IT-подразделение: как выявить коррупцию

| статьи | печать

От компетентности, честности, добросовестности сотрудников IT-подразделений опосредованно или даже напрямую зависят как прямые показатели эффективности, так и соблюдение коммерческой тайны, сохранность ценной информации, часто и сам факт существования компании. О том, на что необходимо обратить внимание руководителям при анализе деятельности IT-подразделений, как избежать необоснованных расходов в IT, рассказывает Алексей Борисов, адвокат, старший партнер юридической компании «Проценко и Партнеры».

Современный бизнес невозможен без активного использования высоких технологий. При этом от IT зависимы как крупные компании, так и малый и средний бизнес. И если мелкий бизнес ограничивается одним сотрудником, исполняющим сугубо технические задачи, и его достаточно легко контролировать, то более крупные компании вынуждены нанимать целые отделы или департаменты, отвечающие за информационные технологии.

IT-технологии и отвечающие за них сотрудники могут не только облегчить работу компании, но и создать массу проблем, вплоть до непоправимого удара по репутации руководства или фирмы в целом. К сожалению, сотрудник IT-отдела при определенном попустительстве и невнимании руководства становится этаким «богом», которому подвластны и подконтрольны практически все электронные процессы фирмы. И отсутствие надлежащего контроля в лучшем случае приведет к увеличению расходов компании, в худшем — к массе проблем у руководства, учредителей и отдельных сотрудников.

Какие коррупционные проблемы в IT-отделе могут поджидать руководство компании и как с ними бороться?

Отсутствие знаний открывает дорогу для злоупотреблений

IT-сфера — это бездонная бочка для финансовых вложений при неверно расставленных приоритетах. Отсутствие же специфических познаний о принципах функционирования IT-отдела у руководства создает крайне благоприятную почву для самых разных злоупотреблений. И чем больше размеры компании и отдела — тем больше число различных рисков.

В числе самых популярных рисков следующие.

  • Раздувание штата IT-отдела без достаточного обоснования. «Выбить» пару мест для родственников и друзей опытному начальнику информационного отдела в десяток сотрудников не составит никакого труда, особенно если на месяц погрузить компанию в череду самых различных технических сбоев, постоянно сетуя на «нехватку рабочих рук» для их оперативного устранения.

  • Завышенная стоимость закупки оборудования и программного обеспечения. Продавать свой товар хотят все, а многие готовы на самые различные «бонусы» и вознаграждения за поиск клиента. Что мешает работникам IT-отдела договориться с конкретным поставщиком, дав ему важную инсайдерскую информацию для прохождения аукциона, или «подкрутить» рыночную стоимость оборудования? Практически ничего!

  • Дополнительные объемы работ по обслуживанию и обновлению оборудования. Ваша компания почти каждый год проводит «обновление» локальной сети, прокладывая ее с нуля, или же каждые два года приобретает новый сервер за несколько миллионов рублей? Возможно, ваши задачи требуют идеальной и 100%-ной надежности всех значимых узлов, но насколько это оправданно в ином случае?

Главным камнем преткновения при проверке обоснованности тех или иных работ или поставок становится техническая некомпетентность исполнительного органа компании и учредителей. Если IT-отдел является обеспечивающим, а деятельность компании напрямую не связана с информационными технологиями, то шансы на то, что топ-менеджмент в состоянии самостоятельно контролировать происходящее внутри компании, стремятся к нулю.

Тревожные звоночки

В вышеперечисленных случаях тревожными звоночками могут стать самые различные подозрительные факты. Например, в случае навязчивого желания отдела расширить число специалистов руководство должны насторожить следующие обстоятельства:

  • после очередного ненавязчивого предложения о расширении штата в компании внезапно наступает «час Х», связанный с критическими сбоями или же отказом информационных систем. Один случай — совпадение, два — тенденция, а три — диагноз, и очень плохой;

  • отсутствуют объективные причины для увеличения числа работников. Если компания не открывала новых направлений или филиалов, не закупала дополнительное оборудование, не внедряла новые информационные системы, но IT-отдел требует дополнительных сотрудников — возможно, стоит сменить руководство этого отдела или основательно проверить, чем же они заняты в рабочее время;

  • есть достоверная информация от других работников или отделов об отсутствии нагрузки у «информационщиков». Если перед начальством имитировать бурную деятельность легко, то коллеги легко узнают, что сотрудники IT-отдела заняты собственными или посторонними делами на рабочем месте, хотя и регулярно напоминают о «высокой нагрузке».

В этом случае желательно обратиться к независимым экспертам, заказав комплексный аудит деятельности компании и целесообразности содержания обширного штата специалистов. Аутсорсинг достаточно обширного числа задач никто не отменял!

Первые признаки необоснованных расходов

По аналогичному принципу следует действовать и в случае с постоянно растущими расходами на IT. Если компания достаточно стабильно работает, имеет прибыль и необходимые средства для модернизации, то надавить на руководство для опытного (во всех отношениях) «айтишника» особого труда не составит.

Страшилки о хакерских атаках или отключении всех электронных систем компании на сутки или двое с миллионными убытками имеют потрясающий эффект убедительности, и вот уже учредители готовы согласовать очередное многомиллионное вливание в IT-направление компании. В случае несговорчивости следует пара спровоцированных шатдаунов, которые непременно будут обоснованы в нужном ключе.

