Как проводить проверку на безопасность бизнеса

Большая часть наших адвокатов в прошлом были следователями и работниками правоохранительных органов и сами занимались проведением проверок организаций и предпринимателей.

Знания и определенные хитрости, приобретенные в ходе работы позволяют дать нам некоторые советы для предпринимателей, которые помогут в налаживании отношений с сотрудниками правоохранительных органов.

Общение с ОБЭПовцами начинается, как правило:

• После получения запроса от правоохранительных органов.
• В ходе проведения обследования.
• После вызова на допрос в качестве свидетеля.
• В ходе проведения обыска.

В зависимости от того с чего началось общение с сотрудниками правоохранительных органов, необходимо и избрать тактику общения с сотрудниками. В зависимости от первого общения, можно понять серьёзность причин «знакомства» с сотрудниками правоохранительных органов.

В любом случае главное первоначально занять позицию в общении, чтобы как можно больше узнать информации о проводимых мероприятиях.

10 минут, чтобы узнать с руководителем службы безопасности

Начнем с менее «опасных» вариантов знакомства:

При получении запроса от правоохранительных органов, часто в организациях возникает паника, которую часто подогревают «решалы» и приближенные к ним люди.

Как правило, в данных запросах указаны контактные телефоны. Для налаживания отношений необходимо связаться по данным телефонам и спросить «возможно, дурацкие» вопросы. Вывести их на общение, чтобы узнать как можно больше информации, чем указано в самом допросе. Узнать что им действительно необходимо, а что они ждут дополнительно. Исходя из этого, можно подготовится для последующего общения с правоохранительными органами, принять контрмеры.

При вызове в ОБЭП по повестке или телефону, необходимо выяснить причину вызова, применить психологические уловки, типа «а может мне сразу взять какие – то документы, чтобы более конкретно отвечать на вопросы». Исходя из ответов и понимания ситуации, необходимо принять контрмеры и подготовиться к допросу.

При «знакомстве» с правоохранительными органами в ходе проведения «обыска».

Часто, обыватели называют обыском, может быть не только самим обыском в рамках расследования уголовного дела, но и выемкой, осмотром места происшествия, или целым рядом разных мероприятий. От его вида зависят права и обязанности проверяющих и проверяемых. Самый частый вид подобной проверки – это оперативно-розыскное мероприятие -обследование в рамках проведения ОРД. Данное обследование можно проводить только с согласия проверяемого лица. Обыски регламентируются Уголовно-процессуальным кодексом, а обследования — Инструкцией о порядке проведения сотрудниками органов внутренних дел гласного оперативно-разыскного мероприятия обследование помещений (утверждена приказом МВД от 01.04.2014 г. № 199).

Как правило, данные проверки проводятся в организациях, которые занимаются «сомнительными» делами, освоением бюджетных средств или налоговыми оптимизациями (в том числе, с участием однодневок). Но терять бдительность не должны и добросовестные фирмы. Постановления об обыске или выемке в коммерческих организациях все чаще выносятся по так называемому веерному типу, то есть по адресам местонахождения практически всех контрагентов, которые интересуют правоохранителя.

Безопасность бизнеса: от основ до практики защиты

Оперативники из ОБЭП могут нагрянуть «по заказу» недобросовестного конкурента, который имеет связи в силовых структурах.

Как правило, визиты сотрудников правоохранительных органов обусловлены реальными нарушениями. Фактически в следователь может включить в список компаний, в которых будут проводится обыски исходя из каких-либо отношений с данной компанией. То же самое касается и обследований: для предлога бывает достаточно выявить «однодневку», получить по ней банковскую выписку и опросить номинального директора, который не подтвердит свои полномочия.

Процессуальные документы, позволяющие проводить обследования, обыски часто содержат формальные, обтекаемые формулировки. «Вероятность проверить потом достоверность такой информации (например, при судебном обжаловании проведенного осмотра) равна нулю. Любое взаимоотношение с каким-либо контрагентом, упоминание компании в показаниях.

