ФОРЕНЗИК – MUST HAVE УКРАИНСКОГО БИЗНЕСА

20 июля 2018
Татьяна Андрианова
Генеральный директор Nota Group, член правления Ассоциации профессионалов корпоративной безопасности Украины, глава комитета корпоративной безопасности Группы компаний "Октава"
20 июля 2018

Слово «форензик» происходит от латинского «forensic» – форум или публичные дискуссии. Первоначально оно использовалось в Древнем Риме и применялось к торговым площадям, где проходило множество сделок, кипела общественная жизнь, люди на дебатах доказывали свою правоту.

Новый мир – новые реалии. Но если задуматься, современное значение слова «форензик» ушло не так далеко от истоков. В деловом мире оно используется для обозначения комплекса мер по выявлению мошеннических схем в компании как среди рядовых сотрудников, так и организованных топ-менеджерами. Это могут быть махинации в отчетностях или финансовых операциях, воровство при закупках, вовлечение в информационный шпионаж, взяточничество, присвоение активов и проч. Согласно статистике, корпоративное мошенничество – явление далеко не редкое. Чаще всего оно возникает в финансовых департаментах, в отделах закупок, продаж, порой попадаются и топ-менеджеры. И, как правило, чем выше на карьерной лестнице находится мошенник – тем больше убытков он может принести компании.

Вывести на чистую воду

В силу своей профессии не могу даже сосчитать, сколько раз в жизни слышала фразу: «Я знаю, что у меня воруют. Но не понимаю, кто и где». Это нередкая ситуация, ведь собственник просто не в состоянии отследить все процессы, происходящие на его предприятии, тем более проконтролировать всех сотрудников, особенно когда речь о штате в несколько сотен, а то и тысяч человек. И в таких случаях привлекают специалистов по форензику.

Один человек провести аудит не в состоянии. Невозможно быть экспертом во всем, а данный анализ требует узких специализированных знаний во многих направлениях. Эффективная команда по форензику состоит из юристов, экономистов, бухгалтеров, возможно, бывших сотрудников полиции – оперативников и аналитиков, и даже психологов. Эти люди могут работать над одним предприятием несколько месяцев, чтобы в конце проверки предоставить владельцу полный отчет по всем процессам в его компании.

Как происходит в действительности

Теперь поговорим о наших реалиях. Услуги по проведению форензика – относительно новое явление на рынке консалтинга, даже для западного бизнеса. А понимание важности данных процедур для стабильного развития бизнеса приходит к украинским предпринимателям очень медленно. Специалистов по форензику нанимают неохотно и как-то с опаской. Чтобы понять причины такой настороженности, я получила мнениене одного бизнесмена. Оказалось, дело не в деньгах, а в страхе вынести сор из избы.

На практике же могу сказать, что проведение независимого расследования аутсорсинговой компанией намного продуктивнее. Во-первых, это сохраняет здоровый климат в коллективе. Ведь во всем можно винить «того неизвестного дядю», а не коллегу, с которым пьешь кофе каждое утро. Во-вторых, нанятая команда имеет за спиной немалый опыт проведения подобных расследований, поэтому они сделают все более качественно и оперативно. И, в-третьих, ни одна компания, дорожащая своей репутацией, не станет выносить сор из избы клиента. Информация скорее выплывет через обиженных сотрудников.

Ситуации из жизни

Один владелец крупного бизнеса потерял миллионы из-за мошенничества своего топ-менеджера, который долгое время искажал финансовую отчетность, а собственник на основании этого принимал неверные управленческие решения.

Другой крупный бизнесмен чуть было не лишился всего из-за регулярной передачи информации о компании конкурентам в течение многих лет. Ему удалось сохранить предприятие, но данная ситуация отбросила его бизнес на несколько лет назад.

После увольнения коммерческого директора одной из компаний возникла проблема потери ею «золотого» статуса как агента по продаже товаров от одного из ключевых поставщиков. В результате проведенногофинансового расследования были вскрыты следующие факты:

  1. нецелевое использование денежных средств, полученных в качестве 100%-й предоплаты за товары, и использование их в качестве депозита;
  2. получение дополнительного дохода генеральным и финансовым директорами компании, что не было отражено в бухгалтерских операциях и отчетности;
  3. несвоевременная и искусственно отложенная на квартал покупка валют, необходимых для выполнения контрактов;
  4. нарушение сроков оплаты поставщикам за отгруженные товары c последующей оплатой штрафов;
  5. покупка валют на бирже по галопирующему курсу;
  6. использование директором личных валютных денежных средств как кредитных, оформленных по чрезвычайно завышенной процентной ставке через фиктивный договор финансовой помощи.

Еще один кейс – по результатам годовых отчетов, предоставляемых менеджментом строительной компании, выявили ее постоянную потребность  в оборотных средствах, несмотря на достаточный объем кредитования. У финансово-аудиторского комитета холдинга и акционеров возникло подозрение, что контрактные оплаты за товары и услуги по предоплате используются менеджментом компании нецелевым образом.

В ходе расследования выяснилось:

  1. контракты подписывались с завышенной стоимостью или были фиктивными по уже выполненным работам;
  2. количество расходуемых материалов значительно преувеличено;
  3. объемы работ «задваивались»;
  4. привлекался низкоквалифицированный дешевый персонал – компания была вынуждена постоянно проводить гарантийные работы.

Доказательств было более чем достаточно, чтобы отстранить менеджеров  и возбудить в отношении них уголовные дела по факту доведения компании до банкротства. А ведь этого можно было бы избежать, если бы специалистов по форензику привлекли на ранних этапах. Тут вспоминается ставшая уже крылатой фраза  Уинстона Черчилля: «За безопасность стоит платить, а за ее отсутствие – расплачиваться».

Татьяна Андрианова, адвокат, директор по правовым вопросам компании «Октава Капитал»

