Игорь Караль, основатель и руководитель компании K-III, и Олег Бокачёв, основатель и руководитель Центра экспертных решений DhanuR, в беседе с Марией Титце о сфере корпоративной безопасности и системном анализе.
Благодарю, что поддержали идею и помогли нашему разговору состояться. Это особенно радует, так как это не просто разговор на интересную тему, к которой мы пока не обращались в наших публикациях. В силу нашей профессиональной деятельности мы близки. Игорь — практик и занимается вопросами предотвращения внутрикорпоративного мошенничества и корпоративной безопасности, то есть выявляет то, что скрыто от обычного взгляда, нередко и взгляда самого владельца бизнеса. Наш Центр ведёт исследовательскую и консультационную деятельность и занимается разработкой подходов в сфере системного анализа. Мы рассматриваем все явления и объекты как системы, работающие по универсальным принципам, зная которые тоже можно видеть невидимое, предусматривать и предугадывать. Уверена, что в сфере аналитики и бизнес-безопасности у нас есть общие темы для обсуждения. Игорь, давайте начнём с рассказа о вашей деятельности и подходах.
Хорошо. Есть мнение, что forensic — это расследование людей и денег. Моё мнение, что это расследование только людей, потому что основные риски для бизнеса или организации в том, что людей вербуют, они болеют, уходят, продают информацию, воруют.
Если мы говорим о мошенничестве или чём-либо подобном, то отдельные люди мыслят определёнными моделями, группы людей — определёнными алгоритмами и системами. Нет никакого смысла убирать человека из процесса, если сам процесс подразумевает возможность мошенничества. Каждый новый человек будет приходить и подключаться к этому процессу, который сам по себе может провоцировать на мошенничество.
Если говорить о корпоративной безопасности и корпоративном мошенничестве, на деле всё очень просто: есть угрозы внешние и внутренние. Для анализа мы составляем матрицу по каждому предприятию — люди, компания, конкуренты, государство — все базовые компоненты, которые участвуют в деятельности и могут представлять внешнюю или внутреннюю угрозы. В матрицу включается вероятность наступления ситуации с указанием суммы урона от неё и разметкой — зелёная, жёлтая и красная — по вероятности.
Какие есть способы выявить мошенничество? Условно я бы выделил три. Первый способ — юридический. Второй — финансовый, на базе финансовых документов. Третий способ – человеческий, просто через людей.
Что мы можем делать с угрозой после того, как она определена? — Принять, управлять или устранить. Если не можем устранить, то либо управляем, либо принимаем. Если управляем, то нужен комплекс мер, чтобы угрозы не реализовались. Если принимаем, тогда разрабатываем комплекс мер, которые предпринимаем в тот момент, когда угроза была реализована.
Говоря об оценке рисков и матрице вероятностей, как именно вы оцениваете эту вероятность? В особенности интересно, как оценить вероятность внешней угрозы.
Допустим, есть государство как потенциальный источник угрозы, особенно в постсоветском пространстве — это определённый риск, который может быть связан с действиями налоговой, прокуратуры или других госслужб.
Представители официальных органов, в принципе, могут прийти в компании, в том числе и международные корпорации: например, открывают дело по некой статье и выдвигают обвинение в том, что компания продаёт что-то неправильным людям, и нашего Ганса-Клауса сажают в СИЗО. «Пусть он там посидит, а мы пока будем искать доказательства, что он финансирует незаконную деятельность». И этот человек с его партнёрами по бизнесу думают: «И что мы тут делаем, в этой стране?»
Вероятность этой угрозы просчитать очень сложно. Есть ли она? — Да, она существует. Она наносит большой урон? — Однозначно. Но чтобы её оценить, достаточно посмотреть на 50 самых больших компаний, с какими из них такая ситуация произошла. Видим — одна из 50, соответственно, у нас есть около 2%. Небольшая вероятность, но полностью убрать её мы не можем. Но мы можем разработать комплекс мер — что конкретно мы делаем, если такая ситуация происходит: кто и кому звонит, что говорит, какой адвокат, куда едет, какие СМИ что должны писать, какие статьи должны выходить, какие агентства и что должны начинать пиарить, кто звонит в EBA, кто в EBRD, кто в ACC, кто в посольство. И этот комплекс мер работает.