Заранее необходимо быть готовым к визиту правоохранителей:

1. Внедрить надежную контрольно-пропускную систему, которая позволит компании контролировать вход в офис (правда, эта мера помогает только при проведении добровольных мероприятий), иметь второй выход.
2. Разработать план действий на случай внезапного визита правоохранителей (как на случай пожара), общаться с ними поставить самых психологически устойчивых.
3. Установить режим коммерческой тайны как на документы, так и на электронные носители. Дело в том, что изъятие таких сведений возможно только на основании решения суда.
4. Не хранить в офисе много наличности или печатей сторонних организаций.
5. Как правило, законы о бухучете и налогах не регламентируют, где хранить отчетность. Компания может разработать эти правила сама и закрепить их в учетной политике. По его словам, документы могут храниться в разных подразделениях или другом месте (специальное помещение, отданное под архив). Кроме того, бумаги могут находиться у сторонней организации по договору оказания услуг (бухгалтерских, аудиторских, архивариуса и т.д.).

На практике обыски проходят по-разному, но в основном рано утром или в первые часы работы. Время проведения обыска ничем не ограничено.

Перед тем, как забрать документы или носители, с них дают возможность снять копии. Кроме того, правоохранители могут просить у сотрудников организации какие-то документы. Руководители зачастую готовы добровольно предоставить интересующие предметы, но, тем не менее, осмотр или обыск продолжается. Кроме того, изъятие в виде добровольной выдачи затруднит обжалование его неправомерности.

Работники ОБЭПа могут пытаться задавать вопросы сотрудникам. Но отвечать необязательно. При нежелании общаться можно сослаться на ст. 51 Конституции (никто не обязан свидетельствовать против себя). Если работник все-таки отвечает на вопросы, то он должен придерживаться своей должностной инструкции.

Надо внимательно знакомиться с документами, которые составляются по итогам мероприятия, и обязательно внести в них свои замечания, указав на незаконность его проведения. В случае изъятия бумаг, носителей и так далее – внимательно проверять не только саму опись, но и возможность точно идентифицировать предметы.

Оперативники обычно изымают документацию и носители по принципу «заберем все, а потом вернем, что не пригодилось».

Если среди них обнаружится «черная касса», печати однодневок и т.п., это может закончиться новым уголовным делом, ведь закон обязывает правоохранителей реагировать на признаки совершения преступлений.

Предметы или документы, которые признают доказательствами, не передают обратно. Остальные возвращают, но это может занять довольно много времени и затруднить ведение бизнеса, признают несколько экспертов. В июле 2016 года заработала ст. 81.1 УПК, которая касается ряда преступлений в сфере экономики.

Она дает правоохранителям 10 дней решить, что из изъятого является вещественными доказательствами. Срок может быть продлен на 30 суток руководителем по мотивированному ходатайству следователя – например, если документов очень много. На экспертизу дается максимум три дня. По истечении этих сроков у следователя есть 5 дней, чтобы вернуть все, что ему оказалось не нужно, устанавливает п. 4 ст. 81.1 УПК.

В то же время, статья не распространяется на такие «популярные» для бизнеса составы, как ч. 4 ст. 159 УК (мошенничество в особо крупном размере) и ст. 201 УК (злоупотребление полномочиями).

Чтобы изъятие компьютеров не парализовало деятельность компании, хорошая идея – использовать для работы «облачные технологии», На офисных компьютерах при этом не содержится никакой информации, или самый минимум.

1. Главное правило при общении с сотрудниками правоохранительных органов: «Молчание – золото». (Пример, указывание на фамилии, в протокол обыска может быть занесена любая информация, в том числе разъяснения).
2. Хранить важную документацию в отдельном месте, место которое должны знать только надежные сотрудники компании (или вообще не хранить).
3. При проведении обыска или выемки (помнить об оговорках в ст. 181, 182 УПК РФ).
4. При ведении переговоров использовать закрытые каналы связи, а лучше беседовать лично (пример -10 номеров, и частая их замена).
5. Необходимо наладить хорошие отношения с представителями правоохранительных органов.
6. Конкретные методы защиты при проведении проверок и следственных действий.

