Україна та світ суттєво змінилися за останні кілька років. Ба більше, цей процес триває. Засновник компанії COSA Павло Верхняцький в інтерв'ю LIGA ZAKON розповів про ключові правила комплаєнсу та корпоративної розвідки, вимоги від міжнародних партнерів, необхідність чітких орієнтирів та перевагу, яка врятувала Україну.
Комплаєнс в Україні: що і як змінилося з 2022 року
- СВ: Як ви оцінюєте підхід держави до перевірки контрагентів і систему комплаєнсу з 2022 року? Чим відрізняється державний та приватний сектори, як вони розвивали свої методології та до чого дійшли зараз?
- ПВ: На мій погляд, не дуже змінюється. На державному рівні є контррозвідка, безпека і навіть комплаєнс, тобто є можливості перевірки постачальників. Проте ресурси і методологія не завжди відповідають потребам часу.
А перевірити іноземного постачальника, контрагента це вже набагато складніше і, як правило, це роблять поверхово. Ми проводимо навчання для деяких наших спецслужб і бачимо, що ті методології, інструменти, які ми даємо, є часом новими, а десь поглиблюють знання співробітників, відповідних організацій
Загалом це питання доступних ресурсів, світогляду, прописаних процедур.
Мають бути комплаєнс-системи чи системи безпеки, які б відповідали викликам часу і були не для галочки, а для реально ефективної роботи. Як на мене, по Україні питань зазвичай нема. У контексті іноземних контрагентів - це проблема і для бізнесу, і для держави. Інструментарій - це взагалі окрема тема. Зазвичай комплаєнс-офіцери спираються суто на якісь бази даних або агрегатори інформації. Далеко не у всіх є доступ навіть до них.
Зверніть увагу: Першу частину інтерв'ю можна прочитати тут!
Такі інструменти звичайно потрібні, але це тільки перший базовий крок у реальній комплаєнс-перевірці. Якою б просунутою та дорогою не була б аналітична система, наприклад, та сама Sayari, кожна з них потребує ручної аналітики для повноцінної перевірки. Наша методологія передбачає більше десятка інструментів, і один тільки курс по інструментах OSINT у нас займає два дні.
Тобто на державному рівні, я б не сказав, що є хороша методологія і хороша система перевірки іноземних контрагентів. Ось у банках у нас більш-менш поставлена комплаєнс система, а в оборонній сфері, я такого не бачу. Кожне підприємтво робить, так як воно вважає за потрібне. Для розуміння, в Агенції з оборонних закупівель діє своя система, яку вони самостійно будують, в Міноборони як такому - інша система, яка відрізняється.
На державних оборонних підприємствах, які входять до Укроборонпрому, у кожного своя комплаєнс-система, а в приватних виробників - власні варіації. Часто взагалі немає комплаєнс-системи.
Доступ до чутливої інформації: питання, яке на часі
- ПВ: Сьогодні уже назріло дуже серйозне та чутливе питання: доступність даних про виробників, їхніх постачальників. Теоретично такі дані мають бути закритими або взагалі не надаватися - йдеться про відомості, що передаються до податкової, банків і в митних деклараціях.
Ситуація перезріла: немає ілюзій, що ворог не може отримати доступ до податкових даних через корупційні механізми. А це доступ до мережі контрагентів, постачальників, наприклад. Крім того, ця інформація часто зберігається в централізованих системах, доступ до яких можуть отримати кіберзлочинці.
Окреме питання - надмірна деталізація в митних деклараціях (з ким контракт, під який контракт постачають товар, хто постачальник). Такі дані мали б бути закритими, але наразі з якихось причин цього немає.
|
Фото: надано Павлом Верхняцьким |
- СВ: Які на вашу думку інструменти комплаєнсу зараз є найефективнішими в контексті перевірок в оборонному секторі і що може зробити держава Україна, щоб покращити комлаєнс-рамку для себе, як на державному рівні, так і на приватному?