Источник

Другие новости

21 августа 2018
Учим детей английскому: советы от бизнес-мам
Успешные бизнесвумен и по совместительству заботливые мамы рассказали, как сделать так, чтобы языковой барьер не стал ограничением в карьере нашего будущего лидера. Каждый родитель мечтает, чтобы его малыш покорил мир и стал настоящим лидером. И в этом без знания английского ему не обойтись. Так с какого возраста лучше начинать заниматься с ребенком иностранным языком и как развить интерес к его изучению? САМЫМ МАЛЕНЬКИМ. По словам вице-президента компании «ИТ-Интегратор» Надежды Омельченко, формирующая среда для ребенка начинается с самого рождения: «До словесной основы языка закладывается сначала слуховая. Потому очень важно, чтобы малыш слышал английскую речь, пусть даже пока и не понимал. И важный первый этап - выучить язык самим родителям. Тогда они смогут разговаривать с дитем, петь ему песни и колыбельные на английском. Если же язык вы еще не выучили, можно время от времени ставить ребенку английские песенки в записи или включать мультики на английском. В любом случае с этим советую поторопиться, потому что более серьезное изучение языка можно начинать уже с трех лет и лучше не ограничивать обучение ребенка только кружками или репетитором». Генеральный директор Nota Group Татьяна Андрианова советует переводить обучение в игровую форму, когда ребенок немного подрастает: "Например, мы собирали английские слова из кубиков. А еще придумали сказку про кота, который приехал из Англии и говорил только на английском. И постоянно попадал в разные ситуации, а ребенок подсказывал, что должен сказать котик, чтобы их решить. Потом у нас появилась игрушка – она выглядит как шар, который можно друг другу бросать. Говоришь в него английское слово, бросаешь ребенку, он слушает слово и повторяет его вслух, ну а дальше уже его очередь сделать то же самое и кинуть шар маме или папе". Согласна с ней и Надежда Омельченко: "Если родители говорят на английском хотя бы минимально, то любая игровая ситуация становится обучающей. Например, можно устраивать английское чаепитие с куклами или поиграть в «Формулу-1». Но тут нужно учитывать, что у дошкольников лимит внимания – не более 10 минут. Это значит, что вид развлечений придется менять очень часто. Также мы с дочкой поем вместе песни или слушаем английские курсы пока едем в машине. А с детьми постарше можно разрабатывать лексику, играя в Элиос или Показуху на английском". МОТИВАЦИЯ. Чем старше становится ребенок, тем сложнее родителям находить правильные аргументы в пользу дополнительных уроков. И тут наши бизнес-мамы сошлись во мнении, что важно чуток мотивировать и вдохновлять свое чадо. Надежда Омельченко говорит: "Важно показать малышу, что английский – это не какой-то непрактичный предмет, а очень даже применимый. Он должен понимать, что язык пригодится не когда-нибудь в будущем, когда мы поедем в другую страну, а на нем говорят прямо здесь и сейчас. Тогда для него станет естественным разговаривать на английском, пусть даже с ошибками. Методика заучить-написать с детьми не работает, язык должен быть легче и проще. Вот вам один из эффективных приемов: в зависимости от возраста и интересов выбираем лексику определенного места или вида деятельности. Например, сначала учим все об аквапарке, канатном парке или танцах, а потом идем с ребенком в это место пробовать все на практике. Отличная мотивация!" Такого же мнения придерживается и Татьяна Андрианова: "У нас в семье разработана система мотивации. Например, если ребенок просил купить шоколадку – он должен был сказать название сладости на английском языке. В более старшем возрасте отлично работает погружение в среду. Есть поездки, где ребенок живет в английской семье и, естественно, общается с ними только на английском. Такая поездка за месяц дает больше, чем год изучения языка в стране. Еще дома мы сейчас играем в монополию на английском языке. То есть учимся не только считать, вести бюджет, но и параллельно изучаем язык. А с недавних пор мы делаем всей семьей по утрам зарядку и названия всех упражнений говорим на английском". Источник: Ivona
Подробнее
17 августа 2018
А ось і перші порушники GDPR
20 липня CNIL, орган, відповідальний за GDPR-страшилки у Франції, видав перші 2 попередження за порушення GDPR. Перші 2 в історії за перші в історії (виявлені) порушення. Прилетіли такі попередження стартапам — Fidzup та Teemo. Компаніям із непоганим портфелем венчурних інвестицій, призначеними посадовими особами із захисту персональних даних та пафосними релізами про GDPR-комплаєнс. Ці попередження — чудова можливість для юристів озброїтися раціонально-практичними аргументами: для чого готувати тонну документів та рекомендацій, пов’язаних з GDPR. Кому першому не пощастило Давайте чесно, ми всі чекали, коли хтось попадеться. Багато хто тримав пальці схрещеними “тільки не нас, тільки не нас”. І ось перші попалися. Обидві компанії — не випадкові мішені невблаганного фатуму. Погодьтеся, регулятору було важко пройти повз гучні маркетингові заяви, на кшталт “4 долари за тисячу користувачів для вашого сайту” або “4 тисячі доларів за мільйон користувачів”. Чи то така політика, чи то попередній скандал з Cambridge Analytica привернули увагу до обох стартапів. Але обидва стартапи, описані як схеми “заплати-за-дані” (pay-for-data), уже давно були в полі зору медіа. Про них писали BuzzFeed, обидві компанії потрапили до Звіту Yale Privacy Lab — Єльського гуртка за інтересами, пов’язаними з персональними даними. Де, крім цих компаній, також згадувалися DoubleClick, Braze, Millennial Media та інші. Крім цього, у травні Apple прибрав із App Store усі додатки, які використовували послуги Teemo та Fidzup. Цього було замало. Здається, хлопці гадали, що кожен учасник компанії має абсолютний дипломатичний імунітет і прививку від GDPR. Однак, таке викривлене тлумачення Віденської конвенції про дипломатичні зносини та неправильне розуміння основ вакцинації не сподобалося CNIL. Який і дав кожній із них 3 місяці, аби взятися за розум. Що було не так? Обидві компанії займалися геотаргентингом. Для цього вони збирали геолокаційні дані осіб — користувачів мобільних додатків, які належали B2B-партнерам Fidzup та Teemo. Обробка персональних даних починалася одразу після завантаження додатку партнера. Працювало це так: завантажується додаток – збираються дані – обробляються дані - приходять pop-up windows таргетингової реклами – здійснюється авторизація в додатку (можливо) і нарешті –> надається згода на певну обробку (можливо). Що у цій схемці не комільфо? Те, що останні 2 елементи цього ланцюжка стоять наприкінці, а не 2- чи 3-ми відповідно. А хіба це не проблема власників додатків, що вони не одержали згоду? Не зовсім. У цьому ланцюжку Fidzup та Teemo збирали дані та визначали мету їхньої обробки. Мова йде про дані, одержані внаслідок факту завантаження певних аплікашок. За це — заслужений титул контролера (володільця) даних. І в частині збору геолокаційних даних саме дует Teemo-Fidzup повинен нести відповідальність за порушення GDPR. Детальніше про кожну з компаній Teemo використовувавSDK(такий собі інструмент), за допомогою якого оброблялися дані геолокації користувачів додатку (точніше — завантажувачів додатку) та унікальний рекламний ID. Це відбувалося без відома юзерів і ще до того моменту, коли певний додаток був запущений. Якщо партнери вже давно випустили додаток на ринок і мали своїх користувачів, Teemo’s SDK починав збирати дані користувачів після першого оновлення додатку (авжеж, без повідомлення юзерів). З урахуванням даних, які накладалися на обрані клієнтами points of interest, користувачам відправлялася таргетингова реклама. Схожим чином, Fidzup із використанням іншого SDK обробляв рекламний ID та технічну інформацію гаджета (MAC-адресу). Ці дані передавалися бізнес-клієнтам, які (за рахунок утиліти Fidbox) могли також запускати таргетингову рекламу, коли юзери наближалися до обраних бізнесами точок продажів. В обох випадках публічні документи додатків не могли надати користувачам інформацію, звідки ця реклама береться. Повідомлення про обробку даних також не вказувало на особу контролера даних — Fidzup чи Teemo відповідно. Ще трохи про вимоги до згоди, або урок для прийдешніх поколінь GDPR каже: згода повинна полягати у вільному, конкретному, поінформованому та однозначному бажанні особи, щоб її персональні дані оброблялися. Така згода повинна стосуватися однієї або кількох цілей обробки. Згода повинна надаватися до початку обробки даних. Щодо обох випадків CNIL сказав, що не дотримано жодної з умов GDPR-сумісної згоди. Насамперед згода не була надана до початку обробки, а це ж просто канонічна вимога! Згода, яку дав користувач, не була вільною. Вона стосувалась усіх випадків обробки і була вбудована в сам факт авторизації в додаток (по-іншому не запустиш). Крім того, завантаження додатку було нерозривно пов’язано із завантаженням SDK. Згода не була конкретизована. Юзер не міг обрати конкретні види обробки, із якими він погоджується, а з якими — ні. Насправді, мало хто робить це нормально (дорогувато, кажуть, а ще частіший аргумент — страшнувато на вигляд на сайті потім), але все ж така диференціація згоди makes sense. Не всі хочуть маркетингові розсилки та включення даних до CRM-системи. Згода не було інформованою. адже не містила інформації про використання даних для таргетингової реклами третіми особами. До моменту завантаження додатку не було жодного повідомлення, що дані почнуть оброблятися вже і зараз. Здавалося б, у нашому випадку уже достатньо порушень. Та проблеми були не лише зі згодою, принаймні в Teemo. Строк зберігання або золоте правило “Не перетримай” Teemo обробляло дані впродовж строку, який не виправданий метою такої обробки. Це другий висновок CNIL, що стосується активного використання геолокаційних даних протягом (а тепер слухайте, поборники 10-річних строків!) 13 місяців. CNIL провів тест на пропорційність (а юристи це роблять в “Оцінці легітимних інтересів контролера”) і зазначив: право на повагу до приватності тут точно переважає. Чому? Тому що використання таких тулкітів, які допомагають таргетувати особу 13 місяців поспіль, є серйозним втручанням у приватність. Також така обробка допомагає також стежити за людьми у великих масштабах. А раптом ще така інформація, наприклад, внаслідок витоку даних (data breach), потрапить до рук зловмисників? Тепер увесь цей аналіз потрібно добряче обдумати стартапам. Надано їм для цього 3 місяці, достатньо, щоб тричі зняти фільм “Три білборди під Еббінгом, Міссурі”. Ми ж також подумали. І задалися питанням: Що стає очевидно необхідним для тих організацій, які не хочуть стати Teemo-Fidzup? Розберіться з потоками даних в межах організації. Вистачить банальних запитань та excel-таблички: звідки, від кого, куди, для чого і як довго? Перші запитання, на які треба відповісти. Можна залучити і юриста. Перевірте, на що ви покладаєтеся, збираючи дані (дипломатичний імунітет володільця даних чи все ж на згоду користувача). Якщо на згоду, тоді перегляньте, що передбачає така згода та що ви при цьому повідомляєте користувачу. Можливо, вам підійде взагалі інша підстава для обробки, зокрема, ваші легітимні інтереси. Подбайте про строки зберігання і, за можливості, підготуйте retention policy. Не зберігайте довше, ніж потрібно. Можливо, вам узагалі не потрібні персональні дані користувачів. Цього повинно вистачити для початку. Принаймні, щоб не опинитися на шпальтах Le Monde. Якщо ж ви просто користувач різних додатків, знаєте французьку і не хочете, щоб вашу локацію знали в недобросовісних компаніях, скористайтеся порадами CNIL, які мали б допомогти зберегти вашу приватність. А поки компанії-ньюзмейкери обіцяють все виправити набагато швидше, ніж протягом наданих 3 місяців, ми ще раз дивимося на типові запитання, які чують юристи “Ви порадили технічні заходи, підготували для нас внутрішні політики. Ми розмістили публічні документи у футтері, зробили pop-up вікно. Для чого це все, якщо нікого не штрафують?”. “Ви радите обмежити строк зберігання даних. Невже не можна просто зберігати маркетингові дані, допустимо, 10 років? Або стільки ж, скільки розкладається поліетилен. Хто це взагалі перевірить?”. “Хіба GDPR не лише для того, щоб притиснути до стіни Google, Facebook і інших прислужників Великого брата? Ми ж маленькі, ми в хатці”. Короткі відповіді для запам’ятовування: треба, орган, не лише для того.   Наостанок Нещодавно Associated Press разом із Прінстонським університетом провели розслідування щодо Google. Із результатами можна ознайомитися, зокрема, на the Guardian. Відповідно до цього розслідування, Google, не заперечуючи цього, збирає геолокаційні дані в процесі користування продуктами Google. Навіть якщо користувач змінив налаштування так, щоб такі дані не збиралися. Щось нагадує? 20 млн. євро. Істочник:   
Подробнее
14 августа 2018
GDPR: как внедрить новые стандарты в Ваш бизнес
Несколько последних месяцев умы украинских предпринимателей будоражит одна короткая аббревиатура из четырех букв, в которой затаились многомиллионные штрафы. GDPR или General Data Protection Regulation – новый регламент Евросоюза по защите данных, который вступил в силу в конце апреля. Теперь он нагоняет ужас не только на западные компании, но и на украинский бизнес, работающий с персональными данными европейцев. Хоть первый шок уже прошел, наши предприниматели судорожно пытаются понять, как не попасть под штрафные санкции и при этом отделаться «малой кровью». Сценарии внедрения GDPR можно обсуждать очень долго, но я все же сторонник практических советов. Давайте разберем кейс, где вы уже знаете, что такое стандарты GDPR и уверены, что их нужно внедрять в свой бизнес. Дальше у Вас есть два варианта действий. Можно попытаться имплементировать регламент самостоятельно и тут Вам в помощь знание специализированного английского, юриспруденции и технических наук. Второй вариант менее сложный, но более затратный – нанять специалиста Data Protection Officer (DPO) и делегировать ему внедрение стандартов GDPR. Я, например, обеими руками за второй вариант, потому что умение грамотно делегировать полномочия - признак эффективного лидера. И тут хочу поставить акцент на слове «грамотно». Потому давайте проясним для себя несколько важных вопросов: кто такие DPO, что входит в круг их компетенций и как выбрать настоящего профессионала. Начнем с азов. DPO – это человек в вашей компании, которому предстоит не только внедрить стандарты GDPR, но и регулярно следить за их соблюдением. Своим клиентам я советую обязательно обзавестись таким специалистом в трех случаях: если основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза, если компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости), а также всем государственным органам. Во всех остальных случаях нанять на работу DPO заставить вас никто не может – его присутствие идет с приставками «желательное» и «рекомендовано». Но на практике цена такой беспечности, в случае возникновения проблем, - штраф в $20 млн евро. Из своего опыта могу сказать, что для успеха любого кадрового решения руководитель должен четко понимать, зачем ему нужен новый сотрудник и какие конкретно функции он должен на себя взять. А поскольку фигура DPO для украинского рынка труда пока новая и загадочная, не лишним будет расставить все точки над «і». В идеале Data Protection Officer должен взять на себя три основные задачи. И первая из них контроль: помимо внедрения стандартов GDPR и мониторинга их соблюдения, в случае возникновения проблем DPO должен быть контактным лицом с европейскими органами надзора. Во-вторых, этот сотрудник должен выступать в роли внутреннего консультанта и давать свои рекомендации по оценке влияния разных факторов риска на защиту данных. Ну и третья, не менее важная задача – обучить персонал работе в рамках GDPR, потому что соблюдение даже минимальных протоколов безопасности в рутине может сыграть решающую роль. Но, как известно, хороший урожай взрастает только на благодатной почве. Чтобы DPO справился со своими задачами максимально эффективно, рекомендую организовать ему работу на «особых условиях». К примеру, тако鬬 сотрудник должен отчитываться только перед высшим руководством, а также быть максимально независим в принятии решений. Из всего вышеперечисленного напрашивается вполне очевидный вывод - в идеале пользоваться услугами DPO лучше на аутсорсе. Кстати, регламент GDPR даже предполагает, что такой специалист может обслуживать сразу несколько компаний. Ну и последний незакрытый вопрос - как выбрать компетентного DPO и не прогадать? Прежде всего, он должен быть экспертом в области европейского и украинского права, а также обладать опытом в сфере защиты данных. Думаете найти такого сверхчеловека практически невозможно? А вот и нет! Несмотря на то, что на данный момент в Евросоюзе пока нет обязательной сертификации DPO, некоторые украинские юристы уже проходят обучение за границей и расширяют перечень своих услуг GDPR-сопровождением. К примеру, в компании, где я являюсь генеральным директором, уже есть два сертифицированных DPO, и мы уже предоставляем услугу по внедрению GDPR. Верность такого движения подтверждает статистика: по последним оценкам Международной ассоциации профессионалов в области конфиденциальности в ближайшей перспективе минимум 25000 DPO понадобятся в Евросоюзе, а еще 75000 – по всему миру. В сухом остатке мы имеем практически шекспировскую дилемму – быть или не быть, а точнее нанимать или не нанимать специалистов по внедрению GDPR. Мой ответ – однозначно быть и обязательно нанимать! Хотя бы потому, что наша страна с каждым годом все стремительней приближается к европейскому законодательству, а значит, рано или поздно, соблюдать стандарты GDPR все же придется всем украинским компаниям. Потому работа с DPO сегодня – это инвестиция в будущее. Источник
