Институт Информационной Безопасности (ISI) продолжает свою исследовательскую и экспертную деятельность в направлении человеческого фактора, и данная статья является кратким обзором круглого стола, в котором приняли участие эксперты института и специалисты страхового рынка.
Следует напомнить, что в марте текущего года в ISI проходил круглый стол на тему «Новая парадигма безопасности для финансовых организаций». С ходом круглого стола, а также выводами экспертов можно ознакомиться на сайте Института.
Несмотря на то, что деятельность страхового бизнеса лицензируется и строго регулируется государством, Вячеслав Черняховский, генеральный директор Ассоциации «Страховой бизнес», оценил влияние человеческого фактора на страховой бизнес в Украине в части операционных рисков как наиболее массовые и наиболее приоритетные.
«В части операционных рисков, кроме пандемии и других природных явлений, человеческий фактор для страховых компаний является основным. Ведь основной ресурс наших компаний – это люди. В страховых компаниях нет станков или иного производственного оборудования, они не занимаются строительством, у них нет на балансе шахт, поэтому люди – наша главная производительная сила. Именно люди зарабатывают деньги: специалисты по продажам и страховые агенты, специалисты по оценке рисков и выплатам, экспертизам, ИТ и региональные менеджеры. И это – основные категории, «человеческий фактор» которых может повлиять на операционный процесс и результаты в страховом бизнесе. А также, к сожалению, создает риски и топ-менеджмент, который в любых условиях, а тем более кризисных и стрессовых, может принимать не лучшие решения для компании. Человеческий фактор по степени влияния, в целом, не имеет катастрофического характера, но он «как моль – может разъесть пальто в нескольких местах и после этого оно просто рассыпается – выглядит как целое, но все в дырках и носить невозможно».
С точки зрения осознания руководством страховых компаний степени негативного влияния и форм проявления человеческого фактора в данном сегменте рынка, эксперт отметил, что чем больше размер компании – начиная от 50-ти сотрудников, тем больше у руководства и собственников понимания всей тяжести последствий влияния человеческого фактора. Зона риска же мелких компаний лежит в плоскости тех процессов, которые обеспечиваются на аутсорсинге.
Павел Педина – эксперт в области финансов, банковского дела, страхования и оценки активов, в своем докладе о влиянии человеческого фактора на деятельность страховых компаний поставил его во главу рисков, аргументируя его статистическими данными, а также отметил, что, зачастую компании классифицируют некую возникшую проблему, как внешнюю угрозу, на самом деле же, ее причина и источник угрозы находится внутри компании:
«Мы начали с нуля, с чистого листа изучать влияние человеческого фактора на страховой рынок из материалов исследований, опубликованных в свободном доступе. Выяснили, что более 50% всех мошенничеств, происходящих в финансовой сфере, совершаются сотрудниками. Мошенничество со стороны сотрудников обходится международным компаниям в сумму более 4 триллионов долларов. У нас в какой-то период между коллегами, которые участвовали в исследовании, началось соревнование –кто найдет самую экзотическую или самую большую сумму влияния человеческого фактора. Вот, например, два самых крупных платежа, которые в банках были отправлены по ошибке – 5 миллиардов долларов и около 900 миллионов долларов. То есть это – стоимость человеческого фактора для компании».
Согласно отчету Ассоциации сертифицированных специалистов по расследованию мошенничества (ACFE) по результатам исследования, проведенного в 2022 году, ежегодно из-за мошенничества сотрудников, компании теряют более 4,7 триллиона долларов.
Согласно заключению экспертов, принявших участие в круглом столе «Новая парадигма безопасности для финансовых организаций», человеческий фактор следует рассматривать исключительно как систему из четырех элементов: человеческие ошибки, инсайдерские угрозы, ошибки, допущенные во время профотбора и ошибки, допущенные в условиях стресса. На данном круглом столе эксперты рассматривали влияние этих четырех факторов непосредственно на деятельность страховых компании на украинском рынке.
Относительно конфигурации влияния отдельных элементов человеческого фактора на страховой бизнес в Украине Вячеслав Черняховский отметил, что все четыре элемента присутствуют, однако в общей структуре влияния они имеют разный удельный вес и отдельно отметил категорию ошибок, допускаемых при профотборе сотрудников в компании:
«Ошибки при профотборе могут быть наиболее опасными для компаний. И чем выше категория сотрудника, то есть чем выше занимаемая должность, тем критичнее. Поскольку в обязанности этих сотрудников входит принятие верхнеуровневых управленческих решений, проведение финансовых операций, начисление заработной платы, комиссионных вознаграждений, проведение финансового мониторинга и т. п. ,а также они имеют доступ к огромному объему информации, в том числе, и к чувствительной, которая может быть использована против компании и ее руководства».