- ПВ: На сьогодні про комплаєнс в ОПК варто говорити, в першу чергу, в контексті іноземних контрагентів, бо саме тут є найбільше ризиків, включаючи завідомо недобросовісних або ворожих дій. Звичайно, це суто безпекові ризики, але комплаєнс є одним з рівнів недопущення токсичного елементу у систему. В контексті перевірки зовнішніх контрагентів, необхідно залучати такий метод як робота з живими джерелами, або HUMINT, в тому числі і на рівні комплаєнсу.
Це стосується як перевірки постачальників, так і посередників і консультантів. Онлайн-інструменти, якими звикли користуватися в корпоративному комплаєнсі та банках, просто не працюють в сфері військово-технічного співробітництва. Вони звичайно виконують допоміжну функцію, наприклад, скринінгу зв'язків по ідентифікованим іншими методами особам. Базові корпоративні реєстри, реєстри судових рішень, де можна виявити неочевидні зв'язки, а не тільки сам факт та суть судової справи, публічно-доступні бази офшорних зливів, наприклад Panama Papers та Paradise Papers, агрегатори даних за експортно-імпортними операціями різних країн, навіть інструменти GEOINT для попереднього розуміння локалізації контрагента. Але реально все це працює лише в комплексі.
Традиції проти сучасності: як на сьогодні проводити ефективні комплаєнс-перевірки
- СВ: Які на сьогодні найбільш ефективні інструменти комплаєнс-перевірок в оборонному секторі ви виділяєте? Чи використовуєте ви у своїй роботи системи, які спеціалізуються на обробці даних і чи варто використовувати штучний інтелект?
- ПВ: Це абсолютно точно має бути комплекс заходів. Якщо ми говоримо про декілька інструментів, навіть одного типу, варто використовувати і перший, і другий, і третій. Ми в компанії, так і робимо.
Водночас варто розуміти, що ми професійна компанія з корпоративної розвідки. Тобто ми кожен день робимо перевірки контрагентів, а це не завжди доступно компаніям, які мають іншу спеціалізацію і для них це побічний запит.
Наприклад, на національному рівні у нас є різні сервіси перевірки контрагентів. Є сенс перевірити дані у всіх доступних системах: десь звіритися, десь провести перехресну перевірку.
Наявні сервіси дозволяють це зробити швидко і зручно. Після автоматизованих засобів для поглибленої перевірки необхідно застосувати повноцінний OSINT, тобто ручну роботу з відкритими даними, та вже згадану роботу з живими джерелами, відбір яких та підготовка запитань до яких - це окрема велика робота, яка вимагає спеціальної підготовки, розуміння того, що можна, а що є неетичним або протиправним.
Наприклад, представлятись журналістом, коли ви таким не являєтесь, для проведення опитування - це неприпустима практика в корпоративному секторі. Тут не варто плутати роботу спеціальних служб з бізнесом.
Щодо штучного інтелекту (ШІ), то ситуація цікава. Це доволі непростий інструмент, якщо до нього підходити серйозно. В корпоративній розвідці важлива точність інформації та висновків, а наявні інструменти ШІ поки точністю не відрізняються. Вони потребують скрупульозного підходу до запитів, верифікації інформації, відсилки до першоджерела, тощо. Ці інструменти вдосконалюються, але поки що реальну глибину і достовірність можна досягти тільки ручною аналітикою.
З точки зору безпеки у державному секторі ти не можеш використовувати ШІ у відкритій Мережі. Наприклад, Міноборони не може робити свої запити в ChatGPT, оскільки це небезпечно й достатньо не вивчено.
Цікаво що запит в Google або Google Translate - це той самий запит, що в умовний ChatGPT, тільки з більшим розумінням, де і ким зберігаються дані про ці запити.
