Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Анна Тарасова
Личный опыт

Внутренний саботаж: самый дорогой риск 2025 года

Внутренний саботаж: самый дорогой риск 2025 года

В 2012 году банк JPMorgan Chase потерял больше 6 миллиардов долларов не из-за кризиса, не из-за санкций и даже не из-за хакеров. Один трейдер в лондонском офисе полтора года спокойно обходил все внутренние контролёры, потому что система была построена так, будто люди внутри компании никогда не ошибаются и не врут.

В России похожих историй десятки — от банков, где кредитные менеджеры годами выдавали займы подставным фирмам, до промышленных гигантов, где закупки превращались в личный бизнес отдельных сотрудников. Внешние угрозы мы научились бояться. Своих — пока нет.

Что такое внутренние риски на самом деле?

Внутренний саботаж: самый дорогой риск 2025 года

Это всё, что может ударить по компании изнутри: ошибка рядового сотрудника, который случайно отправил коммерческое предложение конкурентам; руководитель, который ради квартального бонуса закрывает глаза на подозрительную сделку; системный администратор, который уходит в другую компанию и уносит с собой базу клиентов; корпоративная культура, в которой никто не решается сказать начальству, что «король голый».

По данным Verizon за 2024 год, 82 % всех утечек данных имеют внутренний след — сознательный или случайный.

Почему именно сейчас внутренние риски тоже важны?

Внутренний саботаж: самый дорогой риск 2025 года

Компании стали слишком большими и распределёнными, чтобы управляться «по понятиям». Удалённая работа, облачные хранилища, тысячи сотрудников с доступом к критическим системам — всё это резко увеличило поверхность атаки изнутри. Регуляторы больше не принимают отговорки «мы не заметили»: от Basel IV и европейского DORA до российского 152-ФЗ ответственность за внутренний контроль стала личной — вплоть до дисквалификации топ-менеджеров.

Три линии защиты, которые действительно работают

Внутренний саботаж: самый дорогой риск 2025 года

Классическая модель Institute of Internal Auditors до сих пор лучшая, если её не превращать в формальность.

Первая линия — те, кто каждый день принимает решения: руководители подразделений, казначеи, продажники, айтишники. Именно они должны видеть риски в моменте и иметь простые инструменты, чтобы их гасить: автоматические блокировки, принцип четырёх глаз, обязательное согласование исключений.

Вторая линия — риск-менеджеры, комплаенс, информационная безопасность. Их задача — смотреть на всю картину, собирать сигналы со всей компании и бить тревогу, когда где-то начинает «пахнуть жареным»: растёт количество ручных проводок, сотрудники массово не проходят обучение, в одном отделе вдруг резко выросла текучка.

Третья линия — внутренний аудит. Независимый взгляд со стороны: не «как написано», а «как работает на самом деле». Аудитор может взять реальный доступ бывшего сотрудника и попытаться перевести деньги — и посмотреть, на каком этапе система его остановит.

Главное условие — совет директоров и правление должны получать честную картинку и реальную власть её менять.

Культура, в которой люди перестают молчать

Внутренний саботаж: самый дорогой риск 2025 года

Самая надёжная система контроля рушится, если сотрудники боятся признаться в ошибке или сообщить о нарушении. В компаниях, где за честное «я облажался» сразу следует выговор, люди будут прятать проблемы до последнего. В тех, где руководитель открыто рассказывает, как сам когда-то чуть не угробил сделку на миллиард, подчинённые приходят сами: «У нас тут процесс дырявый, давайте починим, пока не поздно».

Технологии, которые видят то, что не видит человек

Внутренний саботаж: самый дорогой риск 2025 года

Ещё 5-7 лет назад внедрение GRC-систем часто превращалось в дорогую игрушку для галочки: купили лицензии, загрузили политики, а потом раз в квартал кто-то вручную заполнял эксельки. Сегодня всё иначе. Хорошие платформы реально видят то, что раньше можно было заметить только случайно или уже после того, как деньги ушли.

Что именно сейчас умеют современные системы и почему это важно:

