Как выявить коррупцию в IT-отделе
Топ-менеджменту нужно разобраться, что на самом деле происходит в IT-службеСегодня деятельность любой компании зависит от информационных систем, а руководители компаний – от собственных IT-отделов. По моему опыту, IT-службы более половины российских компаний – непрозрачные структуры не только для других подразделений, но и для корпоративных служб безопасности.
В бизнесе либо не хватает экспертов, способных системно и критически оценить происходящее в IT-подразделении, либо этих экспертов никто не слышит. Собственники и топ-менеджеры, если у компании есть деньги, обычно соглашаются увеличить бюджет отдела, не желая погружаться в детали.
Но непрозрачность, слабый контроль и высокие риски мошенничества в IT приводят к проблемам посерьезнее лишних расходов. Мы сталкивались с ситуациями, когда IT-специалисты способствовали рейдерским атакам на компанию, раскрывая график поступления кредитов, устанавливали специализированное ПО для слежки и сбора компромата на руководителей компании, организовывали утечки клиентских данных к конкурентам и взламывали личную почту сотрудников. Существуют и внешние риски – так, намеренное раскрытие или утечка персональных данных граждан ЕС может привести к многомиллионным штрафам за нарушение закона о защите данных GDPR и серьезному урону репутации.
Как понять, есть ли злоупотребления и мошенничество в IT-службе компании? Есть несколько признаков.
1. Рост расходов на IT. Значительный рост затрат на IT, как капитальных, так и операционных, должен насторожить собственников компании. Пример: IT-директор настаивает на том, что необходимо срочно вложить миллионы долларов в обновление ERP-системы, потому что ее разработчик перестанет поддерживать текущую версию уже в следующем году.
Руководители IT-служб обычно играют на страхах руководства – что упадет производительность, что компания останется без поддержки, что системы будут уязвимы перед атаками хакеров. Или убеждают, что компания, купив дорогостоящий продукт, станет привлекательнее для инвесторов. Эти аргументы могут быть правдой отчасти или полностью. Cобственнику или топ-менеджеру, как бы их ни призывали к срочным действиям, надо получить альтернативное заключение внутренних и внешних экспертов о том, реальны ли эти проблемы и каковы варианты их решения. А уже потом делать выводы.
Отдельно надо заниматься проверкой обещанных перед началом IT-проектов выгод. Проблема в том, что крупные сложные проекты сами по себе являются полем для манипуляций, потому что их не с чем сравнивать. Внедрение новой информационной системы всегда уникальный проект. Нужно не только купить программное обеспечение, но потратить время и деньги на его доработку, настройку и интеграцию с имеющимися информационными системами. А когда проект завершится, нужно будет обновлять системы, и так до бесконечности.
Всегда надо помнить, что далеко не все новые информационные системы нужны, а нужные системы не обязательно глубоко интегрировать с другими приложениями. Часто достаточно периодического обмена пакетами данных.
Любому проекту должны предшествовать детальные расчеты. Проект должен быть оценен по инвестициям и планируемым выгодам, должны быть учтены альтернативные варианты и риски.
Значимый IT-проект лучше всего раздробить на этапы: чем раньше компания поймет, что заявленные цели не достигаются, а риски растут, тем больше шансов снизить потери и скорректировать планы.
Собственникам стоит обратить внимание и на операционные расходы на IT-службу, ведь специалисты, работающие в ней, стоят дорого, а оценить необходимость их найма непосвященному человеку трудно. Сигнал опасности – это рост затрат больше чем на 15–20% в год при отсутствии новых крупных проектов.
2. Непрозрачные IT-закупки. Если более 15% бюджета на IT уходит одному контрагенту или нескольким связанным компаниям, хотя речь идет не об уникальном, а о стандартном оборудовании и ПО, – это повод насторожиться и изучить закупочный процесс. Если на тендеры IT-департамента вашей компании откликается мало компаний, если в торгах участвуют одни и те же игроки, может быть, объемы работ завышены с точки зрения предложенных цен? А может быть, рынок уже давно знает, с кем предпочитает работать ваш IT-директор. Ничего страшного в работе с одними и теми же проверенными поставщиками нет. Проблемой это становится, если закупки проводятся по нерыночным ценам.
Уволить руководство IT-службы, действующее не в интересах акционеров, за один день не всегда возможно. Для этого нужно иметь кадровый резерв по наиболее значимым и рискованным позициям. В моей практике были случаи, когда на создание резерва уходило более года. В критических ситуациях можно пойти на компромисс: предложить большее жалованье при обязательном условии полной нетерпимости к злоупотреблениям.
Руководитель компании должен знать расходные статьи бюджета на IT и всегда задаваться вопросами, нужно ли нам то, что мы покупаем? Какова эффективность? Есть ли альтернативы? А служба персонала должна обязательно проводить интервью с увольняющимися IT-специалистами: люди этой профессии обычно не склонны к частой смене работодателей, и их уход может быть признаком проблем в отделе. Также полезна будет анонимная горячая линия, по которой сотрудники смогут сообщать о злоупотреблениях.