Тому для бізнесу з точки зору безпеки я не бачу якихось особливих застережень. При цьому ми з клієнтами та партнерами з цієї ж сфери по всьому світу, обговорюємо та обмінюємося досвідом, і на практиці кожний клієнт дає свій дозвіл на застосування цих інструментів. Проте в державному секторі такі дані мають бути ізольовані - це обмежує роботу тими даними, які вже завантажені у ізольований від Мережі простір.
Походження інструментів: чому важливо знати, хто є кінцевим бенефіціаром
- ПВ: Слід розуміти, які інструменти використовуються: американські, китайські, французькі. На такі речі обов'язково потрібно звертати увагу. Крім того, обов'язково проводити медіа-пошук, аби виявити можливі червоні прапорці. При цьому важливо враховувати потенційні ризики та специфіку пошуку даних у медіа-просторі.
Для прикладу, якщо потрібно перевірити російські компанії чи зв'язок з ними, то доведеться використовувати російські ресурси. Проте варто враховувати низку безпекових моментів. От один з відомих російських продуктів має британське представництво, яке використовують для його комерційної реалізації.
Проте сервери згідно з російським законодавством в російських продуктах мають бути в Росії та підконтрольні ФСБ. Відповідно ворожа спецслужба бачить запити щодо російських компаній, які проходять через цю систему. Добре це чи погано, тут рішення кожен ухвалює самостійно. Ви маєте оцінювати ситуацію з цієї позиції.
Ці ж принципи актуальні й під час використання інших агрегаторів. Це теж треба розуміти. Тим паче в різних країнах різний режим. Просто треба усвідомлювати, що агрегатор може обмінюватися інформацією з іноземними спецслужбами.
В автоматичному чи ручному режимі, це вже друге питання, але це треба мати на увазі. Знову ж таки, розуміючи, що це нормальна історія з точки зору безпеки держави.
Так чи інакше, ці інструменти необхідно використовувати, адже це підвищує ефективність. Ми маємо бути швидшими за ворога на рівні держави, а в приватному секторі швидше за опонентів з країни агресора.
Реалії комплаєнсу в Україні: плюси та мінуси
- СВ: Частина вашої професійної діяльності - це переговори з партнерами України закордоном. Як вони оцінюють підходи до перевірок та корпоративної культури в Україні. Які плюси та мінуси виділяють?
- ПВ: Якщо це не спеціалізований майданчик з конкретною темою, такий як Рада Європи, ОБСЄ чи ОЕСР і заходи цих організацій, наприклад, стосовно прозорості у видобувній галузі, або відмивання коштів і фінансування тероризму, зазвичай це не є центром уваги чи центром обговорення. Це є, але десь опосередковано і, ми бачимо, що іноземні партнери дуже обережно ставляться до того, з ким вони працюють в цій сфері.
Щодо сприйняття того, як воно відбувається на рівні держави, то ілюзій немає ні в кого. Тому, наприклад, при фінансуванні регіональних інфраструктурних проєктів у міжнародних фінансових інституцій існує практика репутаційної перевірки підрядників, залучених регіональними органами у цих проектах. Це має на меті нівелювати корупційний ризик, конфлікт інтересів, відсіяти недобросовісні та некомпетентні компанії. В оборонному секторі про ці питання говорять пошепки. Іноді сильно викотивши очі, а іноді важко зітхаючи.
В Україні в принципі доволі глибока безпекова культура. Зрозуміло, що існує проблема, що можуть пропустити “кого треба”, але сам інструментарій на національному рівні, тобто щодо внутрішніх суб'єктів, дозволяє проводити дуже глибокі перевірки, суттєво мінімізуючи ризики. Чи є воля до цього - це вже інше питання, в тому числі. Це вже питання до комплаєнс-системи, а не самої перевірки й спроможностей. Поки що в Україні в середньому комплаєнс-системи доволі слабкі, як і корпоративне управління, як-от наглядові ради тощо.
