

3. Проверка документации, регламентирующей режимные мероприятия.

4. Доступ к помещениям на территории объекта.

  • возможность доступа к помещениям на территории объекта;

  • контроль за доступом к режимным объектам;

  • фиксация доступа к режимным объектам, ведение необходимой документации;

  • возможность несанкционированного доступа к различным помещениям, в том числе и режимным.

5. Мониторинг работы технических средств обеспечения объекта.

6. Выявление возможных зон на территории предприятия, которые не охвачены системой охраны.

7. Изучение договоров с охранными структурами.

 

В плане возможны изменения и дополнения, исходя из выявленных обстоятельств.

Также необходимо отметить, что ни один план действий не является догмой, и по ходу проведения мероприятий в нем допускается внесение любых изменений, направленных на более качественное выполнение задачи.

Итак, слабые места в системе безопасности выявлены, риски оценены. Перед вами лежит заключение эксперта по безопасности с рекомендациями. Если при проведении аудита безопасности эксперт не выявил уже причиненного ущерба, что бывает довольно часто, то рекомендуемые им меры будут превентивного (упредительного) характера. Рекомендуем к прочтению следующую статью.