Политика безопасности предприятия

Модуль 1.

Служба безопасности компании. Методики риск-менеджмента, применяемые в безопасности. Построение корпоративной защиты.

• место службы безопасности в структуре компании. Взаимодействие с акционерами, владельцами и руководителями бизнеса. Подчинение, финансирование и оценка эффективности работы СБ;
• руководитель службы безопасности. Требования и профессиональные качества. Образовательный уровень и опыт работы. Личная эффективность руководителя. Личная организованность и управление рабочим временем. Стратегии влияния, виды власти, техники переговоров.
• разработка локальных актов по обеспечению безопасности предприятия (концепция безопасности, политики, инструкции, регламенты и т.д.). Создание сводов правил и поведений сотрудников;
• международные стандарты риск-менеджмента. Основные положения ГОСТ Р ИСО 31000-2010 «Национальный стандарт РФ. Менеджмент риска. Принципы и руководство», требования стандартов FERMA и COSO ERM;
• законодательство РФ в области корпоративной безопасности и управления экономическими рисками;
• виды экономических рисков. Внешние и внутренние риски. Создание системы анализа и управления экономическими рисками. Аудит экономической безопасности и существующей системы управления рисками;
• особенность управления экономическими рисками предприятия в условиях антикризисного управления;
• распределение зон ответственности между подразделениями предприятия (должностными лицами) по идентификации, мониторингу и управлению экономическими рисками. Служба управления рисками (СУР) как отдельное подразделение предприятия. Понятие владелец риска;
• создание локальных правовых актов предприятия по управлению экономическими рисками;
• прогнозирование рисковой ситуации. Определение источников информации, которые позволяют выявить причины риска и возможные его виды. Выяснение источников риска. Определение объектов, на которые воздействует тот или иной вид экономического риска;
• оценка экономического риска. Применение статистического, экспертного и расчетно-аналитического методов оценки риска. Определение допустимых пределов риска. Понятие риск-аппетит;
• применяемые методы управления экономическими рисками. Методы минимизации и методы возмещения потерь. Методы упреждения и методы уклонения от риска. Методы локализации и методы распределения риска;
• управленческие риски и опасность корпоративных конфликтов на предприятии. Причины их возникновения и основные способы их нейтрализации. Создание организационно-защищенной структуры бизнеса и обеспечения безопасности принятия стратегических решений;
• риски вывода или неправомерного использования активов предприятия. Защита материальных активов и обеспечение сохранности товарно-материальных ценностей. Охрана территории предприятия;
• риски неправомерного использования нематериальных активов. Получение патентов и лицензий. Охрана авторских прав;
• комплаенс-риски и их минимизация. Защита от коррупционных рисков в бизнес-процессах предприятия. Основные положения рекомендаций Минтруда РФ по порядку проведения оценки коррупционных рисков в организации;
• риски нарушения антимонопольного законодательства. Понятие недобросовестная конкуренция. Картельный сговор;
• административные риски. Государственная монополизация экономики. Санкционные риски. Взаимоотношения с государственными органами, общественными объединениями, политическими партиями и профсоюзами;
• юридические риски. Мониторинг требований российского и международного законодательства в сфере деятельности предприятия;
• уголовно правовые риски для должностных лиц предприятия. Защита интересов при взаимоотношениях с государственными контролирующими и правоохранительными органами;
• репутационные (имиджевые) риски. Информационная и PR защита деятельности предприятия. Противодействие черному PR, информационному противоборству и недобросовестной конкуренцией;
• информационные риски. Защита конфиденциальной информации на предприятии. Режим коммерческой тайны;
• технические и технологические риски. Защита от террористических актов и чрезвычайных ситуаций;
• экономические риски в гражданско-правовых отношениях. Организация безопасной договорной работы. Формирование процедур оценки надежности контрагентов;
• налоговые риски. Применение понятия «должная осмотрительность и осторожность», а также «экономическая целесообразность сделки» в деятельности предприятия;
• минимизация экономических рисков при проведении конкурсных процедур при закупках, осуществляемых в соответствии с Федеральными законами № 44-ФЗ и № 223-ФЗ;
• риски, связанные с выполнением требований Федерального закона № 115-ФЗ. Понятие «подозрительная сделка» в документах Центрального банка и Росфинмониторинга. Признаки, указывающие на необычный характер сделки;
• мошеннические риски. Формы мошенничества в различных видах бизнеса. Некоторые сценарии проведения мошеннических операций и защита от них;
• риски неплатежей. Управление дебиторской задолженностью. Мониторинг финансовых рисков в договорной работе. Основные способы возврата долга;
• риски нарушения требований трудового законодательства. Миграционные риски. Проверка персонала при приеме на работу. Кадровая безопасность. Управление рисками при использовании на предприятии дистанционных работников.

