Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова: «Комплаенс-политика в ИТ-компаниях развивается в зависимости от степени зрелости самой компании и ее контрагентов»

– Асель, какие формы работы в ИТ-сфере можно назвать традиционными и наиболее распространенными?

– Комплаенс-политика в ИТ-компаниях развивается от классических финансового и юридического комплаенса со стороны собственника и соответствующих регуляторов до антимонопольного и антикоррупционного комплаенса, соблюдения законодательства в сфере защиты данных (персональных данных, коммерческой безопасности, интеллектуальной собственности) в зависимости от степени зрелости компании и ее контрагентов.

– Какие мероприятия включает комплаенс-политика в вашей компании?

– Сейчас каждый пользователь мировых платформ, таких как Facebook, Google и Apple, сталкивается с тем, что там существуют свои правила/политики, которые необходимо соблюдать, иначе тебя заблокируют/внесут в черный список. Сегодня даже дети обучаются цифровому этикету и правилам безопасности в сети. Не являются исключением и представители бизнеса, которые устанавливают собственные принципы и стандарты управления, учитывая требования законодательства и заинтересованных сторон. Одной из таких компаний является ИТ-компания ICL Services, основная цель которой - оказание ИТ-услуг заказчикам на высоком качественном уровне при одновременном обеспечении сохранности данных и доступности сервисов, непрерывности их функционирования. При соблюдении этих условий клиенты компании должны получать ожидаемую ценность в рамках реализации своих задач.

Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова

Для обеспечения качества работы компания ICL Services выстраивает свои бизнес-процессы с учетом действующего законодательства, требований заказчиков и заинтересованных сторон; обучает сотрудников и осуществляет контроль над исполнением установленных требований; внедряет и поддерживает системы менеджмента (по международным стандартам ISO 9001, 14001, 20000, 27001).

Чтобы этот механизм работал, недостаточно иметь одну комплаенс-службу, в нашей компании каждый владелец процесса/руководитель проекта несет ответственность за надлежащие результаты процесса/проекта и его совершенствование, за управление рисками и проблемами, возникающими в ходе реализации задач. Комплаенс-менеджер, в свою очередь, координирует и поддерживает функционирование этого механизма.

Для ICL Services наличие работающей системы управления соответствием и рисками является не только показателем зрелости бизнеса, но и эффективным инструментом, позволяющим сохранить и увеличить темпы развития. В то же время внедрение и использование таких инструментов должны быть простыми и понятными, чтобы освоение технологий, направленных на улучшение показателей бизнеса, не обратилось головной болью для всей компании.

Особое внимание в рамках комплаенс-политики компании уделяется вопросам обеспечения ИБ. Уровень доверительности отношений с крупными заказчиками на российском и международном рынке в значительной степени определяется способностью компании ICL Services управлять информационной безопасностью. Инциденты, связанные с нарушением ИБ, могут привести к потере доверия со стороны как уже имеющихся, так и потенциальных клиентов. Поэтому соблюдение всех необходимых ИБ-правил является неотъемлемой частью наших бизнес-процессов.

Источниками требований информационной безопасности для компании являются требования законодательства, договорные обязательства и другие документально закрепленные требования внутренних и внешних заинтересованных сторон.

Особое внимание уделяется организации системы комплаенса в области защиты персональных данных. Исполнение требований национального законодательства гарантирует безопасность персональных данных в отношении как собственного персонала, так и заказчиков. Учитывая ориентацию услуг в том числе и на европейский рынок, в компании также внедрены меры, отвечающие требованиям законодательства Евросоюза по обработке персональных данных (GDPR).

В компании применяется риск-ориентированный подход. Организационные и технические меры информационной безопасности внедряются по результатам оценки рисков, представляющей собой непрерывный процесс. Эффективность системы управления информационной безопасностью компании подтверждается сертификатом соответствия международному стандарту ISO\IEC 27001:2013.