  1. Поведенческий анализ. Система понимает, как конкретный сотрудник обычно работает: в какие часы заходит, какие файлы открывает, сколько данных скачивает. Как только поведение отклоняется — сразу тревога.
  2. Автоматическая проверка закупок и платежей. Платформа в реальном времени сравнивает цены с рыночными (через открытые источники и собственные базы), проверяет, не появляется ли один и тот же поставщик слишком часто, не растут ли цены по конкретным позициям.
  3. Связка DLP + HR + физическая охрана. Современные решения уже умеют объединять данные из разных источников. Пример: сотрудник пишет заявление на увольнение → в этот же день начинает копировать клиентскую базу → пытается вынести ноутбук через турникет после 23:00. Три разных системы видят 3 разных события. Интегрированная платформа понимает, что это один и тот же человек и одна и тот же сценарий, и блокирует всё автоматически.
  4. Прогнозирование зон риска. Машинное обучение смотрит не только на явные нарушения, но и на «мягкие» сигналы: падение скорости прохождения обязательных курсов, рост количества ручных корректировок в учётных системах, увеличение числа одобренных исключений из политик, всплеск больничных в чувствительном подразделении. В одном международном банке так предсказали всплеск мошенничества в колл-центре за четыре месяца — успели перестроить процессы и избежать убытков на сотни миллионов.
  5. Тепловые карты и дашборды, которые читают даже члены совета директоров. Самая ценная функция — это не терабайты логов, а 3-5 ключевых метрик, которые показывают реальное состояние дел. Например: «Процент сотрудников с избыточными правами доступа», «Среднее время закрытия инцидентов информационной безопасности», «Количество одобренных исключений из процедур за последние 30 дней». Когда член совета директоров видит, что одна и та же метрика носит красную отметку вот уже 3 квартал подряд, он уже не примет отговорку «всё под контролем».

Лучшие российские и зарубежные решения 2025 года: ServiceNow GRC, MetricStream, RSA Archer, OneTrust, отечественные «Контур.Призма», SearchInform Risk Monitor, InfoWatch Vision, Solar Dozor нового поколения. Главное — не сама система, а то, как её настроили и кто за неё отвечает.

2 наглядных кейса

Внутренний саботаж: самый дорогой риск 2025 года

JPMorgan Chase: как из катастрофы сделали одну из лучших систем в мире

2012 год. Трейдер Бруно Иксил, известный как «Лондонский кит», накапливает позицию в кредитных деривативах размером больше $150 млрд. Портфель начинает трещать, он маскирует убытки, меняет модели оценки, игнорирует лимиты. Итог — убыток $6,2 млрд и один из крупнейших скандалов в истории Уолл-стрит.

Что сделали потом (и это до сих пор образец):

  • Создали должность Chief Risk Officer, который подчиняется напрямую CEO и входит в правление.
  • Полностью переписали более 300 ключевых риск-индикаторов (KRI), включая такие простые вещи, как «размер позиции одного трейдера относительно общего портфеля».
  • Внедрили обязательный ежедневный отчёт по крупнейшим позициям на стол CEO и CRO.
  • Запустили программу «Speak Up, Be Heard» с анонимным каналом и жёстким правилом: ни одно сообщение не остаётся без ответа.
  • Перестроили культуру: теперь любой сотрудник может остановить сделку, если считает её рискованной, без страха за карьеру.

Результат за 12 лет: JPMorgan стабильно входит в тройку самых низкорисковых глобальных банков по версии всех крупных рейтингов, а операционные убытки на единицу выручки — одни из самых низких в отрасли.

Wells Fargo: когда культура важнее любых технологий

2016 год. Выясняется, что сотрудники банка открыли более 3,5 миллионов фальшивых счетов и кредитных карт, чтобы выполнить безумные планы продаж. Люди оформляли продукты на имена реальных клиентов без их ведома, платили за них из своих карманов, лишь бы получить бонус.

Почему это стало возможным:

  • Планы продаж были настолько агрессивными, что выполнить их честно было невозможно.
  • Руководство знало о проблеме минимум с 2011 года, но закрывало глаза — показатели росли.
  • Система внутреннего контроля была настроена на поиск внешних угроз, а не на то, что сотрудники сами будут нарушать закон ради KPI.
  • Канал анонимных сообщений существовал, но 90 % жалоб просто закрывались без расследования.

Последствия:

  • Штрафы и компенсации клиентам — более $3 млрд
  • Увольнение CEO Джона Стампфа
  • Жёсткие ограничения от ФРС на рост активов до 2022 года (фактически банк не мог расти)
  • Потеря репутации, от которой Wells Fargo не оправился до сих пор

Этот кейс преподают во всех бизнес-школах как пример того, что никакие технологии и контролёры не спасут, если тон задаёт руководство, которое готово жертвовать долгосрочным здоровьем компании ради квартальных цифр.

Спокойствие как конкурентное преимущество

Внутренний саботаж: самый дорогой риск 2025 года

Компании, которые научились управлять собой изнутри, получают то, чего не купить ни за какие деньги — спокойный сон руководителя и уверенность инвесторов. В 2025 году это уже не опция, а базовое условие существования. Потому что внешний мир может быть каким угодно. А вот внутри компании все должно быть прозрачно и чисто.

Хотите, чтобы ваши люди сами берегли компанию, как свой собственный дом, и приходили с идеями, как сделать её ещё безопаснее и сильнее?

1
Начать дискуссию