И в конце – не будем оригинальными – лучше взаимодействовать с опытными адвокатами при опасности проверки со стороны ОБЭП и иных служб, так вы сможете быть защищены от ошибок.

Нужна консультация адвоката?

Проверка контрагентов службой безопасности

Рассказываем о цели и инструментах, приводим примерный порядок проведения проверки контрагента, открываем доступ к готовым регламентам проверки контрагента – на платежеспособность и налоговую безопасность.

Цели проверки контрагентов

Служба безопасности проверяет контрагента с целью:

1. Минимизации рисков образования проблемной дебиторской задолженности. Самая частая причина проверки контрагента. Анализ информации из открытых (ФНС, Арбитражный суд) и закрытых (базы данных, бюро кредитных историй) источников информации позволяет сделать оценку платежной дисциплины контрагента и сделать прогноз по формированию им проблемной (невозвратной) «дебитрки».
2. Снижения рисков отказа со стороны налоговых органов в возмещении НДС. Непроявление должной осмотрительности при выборе контрагента, предъявленный к вычету НДС налоговая может вернуть. Также чревато взаимодействие с неблагонадежными контрагентами встречными проверками, предъявлением иска по п.3 ст.122 НК (Неуплата или неполная уплата сумм налога).
3. Укрепления деловой репутации. Неблагонадежные контрагенты и мошеннические организации теряют всякий интерес к взаимодействию с предприятием, на котором должным образом организована работы службы безопасности.
4. Повышения дисциплины труда сотрудников отделов сбыта и снабжения. Регулярные проверки контрагентов оставляют мало «места для маневров» нечистым на руку сотрудникам, использующем механизм «отката» в работе с поставщиками товаров или услуг, покупателями.

Способы проверки контрагентов службой безопасности

Способы проверки контрагента выбирают сообразно цели. Условно разделить способы проверки можно на две большие группы – информационные и физические. К информационным относятся сбор и анализ данных из информационных баз и источников. К физическим – проверка реальных активов торговых и производственных компаний, выезд по месту фактического нахождения, оценка торгового и производственного оборудования, собеседования сотрудников предприятия-контрагента.

Виктор Смирнов, специалист службы безопасности дорожно-строительной компании

— Мы выполняем строительные работы на основании договора субподряда. Специфика отрасли такова, что мы зачастую вынуждены работать без предоплаты, за свой счет, используя собственные кадры и технику.

Для этого мы проверяем компанию-подрядчика на предмет исполнения договорных обязательств. В числе проверок – встречи с другими субподрядными организациями, с которыми компания-подрядчик сотрудничала ранее. В ходе встреч мы выясняем, насколько своевременно и согласно договоренностям поступила оплата за выполненные работы, если возникали сложности с получением денежных средств, то какого рода и насколько критичными были задержки. Только после этого руководство компании принимает решение о том, взять ли предложенный объем работ или отказаться от взаимодействия.

Регламент проверки контрагентов службой безопасности

Перед тем как выполнять проверку контрагента следует запросить у него минимальный перечень документов.

Стартовый регламент проверки контрагента – проверка компании-партнера на существование и соответствие предоставленной информации реальному положению дел. Проверяются ИНН и ОГРН, полное и краткое наименование компании, ОКВЭДы, размер уставного капитала, изыскивается информация об учредителях и руководителях предприятия. Регламент предписывает получение сведений о регистрации компании в «адресных ямах», о нахождении руководителей в списках дисквалифицированных лиц, о задолженности юридического лица по налогам и сборам, об их участии в арбитражных процессах или в исполнительных производствах.