Есть и потенциальный риск с налоговой. Там всё просто: несколько статей, по которым нужно проверить, есть ли у компании риски.
Первое — уклонение от налогов, регулярных платежей. Смотрим финансовые документы и, если компания белая, там этого риска быть не может.
Второе — фиктивное предпринимательство. Если есть какие-то контрагенты, которые занимаются фиктивным предпринимательством, то это уже риск. И так далее — прокуратура, охрана труда…
Такие риски есть у любой компании. Идеально чистые компании, конечно же, есть. Но, не у нас, и даже не в США или Канаде.
Вот так такие и подобные риски просчитываются. Затем продумывается линия защиты на каждое внешнее или внутреннее воздействие.
Если посмотреть на случай внесистемного риска — угрозы, приходящей извне системы и не вызванной напрямую и непосредственно самой компанией — вы привлекаете ещё большую систему? От этого есть некое бодрящее ощущение рискованной игры.
Знаете, чем мастер отличается от специалиста? Когда клиент заказывает пасхальные яйца у специалистов, те предлагают ему разные варианты: покрасить дорогим красителем или дешёвым, надеть красивые чехольчики или просто покрасить луком, предлагают сделать за короткое время по большей цене, или за более длительный срок — за меньшую цену. Клиент выбирает, что ему нравится.
А есть другой вариант, когда клиент заказывает пасхальные яйца не у специалиста, а у мастера. Тот не предлагает ему никаких вариантов, а просто говорит: «Придёшь через три дня и заберёшь». Первый вариант — это хорошие специалисты. Второй — Фаберже, которому всё равно, что себе нафантазировал клиент. Мастер лучше клиента знает, что нужно, и просто делает то, что должен делать.
И вот моя работа — именно то, что должен делать мастер. И когда мне интересно — я делаю, а если неинтересно — проще отказаться.
ОК, ясно. Давайте теперь рассмотрим случай обращения по «внутрисистемным вопросам». Как именно вы начинаете работу в незнакомой компании?
Когда начинаем работать, я, как доктор, сначала выслушиваю пациента — владельца бизнеса.
Бизнес, в большинстве случаев — это зеркало владельца, «чёрное зеркало» (смеётся).
Здесь очень важно сначала выслушать то, что клиент обо всей своей ситуации думает. Причём я слушаю его безоценочно. Собственник выкладывает виденье со своей позиции, рассказывает свою точку зрения и в тайне хочет, чтобы его поддержали и сказали, что всё так и есть, как он это видит.
Потом я начинаю просто говорить с ним о его ситуации, и по ходу разговора он добавляет всё больше и больше информации. Чем больше становится информации, тем больше она систематизируется по определённым параметрам. Сами параметры формируются ситуативно под набор входящих данных и расставляются в неком каталоге, переформатируются и выстраиваются в определённые логические цепочки.
Давайте рассмотрим какой-нибудь обезличенный пример подобного анализа, на который мы потом могли бы опираться в нашей беседе.
Хорошо. Часто бывает так: большая компания, принадлежит человеку, который сделал себя сам, очень энергичный, вполне разумный — всё понимает. При том, что компания очень крупная, большие деньги, для него личные отношения весят больше, чем деньги. Я это заметил ещё до встречи с ним, по просмотренным его выступлениям. Моей первой задачей было — дать им ответ, эффективно ли работает их структура. И при первой же встрече я понял, что не эффективно. Она просто не может работать эффективно.
В качестве первой встречи меня пригласили на общее собрание с его менеджерами. Он должен был принять решение в последней инстанции, что тоже многое говорит о человеке. Эта встреча и была самой показательной. Я видел первых лиц компании, людей, которые должны были бы брать ответственность и вести каждый своё направление, и которые вели себя, как дети: они перебивали друг друга, сбивались, сыпали какими-то деталями, от чего даже мне было неудобно. Владелец делает всё, тащит на себе дело, а люди его первого эшелона настолько его не понимают и настолько не профессиональны, что ему просто не с кем общаться.