Модуль 2.

Политика экономической безопасности. Обеспечение безопасности договорной работы.

• понятие «безопасная договорная работа» на предприятии исходя из требований Гражданского кодекса Российской Федерации и иного законодательства РФ;
• организация договорной работы на предприятии. Инструкция о договорной работе. Централизация или делегирование полномочий. Процедуры внутреннего согласования. Выдача доверенностей. Работа с допсоглашениями;
• распределение зон ответственности между подразделениями и должностными лицами предприятия в договорной работе. Матрица компетенций;
• информатизация и цифровизация бизнес процессов, связанных с договорной работой. Принципы работы Big Data в договорной работе. Применение элементов искусственного интеллекта при выборе контрагента;
• организация безопасной договорной работы в процессе антикризисного управления. Минимизация издержек. Дистанционные методы работы;
• типовые зоны риска при заключении различных типов договоров (продажа, оказание услуг, закупка, ремонт, строительство и т.д.);
• налоговые риски в договорной работе. Понятие «должная осмотрительность» в спорах с налоговыми органами. Требования нормативных правовых актов ФНС России по самостоятельной оценке налоговых рисков в гражданско-правовых отношениях;
• риски получения низкокачественных товаров и услуг в договорных отношениях. Определение критериев качества и оценки эффективности траты денег;
• риски завышения цены в закупочной деятельности. Методы ценообразования, а также расчета начальной максимальной цены. Понятие «цена владения»;
• коррупционные риски в договорной работе. Требования законодательства РФ по принятию предприятиями мер по предупреждению и противодействию коррупции. Антикоррупционная хартия российского бизнеса;
• риски аффилированности работников предприятия с контрагентами. Понятие «конфликт интересов» в договорной работе. Информационно-аналитические и психологические способы выявления аффилированых связей. Основы оперативной психологии;
• риски нарушения требований антимонопольного законодательства в договорной работе. Понятие недобросовестная конкуренция. Картельный сговор;
• понятие комплаенс-рисков в договорной работе. Требования международного законодательства к безопасности в договорной работе;
• мошеннические риски в договорной работе. Мошеннические схемы, применяемые в гражданско-правовых отношениях. Мошенничество в различных видах бизнеса;
• риски разглашения информации в договорной работе. Соглашения о конфиденциальности. Защита авторских прав, охрана интеллектуальной собственности и иных нематериальных прав при взаимоотношении с контрагентами;
• риски, связанные с выполнением требований Федерального закона № 115-ФЗ. Понятие «подозрительная сделка» в документах Центрального банка и Росфинмониторинга. Признаки, указывающие на необычный характер сделки;
• организация конкурентных закупок на предприятии. Основные требования Федеральных законов от 05.04.2013 № 44-ФЗ и от 18.07.2011 № 223-ФЗ к безопасной договорной работе;
• методы анализа надежности контрагента. Признаки опасности в деятельности организации. Применение метода Due Diligence при оценке компании. Методы оценки финансовой устойчивости контрагента;
• анализ безопасности коммерческих предложений. Изучение инициаторов проекта, их интересы и деловую репутацию. Верификация представителей. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при оценке ненадежности контрагента;
• правовая экспертиза как элемент безопасной договорной работы. Задачи правовой экспертизы. Стандартизация форм договора. Штрафные санкции за невыполнение условий договора. Типовые «подводные камни» в договорах;
• противодействие откатам, неправомерному выводу активов, коммерческому подкупу и иным противоправным действиям в договорной работе;
• организация контроля за выполнением условий договора как элемент безопасной договорной работы. Мониторинг информации по контрагентам. Создание алгоритмов реагирования на невыполнение контрагентами договорных обязательств;
• ведение эффективной претензионно-исковой работы. Мониторинг неплатежей. Медиаторство как способ досудебного урегулирования спора. Психологические, юридические, имиджевые и иные способы воздействия на должника;
• создание эффективного внутреннего контроля за договорной работой на предприятии. Система внутреннего контроля по модели COSO. Компоненты по модели COSO. «Магический куб» COSO;
• система внутренних проверок, финансовых расследований и иные процедуры в договорной работе.