Як комлаєнс працює на Заході: цікаві приклади та очікування
- ПВ: З іншого боку, я бачу як воно працює в партнерів. Найбільше комплаєнс-кейсів фіксують у європейських та американських компаніях, коли вони дають хабарі в інших країнах. Я наведу один нестандартний приклад, він публічний. Йдеться про одну з американських компаній, яка виробляє бронетехніку й закуповувала бронеплити у компанії, що зареєстрована у США, але виявилася з “сюрпризом“ так би мовити, оскільки ті листи почали тріскатися.
Вони почали розбиратися і виявилося, що сертифікати якості підроблені. Далі - більше! Ця компанія належала російському олігарху Роману Абрамовичу.
Примітка LIGA ZAKON: Йдеться про сталеливарний завод Evraz North America, який належить російському олігарху Роману Абрамовичу. Завод з 2017 до 2019 року постачав браковані бронеплити для американських тактичних бронеавтомобілів JLTV. Співробітники заводу в Орегоні фальсифікували тести твердості на 12 800 плитах, пропускаючи обов'язкові перевірки, за даними Defense Express.
|
Фото: надано Павлом Верхняцьким |
Водночас вони (іноземні партнери, - ред.) дуже добре сприймають, коли є незалежна структура, яка перевіряє контрагентів. Це свідчить, що компанія вкладається, залучає професіоналів і прагне отримати незалежну оцінку. Як на мене, це дуже важливий момент. І ми дуже горді, що нас часто обирають, як компанію на цю роль.
Україна і глобальна система безпеки
- СВ: Яку, на вашу думку, роль буде мати Україна у світовій та європейській системі безпеки: виробник, регіональних хаб, партнер, який має унікальний бойовий досвід? І як на ситуацію може вплинути якість комплаєнс перевірок в країні?
- ПВ: Ми б хотіли говорити, що у нас буде величезна роль в оборонній промисловості Вільного Світу. Нам ще буде потрібно визначити галузі, в яких ми дійсно можемо бути цікаві. У нас має бути стратегія розвитку галузі, якої не було і немає. Мінстратег, як на мене, не випадково був поглинутий Міноборони.
Зрозуміло, що зараз йде гасіння пожеж переважно. Це не розвиток в умовах мирного часу, це складніше. Хоча десь важче, а десь політично легше, бо можна директивно щось робити й всі все зрозуміють. До речі, так робить Росія, чим створює нам великі проблеми.
Зокрема, в аспекті уніфікації виробів, наприклад. Ми всі знаємо про шахеди та герані, тоді як в нас інший підхід, навіть не буду перераховувати варіації дронів. В Україні немає уніфікації процесів, а значить відсутня концепція єдиного масштабування, єдиної стратегії щодо ланцюгів постачання. Фактично кожен вирішує свої проблеми самостійно. Чи добре це під час війни - складно сказати, але й тут є певні переваги, бо за цим складно стежити ворогу.
Необхідність чітких орієнтирів
- ПВ:Роль України у світовій системі безпеки та оборони ще треба визначити. Це має бути стратегія на рівні держави, адже оборонна промисловість не може розвиватися тільки приватним сектором. Розвинути галузь, будучи одним виробником, неможливо. Це стосується й асоціацій: підприємства час від часу об'єднуються, наприклад, роблять спільний стенд на виставці. Це вже крок до спільного виходу на зовнішні ринки, але кожен на ньому переважно все ще діє самостійно.
В оборонній сфері роль держави є надважливою. Якщо йшлося б про інший сектор, я б мав іншу думку, оскільки не є прихильником втручання держави. Проте в оборонній сфері по-іншому не буває. Саме держава має вирішувати питання, для прикладу, визначення пріоритетів щодо тих чи інших систем озброєнь, щодо договірної бази для обміну технологій, проблем захисту інтелектуальної власності тощо. Для розуміння, якщо сьогодні компанія в Україні патентує якусь оборонну технологію, вона одразу стає секретною й фактично втрачає потенціал на глобальних ринках.