Павел Педина также поддержал эксперта и отметил, что неверный подбор сотрудников в компанию, порождает огромные убытки:
«Первое, конечно же, профотбор – неправильно подобранные люди под действием сроков, скорости, порождают проблемы. Кажется, что горящая вакансия, должна быть в срочном порядке закрыта и не всегда руководитель или собственник в подобных ситуациях подходит к вопросу объективно. И как-то решает эту проблему. Так вот это «как-то» в дальнейшем порождает большие убытки».
Константин Слободянюк – Глава Стратегического совета Института информационной безопасности подчеркнул:
«На этапе подготовки круглого стола «Новая парадигма безопасности для финансовых организаций», отдельные элементы человеческого фактора уже оценивались в неких весовых критериях и получилось, что профотбор имеет самый большой вес – порядка 60% и даже не частоты, а именно объема тяжести. То есть профотбор – это главная проблема».
Павел Владимирович акцентировал внимание на категории человеческих ошибок в структуре человеческого фактора и подчеркнул недооценку их последствий, а они многопроявлены, в том числе, и в страховом бизнесе. Поскольку допускают ошибки все, на всех уровнях управления компанией. А если ошибка допущена руководителем, то она спускается на все нижестоящие уровни.
Вячеслав Черняховский поддержал эксперта и привел пример из практики, как неверные решения владельца бизнеса с внушительными активами, привели практически к полной их потере:
«Это называется «наш гений принял решение». Я работал однажды с таким гением, он был владельцем заводов и прочих активов. У него были очень удачные бизнес-решения в 90-х. Потом, когда бизнес стал более структурированным, когда нужно было заниматься стратегическими вопросами, оптимизировать операционные процессы, связывать между собой большое количество его предприятий, он нанял хороших менеджеров. Но потом ему стало скучно, и он начал вмешиваться в их работу и решения, в оперативное руководство. В результате он сначала лишился высококлассных управленцев, а потом растерял практически все активы».
В ходе дискуссии эксперты приводили примеры существующих инсайдерских угроз: это очень частое явление в украинских компаниях, когда сотрудники, увольняясь, присваивают различные базы данных, в том числе, и клиентские, считая, что это их собственность, несмотря на тот факт, что за эту работу они получали вознаграждение. Также в качестве инсайдерских угроз были приведены примеры продажи сотрудниками информации, которая представляет интерес для конкурентов или третьих лиц; под инсайдерские угрозы также подпадают и сделки купли/продажи компаний, по которым информация была собрана не в полной мере, что приводило к негативным последствиям, вплоть до потери компании. Однако адвокат Ольга Панченко отметила, что инсайдерские угрозы – это более широкое понятие и имеет гораздо больше проявлений:
«Мы за последние три или четыре года провели массу встреч и в Киеве, и в Одессе по инсайдерским угрозам. И первое, что необходимо понимать при работе с какими-то ни было угрозами: какие виды инсайдерских угроз вообще существуют. В институте ISI, благодаря нашему научному руководителю Олегу Викторовичу Мальцеву, выведена классификация инсайдерских угроз, и она практическая. Поскольку он в безопасности проработал более 20 лет. И всего существует восемь видов инсайдерских угроз и к каждому типу существует противодействие.
На что хочу обратить ваше внимание, и это мое личное впечатление. Мне кажется, что большинство украинских бизнесменов с этим работать не совсем настроены. И в этом и заключается одна из ключевых проблем. Когда мы проводили встречи по инсайдерским угрозам, немногие компании к нам прислушались. Но те, кто к нам прислушались, об этом совершенно не пожалели».
Подводя итог круглого стола, отметим, что подобные мероприятия нацелены на повышение уровня информированности о проблематике, на обмен практикой в различных отраслях и выработке определенных обучающих систем, которые могут быть применены совместно со специалистами института в различных отраслях бизнеса.
Источник: https://isi.euasu.org/ru/vliyanie-chelovecheskogo-faktora-na-strahovoj-biznes-v-ukraine-kruglyj-stol-isi/