Я понял, что это именно та проблема, которая существует в компании. Стали ясны все роли, которые они играют, ясно, что управление бизнесом идёт в ручном режиме, и это сильно сокращает скорость принятия решений и качество работы.
И вот у меня уже всё есть. Но ещё пару дней я собираю документы, чтобы подтвердить мои выводы, встречаюсь с людьми, хотя сам ответ у меня уже готов в виде отчёта.
Да, нередко причину можно увидеть сразу, но потом как-то надо объяснить и подтвердить дополнительными данными, что это действительно так, иначе люди будут сомневаться в том, что их услышали, и сомневаться в выводах и рекомендациях.
Да, это как тот анекдот про атомную станцию, на которой начались сбои. Пригласили специалиста, тот пришёл в большой зал, куча приборов, лампочки, датчики. Он посмотрел-посмотрел, потом взял красный маркер и поставил красный крестик на одном из приборов: «Замените и всё будет хорошо». Они поменяли, всё действительно стало хорошо. Приходит счёт на 10 тысяч долларов. Сразу вопросы: «За что вообще такая сумма? Предоставьте структуру цены…» Он говорит: «Не проблема». И приходит новый счёт: «Поставить крестик маркером на приборе — 1 доллар. Знание, на каком приборе — 9 999 долларов».
По каким принципам вы систематизируете информацию? Есть ли некий универсальный подход, который применим к любому проекту и команде?
Сложно систематизировать информацию по единому сценарию от проекта к проекту, так как обычно уже со старта я вижу ситуацию многовекторно — не с одной позиции, а с двух, трёх или более сторон. На первый взгляд ситуации могут быть похожими. Но по опыту знаю, что каждый проект уникален, и принимать одну явную версию не стоит.
Есть такой термин — «вписываемость» информации. Я говорю, и у меня в голове есть некая модель, которая выстраивается, исходя из нескольких точек зрения. Но при этом всегда чего-нибудь не хватает — недостаточно исходных данных. Каждый новый блок информации, который я получаю, либо дополняет конкретную модель, либо, благодаря взаимоисключению, уменьшает вариативность. Так я проясняю истинное положение дел — значительно ближе к реальности, чем точка зрения любого из тех, с кем я общаюсь.
Да, многие из нас грешат тем, что представляют свою личностную позицию. Аналитику нужно быть способным отстраниться и наблюдать…
Люди мыслят только в привычных им рамках, шорах. Но, это же и интересно — изучать эти мирки. Каждый человек представляет свой мир, как единственно правильный. Мне это больше всего нравится — сначала комбинировать, а потом моделировать и обыгрывать ситуации. И это самое интересное, это то, ради чего я всё это делаю — возможность напрячь мозг, посмотреть на всю эту ситуацию со стороны.
Конечно, интереснее всего было бы также посмотреть на весь мир, но это пока не приносит денег. Занимаюсь тем, что актуально сейчас и генерирует доход (смеётся).
Как вы приходите к своим выводам? Вы в большей степени полагаетесь на чутьё, или ведущую роль играет сбор данных?
Да, однозначно тут играет роль интуиция. Но, я не могу сказать, что только интуитивно. Мне вообще не нравится само слово «интуиция». В тот момент, когда у меня появляется направление, в ту сторону я смотрю и там нахожу то, что меня интересовало. Потом это всё обсчитывается, и заказчику предоставляется уже упакованная информация, очищенная форма. Обычный человек не может сразу понять, откуда я что-то знаю наверняка, почему я это вижу, откуда я знаю описанную им ситуацию гораздо шире и точнее. Поэтому, ему надо дать ту информацию, которая будет для него логичной и доступной, благодаря чему он сможет легко понять, где и как я это нашёл.
Здесь очень важно, что в тот момент, когда я разговариваю, я как бы держу эту систему в руках и постоянно кручу её. И если туда попадает какая-то информация, которая не вписывается, то я либо пересобираю её так, чтобы информация вписалась, либо, если это не получается, значит данная информация чужеродная, не из этой системы. И всё это происходит ночью.