Подробнее
19 июля 2018
НЕ ПРОНЕСЛО. ЧТО УГРОЖАЕТ УКРАИНСКОМУ БИЗНЕСУ ИЗ-ЗА ЕВРОПЕЙСКОГО ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ
Как проверить, распространяется ли на ваш бизнес действие европейской директиве о защите персональных данных (GDPR) и как быть с данными, чтобы не попасть под санкции. Перед европейским регламентом о защите персональных данных (General Data Protection Relations), которая вступила в действие 25 мая 2018 года, не устоят даже сильные мира сего. На днях огромный штраф за обращение с персональными данными получил заокеанский Facebook. Известны случаи огромных штрафов с собственных европейских бизнесов, в частности, максимум получил сервис Ticketmaster. Украинского бизнеса регламент в определенных случаях тоже касается. В каких и каким образом, что нужно сделать, чтобы не заработать штраф и обсуждалось на конференции «GDPR в Украине». НВ приводит ключевые пункты из выступлений докладчиков. Когда GDPR может применяться к украинским компаниям Как объясняет Юлия Нечепуренко, ведущий специалист Nota Group, под действие регламента попадают все, кто имеет компанию или представительство в Евросоюзе. Если таковых нет, то все равно под действие регламента подпадают бизнесы, которые используют персональные данные граждан ЕС, если обработка данных связана с предложением товаров и услуг или мониторингом их поведения. По словам Дарины Сидоренко, координатора группы IT и кибербезопасности Sayenko, самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. После этого строить партнерские отношения в Европе будет сложнее. Также есть риски криминальной и административной ответственности. Что такое персональные данные Согласно директиве, персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Субъект данных в данном случае – это идентифицированное или пригодное к идентификации физическое лицо. В частности, люди, граждане Евросоюза. У данных есть контролер и оператор, первый – дает инструкции по работе с ними (сбор, применение, обработка), второй – обрабатывает. Оператор не имеет права обрабатывать данные без инструкции контролера. Если такового нет, считается, что он сам для себя контролер. Как можно работать с персональными данными Контролер должен запрашивать у субъекта разрешение на обработку данных, при этом – четко обозначать цель, для которой он это делает. Если данные были собраны для одной цели, но обрабатываются для других – это нарушает регламент. Исключение составляет аффилирование или обработка для статистики. В отношении данных действует несколько принципов. Минимизация. Могут собираться минимальные данные, соответствующие цели сбора. Например, если авиакомпания продает билеты, она может обрабатывать паспортные данные, электронный адрес. Но данные о политических взглядах пассажира ей точно не нужны, поэтому она не может их собирать и обрабатывать. Персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Фото: pixabay.com Точность. Данные должны быть точными, полными и актуальными. Ограничение на хранение. Данные хранятся в течение определенного срока, адекватного цели хранения. Как только цель достигнута или потеряла актуальность, их нужно удалить. Целостность и конфиденциальность. Контролер обязан принять все меры для обеспечения безопасности данных. Подотчетность. Контролеры должны руководствоваться принципами GDPR и должны быть готовы доказать, что соответствуют им. Законная обработка данных Субъект данных должен дать согласие на обработку для конкретных целей. Запрос к нему должен быть изложен простым и понятным языком, согласие дано без принуждения, четко и понятно. Само согласие должно храниться вместе с данными, чтобы в случае чего у компании была возможность доказать, что субъект дал согласие на обработку. Из этого требования есть несколько исключений. Во-первых, если обработка необходима для выполнения контракта, в котором субъект является одной из сторон. Например, если речь идет о покупке в интернет-магазине, это могут быть электронный адрес, адрес доставки, данные банковской карты – то есть то, что необходимо для предоставления услуги. Получение таких данных не требует получения согласия субъекта, так как он сторона договора. Во-вторых, когда обработка необходима для соблюдения юридических обязательств контролера. Это может быть обработка данных новых сотрудников, так как в данном случае речь идет о трудовых отношениях. Кроме того, для защиты жизненных интересов субъекта или другого лица, для исполнения задач государственного органа (например, если гражданин пришел на голосование) и в случае преобладающего законного интереса контролера или третьих лиц. Но Нечепуренко поясняет, что GDPR не прописывает, что именно означает этот пункт. В преамбуле написано, что субъект может ожидать, что обработка данных на основании законного интереса может случиться, однако для этого между субъектом и контролером уже должны быть отношения. Например, субъект может ожидать сообщения о распродаже, хотя он как такового разрешения не давал. Но ссылаться на этот пункт стоит только тогда, когда контролер может доказать его. Права субъекта данных Доступ к данным о себе. Как правило, на подобные запросы нужно отвечать в течение 30 дней. Но если субъекты данных злоупотребляют своим правом и когда слишком много запросов, контролер имеет право или отказать, или установить плату. Право на забвение. Контролер обязан применить внутренние политики, предусматривающие действие в таких ситуациях. Получение отчетов. Субъект данных имеет право требовать отчеты о том, что его данные были удалены или изменены, если это не влечет слишком больших усилий или если это не является невозможным. Наиболее активно ищут нарушителей Франция, Германия и Великобритания. Изображение: pixabay.com Портативность данных. Субъекты данных имеют право получить у контролера собственные данные в машиносчитываемом формате и передать их другому контролеру (не скрывая этого от первого контролера). Такую возможность нужно предусмотреть. Право на возражение. Субъекты могут возражать против обработки их данных. Контролер должен иметь механизмы остановки сбора данных в таком случае. Право на жалобы, представительство и компенсацию. Субъекты имеют право подать жалобу, при этом могут представлять сами себя или обратиться в организацию, которая имеет в своих уставных документах эту функцию – защищать права субъектов данных. Право на исправление ошибок. Право не быть субъектом данных, которые обрабатываются в результате автоматических способов сбора. Вкусы, местонахождение, передвижение и т.д. (Facebook, привет!) Как внедрить стандарты GDPR Самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. Также есть риски криминальной и административной ответственности Как объясняет Елена Колченогова, глава Комитета по защите данных Ассоциации Digital Ukraine, регламент подразумевает два вида мер для защиты персональных данных: организационные и технические. Технические требуют privacy by default и privacy by design. Privacy by default – это конфиденциальность по умолчанию. То есть если компании нужно собирать какую-то информацию о субъекте, это можно делать в минимальных необходимых количествах. Под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки Privacy by design – конфиденциальность, которая уже заложена в программное обеспечение. Организационных мер значительно больше. Например, говорится, что записи обработки данных должны включать всю информацию о субъекте, контролере и операторе, а также о самих данных, если данные передаются в третьи страны – эта информация также должна отображаться в записях. Исключение делается для предприятий, где работает менее 250 человек, но не делается, если обработка данных может привести к риску для субъекта данных. Также GDPR рекомендует назначить специалиста, владеющего знаниями о защите персональных данных, который сможет применить GDPR на предприятии – data protection officer. Он нужен, если в компании масштабно происходит обработка данных, если речь идет о государственных или особо чувствительных данных (здравоохранение, биометрия и т.д.). В задачи такого специалиста входит обучение, консультирование (для оценки рисков, например) и контроль. Именно это лицо отвечает за работу с данными перед контролирующими органами и субъектами, хотя в случае нарушений штрафуют не его. Это может быть один человек на несколько организаций, необязательно в штате. Также GDPR рекомендует прописывать политики конфиденциальности, проводить оценку риска используемых данных, если в компании имеет место систематическая масштабная оценка персональных данных, основанная на автоматизированной системе. Например, транспортная организация устанавливает видеонаблюдение или если больница обрабатывает данные пациентов, в том числе иностранцев. Если контролер или оператор находится за пределами ЕС, обработка связана с поставками товаров или услуг, или нужен постоянный мониторинг поведения субъектов данных, компании необходимо назначить представителя в ЕС. И это лицо может быть привлечено к судебным разбирательствам, связанным с обработкой персональных данных. Так ли страшен штраф, как его малюют Как рассказывает Сидоренко, под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки, так как подразумевается, что они не приняли достаточные меры для их защиты. Санкции должны показать людям, что персональные данные – это важно. В каждой стране ЕС уже есть органы, которые отвечают за защиту персональных данных. И в некоторых государствах уже были громкие кейсы со штрафами. По словам Сидоренко, наиболее активно ищут нарушителей Франция, Германия и Великобритания, а Балканские страны, по ее инсайдерской информации, пока относительно лояльны и дают своим компаниям время на адаптацию. Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты. Максимальный штраф – 20 млн евро или 4% годового оборота – налагается, только если компания нарушила несколько принципов, все это будет компилироваться и объединяться в одну сумму штрафа. Эксперт полагает, что после внедрения GDPR о кибератаках на персональные данные будут говорить чаще и приводит несколько примеров. Компания Ticketmaster, которая продает билеты, получила максимальный штраф. Она была взломана 25 июня, а предупредила людей 27-го. Это уже первая и важная характеристика для такого наказания. Вторая – их система ранее была подвержена аудиту, и компания-аудитор предупредила о потенциальной точке взлома. У компании Timeshop, которая анализирует пользовательские данные из соцсетей, тоже максимальный штраф. 4 июля на нее была совершена кибератака и были украдены данные 20 млн человек. IT-специалисты смогли остановить утечку, но она все равно была огромной. У Timeshop не было двойной авторизации для аутентификации в облаке, а это одно из требований GDPR. Защита от утечек персональных данных Как говорит Владимир Кург, R&D-директор компании «ИТ-Интегратор», в информационных системах большинства компаний работают системы защиты информации, которые можно должным образом настроить, чтобы выполнить требования GDPR. Контролер должен видеть, что происходит в системе, где обрабатываются данные, как они «ходят» и на каком этапе находятся. Персональные данные могут находиться в трех состояниях: в покое, в состоянии использования и передачи. Первыми пользуются в первую очередь администраторы, а находятся они обычно в архивах или резервных копиях. Данные в состоянии использования читают, дополняют и используют. На этом этапе у данных могут появляться новые пользователи. Серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск – резервные копии Данные в движении – это данные в момент, когда они передаются по локальным или глобальным сетям. В одном из пунктов статьи 83 говорится, что серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск, по словам Курга, – резервные копии. И именно на них большинство не обращает внимание. Хотя хищение и утечка резервных копий – это утечка всех данных компании. Минимизировать угрозу для этих данных помогает лицензия на шифрование резервных копий, борьба с «правами бога» администраторов (разделение тех, кто делает резервные копии, и хранителей ключей) и банальная изоляция рабочих мест администраторов, а также блокировка портов для съемных носителей. Так как резервные копии объемные, их утечку можно отследить. Если речь идет о данных в обработке, то как правило, у сотрудников или клиентов компании нет необходимости работать со всеми массивами записей. В данном случае фактор риска – это люди, которые могут инициировать масштабную утечку. Прежде всего администраторы и аналитики, которым для построения каких-то маркетинговых отчетов требуется извлечь очень большой массив пользовательских данных. Минимизировать угрозу позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также блокировка прямых интерфейсов баз данных при помощи маскировки. Средства маскировки есть у большинства промышленных баз данных. Для защиты данных и в покое, и в обработке используется псевдоанонимизация, которую не стоит путать с анонимизацией. Анонимизированные данные, согласно директиве, защите не нуждаются. Они могут оставаться в системах, например, для анализа big data. Основное отличие псевдоанонимизированных данных от анонимизированных – это то, что их невозможно идентифицировать по каким-то критериям из внешнего мира. Кург приводит в пример кейс медицинской системы, в которой хранятся данные пациентов в открытом виде и которым нужна защита. Защитить их можно разными способами. Первый – пользователю открываются данные, которые нужны только для его работы. Например, регистратура видит только имя и номер телефона пациента, которому нужно напомнить о визите, а также время приема и специалиста. Это добавляет защищенности данным, но если произойдет утечка базы, то маски не помогут. Псевдоанонимизация – это замена ID физлица и его имени генерируемым кодом, к которому привязываются данные. Часть набора данных, которые однозначно идентифицируют пользователя – номер паспорта, кредитной карты, номер телефона – могут еще и шифроваться. Для данных в движении угрозы невелики, так как в каждый момент времени передается небольшой объем, однако это не отменяет угроз в принципе. Во-первых, в локальной сети это может быть инсайдерский перехват, такие случаи уже были. Администраторы должны шифровать трафик и блокировать съемные носители, потому что многие приложения, в том числе рабочие места систем, создают копии локальных данных. И эти копии можно скинуть на внешний носитель. Также есть системы контроля трафика в сети, которые позволяют отслеживать сеансы пользователей. То есть шифрование предотвращает утечку данных, мониторинг показывает ее и позволяет блокировать. Во-вторых, фишинг. Классика фишинга – рассылка с имитацией фирменного стиля сайта со ссылкой на копию, где невнимательный пользователь оставляет свои данные. Защита от фишинга лежит прежде всего в юридической плоскости. Но также стоит покупать правильные сертификаты безопасности для сайтов и не экономить на этом моменте. Например, есть более дорогие сертификаты, удостоверяющие организацию.