Модуль 3.

Политика кадровой безопасности. Организация приема — увольнения персонала.

• понятие кадровая безопасность. Виды оформления юридических взаимоотношений организации и физических лиц. Основные нормы трудового и гражданско-правового законодательства по вопросам кадровой безопасности;
• основные риски и угрозы, исходящие от работников, варианты их реализации и возможные направления защиты. Противоправные действия, ответственность за которые предусмотрена законодательством и основные способы защиты от них;
• порядок взаимодействия структурных подразделений и должностных лиц предприятия по вопросам кадровой безопасности. Зоны ответственности подразделений (матрица компетенций). Аутсорсинг услуг по кадровой безопасности;
• выстраивание взаимодействий подразделения безопасности и работников предприятия. Компромат, взаимопомощь и иные методы взаимодействия;
• превентивные мероприятия по предотвращению противоправных действий со стороны работников. Создание стимулов и мотивационных факторов, направленных на усиление лояльности персонала;
• автоматизация и цифровизация бизнес процессов, исключающая возможность совершения работниками противоправных действий. Контроль действий работников в корпоративной информационной инфраструктуре;
• особенности политики кадровой безопасности в процессе антикризисного управления предприятием;
• создание и актуализация локальной правовой базы предприятия. Ознакомление и получение согласия от работника по вопросам, затрагивающим его конституционные права. Нормы трудового договора по вопросам кадровой безопасности;
• проверка персонала при приеме на работу. Сбор и анализ информации о кандидате по методу SMICE. Анкеты для кандидатов на работу. Основные источники по сбору информации о кандидатах на работу;
• признаки опасности у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального нарушителя, применительно к различным должностям;
• комплаенс-контроль работников предприятия, занимающих должности с коррупционными рисками. Анализ полномочий и результатов работы сотрудника в компании. Политика кадровой безопасности по минимизации комплаенс-рисков;
• политика кадровой безопасности в отношении дистанционных работников. Контроль за работой дистанционщиков. Обеспечение информационной безопасности при дистанционной работе;
• политика кадровой безопасности в отношении различных групп риска («жалобщики», имеющие зависимость, испытывающие потребность в деньгах и т.д.);
• создание системы обучения работников действиям во внештатных и чрезвычайных ситуациях (пожар, стихийное бедствие, теракт и др.);
• риски разглашения конфиденциальной информации и иные инсайдерские угрозы. Защита предприятия от нарушений работниками требований информационной безопасности;
• противодействие кражам, растратам и коммерческому подкупу на предприятии. Защита материальных и нематериальных активов предприятия от вывода, неправомерного использования и иных действий со стороны персонала;
• понятие «откат» в российском и международном законодательстве. Юридическая классификация действий, связанных с откатами. Защита предприятия от «откатов» в закупочной деятельности;
• политика кадровой безопасности в отношении материально ответственных лиц. Процедуры проведения инвентаризаций и привлечения работника к материальной и дисциплинарной ответственности;
• корпоративное мошенничество. Наиболее типичные сценарии корпоративного мошенничества. Признаки мошенничества. План действий по борьбе с мошенничеством. Основные способы устранения возможностей совершения корпоративного мошенничества;
• создание систем обратной связи на предприятия. Организация телефонов доверия и горячей линии. Применение методов «тайного покупателя» в кадровой политике;
• «оперативная психология». Анализ личности человека и формирование моделей его поведения. Методы выявления лжи в процессе коммуникаций (профайлинг). Анализ языка тела. Манипуляции в общении и технологии убеждения;
• особенность проведений внутренних проверок и расследований по наиболее характерным противоправным действиям работников предприятия (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.);
• использование полиграфа (детектора лжи) при проведении внутренних проверок и расследований. Правовая и организационная сторона вопроса. Можно ли обмануть полиграф?;
• взаимодействие с государственными правоохранительными органами при расследовании противоправных действий работников;
• методы кадровой политики, связанные с защитой от переманивания персонала;
• процедуры увольнения работников с позиции безопасности. Особенности увольнения работников, которые могут представлять угрозу для организации после увольнения;
• позиции судов при рассмотрении трудовых споров о неправомерном увольнении. Обзор судебной практики. Методы, применяемые адвокатами для защиты своих клиентов в трудовых спорах.

Модуль 4.