Так как сотрудники – главный актив компании, важную роль в комплаенс-политике играют также:

• Трудовой комплаенс (конкурсный прием на работу, соблюдение трудовых прав, помощь в адаптации и обучение, система мотивации и аттестации сотрудников и пр.);
• Комплаенс в области безопасности и охраны труда (надлежащая организация рабочих мест и условий труда, обеспечение пожарной безопасности, программы ДМС и пр.).

– А какие новые формы работы появляются?

– Обеспечение требований комплаенс-политики в компании ICL Services продолжилось и в условиях новой реальности - глобального распространения пандемии COVID-19. В самом начале пандемии компания безболезненно перевела на удаленный формат работы около 90 % сотрудников, обеспечив при этом не только их безопасность, но и полностью выполнив требования третьих сторон (законодательства, клиентов, поставщиков и подрядчиков, международных стандартов управления). При этом многие процессы были переведены в онлайн формат: собеседование с кандидатами, проведение совещаний, стратегических сессий, воркшопов, ревью проектов с заказчиками, предоставление услуг, обучение, внутренние и даже внешние аудиты. Были откорректированы правила документооборота. Сплоченная работа всех вовлеченных сотрудников в проект по удаленной работе стала основным фактором его успеха. Это позволило учесть максимум внешних и внутренних требований.

– Какими ноу-хау вы могли бы поделиться? Достижению каких результатов они способствовали?

– Основным достижением компании ICL Services можно назвать внедрение и использование методологии постоянного улучшения, которое идет не только сверху, от руководства, но и от каждого сотрудника. Мы мотивируем коллег не просто соблюдать процессные документы и требования законодательства, клиентов, но и делать это лучше, а там, где что-то пошло не так, - своевременно реагировать, выявлять причины несоответствий и проводить корректирующие действия. Ко внутреннему аудиту сотрудники относятся не как к ревизионно-контрольному органу, а как к возможности провести экспертную оценку процесса со стороны и при необходимости получить рекомендации по его улучшению. С этой целью любое подразделение/проект может заказать внутренний аудит.

Также мы сделали доступным обращение сотрудников за консультацией в случаях возникновения вопросов (на соответствующую почту compliance) либо несоответствия («красная кнопка» на общем портале, куда может обратиться любой работник, и комплаенс-менеджер организует конфиденциальное расследование каждого случая). Помимо этого, работает внешняя почта compliance, куда могут написать наши клиенты, поставщики и все те, кто так или иначе сталкивался с нашей компанией и хочет сообщить о случаях нарушения.

Таким образом, все сотрудники компании, а также ее партнеры и заказчики вовлечены в комплаенс-активность, минимизируя и предотвращая риски нарушения политик, процессных документов и требований клиентов, снижая вероятность влияния рисков на операционную деятельность и финансовое состояние компании, обеспечивая предоставление услуг высокого качества, соответствующих ожиданиям заказчика.

– Какие тенденции на ИТ-рынке, связанные с комплаенс-политикой, можно отметить? Ваши прогнозы относительно ее дальнейшего развития в отечественных ИТ-компаниях.

– Среди тенденций на ИТ-рынке, связанных с комплаенс-политикой, можно обозначить следующие.

• Развитие технологий (искусственного интеллекта (ИИ), машинного обучения, аналитики данных и др.), перевод бизнеса в онлайн-формат, рост облачных технологий и ряд других факторов приводят к необходимости уделять больше внимания ИБ-комплаенсу.
• Учитывая повсеместное использование интернет-технологий, растущую роль социальных сетей и новостных агрегаторов, высокими становятся репутационные риски: критичными для бизнеса могут стать любые нарушения как этических, так и правовых норм. В этой связи ожидается рост спроса на услуги ИТ-компаний, связанные с мониторингом контента, в том числе с применением ИИ.
• Открываются возможности удаленного комплаенс-контроля, аудита: ИТ-компании будут предлагать соответствующие платформы для реализации этих возможностей.

Резюмируя, можно сказать, что динамичный рост продемонстрируют те ИТ-компании, которым удастся подстроиться под новые реалии и требования бизнеса с учетом постпандемийного сокращения бюджетов и снижения спроса на некоторые ИТ-услуги; а также те, кто сможет эффективно управлять своими рисками.

– Большое спасибо за беседу!