Подробнее
18 июля 2018
GDPR: НОВЫЕ СТАНДАРТЫ
Эксперты Nota Group рассказали о внедрении GDPR в бизнес. 10 июля в Киеве состоялась масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов». Организовала мероприятие ассоциация Digital Ukraine, которая пригласила на мероприятие ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты, сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», – сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков. Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект - гражданин ЕС, контролер - организация, которая определяет способ и цели обработки, оператор - обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией. При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании». Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители - блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Источник
Подробнее
16 июля 2018
КАК ОБЕЗОПАСИТЬ СВОЙ БИЗНЕС ОТ РЕЙДЕРОВ
Рейдеры - страшный сон любого предпринимателя. Во времена кризиса их активность и аппетиты растут в геометрической прогрессии. Как понять, что ваш бизнес "на мушке" и защититься? Рейдеры - страшный сон любого предпринимателя. Во времена кризиса их активность и аппетиты растут в геометрической прогрессии. От посягательств рейдеров на сто процентов не застрахован ни один вид бизнеса. Не думайте, что если у вас, к примеру, цветочная лавка или кофейная точка, то вы в безопасности. Вы ровно в той же зоне риска, что и владелцы крупных компаний, для которых война с захватчиками – сродни, биты титанов. Так как же понять, что ваш бизнес «на мушке» рейдеров?  Из опыта могу сказать, что обычно под прицел попадают компании с низким уровнем юридической защиты, внушительными внешними долгами, но чаще всего – те, кто работают «в серую» или с нарушениями. Аферисты тщательно изучают свою жертву: оценивают инвестиционную привлекательность бизнеса, размер прибыли, финансовую отчетность, кредитную историю. Также смотрят на репутацию компании, оценивают законность ведения бизнеса, собирают информацию о сотрудниках и узнают о наличии конфликтов внутри организации. Чем больше таких «слепых зон», тем выше риск быть «взятыми на абордаж» рейдерами. Итак, как это происходит? Развенчаю еще один миф – рейдеры уже давно не выглядят как лысые парни спортивной внешности из далеких 90-х. Теперь это солидные люди в пиджаках, с обширными знаниями в юриспруденции и финансах, а еще с «нужными связями» и креативным мышлением. Силовой захват предприятия отошел на второй план, уступив дорогу более «цивилизованным методам». Сегодня в ход идет враждебное поглощение и манипуляция с банкротством. В первом случае мошенники берут акции компании за гроши через подставных людей и получают блокирующий пакет. С ним они уже могут делать все что угодно, от замены руководства до продажи предприятия. Еще один коронный прием аферистов – выкупить кредиты предприятия и добиться через суд начала процедуры банкротства. Не думайте, что чистая кредитная история вас спасет. Долги могут появиться как по взмаху волшебной палочки, ведь коррупция и фальсификация, зачастую неотъемлемые части рейдерского захвата. А дальше все по обкатанному сценарию: стоимость активов стремительно падает и за копейки они уходят злоумышленникам. Есть еще множество более изощренных схем, описание которых запросто уместилось бы в собрание сочинений. Но, так или иначе, даже в наше время есть те, кто работают по старинке: «отжать» бизнес можно за пару часов, если на руках есть подделанное решение суда, а за плечами - парни в балаклавах. КАК БОРОТЬСЯ. При любом из этих сценариев действовать нужно мгновенно, ведь каждый потраченный день, а то и час уменьшает шансы собственника вернуть отнятое. Как обезопасить свой бизнес? Есть прекрасная поговорка: «Если хотите мира – готовьтесь к войне». Потому, своим клиентам я рекомендую заранее разработать комплекс мер для отражения атаки. С чего начать? Прежде всего, следует привести в порядок все учредительные документы, сделать их нотариально заверенные копии и спрятать оба варианта в надежном месте вместе с печатями. Второе золотое правило – коммуникация между руководством и юристами должна быть налажена, как швейцарские часы. В моей практике были десятки примеров, когда крупные компании отбивались от рейдеров своим управленческо-юридическим щитом. Юристы также могут заранее проработать ряд правовых ловушек, в которые угодят аферисты в случае захвата. Еще один совет: постоянно отслеживайте происходящее с вашим бизнесом по открытым источникам.  Ваш секретарь запросто справиться с поиском информации в реестре прав собственности. Причем я всегда рекомендую мониторить не только свой бизнес, но и информацию о контрагентах, должниках, кредиторах и соучредителях. Следующий шаг – работа с персоналом компании. Важно определить круг лиц, которым вы доверяете и убедиться, что шпионы в ваши ряды не затесались. Ну и конечно же не жалейте денег на видеонаблюдение, техсредства и качественную охрану. Именно они помогут вам выиграть время в случае силовой атаки. В идеале для сотрудников раз в полгода нужно проводить «боевые учения», чтобы в случае реально атаки все знали свою партию. Но что делать, если захват уже происходит? Быстро собраться с мыслями и приготовится принять ряд правильных решений. Для начала под руководством юриста как можно скорее нужно создать центр принятия решений. В идеале, помимо юристов и собственника (собственников), туда должны входить руководитель предприятия, финансовый директор и главный бухгалтер. Но на деле же у рейдеров зачастую есть «крот» внутри организации, потому круг доверия может быть уже. Следующий шаг – обезопасить, а лучше вывезти из здания, все основные документы. Это могут быть протоколы общих собраний, договоры между соучредителями, устав, лицензии, правоустанавливающие документы и прочее. Если захват силовой, то лучше сразу вызывать полицию.  Как минимум — зафиксировать происходящее. Как максимум — убедить их стать на вашу сторону. Если поводом для вторжения стало незаконное изменение данных в реестрах, не теряя ни минуты обращайтесь в комиссию Минюста по вопросам рассмотрения жалоб в сфере госрегистрации. Если захватчики манипулируют судебным решением - оспаривайте его или собирайте доказательства фальсификации. Также рейдеры могут наведаться с решением суда об обеспечении какого-нибудь иска. В такой ситуации срочно готовьте ходатайство о снятии этого обеспечения, штурмуйте с ним суд и помните – ваше обращение обязаны рассмотреть в течении суток. В любом случае решение всех этих проблем лучше делегировать профессионалам. Параллельно не лишним будет придать ситуации огласку и по возможности подключить медиа. Помните: публичность – худший враг рейдера. Чем же закончится эта история? Тут открытый финал, ведь рейдерский захват может длиться от одного дня до нескольких лет. Все зависит от уровня подготовки бизнеса и профессионализма кризисной команды. Предупрежден — значит вооружен, а потому вывод: не жалейте ни времени, ни средств на безопасность своего предприятия. Источник
Подробнее
12 июля 2018
GDPR: КАК ВНЕДРИТЬ НОВЫЕ СТАНДАРТЫ В СВОЙ БИЗНЕС
Много шума в украинских бизнес-кругах наделал новый регламент о защите персональных данных General Data Protection Regulation, который вступил в силу в конце мая в Евросоюзе. Теперь под многомилионные штрафы за несоблюдение регламента подпадают и компании-нерезиденты ЕС, которые обрабатывают данные европейских граждан. Потому у наших компаний возникло много вопросов и домыслов на этот счет. Разобраться в вопросе и развеять все мифы помогла масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов», которая состоялась в самом центре столицы в минувший вторник, 10 июля. Организовала мероприятие ассоциация Digital Ukraine, которая пригласила расставить «все точки над и» ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты,  сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «Сегодня мы действительно понимаем: хотим работать с внешним миром — нужно жить по тем правилам, которые там установлены. Не хотим – можем жить у себя. В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», — сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков. Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект — гражданин ЕС, контролер — организация, которая определяет способ и цели обработки, оператор — обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. «В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Здесь есть важный момент – связана ли обработка этих персональных данных с предложением товара или услуг. Например, сайт должен иметь версию на одном из языков стран ЕС или на нем должна быть возможность рассчитаться в евро. Также под регламент подпадают те, кто обрабатывает данные в связи с мониторингом поведения европейцев. Это может быть, например, анализ соцсетей», — пояснила Нечепуренко. По ее словам, в соответствии с регламентом, например, до обработки данных контролер должен запрашивать согласие субъектов на такую обработку, четко обозначать цель обработки простым и понятным языком. Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией. Что касается физических лиц, которые также могут быть контролерами данных, то в случае незначительного нарушения вместо штрафа к ним может быть применен выговор. Например, если Вы – ФОП и продаете через интернет сайт в Европе сувениры ручной работы, вам не угрожают штрафы в больших размерах». Максимальная сумма, на которую могут оштрафовать контроллеров и операторов, составляет до 20 миллионов евро или 4 % годового оборота компании. «Сумма штрафа зависит от того, скольких людей затронула утечка данных, какой вред нанесла, продолжительности нарушения, это намеренная внешняя атака или она произошла из-за того, что компания не внедрила в свою систему безопасности необходимые технические решения для сохранности данных своих клиентов. Критериев много, но максимальный штраф будет наложен, если нарушение компании включает сразу несколько критериев Регламента, – говорит Сидоренко. – Примером возможного применения максимального штрафа может быть случай компании по продаже билетов Ticketmaster, которая 23 июня 2018 признала, что у нее произошел взлом в системе безопасности, который затронул более 40 тысяч британских клиентов. Клиентам о взломе сообщили 27 июня 2018, что является нарушением норм Регламента, поскольку Ticketmaster должна была оповестить клиентов в течение 72 часов с момента взлома. Более того, fintech фирма Monzo обнаружила мошенническую активность по картам клиентов Ticketmaster еще в апреле и предупредила компанию о потенциальной атаке 12 апреля 2018. Исходя из этих критериев, компании грозит наложение максимального штрафа, поскольку она знала об угрозе, но не предприняла необходимых шагов по предотвращению взлома, а просто проигнорировала предупреждение». Что делать предприятию, чтобы избежать негативных последствий и сохранить репутацию, объяснила глава Комитета по защите данных Ассоциации Digital Ukraine и ведущий юрист Nota Group Елена Колченогова, которая является сертифицированным офицером по защите данных (DPO). Организационных мер регламент предлагает много: вести записи обработки данных, назначить офицера по защите данных (DPO) и представителя в ЕС, провести оценку воздействия операций обработки на защиту данных (DPIA), пройти сертификацию, внедрить кодекс поведения на предприятии, принять политики конфиденциальности и прочие. «Во-первых, каждый контроллер должен вести запись обработки данных в письменной и электронной форме. Должна фиксироваться информация о том, кто и какие данные, у кого собирает и куда передает. Этого могут не делать только фирмы, где работает менее 250 сотрудников, хотя и здесь могут быть исключения — говорит Колченогова. – Во-вторых, рекомендовано, а в определенных случаях обязательно, назначить DPO, который может быть штатным сотрудником или привлеченным по аутсорсингу, что более предпочтительно, поскольку такой специалист должен быть независим в принятие решений. DPO — это специалист по защите данных, который владеет экспертными знаниями в области права и практике защиты персональных данных и который следит за соблюдением положений и принципов GDPR на предприятии. Также он должен обучать персонал соблюдению регламента и быть контактным лицом с органами надзора и субъектами данных. В-третьих, чтобы соответствовать GDPR, компания может пройти добровольную сертификацию на три года у аккредитованных в ЕС юрлиц. Но эта система пока в стадии разработки» При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании». Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители — блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Также есть риск утечки данных через администраторов и аналитиков. Потому нужно вместе с внешним файрволом установить такой же и для внутренней сети. Он выявит несанкционированное получение большого массива данных», – говорит Кург. Еще одно средство маскировки информации – «маскировка» избыточных для конкретной рабочей роли полей базы данных. Если пользователю не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт. Ирина Артишук, руководитель группы по работе с партнерами компании «АВТОР», считает: «GDPR не предусматривает каких-то конкретных технических средств для защиты персональных данных. При этом согласно требований GDPR необходимо обеспечить целостность и конфиденциальность персональных данных, а также и контроль доступа к ним. В связи с этим наша компания рекомендует использовать двухфакторную аутентификацию для решения задач защиты персональных данных согласно GDPR. Суть ее заключается в том, что для успешной аутентификации нужны как минимум два фактора: «чем-то владеть» – наличие физического носителя (смартфон, аппаратный токен, OTP-токен, смарт-карта), «что-то знать» — логин и пароль или пин-код доступа к аппаратному устройству. В информационных системах это является важным элементом защиты персональных данных и распределения доступа к информации. По статистике, более 80% компьютерных взломов проходят из-за ненадежных паролей. Потому компаниям, которые все еще пользуются этим методом, советую пересмотреть подход». Источник
Подробнее
12 июля 2018
GDPR ДЛЯ ВСІХ: ЯК УКРАЇНСЬКИМ ПІДПРИЄМЦЯМ ЗАПРОВАДИТИ ЄВРОПЕЙСЬКИЙ РЕГЛАМЕНТ