Чаще служба безопасности проверяет контрагента только в том случае, если сделка с ним представляется высоко рискованной. К такого рода сделкам относятся:

• Сделки по поставке или купле-продажи на сумму свыше 1 млн руб.,
• Договоры подряда или субподряда, оказания услуг или выполнения работ на сумму свыше 1 млн руб.
• Перевозка на сумму свыше 300000 руб.
• Оказание информационных, консультационных, юридических и маркетинговых услуг на сумму свыше 500000 руб.

Тогда применяется расширенный регламент проверки контрагента. Он включает в себя стартовый (базовый) уровень проверок, и дополняет эти сведения детальным анализом финансового состояния контрагента, проверку его кредитной истории.

В бухгалтерской отчетности проверяющую сторону интересуют отчет о прибылях и убытках за несколько лет. Компания-контрагент должна показывать устойчивый рост. А также пассивы – долгосрочные и краткосрочные обязательства.

В кредитной истории важно отсутствие просроченной задолженности, повышенного интереса к получению кредита в момент сделки, следов «кассовых разрывов» (периодически возникающих просрочек по платежу при в целом стабильной оплате счета).

Для того, чтобы иметь оперативный доступ к оценке платежной дисциплине компании-партнера и состоянию ее долговой нагрузки вы можете вести мониторинг контрагентов на Unirate24. В момент наступления события вы узнаете о наступлении просрочки и сможете оперативно взыскать всю или часть дебиторской задолженности по контрагенту.

Также принимаются во внимание индексы должной осмотрительности и платежной дисциплины (их можно найти в бизнес-справке СПАРК).

Порядок проверки контрагентов на предприятии определяет начальник службы безопасности и/или генеральный директор. В зависимости от целей проверки, конкретный набор инструментов и порядок их запроса могут разниться от компании к компании. Начальник СБ составляет приказ и подписывает его у генерального директора.

Каждый сотрудник отдела безопасности, допущенный к проверкам контрагентов, ознакамливается с документом. Сотрудник несет ответственность за качество проверки, соответствие ее результатов действительности. Не допускается халатное отношение к проверочным мероприятиям, опущение этапов проверки, умышленное искажение результатов.

Для вашей работы могут быть полезны следующие регламенты (нажмите на ссылку, чтобы открыть и скачать документ):

• Регламент проверки контрагента на платежеспособность
• Регламент проверки контрагента по уплате НДС для бухгалтеров
• Регламент проверки сотрудника/соискателя (бонус).

Заключение службы безопасности по проверке контрагента

При проверке контрагента служба безопасности действует в связке с отделом продаж, финансовым отделом компании. В этом случае ее заключение носит рекомендательный характер и может быть выдано в форме сводной таблицы характеристик контрагента и результирующим заключением. Например, так:

Более 5 заявок на кредитную линию за последний месяц

Может заключение службы безопасности носить и блокирующий характер. Сделки с контрагентами, имеющими признаки фирм-однодневок, опыт неисполнения платежей, обладающими чрезмерной долговой нагрузкой способны нанести значительный ущерб предприятию.

Консолидированный отчет. Балансы, прибыли и убытки, арбитраж, лицензии, структура, индексы должной осмотрительности и финансового риска, ЕГРЮЛ, вестник ЕГРЮЛ.

выписка из егрюл

ОГРН, ИНН, ОКВЭД. Контакты, реквизиты. Уставной капитал. Дочерние компании. Учет в налоговой, регистрация в ПФ, ФСС, ФОМС.

Лицензии, свидетельства.

Кредитный отчет контрагента

Проверка исполнения контрагентом кредитных обязательств. Оценка рисков. Определение лимита дебиторской задолженности.

Начните проверку сейчас

Это не займет много времени. Отчет придет уже через 1 секунду.