Особое внимание стоит уделять деятельности информационного отдела в следующих случаях:

  • свыше 25% сделок или же аналогичная величина бюджета достается одному и тому же контрагенту на протяжении года или более;

  • ни руководство, ни учредители не понимают ровным счетом ничего из того, в чем их убеждает IT-отдел;

  • IT-отдел затрудняется обосновать, чем именно выгодны компании те или иные модернизации. Общие фразы не в счет. Цифры, конкретные выгоды — все это должно лежать в письменном виде в качестве обоснования.

Что же делать? Оставлять все как есть? Разумеется, нет.

В таких ситуациях выход один — нанимать независимых экспертов, чего очень многие компании не желают делать из-за боязни разглашения конфиденциальной информации. Также на подобный шаг не готовы идти и учредители, ссылаясь на коммерческую тайну.

В итоге компания оказывается меж двух огней и чаще всего вынуждена идти на поводу у «айтишников», решая лучше откупиться от проблем деньгами, нежели впускать в свою работу посторонних лиц.

ВАЖНО! Имеет смысл разделить процедуру модернизации на несколько этапов, требуя постоянного отчета от ответственных лиц и контролируя те сферы, в которых менеджмент компании отлично разбирается: ценообразование, порядок выбора контрагента, условия сотрудничества.

Идеально в данной ситуации иметь в составе учредителей или совета директоров человека, который имеет достаточно познаний для надлежащего контроля за ситуацией в IT-направлении компании. Но даже такой человек, если он не является прямо заинтересованным в успешности компании (владельцем пакета акций или доли, инвестором), может быть перекуплен или начнет играть «в свою пользу».

Но увеличение затрат на IT — меньшая из проблем. В этом случае даже самые недобросовестные «айтишники» все же заинтересованы в сохранении экономической стабильности компании и, как следствие, своей успешной «кормушки». Куда хуже обстоят дела, когда у IT-отдела возникает иной корыстный интерес…

Кто в реальности управляет вашей компанией?

В век современных технологий подчас реальным «властителем ситуации» в фирме становится вовсе не генеральный директор, а скромный и тихий системный администратор или же аналогичная по обязанностям команда.

Эти ребята могут практически все, и это вовсе не громкие слова, сказанные ради драматизма. Практика расследования различных преступлений и злоупотреблений в сфере IT даже в малом и среднем бизнесе знает массу возможных злоупотреблений.

Например:

  1. Сбор конфиденциальной информации о частной жизни сотрудников, руководства. Часто рядовые работники и даже топ-менеджмент оставляют массу интересного на рабочих станциях. Начиная от личных фото, заканчивая пикантными переписками. При технических и юридических «дырах» в политике безопасности получить доступ к таким данным может обычный системный администратор.

  2. Продажа информации конкурентам, содействие рейдерским захватам бизнеса. Чем больше компьютеризация — тем больше информации о компании в электронном виде. Заинтересованный сотрудник IT-отдела без проблем получит сведения о контрагентах, порядке и условиях кредитования, проверках бизнеса и другие важные и интересные определенному кругу лиц данные.

  3. Откровенный саботаж или угроза нормальной деятельности фирмы. Когда сотрудник IT-отдела готов уволиться или же вступил в прямой конфликт с руководством, то от него можно ожидать любой неприятности. Начиная от блокировки работы основных программ, заканчивая удалением важной информации.

Все эти ситуации становятся возможны из-за недостаточного контроля и попустительского отношения со стороны руководства. Особенно в малом бизнесе, где системные администраторы нередко воспринимаются как нечто среднее между грузчиком и дворником. Вот только ни грузчик, ни дворник не смогут удаленно наблюдать за экраном директора и не получат доступ к «серой» бухгалтерии, которую, как полагало руководство, «грамотно спрятали» в отдельной папке.

Кто контролирует IT, тот владеет всем!

Выходом становится целый комплекс мер правового и технического обоснования деятельности IT-отдела, включая:

  • обширное правовое регулирование деятельности как отдела в целом, так и конкретных сотрудников. Необходимы детальные должностные инструкции, соглашения о неразглашении, дополнительные документы о персональной ответственности;

  • организационное и техническое разделение полномочий каждого сотрудника. Вы же не хотите позволить вчерашнему студенту, нанятому на полставки, беспрепятственно копаться в компьютерах сотрудников? Разделяйте полномочия как юридически, так и технически. Рядовые сотрудники не должны иметь доступ к рабочим станциям топ-менеджмента, а непосредственный руководитель имеет полное право (прописанное в инструкции и трудовом договоре!) удаленно взглянуть, чем же занят его сотрудник на своем рабочем компьютере;

  • постоянный контроль и определенная юридическая ответственность. Регулярный аудит информационной безопасности наемными организациями, может, и стоит недешево, но позволяет заблаговременно выявлять возможные риски. Опасаться за конфиденциальность не стоит — имеющие авторитет и имя на рынке компании-аудиторы не будут рисковать всем ради сомнительной «подставы» одного из клиентов.

И во всех случаях настоятельно рекомендуем постоянно иметь в запасе «кадровый резерв» по ключевым должностям IT-отдела. Осознание того, что даже начальника можно легко заменить, становится отрезвляющим фактором для сотрудников фирмы.

Эффективная и безопасная для компании работа IT-отдела — это результат работы не только самих «айтишников», но и всего руководства компании вкупе с юристами и привлеченными извне специалистами в сфере информационной безопасности.