Права користувачів і обов'язки компаній, або як не «попасти» на багатомільйонні штрафи. Чи зможуть українські підприємці спокійно продовжувати співпрацювати з європейськими компаніями без загрози отримати багатомільйонний штраф за порушення норм Загального регламенту захисту даних (GDPR) Євросоюзу? Про те, як впровадити європейський регламент в український бізнес, розповіли на конференції «GDPR в Україні: інструкція з впровадження нових стандартів у бізнес», яку організувала асоціація Digital Ukraine 10 липня за підтримки компанії «IT-Інтегратор». KFund Media спробував виділити ключові моменти. Які права мають користувачі? Ключова вимога GDPR – збір персональних даних користувачів можна проводити тільки з чіткою і конкретною метою. В іншому випадку, обробка даних буде вважатися незаконною, підкреслила провідний фахівець Nota Group Юлія Нечепуренко. Винятком може стати збір персональних даних, наприклад, для створення статистики в громадських цілях. Підприємці можуть збирати тільки необхідні дані. Наприклад, авіакомпанія, що зазвичай використовує електронну адресу і паспортні дані користувачів, в жодному разі не може збирати дані про політичні переконання. Регламент GDPR зобов’язує компанію отримати дозвіл користувачів в цифровому вигляді на обробку їхніх даних для конкретної мети. Як тільки мета досягнута, дані слід видалити відповідно до принципу обмеженого в часі зберігання. Користувачі мають право зробити запит на свої персональні дані, щоб, наприклад, дізнатися мету їх обробки. Компанії повинні відповісти на запит протягом 30 днів, якщо відправники не зловживають своїми правами. Користувачі також мають право вимагати видалити їхні дані або оскаржити обробку даних в судовому порядку, отримавши компенсацію. Українські компанії, які мають контрагентів в Європі, повинні впровадити всі необхідні технічні заходи для дотримання прав користувачів. «GDPR матиме лише позитивний вплив на український бізнес», – впевнена Юлія Нечепуренко. Навіщо потрібен Data Protection Officer? Регламент GDPR зобов’язує компанії вжити технічних та організаційних заходів. У першому випадку, мова йде про технічну діагностику процесів збору і зберігання даних. Організаційні заходи включають дві важливі складові: - запис обробки даних (документування інформації про компанії, процеси збору даних і користувачів), - введення посади спеціального Data Protection Officer (DPO, директора з питань захисту даних). «Data Protection Officer – це фахівець, який володіє необхідними знаннями щодо захисту персональних даних», – пояснила суть своїх обов’язків сертифікований DPO та провідний спеціаліст Nota Group Олена Колченогова. Це робота для юриста, що вимагає великих знань в сфері права. DPO повинен повністю контролювати безпеку персональних даних і оцінювати ризики (Data Protection Assessment). Саме він повинен навчити інших співробітників працювати з персональними даними користувачів. Втім, тільки оцінити ризики і навчити персонал недостатньо, уточнила Колченогова. Гарантію може дати лише спеціальний сертифікат про відповідність фірми всім критеріям GDPR, який видають на три роки. Чим загрожує недотримання GDPR? Згідно ст. 4 GDPR, за порушення регламенту, наприклад, неправильне зберігання або крадіжку персональних даних, компанії загрожує адміністративне покарання. Малий бізнес на перший раз може відбутися попередженням. Залежно від тяжкості порушення регламент передбачає: - штраф €10 млн, або 2% від річного глобального обороту компанії; - штраф €20 млн, або 4% від річного глобального обороту компанії. «Найвищі адміністративні штрафи накладають, якщо компанія порушила кілька норм регламенту», – уточнила координатор групи IT та кібербезпеки юридичної компанії Sayenko Kharenko Дарина Сидоренко. У Німеччині, Франції, Іспанії і Великобританії вже активно перевіряють компанії на предмет порушення регламенту, розповіла вона. У той же час, влада країн Балтії дали місцевим компаніям час на перебудову діяльності відповідно до GDPR. Однією з перших «жертв» європейського регламенту став американський організатор концертів Ticketmaster, розповіла Дарина Сидоренко. У суботу, 23 червня, компанія виявила злом системи, проте повідомила про це своїм користувачам тільки через чотири дні, 27 червня. За GDPR, вона зобов’язана була зробити це протягом 72 годин. Незадовго до інциденту в компанії пройшов аудит систем безпеки, який показав її кібервразливість. У Ticketmaster не поспішали закривати діри в безпеці. Тепер компанії загрожує штраф від €20 млн. Источник
Подробнее
22 июня 2018
NOTA GROUP ВОШЛА В ПЯТЕРКУ ЛУЧШИХ АУТСОРСИНГОВЫХ КОМПАНИЙ УКРАИНЫ ПО ВЕРСИИ ЖУРНАЛА SBR
Аутсорсинговые услуги набирают популярности в Украине. В нашей стране 45 брендов предоставляют услуги аутсорсинга бизнес-процессов в финансовой и юридической сферах.  Объем рынка юридических и бухгалтерских услуг в 2017 г. составил около 15 млрд грн. Самыми крупными игроками являются пять международных компаний Ernst&Young, PricewaterhouseCoopers, Deloitte, KPMG, McKinsey, которые занимают 75% рынка. Поэтому их мы не включили в рейтинг, дав тем самым возможность остальным участникам рейтинга шанс на первенство. В short list редакции SBR вошло четыре десятка украинских компаний, предоставляющих аутсорсинговые услуги. Всем номинантам было предложено заполнить анкеты. На основании данных из опроса и открытых источников был составлен рейтинг из 10 лучших аутсорсинговых компаний Украины. При ранжировании учитывались такие показатели, как количество клиентов, отзывы клиентов, количество услуг на аутсорс, соотношение цена-качество услуг, количество сотрудников компании, оборот компании и уровень сервиса. 1 место — EBS EBS — украинская консалтинговая компания, которая была создана как единый консультационный центр, предназначенный для поддержки выхода новых игроков на рынок. EBS содействует в развитии и решает повседневные задачи украинских компаний, а также международных инвесторов. Спектр услуг EBS включает аутсорсинг бухгалтерского учета, подготовку финансовой и налоговой отчетности, подготовку управленческой отчетности, аутсорсинг начисления и выплаты заработной платы, аутсорсинг услуг финансового директора на временной основе, финансовую отчетность по международным стандартам и др. Миссия компании  – существуем для того, чтобы помогать компаниям в Украине достигать выдающихся результатов.  Мы делаем значительный вклад в успех каждой отдельной компании с целью содействия экономическому росту в Украине. Мы любим то, что мы делаем! Количество сотрудников компании 132 Количество клиентов 160 Количество услуг на аутсорсинг 9   2 место — Дмитриева и Партнеры Фирма «Дмитриева и партнеры» завоевала авторитет на рынке юридических аутсорсинговых услуг, как в Украине, так и за ее пределами. Компания предоставляет комплексные услуги по решению юридических, налоговых, бухгалтерских вопросов клиентам из Украины и других стран мира. «Дмитриева и Партнеры» предоставляет аутсорс-услуги в следующих направлениях юридического сопровождения бизнеса: cудебная практика, налоговое право, трудовое право, корпоративное право, инвестиции и валютное регулирование, внешнеэкономическая деятельность, комплайенс и др. Миссия компании – развивать и внедрять на практике абсолютную прозрачность, легитимность и надежность ведения бизнеса, неукоснительно следуя законам и общественным установкам. Количество сотрудников компании 16 Количество клиентов 300 Кол-во услуг на аутсорсинг 15   3 место — Finance Solutions Group Finance Solutions Group (FSG) – независимая специализированная компания, провайдер комплексных  решений для повышения эффективности бизнеса. Компания была основана практикующими экспертами, владеющими разными техниками эффективного управления ресурсами бизнеса и проектного менеджмента.  Компания предоставляет аутсорсинг бухгалтерского учета, функций CFO, кадрового учета, казначейства, подготовки налоговой, управленческой, финансовой и МСФО-отчетности. Миссия компании – способствовать эффективности бизнеса и финансовому благосостоянию своих клиентов посредством развития, обучения, внедрения и усовершенствования предлагаемых решений. Количество сотрудников компании 17 Количество клиентов 45 Кол-во услуг на аутсорсинг 8   4 место — Nota Group Nota Group – компания, предоставляющая для бизнеса полный спектр финансовых, бухгалтерских, юридических услуг, а также тендерное сопровождение, построение функции корпоративной безопасности и форензик. Среди аутсорсинговых услуг компании правовое абонентское сопровождение, сопровождение отдельных сделок, юридические тренинги для бизнеса, тендерные процедуры, управленческий учет, казначейство, налоговое планирование, финансовый менеджмент, бухгалтерское сопровождение, разработка мотивационных программ, подбор персонала, кадровый аудит, кадровый учет, начисление заработной платы, корпоративная безопасность, форензик. Миссия компании – за счет опытной команды, отличного знания структуры построения бизнеса, широкого спектра услуг, умения смотреть на ведение дел глазами собственника и просчитывать риски и угрозы, создать комфортное поле для работы клиента. Количество сотрудников компании 33 Количество клиентов 14 Кол-во услуг на аутсорсинг 16   5 место — BDO в Украине Организация BDO была основана в Европе, имеет богатую многолетнюю историю и представлена в 162 странах мира. BDO в Украине — аудиторско-консалтинговая компания, которая оказывает широкий спектр услуг, в том числе и аутсорсинговые, которые являются лишь одним из видов ее деятельности . Среди них ­– бухгалтерский аутсорсинг – по ПСБУ и МСФО, расчет заработной платы, кадровый аутсорсинг и делопроизводство, регистрация и ликвидация предприятий и представительств, налоговое и юридические консультирование. Миссия компании – быть лидером исключительного качества обслуживания клиентов. Количество сотрудников в отделе аутсорсинга 15 Количество клиентов 30 Кол-во услуг на аутсорсинг 5 Вторая пятерка рейтинга Данные компании давно существуют на рынке аутсорсинга бизнес-процессов и также заслуживают вашего внимания. Информация о них взята из открытых источников, поэтому компании перечислены без ранжирования. Дебет и кредит Компания много лет специализируется на бухгалтерском аутсорсинге, а также предоставляет юридические и аудиторские услуги.  Ведя бизнес в различных сферах – торговля, производство, услуги­ – специалисты компании предлагают клиентам решения для эффективного развития и роста бизнеса в любых экономических условиях. Также компания помогает оперативно решить вопросы, возникающие с налоговой службой, пенсионным фондом и другими государственными органами. Elma Consulting Компания обеспечивает комплексное сопровождение предприятий малого и среднего бизнеса путем предоставления бухгалтерских, юридических и консультационных услуг, от регистрации бизнеса до полного правового обеспечения хозяйственной деятельности. На предприятии внедрена автоматизация бизнес-процессов, внутренняя система контроля качества и ряд других инновационных разработок, которые гарантируют высокое качество обслуживания. Global Consulting Компания поддерживает владельцев малого и среднего бизнеса, оказывая профессиональные услуги для открытия и развития собственного дела: аудиторские, бухгалтерские, юридические услуги, управленческий консалтинг. В Украине работает два офиса – в Киеве и Харькове. В компании работают сертифицированные налоговые консультанты и аудиторы, бухгалтеры, адвокаты и юристы. За долгое время работы на рынке Global Consulting  стала членом нескольких престижных международных ассоциаций. ГК «ОЛ. Консалтинг» Группа «ОЛ. Консалтинг» предоставляет широкий спектр консалтинговых услуг силами высококвалифицированных специалистов: аудиторов, бухгалтеров-экспертов, адвокатов, юристов, бизнес-тренеров, которые могут дать ответ на большинство вопросов и помочь решить проблемы, возникающие в текущей хозяйственной и коммерческой деятельности субъектов предпринимательства. Услуги компании: информационная поддержка и отраслевые исследования, поиск партнеров и отношения с органами власти, Business Start up, бизнес-консалтинг, слияние и поглощение компаний, управление проектами, юридические услуги, финансовые консультации, бухгалтерский учет и налоговое планирование, корпоративные тренинги. ГК «Сова» Аутсорсинговая компания «СОВА» предоставляет услуги кадрового учета и расчета заработной платы компаниям, которые работают в разных сферах бизнеса, во всех регионах Украины и за ее пределами. Среди клиентов компании – государственные и коммерческие учреждения. Компания предоставляет услуги по подбору персонала, аутсорсингу персонала, аутстаффингуперсонала, аутсорсингу кадрового делопроизводства, кадровому аудиту, аутсорсингу расчета заработной платы. Источник
Подробнее
6 июня 2018
КАК ВЫБРАТЬ ДЕТСКИЙ ЛАГЕРЬ ДЛЯ РЕБЕНКА: СОВЕТЫ ОТ ИЗВЕСТНЫХ МАМ
Летние каникулы в самом разгаре и многие родители уже задумались об отдыхе для своих чад. Но как провести это время с пользой для ребенка? Ведь каждый родитель мечтает вырастить успешного человека и настоящего лидера. Мы поинтересовались у успешных бизнесвумен и по совместительству заботливых мам, каким должен быть идеальный летний отдых для маленьких будущих лидеров. ТОНКОСТИ ВЫБОРА ЛАГЕРЯ. Летний отдых в лагере может сыграть не последнюю роль в формировании будущего лидера, считают наши мамы-эксперты. Вице-президент компании «ИТ-Интегратор» Надежда Омельченко говорит: В лагере ребенок может получить один из важнейших лидерских навыков: умение работать в команде. Ведь лидерство без команды невозможно, а летний лагерь – настоящий марафон тимбилдинга. Тут ребенок научится уважать других, выстраивать с ними коммуникацию и справляться с вызовами. Генеральный директор NotaGroup Татьяна Андрианова добавляет: Во-вторых, ребенок приобретёт такое важное для лидера качество, как самостоятельность. Вдали от дома он научится принимать собственные решения и преодолевать трудности, которые обычно берут на себя родители. Какие же тенденции стоит учесть, чтобы вырастить из любимого карапуза успешного человека? Сегодня весь мир поглощён процессами глобализации и по мнению экспертов, неотъемлемыми качествами для будущего лидера станет знание языков и наличие глобального мышления. И тут, конечно, мамы единогласно выступают «за» языковые и международные детские лагеря. Надежда Омельченко говорит: Мы должны давать ребенку возможности и не ограничивать их языковыми барьерами. Для того чтобы быть «глобал», лучше взять сначала какой-то один язык и развивать его. Но это не обязательно должен быть английский. Например, сегодня некоторые родители обучают своих детей китайскому языку, ведь он уже сейчас невероятно востребован из-за темпов развития китайской экономики. Согласна с ней и Татьяна Андрианова: Языковых лагерей сейчас действительно масса, на любой вкус и бюджет. Например, можно выбрать языковой лагерь с пляжным отдыхом, можно найти с насыщенной экскурсионной программой. Также он может быть как в Украине, так и заграницей, - говорит Татьяна Андрианова. – В любом случае главное, на что стоит обратить внимание – наличие среди воспитателей носителей языка. Потому что именно это поможет ребенку в непринужденной атмосфере подтянуть разговорный английский и восприятие языка на слух. Также чтобы стать глобальным лидером, ребенок должен быть подготовлен кросскультурно. Надежда Омельченко советует: Другими словами, наша задача воспитать в нем толерантность, готовность воспринимать и понимать традиции, правила и культуру других народов. Ребенка надо научить так называемой «точке входа»: как построить контакт и взаимодействовать с людьми из разных культур. Для этого дети должны путешествовать и международный лагерь для этого подойдет идеально. Исполнительный ассистент генерального директора компании Miratech Ирина Муравьева считает, что не обойтись маленькому будущему лидеру и без способности широко и смело мыслить: Важно развивать в ребенке перспективное видение. А если проще – умение мечтать и идти за своей мечтой. Потому каникулы не должны быть поминутно расписаны дополнительными занятиями. Оставьте немного времени на «подурачиться». Лето – это также время попробовать что-то новое: открыть для себя новое захватывающее увлечение, познакомиться с интересными людьми. Благодаря этому и рождаются мечты. По словам Ирины Муравьевой, отдых в Украине, а не за ее пределами, порой может быть предпочтительней. «Немаловажно и душевное спокойствие родителей. Поэтому, если ребенок еще достаточно маленький (как в моем случае, например), и вам спокойнее от мысли, что вы можете уже через 20 минут, при необходимости, быть рядом с вашим чадом – выбирайте лагерь поближе. Но при этом не факт, что стоимость такого отдыха будет ниже, чем в той же Испании или Британии», - говорит Ирина Муравьева. БИЗНЕС ИЛИ СПОРТ. Так какой же тип лагеря лучше подойдет для будущего лидера: спортивный в лесу или развивающий в городе? Наши бизнесвумен сошлись во мнении, что оба варианта хороши по-своему и дадут детям разные, но в обоих случаях необходимые, навыки. Вот вам пару аргументов в пользу спортивного кэмпа от Татьяны Андриановой: После 9-месячного сидения за партой в школе ребенку просто необходима двигательная активность. Потому советую обратить внимание на места, где в программе есть пробежки, спортивные игры или соревнования. Но помимо физического развития, спорт научит ребенка упорству, силе воли и умению достигать большие цели постепенно. А это, в свою очередь, необходимые качества, которыми должен обладать настоящий лидер. В то же время, бизнес-лагеря могут быть не менее полезными: «Там дети работают над собственными проектами. Например,придумывают,как выпустить на рынок фирму по производству мороженого. Так ребенок в игровой форме получает базовые основы бизнеса: узнает что такое «себестоимость», «бренд», «маркетинг» и «продвижение», - отмечает Надежда Омельченко. ДЕНЬГИ С СОБОЙ. Еще один важный вопрос: дать ребенку возможность выбрать место и способ отдыха, либо все же самому подобрать развивающий лагерь? Опытные мамы и бизнес-леди советуют не давить на ребенка, чтобы не ущемлять его лидерские задатки. Надежда Омельченко советует: Мне, как маме из бизнеса, хочется спланировать каждый день его летних каникул. Но если я буду своей внешней мотивацией разрушать внутреннюю мотивацию ребенка, то он привыкнет перекладывать ответственность на взрослого. Потому лучшее решение – создать мотивационную среду с непрямым воздействием. Незаметно подложил брошюру с хорошим лагерем, невзначай рассказать что-то интересное об этом месте