Має бути стратегія, має бути визначення секторів, в яких ми будемо конкурентні або комплементарні в сенсі міжнародних збройових проектів. Ми маємо добре розуміти геополітичну складову і на неї спиратися. Часто говорять про українські дрони, але ми маємо розуміти, що вони працюють в поточних умовах в Україні, проте чи будуть вони ефективні в інших місцях, умовах - це питання.
Тож, для нас важливо визначити переваги не просто в секторі, а на концептуальному рівні. Як-от, адаптивність наших виробників, що є їх вагомою відмінною рисою сьогодні. Деякі виробники розповідають нам, що вже немає поняття покоління дронів, як, наприклад винищувачів четвертого, п'ятого покоління і так далі, оскільки адаптація до нових умов відбувається постійно.
Здешевлення зброї і її компонентів - без перебільшення це тренд який заклала Україна. Швидкість налагодження виробництва в умовах постійного військового тиску і економічних складнощів - це теж відмінна риса наших виробників. В умовах потенційного глобального конфлікту цей досвід безцінний для наших партнерів.
Усі наші переваги, як оборонно-промислової країни, необхідно сформувати фактично в державну політику, якої наразі немає. Дуже хаотичні, розрізнені дії на рівні держави. Часто просто для публіки. Це не дозволяє виробникам планувати, а відповідно налагоджувати сталі ланцюги постачання з більш вигідними умовами за рахунок прогнозованого об'єму закупівель. Партнери теж часто залишаються спантеличеними, коли за два місяці оголошується вибір держави стосовно двох різних систем озброєнь однієї категорії на додачу до вже існуючої, як от з винищувачами американського, шведського і французького виробництва. Послідовність - це те, над чим ще варто працювати.
Загалом має бути більш структурована, системна і стратегічна робота. Я думаю, це важливо усвідомити. Бо сьогодні це просто ситуативне реагування на поточні виклики, а не формування системи, чи принаймні участь у її формуванні, коли це стосується кардинальних змін в системі європейської оборони.
Росія vs Україна: чому Москві не вдалося зламати Київ і які є ризики
- ПВ: Колись мій старший колега розповів, чому, на його думку, Росії не вдалося зламати Україну, як державу, ще в 2014 році. За його словами, вони не змогли зламати нам хребет, тому що його просто не було. У нас тоді була олігархічна система “старого зразка”, яку ми бачили як головну проблему для нашого розвитку, але це в певній мірі нас врятувало. Зараз ця система трохи модифікувалась.
Якщо без жартів, то нам близька до певної міри концепція якщо не анархії, то самоорганізації, що часто ускладнює життя ворогу. Росіяни інші. Питання в тому, що в результаті переможе, якщо ми говоримо про війну на виснаження. У мене особисто немає остаточної відповіді на це питання. Зрозуміло те, що без допомоги партнерів перспективи сумні.
Зважаючи на це, ми самі як партнер маємо бути послідовні та зрозумілі. Чистота у внутрішніх справах - це теж критично важлива складова. Бо це ми знаємо і усвідомлюємо, що Україна - жертва у цій війні, на яку РФ безпідставно напала. Для багатьох інших країн, і що важливо, їх лідерів і оточення, це не аксіома. Політика цинічна. А міжнародна - тим більше.
Як би нам не хотілось, щоб весь світ стояв з нами, що з точки зору понять добра і зла було би абсолютно логічно, ми маємо виконувати певні умови, щоб принаймні наші найближчі союзники не відвертались. Чистота у внутрішніх справах, фокус на перемозі над ворогом, а не у внутрішньополітичному просторі, як не банально, але відданість демократичним принципам. Інакше, за що боротьба?
LIGA360 - єдина аналітична система для контролю ризиків, моніторингу санкцій, корпоративних зв'язків і репутації
