Расследование инцидентов экономической безопасности несмотря на созвучность с подобными процедурами, осуществляемыми в рамках УПК РФ, тем не менее имеет заметные отличия.
В обоих случаях необходимо установить причины и условия происшествия, причастных лиц, роли участников, причинно-следственные связи между их действиями/бездействием и наступившими нежелательными последствиями.
Ключевое отличие в том, что обычное следствие направлено на установление виновных и сбор доказательств, их изобличающих. В случае если процесс или операция не регламентированы или не относятся к зоне ответственности подозреваемого, то его преследование прекращается. А неурегулированность правоотношений просто констатируется, например, путем внесения Представления.
Расследование экономическое, как правило, осуществляется внутри и в интересах хозяйствующего субъекта (организации), а потому больше тяготеет к выявлению системных рисков, несовершенство которых, позволило инциденту состояться.
Для рисков, имеющих признаки системных, то есть там, где мы обнаруживаем проблемы в бизнес-процессе, необходимо понять из каких операций он состоит, есть ли владелец у каждой из них и где граница кросс-функциональной ответственности.
То есть, нужно уяснить их структуру, которая может выглядеть, например, так:
Далее, разбираемся с составом, терминологией и иерархией:
- Бизнес-процесс, как совокупность взаимосвязанных операций, объединенных общей задачей, регламентируется Положением (Политикой), в котором перечислены операции, определены связи между ними и границы зон ответственности.
- Операция, составная часть бизнес-процесса, в рамках участия одного сотрудника или одного подразделения, регулируется Регламентом процесса, определяет роли участников (исполнителей и контролеров) и порядок их взаимодействия в рамках этой операции.
- Исполнитель, тот кто выполняет операцию, его участие и ответственность должны быть закреплены в Должностной инструкции.
- Контролер, тот кто следит за тем, чтобы исполнитель выполнил свою часть операции, эта роль также прописывается в Должностной инструкции.
Определившись с предметной областью, разобравшись с зонами ответственности и нормативной базой, мы готовы сопоставить фактические действия участников процесса с тем, как это должно было происходить. То есть переходим непосредственно к расследованию.
При этом, представляется целесообразным рассматривать два трека: субъектный и процессный (подобно выдвижению оперативных версий: обвинительной и оправдательной).
В рамках первого изучаются действия проверяемого лица на предмет соответствия Должностной инструкции, Регламенту процесса, Положению или Политике, описывающим бизнес-процесс в целом.
Второй направлен на определение актуальности, действенности и эффективности этих локальных нормативных актов и выявления уязвимостей в них.
Пройдя по вышеописанному алгоритму, мы формируем собственное понимание, является ли наш инцидент проявлением системной проблемы или это результат недобросовестных действий одного конкретного сотрудника.
Что, в конечном счете, позволяет сформировать выводы и выработать предложения по применению мер митигации.
При регулярном использовании, такой подход, позволит проводить системную работу по выявлению и закрытию (снижению) рисков безопасности, путем совершенствования бизнес-процессов. То есть повысить степень защищенности Компании от угроз в области экономической безопасности.
В настоящей статье содержится лишь один из элементов авторского подхода, который подробно изложен в книге «Как обеспечить безопасность предприятия, если Вам лень этим заниматься».
Автор: Алексей Швецкий, член ICSA (Международная Ассоциация Корпоративной Безопасности)