или предложить ребенку просто съездить посмотреть. Вы удивитесь, как часто это срабатывает! Еще один дискуссионный вопрос: давать ли карманные деньги в поездку и сколько? Бизнес-мамы единогласно считают – давать! Омельченко говорит: Уже с 7-8 лет можно работать с карманными деньгами. Ребенок должен понимать стоимость денег, научиться их откладывать и тратить. Для этого за месяц-два до поездки лучше потренироваться. В КРУГУ СЕМЬИ. По мнению Татьяны Андриановой, лучший способ воспитать лидера - собственный пример. И если по каким-то причинам не получается отправить ребенка в лагерь – можно правильно спланировать и отдых в кругу семьи. Летние каникулы – прекрасная возможность провести время совместно с детьми и максимально вложить нужный посыл на год грядущий. Любые совместные активности, в том числе с элементами допустимого экстрима, позволяют ребенку выйти из зоны комфорта, развивают силу воли и готовность преодолевать любые ситуации, - считает бизнесвумен. - Исходя из этого, одним из вариантов отпуска может быть семейное путешествие на яхте, например, по островам Хорватии. Там ребенок обретет навык работы в команде, потому что всем вместе нужно будет готовить еду и справляться с непредвиденными обстоятельствами. Кроме того, четкое соблюдение режима на яхте укрепит в малыше чувство ответственности. Согласна с Андриановой и Надежда Омельченко: Если нет возможностей отправлять за границу – над лидерством всегда можно поработать в семье. Например, попросить ребенка помочь дедушке или бабушке, взять на себя ответственность за какой-то участок работы. Это тоже поможет ему развить лидерские качества. В свою очередь финансовый директор агрохолдинга Ирина Дюбенкова уверена – будущие лидеры вырастают только из уверенных в себе детей: Потому надо чаще хвалить ребенка за его достижения, пусть и не большие. Это то поколение подростков, которое для того чтобы чего-то достичь в жизни требует похвалы, а не создания стрессоустойчивых ситуаций. Их не нужно опускать на «0», а потом ожидать, что они станут крепче и сильнее. Это пережитки постсоветского пространства. Больше времени проводите с детьми, обсуждайте перед сном с ними их проблемы и достижения. Тогда у ребенка будет хорошая самооценка. Я выбираю отдых, прислушиваясь к пожеланию своего сына, к его интересам. Так, например, мой сын отказался ехать в лагерь со своими одноклассниками. Я это учла. Он поехал со своими одногруппниками по детской школе бизнеса. И очень доволен. Кроме того, бизнесвумен советуют учить ребенка планированию. Например, это может быть дневник, где чадо пишет поставленные цели и процесс их реализации. А можно сделать это более увлекательно. Например, создать карту желаний на лето и повесить ее где-то в комнате на видном месте. Все желания малыша лучше визуализировать, например использовать вырезанные картинки из журналов или его рисунки. Источник
Подробнее
5 июня 2018
НЕ ПОГРЯЗНУТЬ В БУМАЖКАХ: ПОЧЕМУ СТОИТ ОТДАТЬ БИЗНЕС-ПРОЦЕССЫ НА АУТСОРС
Когда читаешь истории успешных предпринимателей, кажется, что все было просто. Вот они что-то придумали, быстро воплотили в жизнь и вышли на миллионные обороты. Однако бизнес состоит не только из удачных, рисковых и веселых решений. Он включает большую работу с документацией, договорами и массой других важных формальностей. Задумав бизнес, будущий предприниматель садится просчитывать детали. И хватается за голову. Неясно, как бизнес оформлять, что учитывать кроме очевидно необходимых вещей, когда дело окупится, сколько нанять людей и сколько им платить. Выходит, человек хотел заняться любимым делом и заработать, а погряз в бумажках и счетах. Если начинающий бизнесмен - не специалист по финансам и заодно не юрист, кадровик и аналитик, то справиться со всеми этими ролями будет сложно. Потому лучше поступить, как завещал американский экономист Питер Друкер: делать то, что получается лучше всего, а остальное отдать на аутсорс. Аутсорс теперь может себе позволить даже небольшой ресторан. На аутсорс можно отдать все бизнес-процессы и возню с бюрократией. А владельцу остается заниматься только теми вещами, ради которых он бизнес открывал. Что такое аутсорс бизнес-процессов? Business process outsourcing (BPO) или аутсорсинг бизнес-процессов - это передача внутренних процессов бизнеса внешнему подрядчику. Все начиналось во второй половине прошлого века с промышленного и ИТ-аутсорсинга. А с конца 90-х компании начали отдавать внешним фирмам такие бизнес-процессы, как бухучет, маркетинговые исследования, найм персонала и другие. Согласно отчету компании Deloitte за 2016 год, бизнес чаще всего отдает на аутсорс IT-процессы, юридические задачи, управление недвижимостью и объектами, налоговую отчетность, кадровые, финансовые и закупочные вопросы. А рынок аутсорсинга с каждым годом растет, если не считать проседание в 2013 и 2016 годах. В прошлом году объем мирового рынка составил $88,9 млрд. В Украине рынок BPO-услуг составил 2,9 млрд грн, по данным компании по аутсорсингу бизнес-процессов Nota Group. А согласно последнему рейтингу, в пятерку лидеров на рынке Украины вошли такие аутсорсинговые компании: EBS, Дмитриева и Партнеры, Группа Финансовых Решений, Nota Group и BDO Украина. Хотя Deloitte делал отчет на основе опроса компаний с миллиардными оборотами, аутсорсинговые услуги сейчас доступны не только крупным фирмам, но и малому бизнесу. Речь вовсе не о бухгалтерах на фрилансе. Аутсорсинговые компании готовы поддерживать малый и средний бизнес. Зачем МСБ аутсорсинг? На этапе создания бизнеса предприниматели часто нанимают штатного бухгалтера, юриста и кадровика в одном лице. Кажется, что так дешевле. Но в итоге, как правило, платить приходится дважды, а гонка за дешевизной негативно сказывается на качестве работы. Если говорить о качестве, то, даже нанимая человека в штат, важно помнить, что универсальных специалистов не бывает. "Один юрист не может быть профессионалом одновременно в трудовом, гражданском, хозяйственном и уголовном праве. Передавая же услугу на аутсорсинг, можно быть уверенным, что вопросом будет заниматься специалист конкретного профиля. А если нужно, специалисты всегда могут проконсультироваться друг с другом", - говорит гендиректор Nota Group Татьяна Андрианова. В компании Benoy разделяют мнение Адриановой. Фирма попробовала работать со штатными юристами и со специалистами на аутсорсе. В итоге руководство пришло к выводу, что юрист, специализирующийся на одном направлении, более профессионален, чем штатный "универсальный" юрист. Так компания начала пользоваться юридическими услугами на аутсорсе. "К тому же, профессионал высокого класса на аутсорсе обходится нам дешевле. Ну и, что совсем удивительно, в одном конкретном случае юрист со стороны за 2 часа разобрался в проблеме, на которую штатному юристу потребовалось 5 часов", - рассказывает гендиректор Benoy Роман Фисун В передаче бизнес-процессов на аутсорс есть еще одна особенность. Часто предприниматель не может проконтролировать работу своего юриста или финансиста - у него просто нет нужных знаний. А вот руководители аутсорсинговой фирмы понимают все процессы и отвечают за качество работы своей репутацией. Они проверят, как бухгалтер составил налоговый отчет, а юрист - договор. То же касается соблюдения специалистами аутсорсинговой компании условий конфиденциальности. "Аутсорсинговая компания обеспечивает 100% конфиденциальность и несет полную юридическую ответственность за предоставленные услуги. До начала работы с клиентом аутсорсинговая компания подписывает договор о неразглашении конфиденциальной информации. Невыполнение договора - это потеря клиента, репутации, бизнеса и финансовые потери. А какая ответственность штатного сотрудника? Он потеряет рабочее место и уйдет работать в другую компанию", - добавляет гендиректор аутсорсинговой компании Группа Финансовых Решений Любовь Цымбал. А как насчет экономии? Содержать штатного сотрудника - это не только платить ему зарплату. Нужно оплачивать налоги, аренду рабочего места, командировки, поддержку ИТ-системы, связь, обучение и прочее. На начальном этапе предприниматели об этом забывают. "Если брать сотрудника на зарплату 10 000 грн, в целом его содержание обойдется в 20 000 грн. Мы просчитывали стоимость содержания одного сотрудника по разным компаниям, все зависит от должности и специфики. Но в среднем получается так", - говорит руководитель финансово-аудиторского департамента Nota Group Дмитрий Рыбальченко. Помимо этого любой бизнес растет или сужается. Как раз в периоды масштабирования предприятия можно ощутить, сколько аутсорсинговая компания экономит бизнесу денег. Дмитрий Рыбальченко иллюстрирует это примером о бухгалтерии: "Например, мы создали фирму и взяли одного бухгалтера на зарплату 40 000 грн. В месяц он обрабатывает условные 1000 документов. Мы решили выйти на ВЭД (внешнеэкономическая деятельность или выход на зарубежные рынки, - Ред.), и теперь бухгалтеру нужно обрабатывать 1500 документов. Приходится нанимать еще одного и платить еще 40 000 грн. Итого - 80 000 грн в месяц за 1500 документов. А если у меня бухгалтерия на аутсорсе, то я плачу, условно, 40 грн за документ. В месяц получаются те же 40 000 грн за 1000 документов. Но если нужно обработать 1500 документов, то я заплачу 60 000 грн, а не 80 000 грн. Так же работает и в обратную сторону - если бизнес сужается и документов нужно обрабатывать меньше. Есть еще вариант с абонентским обслуживанием. Например, бизнесмен платит 40 000 грн в месяц и его не волнует, сколько документов было обработано". Какие функции МСБ может отдать на аутсорс? Малый бизнес может обратиться к специалистам на аутсорсе еще на этапе запуска. Они помогут все юридически грамотно оформить. "Особенно необходимо это сделать, если планируется работа с партнерами. Мы же знаем, что жизнь - непредсказуема, и очень важно, чтобы отношения были правильно оформлены еще на берегу. Это поможет избежать множества проблем в будущем", - говорит Татьяна Андрианова. Так, например, юридический пакет Nota Group может состоять из таких услуг: - регистрация бизнеса; - составление договоров; - решение задач, связанных с интеллектуальной собственностью; - ведение всей документации предприятия; - хранение документов; - сопровождение на сделках и переговорах; - сопровождение по трудовому праву; - защита в судах и многое другое. Это далеко не полный список. Предприниматель может выбрать все, что нужно конкретно его бизнесу. А вот к финансовым услугам можно прибегнуть еще раньше, чем к юридическим - на этапе поиска инвестиций. Дмитрий Рыбальченко рассказал, что специалисты Nota Group помогают стартаперам и предпринимателям правильно составлять паспорт проекта для банков и венчурных фондов. "Ты можешь потратить кучу времени, ходить по банкам и слушать "да-да", но в итоге ничего не получить. А мы работали со многими банками и знаем, какие из них выдают кредиты, а какие об этом только говорят. Помимо банков у нас есть картотека фондов. Мы примерно понимаем, кому и что может быть интересно. Если проект в агросфере - стоит идти в один банк, в энергетике - в другой. Также с фондами", - говорит Рыбальченко. На аутсорс можно отдать все, что касается денег - от бухгалтерского учета и налоговых вопросов до оценки бизнеса, анализа его финансового состояния и планирования деятельности. Маленький бизнес в принципе может закрыть все бизнес-вопросы с помощью стандартных аутсорсинговых услуг. А что для "рыб" покрупнее? Самые популярные в Украине направления аутсорсинговых услуг - юридическое и финансовое сопровождение. И хотя, по словам Любови Цымбал, все, что касается внутренней информации компании, владельцы и топ-менеджмент все еще боятся выносить за стены фирмы, спрос на аутсорсинговые услуги растет. Тем более, что помимо стандартного набора наши консалтинговые компании могут предложить значительно больше. Например, услуги по деофшоризации. Или помощь с оценкой инвестиций. Компания EBS обещает проверить потенциальный объект покупки на достоверность всех отчетностей, выявить опасности и «подводные камни», которые могут подстерегать инвестора. А компания Группа Финансовых Решений предлагает провести оценку должностей, чтобы определить их ценность для организации и повысить эффективность ее функционирования. Отдельное направление BPO - построение корпоративной безопасности и форензик - расследование фактов мошенничества на предприятии. Этим занимается Nota Group. В первом случае специалисты выстраивают систему защиты от внешних и внутренних угроз: рейдерских захватов, утечек информации к конкурентам, непредвиденных юридических рисков и прочего. А вот услуга форензик необходима, когда руководитель бизнеса подозревает, что на предприятии происходят некие махинации, но не может их вычислить. "Если у человека есть возможность злоупотребить служебным положением, велика вероятность, что он это сделает. Это подтверждает статистика. Как правило в злоупотреблениях замешаны отдел закупок, бухгалтерия и нередко - топ-менеджеры", - рассказывает Татьяна Андрианова. Она приводит пару примеров из опыта: "Один мой клиент - владелец крупного бизнеса - потерял миллионы из-за афер своего топ-менеджера. Тот искажал финансовую отчетность, а собственник на ее основе принимал неверные управленческие решения. И так продолжалось несколько лет. Другой крупный бизнесмен чуть было не лишился всего из-за утечки информации к конкурентам. И подобные "сливы" тоже продолжались не один год". Помимо поиска недобросовестных, но уже трудоустроенных сотрудников, Nota Group проверяет бэкграунд кандидатов при приеме на работу. Это полезная услуга, особенно если бизнесмен нанимает сотрудника, который будет иметь доступ к конфиденциальной информации. Рынок аутсорсинга растет с каждым годом, как и качество предоставляемых услуг. И часто работа с BPO-компанией более выгодная и надежная, чем штатные специалисты. Она дает предпринимателям возможность отдать специалистам самую монотонную часть и заниматься любимым делом. И при этом быть уверенным в качестве выполненных юридических, финансовых и прочих задач. Источник
Подробнее
5 июня 2018
ОРЕНДА (АУТСТАФІНГ) ПРАЦІВНИКІВ. ЯК БУТИ, КОЛИ ЗАКОН ПРИЙНЯТО, А ПОРЯДОК – НІ?