Политика информационной безопасности. Защита конфиденциальной информации.

• особенности деятельности предприятия в условиях цифровизации экономики. Защита информации, защита информационной инфраструктуры и защита от информации как три составляющих безопасности в цифровом мире;
• принятие управленческих решений в условиях избыточности информации, ее неточности и недостоверности. Принципы работы Big Data. Применение элементов искусственного интеллекта в деятельности предприятия. Наличие черного пиара и фейковых новостей в информационном поле;
• государственные информационные системы. Первичность информации в государственных информационных реестрах. Отсутствие контура информационной безопасности в цифровом мире. Понятие цифровой след физического лица;
• особенности документооборота в цифровом мире. Понятие электронный документ. Система электронного документооборота на предприятии. Цифровая подпись. Основные требованию к делопроизводству при цифровизации предприятия;
• понятие критическая информационная инфраструктура в российском законодательстве, процедуры категорирования и основные требования по ее защите;
• защита конституционных прав физических лиц при цифровизации предприятия. Неприкосновенность частной жизни, тайна телефонных переговоров, почтовых и иных сообщений. Процедуры использования технических средств, предназначенных для негласного получения информации;
• понятие культура информационной безопасности при цифровизации предприятия. Культура информационной безопасности как составная часть корпоративной безопасности. Этические нормы в менеджменте информационной безопасности;
• информация как актив предприятия. Противодействие черному пиару, манипулированием информацией и иным действиям со стороны недобросовестных конкурентов;
• понятие системы менеджмента информационной безопасности. Международные стандарты безопасности информационных систем. Основные требования стандарта менеджмента информационной безопасности ISO 27001;
• политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура Политики информационной безопасности;
• аудит состояния информационной безопасности на предприятии. Порядок проведения аудита информационной безопасности предприятия;
• законодательство РФ в области защиты информации. Термины и определения. Правовые основы наличия на предприятии конфиденциальной информации;
• основные источники конфиденциальной информации на предприятии. Автоматизация процессов обмена информацией между ними. Основные каналы утечки конфиденциальной информации при цифровизации предприятия;
• основные направления защиты конфиденциальной информации. Системный подход к защите информации;
• организационные мероприятия по защите конфиденциальной информации. Анализ информационных ресурсов предприятия. Оптимизация информационных потоков. Определение формы представления информационных ресурсов, подлежащих защите;
• режимные, технические и инженерно-технические мероприятия по защите конфиденциальной информации. Создание внутриобъектового и пропускного режимов. Физическая защита охраняемых информационных ресурсов;
• кадровые мероприятия по защите конфиденциальной информации. Распределение прав доступа к информации. Разглашение информации через «человеческий фактор», как основной канал утечки конфиденциальной информации. Защита от фишинговых атак и методов социальной инженерии;
• ИT мероприятия по защите конфиденциальной информации. Защита компьютерных сетей. Применение средств криптографической защиты информации;
• правовые мероприятия по защите конфиденциальной информации. Создание правовых режимов по защите информации;
• особенность защиты информации при использовании на предприятии дистанционных работников;
• виды юридической ответственности за разглашение конфиденциальной информации, использование ее в личных целях или неправомерному доступу к ней. Уголовная, административная, дисциплинарная и гражданско-правовая ответственность. Обзор судебной практики;
• основные требования международного и российского законодательства в области защиты персональных данных. Правовые акты регуляторов, определяющих политику по защите персональных данных в России;
• права субъекта персональных данных и обязанности оператора персональных данных. Виды юридической ответственности за разглашение персональных данных, а также за невыполнение требований по их защите;
• пошаговый алгоритм действий по созданию на предприятии системы обработки персональных данных, удовлетворяющей требованиям регуляторов;
• создание режима коммерческой тайны на предприятии. Методика составления перечня сведений, составляющих коммерческую тайну. Основные организационные, правовые и технические меры по защите коммерческой тайны;
• обязательства работников по сохранению коммерческой тайны на предприятии. Понятие «разглашение коммерческой тайны». Виды юридической ответственности за разглашение коммерческих секретов предприятия;
• понятие «служебная тайна» в российском законодательстве. Особенность работы с документами, имеющими ограничительную пометку «для служебного пользования». Ответственность за разглашение служебной тайны;
• проведение внутренних проверок и расследований по инцидентам информационной безопасности на предприятии.

Модуль 5.

Антикоррупционная политика предприятия. Урегулирование конфликтов интересов.