Я и днём кручу это всё в голове. Но днём — не так эффективно. Я бы сказал, что ночью — это кропотливый труд, и Менделеев — пахарь, ему его открытие не приснилось. Он просто ходил и раскладывал, раскладывал, раскладывал, пока оно — хоп — и сложилось. И вот этот момент «хоп» — это ощущение трудно с чем-то сравнить, когда пазлы в результате системной работы складываются и формируют завершённую картину.
Есть ли у вас в команде другие, кого вы тоже можете отправить на проект и не сомневаться, что человек не станет вовлекаться в игру и поддаваться чужому влиянию?
Отправить-то в любом случае можно. Я отправляю, они приходят, рассказывают, а я понимаю природу их рассказа. Не могу сказать, что я полностью их знаю, но я могу убрать их оценочные суждения и личные домыслы из того, что они рассказывают. Мне не всегда нужно присутствовать на проекте, чтобы очистить полученную от них информацию и понять, что и как происходит в системе.
Есть ли в Вашей работе проблемы, какие-то моменты, которые не удаётся решить? Из того, с чем Вы сталкиваетесь — по каким вопросам хотелось бы найти более оптимальное решение?
Конечно, есть. Я определяю человека, как некий компьютер. Есть сознание и подсознание – это оперативная и постоянная память. Есть вводная информация в виде глаз, ушей, рта — всех наших чувств. Есть базовая операционная система, а есть программы-приложения. Если говорить про сложные сети и контроллеры домена, которые регламентируют политику групп компьютеров — всё точно так же происходит и здесь.
У людей есть базовые групповые политики, но также у кого-то есть возможность игнорировать базовую групповую политику. Но, у кого-то есть возможность сделать так, чтобы тем, кто имеет право игнорировать групповую политику, всё равно навязать некую групповую политику. Это чисто подконтрольные домены.
По сути своей люди — это системы, которые определённым образом взаимодействуют с другими людьми, тоже системами. И вот эти группы как-то взаимодействуют между собой, и все вместе выстраиваются в некую единую систему.
Изучение систем, выявление уязвимостей, моделирование новых политик для систем — это и есть мои вопросы. В основном это происходит интуитивно через понимание каких-то вещей, но системное осознание пока в процессе формирования. Вопрос в скорости моего понимания и выработке чёткой структуры, системного подхода. Думаю, что знание системной аналитики может увеличить скорость в разборе, анализе ситуаций, и придётся меньше моделировать. Всё будет очевидно, понятно.
Какой вопрос я могу задать встречно?
Любой в рамках вашей деятельности. Есть проблема, но нет решения. Или решение есть, на практике работает, но нет уверенности в том, что оно оптимально.
ОК. Первая проблема: как сформулировать оптимальное решение максимально просто, чтобы до человека дошло?
Человек не всегда может осознать предлагаемое мной решение. Приходится тратить много сил и энергии, и порой даже не хочется заниматься такими проектами. Есть и те, кто пытаются, но не готовы понять, довериться. При этом в их арсенале есть несколько способов дестабилизировать и затянуть переговоры до того, как перейти к реализации. Один из них — чрезмерная детализация, второй — обесценивание. Лично для меня это очень выматывающе. Я понимаю, что это мой путь к Фаберже, и проблема не в них, а во мне — просто пока я не научился доносить так, чтобы они осознали что-то очевидное.
А вторая проблема: когда формулируешь максимально просто, то человек отвечает: «Ну, так я же и сам это всё время знал! Это же всё очевидно».
Благодарю! Возможно, объединив наши подходы, мы сможем друг другу помочь в проблемных моментах нашей деятельности, поэтому хотела бы теперь обратиться к Олегу Бокачёву с просьбой прокомментировать вопросы Игоря Караль и поделиться идеями, как системный анализ мог бы помочь в этой сфере.
Продолжение следует.
Иллюстрация: pixabay.com / TheDigitalArtist
Игорь Караль
Основатель и руководитель компании K-III, специализирующейся на анти-фрод менеджмент на предприятиях, построении комплексной системы безопасности, а также сопровождении и управлении бизнес-проектами, эксперт по противодействию корпоративному мошенничеству, член Ассоциации профессионалов корпоративной безопасности Украины, закончил Национальный авиационный университет в Киеве по специализации защита и безопасность информации.