Як відомо, в Україні до моменту прийняття Закону України «Про зайнятість населення» від 05.07.2012 р. №5067-VI (далі – Закон про зайнятість), який набрав чинності 01.01.2013 р., не було врегульовано на законодавчому рівні надання такого виду послуг як послуги з оренди (аутстафінгу) персоналу. Сутність послуги з оренди персоналу полягає в тому, що одна компанія приймає до себе на роботу на підставі трудового договору (зараховує до штату) працівника, а потім передає його в найм (оренду) іншій компанії на підставі договору про надання послуг з оренди працівника. При цьому юридично такий працівник перебуває в трудових відносинах з первісною компанією, з якою у нього укладений трудовий договір, а фактично виконує вказівки/завдання, отримані від орендаря (замовника послуг за договором про надання послуг з оренди працівника). Законодавчу легітимність послуга з оренди персоналу отримала лише з прийняттям Закону про зайнятість. Однак деякі питання, незважаючи на прийняття Закону про зайнятість, залишилися відкритими та не до кінця врегульованими. Зокрема, абз. 1, 2 ч. 1 ст. 39 Закону про зайнятість передбачено, що діяльність суб'єктів господарювання (роботодавців, які наймають працівників для подальшого виконання ними роботи в Україні в іншого роботодавця на умовах трудових договорів) здійснюється на підставі дозволу, виданого центральним органом виконавчої влади, що реалізує державну політику у сфері зайнятості населення та трудової міграції. Порядок видачі дозволу на наймання працівників для подальшого виконання ними роботи в Україні в іншого роботодавця встановлюється Кабінетом Міністрів України. На виконання ч. 1 ст. 39 Закону про зайнятість, Кабінет Міністрів України прийняв постанову Кабінету Міністрів України від 20.05.2013 р. №359, якою затвердив Порядок видачі дозволу на наймання працівників для подальшого виконання ними роботи в Україні в іншого роботодавця. Відповідно до п. 2 вищевказаної Постанови Кабінету Міністрів України від 20.05.2013 р. №359, постанова набирає чинності з дня набрання чинності законом про внесення змін до деяких законів України про видачу дозволу на наймання працівників для подальшого виконання ними роботи в Україні в іншого роботодавця. 23.05.2013 р. Кабінет Міністрів України як суб’єкт права законодавчої ініціативи, на виконання п. 2 Постанови Кабінету Міністрів України від 20.05.2013 р. №359, вніс до Комітету Верховної Ради України з питань соціальної політики, зайнятості та пенсійного забезпечення Проект Закону №0951 «Про внесення змін до деяких законів України щодо видачі дозволу на наймання працівників для подальшого виконання ними роботи в Україні в іншого роботодавця». Відповідно до умов Проекту Закону №0951 пропонувалося: доповнити перелік документів дозвільного характеру у сфері господарської діяльності, затверджений Законом України «Про Перелік документів дозвільного характеру у сфері господарської діяльності»; закріпити положення про те, що Дозвіл на наймання працівників для подальшого виконання ними роботи в Україні в іншого роботодавця видається на необмежений строк; закріпити положення про те, що рішення про видачу дозволу або відмову в його видачі приймається протягом 10 робочих днів з дня одержання центральним органом виконавчої влади, що реалізує державну політику у сфері зайнятості населення та трудової міграції, документів, необхідних для видачі дозволу. Однак вказаний Проект Закону №0951 так і не був прийнятий. Тобто існує ситуація, за якої норма Закону Про зайнятість про обов’язковість отримання дозволу для передання в найм (оренду) працівників до іншого роботодавця закріплена на рівні закону, а порядок, що встановлює процедуру видачі такого дозволу, так і не набрав чинності. Таким чином, постає питання про те, як бути в такій ситуації роботодавцям, які мають намір та планують надавати послуги з найму (оренди) працівників, а також що роблять роботодавці в ситуації, яка склалася? Відповідно до ч. 3 ст. 36 Закону Про зайнятість, перелік суб'єктів господарювання, які надають послуги з посередництва у працевлаштуванні, та суб'єктів господарювання, які здійснюють наймання працівників для подальшого виконання ними роботи в Україні в інших роботодавців, формується та ведеться центральним органом виконавчої влади, що реалізує державну політику у сфері зайнятості населення та трудової міграції, в установленому Кабінетом Міністрів України порядку. 05.06.2013 р. Кабінет Міністрів України прийняв Постанову №400, якою затвердив Порядок формування та ведення переліку суб'єктів господарювання, які надають послуги з посередництва у працевлаштуванні, та суб'єктів господарювання, які здійснюють наймання працівників для подальшого виконання ними роботи в Україні в інших роботодавців. П. 5 вищевказаного порядку передбачено, що для включення до переліку посередники подають до Державної служби зайнятості рекомендованим листом з повідомленням про вручення заяву за формою, встановленою Мінсоцполітики. На виконання п. 5 Порядку, Міністерство соціальної політики України 01.08.2013 р. прийняло Наказ №471, яким затвердило форму заяви про включення до Переліку суб'єктів господарювання, які надають послуги з посередництва у працевлаштуванні, та суб'єктів господарювання, які здійснюють наймання працівників для подальшого виконання ними роботи в Україні в інших роботодавців. Враховуючи вищевказане, компанії з метою уникнення застосовування штрафних санкцій не отримують дозволи для передання в найм (оренду) працівників до іншого роботодавця (оскільки порядок видачі дозволів не набрав чинності), а лише подають заяви до Державної служби зайнятості України заяви про включення до переліку суб'єктів господарювання, які надають послуги з посередництва у працевлаштуванні, та суб'єктів господарювання, які здійснюють наймання працівників для подальшого виконання ними роботи в Україні в інших роботодавців, форма якої затверджена вищевказаним Наказом Міністерства соціальної політики України №471. Источник
Подробнее
20 апреля 2018
ПРО БЕЗПЕКУ ЗАМОВИМО СЛОВО
Тетяна Андріанова, генеральний директор компанії Nota Group, голова комітету корпоративної безпеки групи компаній «Октава», член правління Асоціації професіоналів корпоративної безпеки «Безпека – це процес, а не продукт», – пише у своїй книзі американський криптограф і фахівець із комп'ютерної безпеки Брюс Шнайєр. Це золоте правило повинні знати всі фахівці, що працюють у сфері безпеки. Адже світ не стоїть на місці. Технології розвиваються, а з ними з'являються все нові й нові загрози. Бізнес стикається з проблемами, про які ще не замислювався вчора. І тоді починається судорожне «гасіння пожежі». А найчастіше слідом за цим ідуть колосальні збитки та витік цінної інформації. Великі світові компанії давно усвідомили важливість вибудовування функції корпоративної безпеки на підприємстві. У це вкладаються сили та ресурси. Великі гравці розуміють, що в даному питанні важливо працювати на випередження. Побудова функції корпоративної безпеки – це перегони між фахівцями на підприємствах і шахраями, які винаходять усе нові схеми злому захисту. І в цій гонці бізнес просто зобов'язаний завжди приходити першим! Цього тижня в Роттердамі приходить найбільша міжнародна конференція з безпеки ASIS Europe 2018. На ній була представлена ​​й українська делегація, до складу якої я входила. Даний захід – абсолютно унікальний майданчик для обміну досвідом між професіоналами у сфері безпеки всього світу. Туди злітаються представники з Америки та Європи. Лекції читають провідні фахівці цієї сфери з таких гігантів бізнесу, як Microsoft, Amazon, Philips Lighting тощо. Вони розповідають про погрози, з якими зіткнулися, і шляхах відбиття атак. Це абсолютно безцінні знання, отримані на власному досвіді. Але знаєте, що ключове? Перебуваючи на конференції та спілкуючись із фахівцями з різних країн, я не могла перестати думати про те, як привернути увагу українського бізнесу до важливості даного напрямку на підприємствах. Яким чином донести інформацію, що вибудовування комплексу превентивних заходів – набагато ефективніше, ніж спроби врятуватися під час кризи. Я часто використовую відому цитату Уїнстона Черчилля: «За безпеку треба платити, а за її відсутність – розплачуватися». Так просто для розуміння, але так складно для втілення в життя в українських реаліях. Знали б ви, як часто в своїй професійній кар'єрі я чула фрази від керівників бізнесу: «Зараз на це немає коштів», «У мене є співробітник, який відповідає за це», «Раніше проблем не було» і моє улюблене: «Та ну, пронесе!..» З цих діалогів я можу зробити висновок, що більшість керівників підприємств не розуміють, як саме повинна виглядати служба безпеки, хто повинен в неї входити та які функції вона повинна виконувати. І тим більше скільки вона повинна коштувати. Щоб донести до українських підприємців важливість побудови функції корпоративної безпеки, ми запустили в Асоціації професіоналів корпоративної безпеки, членом правління якої я також є, курс «Керівник корпоративної безпеки». І перші два модуля вже позаду. Ми обговорюємо. Вчимо й вчимося самі. Ділимося досвідом, наводимо практичні кейси. Так, під час даного курсу я читала лекцію «Побудова функції корпоративної безпеки у великих холдингових структурах». І одним з найгостріших моментів стало обговорення того, хто саме здійснює дану роботу на підприємстві. Чи це має бути служба безпеки або ці функції можна покласти на юридичний департамент? Хто входить до даного відділу? І окремий важливий момент: як не перетворити цю структуру в каральний орган. Під час роботи в «Октаві Капітал» я пройшла весь довгий шлях побудови корпоративної безпеки на підприємстві. Ми починали з того, що дана функція була покладена на акціонера, а закінчили цілим комітетом, який включає також і форензік (розслідування корпоративного шахрайства). Ми не раз оступилися, перш ніж прийшли до ідеї створення комітету. І ми на власному досвіді знаємо, що класична модель побудови служби безпеки – неефективна. По суті, ви самі ж, своїми руками, запускаєте в своєму ж бізнесі структуру, яка стає каральним органом; оберігаючи себе, не інформує акціонера вчасно про всі загрози, зловживає повноваженнями, ще й не в змозі охопити весь спектр необхідних завдань. Адже, наприклад, щоб провести комплексний аналіз всіх юридичних і фінансових документів, необхідно мати спеціальні знання. Після довгого й тернистого шляху наша компанія зупинилася саме на комітеті, куди, в нашому випадку, входять представники кожного бізнесу. У не настільки великих структурах це можуть бути представники департаментів. Головне – суть. Принцип круглого столу – рівноправність, відкритість і спільне обговорення проблем і загроз. Комітет підзвітний акціонеру, який, таким чином, обізнаний щодо всіх ризиків. Така модель дає можливість приймати всі рішення колегіально, а не одноосібно, не допускати виникнення проблем, дотримуватися принципів корпоративної етики. Сама структура ділиться на три підкомітети: інформаційну безпеку, юридичну та фізичну. Кожен напрямок відповідає за свій обсяг робіт. Наприклад, перші – за збереження комерційних таємниць, антивірусний захист тощо. Юридичний підкомітет відповідає за всі правові аспекти ведення бізнесу, за дотримання всіх норм, захист активів та інше. Ну а на підкомітет фізичної безпеки лягають функції забезпечення збереження матеріальних цінностей. Це величезна й складна структура не вибудовується за один день. І власник бізнесу знову ж повинен розуміти, що, отримавши завтра інформацію про атаки, що готуються, він навряд чи встигне вчасно зреагувати. Я б назвала це своєрідною культурою побудови бізнесу. Цей напрям має бути так само обов'язковим на підприємствах, як, наприклад, відділ бухгалтерії. І дана функція вибудовується не в момент, коли пожежа вже бушує, а в момент побудови самого бізнесу. Це одна зі стін, прибравши яку, ми обвалимо весь будинок. В Україні є висококваліфіковані фахівці з побудови даної функції на підприємствах. В Україні є де вчитися і є кого наймати. У нас є кадри. Але процес не почне рухатися швидше, поки самі власники та керівники проектів не усвідомлять важливість даного питання. І я хочу, щоб через рік, через два наша делегація на ASIS Europe 2018 була вдвічі більшою. Щоб відвідування подібних подій стало обов'язковим для фахівців сфери безпеки. А ще мрію ніколи не чути слова «пронесе» від керівників бізнесу. Але це, напевно, вже з області фантастики. Источник
Подробнее
6 марта 2018
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР NOTA GROUP ВОШЛА В СПИСОК «ЛЕДИ БИЗНЕСА. 50 САМЫХ УСПЕШНЫХ ЖЕНЩИН УКРАИНЫ»
Щороку журнал БІЗНЕС визначає найкращих бізнесвумен країни. Редакція складає власний список, орієнтуючись на бізнес-досягнення представниць прекрасної статі, та пропонує читачам методом голосування обрати переможниць в різних галузях або ж доповнити список. Власними спеціальними номінаціями редакція додатково нагороджує леді, які мали особливі досягнення. Власниці, лідерки, управлінці, ініціаторки, фундаторки та бренди з жіночим обличчям — усі вони героїні нашого номера, які надихають своїм прикладом і задають нові тренди українському бізнесу. Їх набагато більше за 50, і на своїх сторінках БІЗНЕС буде розкривати їхні історії. Валерія Заболотна, IT-школа UNIT Factory (ІТ та телеком) Анна Насіковська, DIM Group (промисловість) Тетяна Абрамова, RITO (Послуги) Філя Жебровська, “Фармак” (медицина і краса) Спецномінація БІЗНЕСа “Традиції якості” Тетяна Андріанова, “Октава Капітал”, Nota Group (Управляючі компанії та асоціації) Орися Німченко, “Вімм-Білль-Данн Україна” (промисловість) Анна Огренчук, LCF Law Group (Послуги) Ольга Афанасьєва, UVCA (управляючі компанії та асоціації) Оксана Кавицька, Helen Marlen Group (ритейл) Алла Олійник, Borsch Ventures (ІТ та телеком) Наталія Бондарьова, “Баядера Груп” (промисловість) Альона Калібаба, Chasopys Creative Family (Послуги) Надія Омельченко, “ІТ-Інтегратор”, “Лиса гора” (управляючі компанії та асоціації, ІТ та телеком, послуги) Спецномінація БІЗНЕСа “Агент змін” Лариса Бондарєва, Креді Агріколь Банк (фінанси) Алла Коваленко, “Бісквіт-Шоколад” (промисловість) Віра Платонова, MasterCard Europe в Україні, Молдові, Грузії, Туркменістані, Таджикистані, Киргизстані та Узбекистані (фінанси) Ірина Букур, Irene Bukur (медицина і краса) Юлія Комарова, Guliev Wine Group (промисловість) Ніна Васадзе, “Фалькон-Авто” (ритейл) Яніна Пономарьова, “ОТП Лізинг” (фінанси) Катерина Костерева, Terrasoft (ІТ та телеком) Олена Волошина, IFC (управляючі компанії та асоціації) Юлія Романенко, “L’Oreal Україна” (медицина і краса) Ірина Костюшко, “Зоря” (промисловість) Галина Герега, “Епіцентр-К” (ритейл) Людмила Русаліна, “Петрус” (промисловість) Олена Кошарна, Horizon Capital (управляючі компанії та асоціації) Ірина Горова, “MOZGI Entertainment” (Послуги) Алла Савченко, BDO в Україні (Послуги) Олеся Линник, M.E.Doc (ІТ та телеком) Вікторія Гресь, дизайнер (Послуги) Людмила Севрюк, “Брокард-Україна” (ритейл) Зоя Литвин, “Освіторія”, Новопечерська школа (Послуги) Ольга Гуцал, “Каміон Оіл”, Абрикос” (промисловість) Спецномінація БІЗНЕСа “Сталевий характер” Ірина Тарасевич, “Ремос” (ТМ “ЯКА”) (медицина і краса) Олена Ліховець, “ГлаксоСмітКляйн Фармасьютікалс Україна” (медицина і краса) Анна Дерев’янко, EBA (управляючі компанії та асоціації) Галина Усенко, Into-Sana (медицина і краса) Анна Луковкіна, “Всі. Свої” (ритейл) Світлана Діденко, “Дарниця” (медицина і краса) Ольга Устинова, “Vodafone Україна” (ІТ та телеком) Олена Малинська, Банк Кредит Дніпро (фінанси) Спецномінація БІЗНЕСа “Проект року” Людмила Дригало, ПП “Дригало” (промисловість) Любов Цимбал, “Група Фінансових Рішень” (Послуги) Ірина Мірошник, IMMER Group (промисловість) Спецномінація БІЗНЕСа “Динаміка року” Олена Дуніна, “DuPont Pioneer Україна” (промисловість) Лариса Шен, LoraShen (Послуги) Єлизавета Юрушева, Fairmont Grand Hotel Kyiv, бутик-готель “Рів’єра” (Послуги) Вікторія Михайльо, “Альфа-Банк (Україна)” (фінанси) Наталія Єремєєва, Stekloplast (промисловість) Источник
Подробнее
5 февраля 2018
В 2018-М УКРАИНСКИЙ БИЗНЕС ЖДЕТ УСИЛЕНИЕ КОНКУРЕНЦИИ И НЕХВАТКА КАДРОВ
Предприниматели озаботятся безопасностью бизнес-данных, выйдут из "тени" и перейдут на удаленную работу По словам экспертов, компании будут переходить на дистанционную работу, а соискателям нужен гибкий рабочий график В этом году украинский бизнес ждут усиление конкуренции и нехватка кадров. "Сегодня" узнала, что работодатели будут поднимать зарплаты, опасаясь оттока сотрудников за границу, но работа удаленно все еще будет вызывать сомнения. ВСЛЕД ЗА ТЕХНОЛОГИЯМИ. По словам руководителя секретариата Совета предпринимателей при Кабмине Андрея Забловского, в этом году будет наблюдаться усиление конкуренции на всех рынках — как внутренних, так и внешних. Кроме того, ожидается и обострение технологической конкуренции. "Этот год в Украине пройдет под знаком автоматизации и роботизации. Эти процессы перестанут быть прерогативой отдельных стартапов, они коммерциализируются и наберут промышленных масштабов", — рассказал нам Забловский и добавил, что их драйверами станут большие корпорации и международные компании. Также, по мнению эксперта, из-за сложной экономической ситуации в стране все больше компаний будут искать выход на внешний рынок. А вот те, что останутся, начнут вести дела открыто. "Многие предприниматели выйдут из "тени", поскольку из-за цифровизации процессов возможностей работать "нечестно" все меньше и меньше", — отмечает экономист. Эксперт видит в этом также заслугу распространения в Украине технологии блокчейна, внедрение которой в бизнес продолжится. При этом Забловский отмечает, что будет развиваться и криптовалютный бизнес, несмотря на то, что он у нас все еще вне правового поля. Источник
Подробнее
26 января 2018
КОРПОРАТИВНАЯ БЕЗОПАСНОСТЬ: КАК ЗАЩИТИТЬ СВОЙ БИЗНЕС