• понятие «коррупция» в международном законодательстве. Конвенции ООН по противодействию коррупции. Нормы UK Bribery Act (Великобритания 2010 г.), Foreign Corrupt Practices Act (США 1977 год), закона Сарбейнcа-Оксли (SOX США 2002 год) и практика их применения;
• основные требования международного стандарта ИСО 37001 «Системы менеджмента противодействия коррупции — требования и рекомендации по применению»;
• понятие «коррупция» в российском законодательстве. Положения ФЗ «О противодействии коррупции», являющиеся обязательными для выполнения организациями, независимо от формы собственности. Методические рекомендации по их выполнению;
• основные положения Национального плана противодействия коррупции на 2018-2020 гг. и его влияние на деятельность организации;
• основные нормы Антикоррупционной хартии российского бизнеса и ее дорожная карта. Порядок и процедуры присоединение к хартии;
• понятие «комплаенс» в международном и российском законодательстве. Требования приказов Росимущества по комплаенс процедурам в акционерных обществах с государственным участием;
• создание подразделения комплаенс (должности комплаенс-менеджер). Подчинение, основные права и обязанности. Взаимодействие с риск-менеджерами, службой внутреннего контроля и аудита, и иными подразделениями;
• создание внутренних документов предприятия по предупреждению коррупции. Документы организационного и операционного уровней;
• антикоррупционные требования и ограничения, налагаемые на бывших государственных и муниципальных служащих при заключении ими трудовых или гражданско-правовые договоров;
• примерный перечень действий должностных лиц организации, которые могут квалифицироваться как коррупция по международному и российскому законодательству;
• ответственность юридических и физических лиц за коррупционные правонарушения и непринятие мер по противодействию коррупции. Возможность привлечения к дисциплинарной ответственности работника за нарушение антикоррупционного законодательства;
• методики оценки бизнес процессов с позиции коррупционных рисков. Составление карты коррупционных рисков в организации. Разработка и введение специальных антикоррупционных процедур;
• формирование антикоррупционной политики организации. Создание комиссии по противодействию коррупции и урегулированию конфликта интересов. Организация обучения и информирования работников;
• особенности создания и проведения антикоррупционной политики в различных видах бизнеса;
• понятие «конфликт интересов» в антикоррупционном и ином законодательстве. Кто обязан предпринимать меры по предотвращению и урегулированию конфликтов интересов. Декларации о конфликте интересов;
• методика анализа ситуации, попадающей под понятие «конфликт интересов». Применение мер дисциплинарного воздействия, включая увольнение, к участникам конфликта интересов;
• нарушение принципов «надлежащее, объективное и беспристрастное исполнение работником своих должностных обязанностей» как обязательное условие для классификации ситуации как конфликт интересов;
• кодекс этики и корпоративного поведения в организации как составная часть антикоррупционной политики на предприятии. Этичность в действиях работника при выполнении должностных обязанностей, общении с клиентами и контрагентами, а также в межличностном общении в коллективе;
• понятие профессиональной этики в законодательстве РФ. Требования кодексов профессиональной этики, применительно к различным профессиям;
• правила, регламентирующие обмен подарками и знаками делового гостеприимства;
• антикоррупционная экспертиза локальных правовых актов организации. Включение антикоррупционных оговорок в гражданско-правовых и трудовые договора;
• организация «горячей линии» по вопросам противодействия коррупции и защита лиц, сообщающих о коррупционных правонарушениях;
• создание процедур информирования работодателя о ставшей известной работнику информации о случаях совершения коррупционных правонарушений другими работниками, контрагентами предприятия или иными лицами;
• порядок проведения антикоррупционных мероприятий в процессе антикризисного управления. Минимизация издержек. Минимизация коррупционных рисков при использовании дистанционных (удаленных) работников;
• организация системы внутреннего контроля и аудита как элемент антикоррупционной политики организации. Проведение внутренних расследований по фактам нарушения антикоррупционной политики организации;
• противодействие фальсификации бухгалтерской (финансовой) отчетности как средство противодействия коррупции;
• деятельность органов прокуратуры по надзору за исполнением законодательства о противодействии коррупции. Деятельность Минтруда РФ в сфере методического обеспечения противодействия коррупции;
• взаимодействие предприятия с государственными правоохранительными, надзорными и иными государственными органами, а также общественно-политическими организациями по вопросам профилактики и противодействия коррупции.