Источник: www.unirate24.ru

Чем отличаются внутренний и внешний аудит информационной безопасности

Когда речь идет об информационной безопасности компании, лучше несколько раз перестраховаться, чем один раз пострадать от утечки информации, кибератаки или кражи данных. Каждый инцидент ИБ обычно оборачивается для бизнеса финансовыми потерями и репутационным рискам, при которых даже лояльные клиенты теряют доверие к компании. Проверить ИТ-инфраструктуру и процессы ИБ можно с помощью аудита информационной безопасности: внутреннего и внешнего. В материале мы вместе со специалистами ITGLOBAL.COM Security разбираемся, зачем проводить аудит ИБ и в чем сходства и различия внешнего и внутреннего аудита.

Для чего нужен аудит ИБ

Бизнес проводит аудит ИБ, чтобы повысить уровень информационной безопасности в целом, убедиться в защищенности ИТ-инфраструктуры, оценить зрелость процессов ИБ и получить подробный отчет с рекомендациями по их совершенствованию. Внутренний аудит больше направлен на обеспечение самоконтроля, когда специалисты компании самостоятельно находят слабые места в своей ИБ и устраняют их. Например, настраивают права доступа к приложениям и компонентам ИТ-инфраструктуры по принципу минимальных привилегий. Внешний аудит помогает получить объективную оценку состояния защищенности ИТ-инфраструктуры и процессов ИБ компании от сторонней организации. Чаще всего его проводят, когда произошел инцидент информационной безопасности или нужно проверить соответствие ИБ требованиям нормативно-правовых актов РФ.

Как понять, что вашему бизнесу нужен аудит

• сотрудник ИБ-отдела проверяет, как защищены данные компании и устроены процессы информационной безопасности в ИТ-департаменте;
• руководитель ИБ-отдела проверяет процессы и работу сотрудников в своем отделе.

Данные, которые необходимо защищать, зависят от сферы деятельности компании. Это может быть гостайна, коммерческая тайна или персональные данные клиентов.

Внешний аудит может инициировать сам бизнес, когда произошел инцидент ИБ и нужно предотвратить подобные ситуации в будущем. Или когда у регулятора есть требования по ИБ, которым должна соответствовать компания. Например, для банков, финансовых и государственных организаций проведение внешнего аудита — это обязанность, которая прописана в нормативных актах РФ и ГОСТ.

Когда нужно проводить дополнительную внешнюю проверку:

• появляются новые требования регулятора;
• происходит реорганизация компании;
• меняются специалисты на ключевых ИТ-должностях;
• появляются новые стратегические бизнес-планы;
• руководство оценивает активы компании;
• трансформируются процессы систем управления ИБ;
• топ-менеджеры оценивают квалификацию сотрудников ИТ/ИБ-отделов.

Кто проводит аудит ИБ

Внутренний аудит информационной безопасности компания проводит силами своего отдела по ИБ и ИТ-департамента. В отличии от внутреннего, внешний аудит ИБ — это независимая проверка, которую бизнес заказывает у сторонней лицензированной компании. Например, у ITGLOBAL.COM Security есть следующие лицензии на проведение аудиторской деятельности :

• ФСТЭК (Федеральной службы по техническому и экспортному контролю) на ТЗКИ (Техническую защиту конфиденциальной информации);
• лицензия ФСБ на криптографию;
• сертификат ISO 27001 (Стандарт менеджмента информационной безопасности).

Как подготовиться к аудиту

Внешний аудит проводят сторонние организации, поэтому подготовка немного отличается. Например, специалисты ITGLOBAL.COM Security перед началом работы обязательно подписывают с клиентом NDA, фиксируют в договоре требования бизнеса к проверке, в том числе информацию о том, что является защищаемой информацией (персональные данные, гостайна и т.д) и где проходят границы проведения аудита ИБ.

Затем аудиторы изучают бизнес-процессы компании, состав и настройки ИТ- инфраструктуры и прикладных сервисов, проверяют текущие настройки систем защиты информации (СЗИ). Делают вывод, каким компонентам ИТ-инфраструктуры и процессам необходимо уделить особое внимание.

