– Асель, какие формы работы в ИТ-сфере можно назвать традиционными и наиболее распространенными?
– Комплаенс-политика в ИТ-компаниях развивается от классических финансового и юридического комплаенса со стороны собственника и соответствующих регуляторов до антимонопольного и антикоррупционного комплаенса, соблюдения законодательства в сфере защиты данных (персональных данных, коммерческой безопасности, интеллектуальной собственности) в зависимости от степени зрелости компании и ее контрагентов.
– Какие мероприятия включает комплаенс-политика в вашей компании?
– Сейчас каждый пользователь мировых платформ, таких как Facebook, Google и Apple, сталкивается с тем, что там существуют свои правила/политики, которые необходимо соблюдать, иначе тебя заблокируют/внесут в черный список. Сегодня даже дети обучаются цифровому этикету и правилам безопасности в сети. Не являются исключением и представители бизнеса, которые устанавливают собственные принципы и стандарты управления, учитывая требования законодательства и заинтересованных сторон. Одной из таких компаний является ИТ-компания ICL Services, основная цель которой - оказание ИТ-услуг заказчикам на высоком качественном уровне при одновременном обеспечении сохранности данных и доступности сервисов, непрерывности их функционирования. При соблюдении этих условий клиенты компании должны получать ожидаемую ценность в рамках реализации своих задач.
Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова
Для обеспечения качества работы компания ICL Services выстраивает свои бизнес-процессы с учетом действующего законодательства, требований заказчиков и заинтересованных сторон; обучает сотрудников и осуществляет контроль над исполнением установленных требований; внедряет и поддерживает системы менеджмента (по международным стандартам ISO 9001, 14001, 20000, 27001).
Чтобы этот механизм работал, недостаточно иметь одну комплаенс-службу, в нашей компании каждый владелец процесса/руководитель проекта несет ответственность за надлежащие результаты процесса/проекта и его совершенствование, за управление рисками и проблемами, возникающими в ходе реализации задач. Комплаенс-менеджер, в свою очередь, координирует и поддерживает функционирование этого механизма.
Для ICL Services наличие работающей системы управления соответствием и рисками является не только показателем зрелости бизнеса, но и эффективным инструментом, позволяющим сохранить и увеличить темпы развития. В то же время внедрение и использование таких инструментов должны быть простыми и понятными, чтобы освоение технологий, направленных на улучшение показателей бизнеса, не обратилось головной болью для всей компании.
Особое внимание в рамках комплаенс-политики компании уделяется вопросам обеспечения ИБ. Уровень доверительности отношений с крупными заказчиками на российском и международном рынке в значительной степени определяется способностью компании ICL Services управлять информационной безопасностью. Инциденты, связанные с нарушением ИБ, могут привести к потере доверия со стороны как уже имеющихся, так и потенциальных клиентов. Поэтому соблюдение всех необходимых ИБ-правил является неотъемлемой частью наших бизнес-процессов.
Источниками требований информационной безопасности для компании являются требования законодательства, договорные обязательства и другие документально закрепленные требования внутренних и внешних заинтересованных сторон.
Особое внимание уделяется организации системы комплаенса в области защиты персональных данных. Исполнение требований национального законодательства гарантирует безопасность персональных данных в отношении как собственного персонала, так и заказчиков. Учитывая ориентацию услуг в том числе и на европейский рынок, в компании также внедрены меры, отвечающие требованиям законодательства Евросоюза по обработке персональных данных (GDPR).
В компании применяется риск-ориентированный подход. Организационные и технические меры информационной безопасности внедряются по результатам оценки рисков, представляющей собой непрерывный процесс. Эффективность системы управления информационной безопасностью компании подтверждается сертификатом соответствия международному стандарту ISO\IEC 27001:2013.
Так как сотрудники – главный актив компании, важную роль в комплаенс-политике играют также:
– А какие новые формы работы появляются?
– Обеспечение требований комплаенс-политики в компании ICL Services продолжилось и в условиях новой реальности - глобального распространения пандемии COVID-19. В самом начале пандемии компания безболезненно перевела на удаленный формат работы около 90 % сотрудников, обеспечив при этом не только их безопасность, но и полностью выполнив требования третьих сторон (законодательства, клиентов, поставщиков и подрядчиков, международных стандартов управления). При этом многие процессы были переведены в онлайн формат: собеседование с кандидатами, проведение совещаний, стратегических сессий, воркшопов, ревью проектов с заказчиками, предоставление услуг, обучение, внутренние и даже внешние аудиты. Были откорректированы правила документооборота. Сплоченная работа всех вовлеченных сотрудников в проект по удаленной работе стала основным фактором его успеха. Это позволило учесть максимум внешних и внутренних требований.
– Какими ноу-хау вы могли бы поделиться? Достижению каких результатов они способствовали?
– Основным достижением компании ICL Services можно назвать внедрение и использование методологии постоянного улучшения, которое идет не только сверху, от руководства, но и от каждого сотрудника. Мы мотивируем коллег не просто соблюдать процессные документы и требования законодательства, клиентов, но и делать это лучше, а там, где что-то пошло не так, - своевременно реагировать, выявлять причины несоответствий и проводить корректирующие действия. Ко внутреннему аудиту сотрудники относятся не как к ревизионно-контрольному органу, а как к возможности провести экспертную оценку процесса со стороны и при необходимости получить рекомендации по его улучшению. С этой целью любое подразделение/проект может заказать внутренний аудит.
Также мы сделали доступным обращение сотрудников за консультацией в случаях возникновения вопросов (на соответствующую почту compliance) либо несоответствия («красная кнопка» на общем портале, куда может обратиться любой работник, и комплаенс-менеджер организует конфиденциальное расследование каждого случая). Помимо этого, работает внешняя почта compliance, куда могут написать наши клиенты, поставщики и все те, кто так или иначе сталкивался с нашей компанией и хочет сообщить о случаях нарушения.
Таким образом, все сотрудники компании, а также ее партнеры и заказчики вовлечены в комплаенс-активность, минимизируя и предотвращая риски нарушения политик, процессных документов и требований клиентов, снижая вероятность влияния рисков на операционную деятельность и финансовое состояние компании, обеспечивая предоставление услуг высокого качества, соответствующих ожиданиям заказчика.
– Какие тенденции на ИТ-рынке, связанные с комплаенс-политикой, можно отметить? Ваши прогнозы относительно ее дальнейшего развития в отечественных ИТ-компаниях.
– Среди тенденций на ИТ-рынке, связанных с комплаенс-политикой, можно обозначить следующие.
Резюмируя, можно сказать, что динамичный рост продемонстрируют те ИТ-компании, которым удастся подстроиться под новые реалии и требования бизнеса с учетом постпандемийного сокращения бюджетов и снижения спроса на некоторые ИТ-услуги; а также те, кто сможет эффективно управлять своими рисками.
– Большое спасибо за беседу!