«За безопасность необходимо платить, а за ее отсутствие – расплачиваться», - ставшая уже крылатой фраза Уинстона Черчилля как нельзя актуальна для украинского бизнеса. В нашем современном мире, где про корпоративный шпионаж снимаются фильмы, а балом правит конкуренция, бизнесу со слабой защитой попросту не выжить. Украинские предприниматели пока далеки от понимания того, что грамотное выстраивание функции корпоративной безопасности должно происходить одновременно с запуском всего бизнеса. Комплекс превентивных мер убережет от колоссальных убытков, а порой и от краха всего бизнеса. У нас же зачастую о построении этой жизненно необходимой функции вспоминают, когда, например, информация уже утекла к конкурентам, и предприниматель в лучшем случае может только наказать виновных. Я неоднократно видела к каким плачевным последствиям может привести безответственность в данном вопросе. Так, сотрудник одной крупной компании, будучи вовлеченным в масштабный проект, скопировал информацию с коммерческой тайной и шантажировал владельцев бизнеса. А после того, как он был уволен, продал данные заинтересованной стороне, которая успешно ими воспользовалась. Вот еще пример. Директор крупного бизнеса, провалив череду проектов, был не готов признать свою несостоятельность, как руководителя, и чтобы скрыть от владельца реальную картину с колоссальными убытками, на протяжении определенного периода искажал отчетность, показывая прибыль. Все это он красиво украшал радужными планами на будущее. И продолжал выплачивать бонусы себе и близкому окружению. Это - истории из жизни. И это - не единичные случаи, можете мне поверить. Итак, как же выстроить надежную корпоративную защиту? Что должна предложить владельцу служба безопасности или аутсорсинговая компания, которую нанимают для осуществления данных задач? Грамотные специалисты подходят к вопросу комплексно. В первую очередь необходимо понять, какие именно факторы могут негативно повлиять на Ваш бизнес. Они могут быть внутренние (например, сотрудники, незащищенность прав на активы, корпоративное мошенничество, устаревшая техническая защита и прочие) и внешние (несоответствие работы компании действующему законодательству, действия правоохранительных и контролирующих органов, криминальные структуры, рейдеры, недобросовестные конкуренты, а также лица, специализирующиеся на промышленном шпионаже и т.д). Угроз много и под каждый бизнес выстраивается своя система защиты исходя из специфики. Поэтому любая работа в данном направлении начинается с комплексного аудита. Нанятая на аутсорс компания или служба безопасности обязана устранить все правовые и финансовые риски, разработать комплекс мер по защите прав на активы, выстроить информационную безопасность компании (устранить возможности для утечки информации, установить защиту информационной системы от вирусных атак и т.д), провести комплексную проверку всех сотрудников и прочее. Отдельное направление работы при выстраивании функции корпоративной безопасности - Форензик – комплекс процедур по расследованию корпоративного мошенничества и внедрение превентивных мер. Владелец бизнеса может и не догадываться, что у него воруют, пока не прибегнет к услугам специалистов. А статистика говорит о том, что корпоративное мошенничество - явление далеко не редкое. Чаще всего оно появляется в отделах продаж, закупок, в бухгалтерии, порой, грешат топ-менеджеры. Объёмы, естественно, зависят от уровня сотрудника, а спектр возможных нарушений крайне широк: это взяточничество, присвоение активов, искажение финотчетности и прочее. Справиться с таким объёмом задач один сотрудник не в состоянии. Как правило, функцию корпоративной безопасности выстраивает целая команда юристов, аудиторов, порой бывших сотрудников правоохранительных органов, психологов. Задача данной команды - узнать все и про всех. Например, много ли вы знаете про уборщицу Вашего офиса, которая приходит на работу ранним утром и длительный промежуток времени находится одна в Вашем кабинете? Уверены ли Вы в вашей системе защиты от вирусов, которую установил на компьютеры штатный IT-специалист? Можете ли вы гарантировать, что ценная информация не уйдет конкурентам? Насколько грамотны Ваши сотрудники в вопросах корпоративной информации? Ведь «слить» данные они могут и не намеренно. Пример: на собеседование приходит молодая девушка и говорит, что забыла резюме. Но документ есть у нее на флешке. Почти всегда собеседующая сторона соглашается вставить внешнее устройство в компьютер и распечатать документ. И так легко и просто в вашу систему попадает вирус, который крадет ваши сведенья и даже делает снимки с ваших экранов. Опять же, думаю, почти каждый владелец бизнеса помнить относительно недавнюю атаку вируса Petya, из-за которой Украина потеряла, по оценкам экспертов, 10 млрд грн.! И, по мнению специалистов, это была далеко не последняя атака подобного рода. Постепенно украинский бизнес осознает важность выстраивания функции корпоративной безопасности. Но процесс идет медленно, неуверенно. Мы, как будто, движемся в темноте по неизведанной территории, в то время, как весь другой мир уже все изучил и исследовал. Мы все еще задаёмся вопросом: «А нужно ли тратить на это ресурсы», когда ответ может быть только один: «Да». Источник
Подробнее
25 ноября 2017
ЧТО ДЕЛАТЬ, ЕСЛИ БАНК ВЫПИСАЛ ШТРАФ ЗА ЗАДОЛЖЕННОСТЬ
Банк не может требовать закрыть задолженность и заплатить штраф, если прошло три года "Ситуация – банк выдал кредит на 300 грн в 2008 году. Сейчас подает иск, по которому требует взыскать 300 грн. – долг и 79700 грн. – штрафы и пеня. У меня все", – возмущается в Facebook запорожанка Екатерина Констатинова. Сайт "Сегодня" узнал, когда банк должен напомнить о задолженности и требовать заплатить штраф. По законодательству общий срок исковой давности три года, говорит юрист, директор по правовым вопросам компании "Октава Капитал" Татьяна Андрианова. "Банк может обратиться с требованием, иском в суд, в течение трех лет с момента возникновения такого долга. Что касается штрафных санкций, то срок исковой давности 1 год с момента возникновения права требования основного обязательства. Поэтому правовых оснований требовать оплаты штрафа по истечении этого срока нет", – говорит правовед. Однако, если договором были установлены другие сроки исковой давности, например, пять лет и более, то право требований банка будет сохраняться на протяжении договорных сроков исковой давности. Если иск в суд был предъявлен в пределах срока исковой давности, то срок исковой давности прерывается. Источник
Подробнее
21 ноября 2017
ПОМОЖЕТ ЛИ НОВЫЙ ЗАКОН О ЗАЩИТЕ БИЗНЕСА УКРАИНЦАМ – ЮРИСТ
Новые стандарты досудебного расследования (закон № 7275) запрещают изымать серверы и компьютерную технику у бизнеса, но разрешает делать это для «экспертного исследования». Об этом заявила адвокат Татьяна Андрианова. «Запрещается изъятие электронных информационных систем, компьютерной техники, серверов и мобильных телефонов субъектов предпринимательской деятельности. Но есть и исключения! Например, разрешается изъятие для „экспертного исследования“. Не думаю, что проблема написать иную цель и, как и раньше, спокойно производить изъятие», — рассказывает юрист. Одно из ключевых и важных изменений — признание недопустимыми доказательства, которые получили во время обыска, на который не был допущен защитник. Но, отмечает адвокат, при этом защитник должен доказать факт своего недопущения. «Способ и форма доказывания не определены, а это значит, что любая форма такого доказывания может считаться ненадлежащей», — рассказывает Татьяна Андрианова. Напомним, как ранее писал Realist, новый закон предусматривает установление видеофиксации судебного решения о проведении обысков и недопустимости принятия такого решения без адвоката. Обыски будут также фиксироваться на видео. Источник
Подробнее
14 ноября 2017
СУПЕРПОЗИЦИЯ КРИПТОВАЛЮТ: ЗАКОННЫ ЛИ БИТКОИНЫ В УКРАИНЕ
Криптовалюта в Украине, как кот Шредингера – по крайней мере, пока Рада не примет закон или НБУ не даст разъяснения. Представьте мир через 30-40 лет. Каким он будет? Найдут ли лекарство от рака, создадут ли человеческих клонов, отправят ли первах поселенцев на Марс? А вот еще вопрос: будут ли еще в обиходе бумажные деньги? Или же доллары и евро останутся только в музеях и на страницах учебников по истории? Уже неоднократно экономисты с мировыми именами заявляли, что наличка уходит в прошлое. И окончательно это может произойти в достаточно обозримом будущем. В это можно поверить, если оценить скорость проникновения криптовалют в нашу жизнь. О подобных "электронных расчётах" человечество узнало только в 2008 году, когда появился документ с описанием протокола и принципа работы, и это было что-то очень загадочное и непонятное для широкой публики. Но уже в 2010-м впервые в истории за криптовалюту был приобретён товар, а именно — две пиццы! Теперь слово "биткоин" — самая дорогая и потому популярная криптовалюта из более тысячи существующих — знакомо даже школьникам. Тем временем правительства во всем мире решают, что делать с такими "деньгами", каков их юридическим статус. И считать ли их деньгами вообще. Немного о мировом опыте. Правовой статус криптовалют разный в разных странах. В Германии — это частные деньги и ими, например, даже могут рассчитываться между собой предприятия. Япония признает криптовалюту законным платежным средством. Министерство финансов США рассматривает биткоин как бизнес, оказывающий расчетно-кассовые услуги населению, но не как валюту. А Налоговое управление США считает их ценным активом, как, например, золото. В Китае операции с криптовалютой разрешены для физлиц и запрещены для банков, она считается виртуальным товаром. В Швейцарии конкретно биткоин имеет статус иностранной валюты. Что же в Украине? А в Украине ситуация с развитием и использованием криптовалют достаточно размытая. Долгое время власти делали вид, что такого средства платежа не существует. Ну, знаете: нет криптовалют — нет проблем. В 2014 году Нацбанк определил биткоин как "денежный суррогат, который не имеет обеспечения реальной стоимостью и не может использоваться физическими и юридическими лицами как платежное средство". Далее было молчание длиной в три года. Но в этом году властям пришлось вернуться к этому вопросу. После череды публикаций в СМИ и развернувшейся дискуссии в НБУ все же пришлось объяснить, какой правовой статус имеет биткоин в нашей стране. И свелось это объяснение к тому, что они и сами этого не знают, но в ближайшее время обязательно определят. "На данный момент биткоин не имеет определенного правового статуса в Украине. Определение такого статуса осложняется отсутствием консолидированного подхода к классификации биткоин и регулирования сделок с ним в мире", — завили в Нацбанке. Неверно говорить, что биткоин или любая другая криптовалюта у нас в стране — незаконны. Но в то же время нельзя и утверждать, что они законны. Криптовалюта в Украине в позиции кота Шредингера Что же означает это на практике? Первое. Неверно говорить, что биткоин или любая другая криптовалюта у нас в стране — незаконны. Но в то же время нельзя и утверждать, что они законны. Криптовалюта в Украине в позиции кота Шредингера. По крайней мере, пока Верховная Рада не примет закон или НБУ не даст разъяснения. Более того, недавно была новость, что в Киеве впервые в мире продали квартиру за криптовалюту. И с юридической точки зрения сделка эта — абсолютно легальна. Опять же, не запрещено у нас и зарабатывать криптовалюту, то есть заниматься майнингом. За это не предусмотрено никакой ответственности. И относительно недавний случай, когда задержали людей, занимающих майнингом биткоинов — тоже очень неоднозначный. Им можно вменять незаконное пребывание в бассейне на территории института электросварки им. Патона, если у них не было соответствующих разрешительных документов. Возможно, можно вменять подделку каких-то документов, как писали СМИ. Но их точно нельзя задерживать за сам майнинг. В прессе их назвали "подпольной фермой по майнингу". Но позвольте, как что-то может быть подпольным, если оно не запрещено? Еще один важный момент: операции с криптовалютой обратной силы не имеют — не только в Украине, вообще нигде. То есть, если вы расплатились за что-то теми же биткоинами, вернуть ее уже не получится. Не помогут и лучшие адвокаты страны. Но опять же, рассчитываться криптовалютой можно. Тюрьма или даже общественные работы вам за это точно не грозят. Еще один интересующий вопрос — получив биткоины, нужно ли платить с него налог? Многие страны регулируют статус криптовалют на своей территории, и, соответственно, могут получать с этого прибыль. Но так как в Украине биткоина, как и любой другой криптовалюты, с юридической точки зрения не существует, то не существует и нормы, по которой человек, не заплативший налог, нарушает закон. Это как с проституцией. Можно легализовать, что даст возможность контролировать сферу и получать прибыль в бюджет страны. А можно делать вид, что этого не существует, и плодить преступный рассадник. Ведь криптовалюта никуда не денется — напротив, с годами она будет получать все большее распространение. Так и с криптовалютолй: легализация сделает возможным ее контроль, а также введение ответственности за незаконные действия с ней. То есть, государство должно сделать две вещи. Во-первых, определить, что же такое криптовалюта в Украине в целом и биткоин в частности, а во-вторых, указать, как необходимо платить налоги с криптовалютных опеарций. Пока этого не произойдет, будет продолжаться путаница и неразбериха, а новых скандалов в обществе — не избежать. При этом юридически каждая из сторон будет права. Источник
Подробнее
20 июля 2017
ЖИЗНЬ БЕЗ ПЕЧАТЕЙ
Украина, демонстрируя свое стремление приблизиться к европейским стандартам ведения бизнеса, а также повышения в рейтинге Doing Business  генерирует прогрессивные законы. И было бы здорово, если бы также активно они и воплощались в жизнь. Закон и печати Одним из них является Закон «О внесении изменений в некоторые законодательные акты Украины относительно использования печатей юридическими лицами и физическими-лицами предпринимателями», который 19.07.2017г. вступил в силу. Как указывается в документе:оттиск печати не может быть обязательным реквизитом любого документа, который подается субъектом хозяйствования в орган государственной власти или орган местного самоуправления; копия считается заверенной в установленном порядке, если на такой копии проставлена ​​подпись уполномоченного лица такого субъекта хозяйствования или личная подпись физического лица – предпринимателя; орган государственной власти или орган местного самоуправления не вправе требовать нотариального заверения верности копии документа в случае, если такое требование не установлено законом; орган государственной власти или орган местного самоуправления не имеет право требовать печати. Важно обратить внимание на то, что только орган госвласти или орган местного самоуправления не имеет право требовать печати; на остальных субъектов правило не распространяется. Хотя Закон гласит, что наличие или отсутствие оттиска печати предприятия на документе не создает юридических последствий. Мое мнение, печать – устаревший реквизит бизнеса и мнимая защита от подделок. Во всех цивилизованных странах печать давно не является обязательным атрибутом и если и проставляется на документах, то исключительно для красоты. Для бизнеса это создает массу бюрократических процедур, что затягивает бизнес-процессы и подписание договоров. Кроме того, наличие печати влечет за собой допзатраты сначала по ее получению, потом хранению и контролю за использованием. Риск мошенничества Многие бизнесмены обеспокоены возможными злоупотреблениями в связи с этим, такими как подделка документов. Но наличие печати не является гарантией защиты от мошенников. Незаконное изготовление необходимой печати по заказу, к сожалению, существует. Эта опция не раз использовалась рейдерами при захвате бизнесов. Но как же защититься от подделок и неприятных неожиданностей? Всем собственникам бизнеса рекомендую прописывать в уставе ограничение полномочий директора и прочих лиц, наделенных правом подписи договора. Устанавливать денежные пороги сделок, при превышении которых требуется согласование с собственниками. Однако, последняя судебная практика говорит о том, что уставных ограничений для защиты своих прав при злоупотреблении недостаточно и надо доказать, что контрагент знал об этих ограничениях. Поэтому важно при регистрации компании данные ограничения указать в едином госреестре, который будет доступен  каждому заинтересованному лицу. Конечно, эти ограничения не спасут бизнес от мошенничества с подделкой, но точно усилят правовую позицию защиты в суде. Также рекомендую требовать от контрагентов подтверждения полномочий подписанта, изучая все надлежащие юридические документы, устав, доверенности и пр. Целесообразно и взять за правило подписание договоров при очной встрече подписантов или как минимум в присутствии представителей от компании, ведь получив подписанный от контрагента договор совершенно нет уверенности, что подпись стоит надлежащего подписанта. Татьяна Андрианова, адвокат, директор по правовым вопросам компании «Октава Капитал» Источник
Подробнее