Что проверяют в ходе аудита

С помощью внутреннего аудита можно проверить, как организованы процессы информационной безопасности в компании. Например, найти не заблокированные учетные записи, когда уволенный сотрудник все еще может зайти в ИТ-инфраструктуру компании от своего имени, украсть конфиденциальную информацию и продать ее конкурентам.

В ходе внутреннего аудита специалисты:

• устанавливают права доступа сотрудников к информации;
• проверяют состояние средств защиты данных;
• проверяют информированность сотрудников о внутренних правилах ИБ.

Внешний аудит больше направлен на оценку защищенности ИТ-инфраструктуры и степени ее устойчивости к угрозам, рискам утечки данных и проблемам с их защитой. Причем как на уровне сети, так и на уровне отдельных компонентов информационной системы. В ходе внешнего аудита специалисты проверяют:

• состояние ИТ-инфраструктуры, оборудования и корпоративного ПО;
• состояние ИБ-систем и процессов, уровень защищенности данных, настройки доступов к ним;
• квалификацию ИТ-специалистов компании.

Как часто проводить аудит

Периодичность проведения внутреннего аудита определяет сама компания: раз в месяц, два месяца или полгода. Специалисты ITGLOBAL.COM Security советуют проводить внутренний аудит 4 раза в год. Внешний аудит необходимо проводить не реже одного-двух раз в год, но все зависит от задач бизнеса и влияния информационной безопасности на деятельность компании.

Чем отличаются результаты внутреннего и внешнего аудита

По итогам внутреннего и внешнего аудита специалисты формируют подробные отчеты с информацией о защищенности ИТ-инфраструктуры, состоянию процессов ИБ и соответствии (или несоответствии) их международным best practices. Отчеты отличаются только тем, что по внутреннему аудиту его готовят специалисты отдела ИБ компании, а по внешнему — сертифицированные специалисты сторонней организации. После получения развернутого отчета по внешнему аудиту компания может самостоятельно или с помощью специалистов ITGLOBAL.COM Security устранить несоответствия.

Саммари: главные различия внутреннего и внешнего аудита

1. Цель. Основная цель аудитов — повышение уровня информационной безопасности компании в целом. Но внутренний аудит больше направлен на обеспечение самоконтроля, а внешний направлен на выстраивание процессов ИБ в соответствии с лучшими мировыми практиками и требованиями нормативно-правовых актов.
2. Обстоятельства. Внутренний аудит — это регулярная проверка, для которой не нужен особый повод. Внешний аудит компания проводит по своей инициативе (например, когда произошел инцидент ИБ) или по требованию регуляторов. Это касается банков, финансовых или государственных организаций.
3. Аудитор. Внутренний аудит компания проводит самостоятельно силами собственного отдела по ИБ, а внешний — независимая сторонняя организация, у которой есть все необходимые сертификаты: ФСТЭК России по деятельности ТЗКИ, ФСБ, сертификат ISO 27001 .
4. Подготовка. Перед внутренним аудитом специалисты отдела ИБ готовят внутренний документ, в котором расписывают весь процесс проверки. Перед внешним аудитом компания заключает договор со сторонней организацией, которая предварительно погружается в бизнес-процессы компании и изучает ее процессы ИБ.
5. Предмет проверки. В ходе внутреннего аудита специалисты компании проверяют права доступа сотрудников к конфиденциальной информации, учетные записи и т.д. Внешний аудит больше направлен на проверку защищенности ИТ-инфраструктуры в целом и процессы ИБ.
6. Периодичность . Внутреннюю проверку специалисты ITGLOBAL.COM Security советуют проводить 4 раза в год, а внешнюю не реже одного-двух раз в год. Но все зависит от задач бизнеса и влияния ИБ на деятельность компании.
7. Отчетность. По результатам аудитов специалисты составляют подробный отчет о состоянии процессов ИБ и дают рекомендации, что необходимо исправить, чтобы они соответствовали лучшим мировым практикам. Отличие лишь в том, что отчет по внешнему аудиту пишут независимые эксперты, поэтому бизнес получает более полную и объективную информацию.

Источник: itglobal.com