0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Риск мошенничества это

Построение системы безопасности и снижение рисков мошенничества при безналичных расчетах

Тема безопасности и снижения рисков мошенничества при безналичных расчетах актуальна для большинства предприятий, особенно для предприятий торговли. К сожалению, количество кибер-преступлений, к которым в том числе относится воровство денежных средств со счетов в банках, будет только расти. Какие основные виды мошенничеств существуют в области безналичных расчетов? Что необходимо учитывать при управлении рисками в этой сфере? Как организациям предотвратить или минимизировать риски в области платежей и сохранности безналичных денежных средств? Своим опытом делится Марина Прокушенкова, главный бухгалтер компании ООО «ДУФРИ Ист» 1 .

Цифровизация несет в себе и возможности, и опасности. С одной стороны, наша обычная реальность становится более безопасной и контролируемой за счет применения цифровых технологий, например, видеокамер в метро и подъездах и т.д. Но, с другой, мы становимся менее защищенными от злоумышленников, владеющих знаниями в области современных информационных технологий.

Как можно предотвратить или минимизировать предприятиям свою незащищенность в финансово-хозяйственной деятельности? Для начала определим — от чего мы хотим защитить организацию.

Наиболее известные способы вывода денежных средств с банковских счетов, на которые следуют обратить внимание, следующие:

выплаты лицам, связанным с сотрудником;

заключение мошеннических контрактов;

намеренные ошибки в реквизитах;

выплаты по подложным документам;

платежи в закрывающиеся банки;

вирусные и DDoS-атаки;

мошенничество и подмена при вводе документов кредиторской задолженности;

воровство паролей и доступов.

Основные схемы по выводу средств со счетов

Рассмотрим более подробно виды мошеннических схем, перечисленных выше.

1. Выплаты лицам, связанным с ответственным сотрудником.

Речь идет о любых ситуациях, когда, казалось бы, законным образом выплачиваются денежные средства на счета, принадлежащие лицам, связанным с сотрудником. Если бы само государство не поименовало такие платежи в особом разделе налогового контроля, многие из нас не считали бы их нарушением. Рассматривая такие платежи более пристально, можно увидеть признаки личного обогащения или мошенничества. Если организация не против личного обогащения своих сотрудников, то ей можно уменьшить свое внимание при рассмотрении подобных сделок.

2. Заключение мошеннических контрактов.

Данный вид преступления недоступен линейным сотрудникам. Как минимум, сотрудник должен иметь полномочия по заключению контрактов либо представить контракт на подпись. Для простоты классификации отнесем контракты с завышенными ценами поставок в эту же категорию.

3. Намеренные ошибки в реквизитах.

Не всегда целью преступления является получение денежных средств организации в свою пользу или в пользу связанных лиц. Если целью преступления является нанесение вреда организации, достаточно вывести с ее счетов денежные средства в любом направлении. Если ошибки минимальны и сумма платежа не крупная, компания, как минимум, будет вынуждена отвлечь ресурсы на поиск и возврат денежных средств. Даже если деньги, отправленные с ошибкой, будут возвращены банком без дополнительных усилий, примерно на неделю ликвидность организации будет уменьшена.

4. Выплаты по подложным документам.

На первый взгляд есть сходство с изложенным выше видом мошенничества. Отличие существенное: данный вид не относится к намеренным действиям сотрудника, состоящего в штате организации. Многие наслышаны о мошеннических схемах получения денег по фальшивым автодорожным штрафам. Кто-то сталкивался с документами, по которым вас персонально пытаются заставить заплатить по неким долгам, которые оказываются фальшивыми. В связи с тем, что государственных структур много, возлагать вину только на сотрудников, обрабатывающих входящие документы и совершающих платежи, не стоит, необходимо досконально и объективно разбираться в ситуации.

5. Закрывающиеся банки и платежи на счета в таких банках.

Предотвратить ситуацию с закрытием банка, на счете в котором хранятся денежные средства организации, сложно, но необходимо разработать действия при возникновении такой ситуации. И в эту же категорию отнесем платежи организации в закрывающиеся банки. Выгодоприобретателями такого платежа могут быть сотрудники организации или сотрудники банка. Не будет выгодоприобретателем таких платежей сама организация, выплачивающая деньги в закрывающийся банк. Ни налоговая, ни контрагенты не получат деньги из закрывающегося банка, а значит, не подтвердят исполнение обязательств организации.

6. Вирусные и DDоS-атаки.

Вирусная атака по своему типу и структуре отличается от DDоS–атаки. Несмотря на принципиальные отличия в реализации, эффект вирусных и DDоS–атак одинаков — потеря работоспособности, ликвидности, денег. Некоторые специалисты отрицают возможность прямого вывода безналичных денежных средств в момент DDоS–атаки. Тем не менее лучше подготовиться к такому варианту развития событий.

7. Мошенничество и подмена при вводе документов кредиторской задолженности.

Речь идет о мошеннических действиях сотрудника, ответственного не за платежи или подписание договора, а отражающего документы по задолженности в системе. Часто в целях усиления безопасности при платежах полномочия сотрудников разделены. Казначейство не может заводить документы по кредиторской задолженности с целью последующей оплаты. При поставке товаров небольшого количества и суммы наличие договора может являться необязательным. Сотрудник сможет завести документ, поставки по которому не произошло, или заменить документ правильного контрагента на «подменный». Такой документ позже может быть оплачен в общем потоке.

8. Воровство паролей и доступов.

Отнесем в данную категорию хакерство, получение пароля/доступа мошенническим/преступным путем и продажу доступов и паролей сотрудниками организации. Очевидно, что превентивные действия во всех трех случаях должны быть различные.

Основные внутренние причины мошенничества

Причины мошенничества позволяют осуществляться схемам, кратко описанным выше. Изложенные способы вывода денежных средств в своем большинстве связаны со следующими внутренними причинами (см. рис. 1).

В классификаторе по выводу безналичных денежных средств есть виды, зависящие только от внешних факторов: вирусные и DDоS-атаки, воровство паролей и доступов.

О факторах их возникновения можно спорить, но очевидно, что им наиболее подвержены организации с указанными выше внутренними факторами и плохо организованной информационной системой безопасности.

Как избежать или минимизировать риски?

Попробуем разобраться в мерах, которые смогут помочь избежать возникновения указанных ситуацией и минимизировать их влияние. И какие принципы должны быть соблюдены при построении системы безопасности по работе с безналичными денежными средствами.

Как и любое управление, управление информационной безопасностью можно разделить на стратегическое — установка принципов и правил, тактическое — разработка методов и инструментов работы с этими принципами и правилами и оперативное управление — ежедневная рутинная работа, четкое следование установленным принципам и правилам. Основные подсистемы управления информационной безопасностью организации представлены на рис. 2.

Исходя из нашей задачи по управлению рисками, соотнесем наши возможные действия по сохранению безналичных денежных средств с обозначенными подсистемами управления информационной безопасностью организации (см. рис. 3).

Разберем подробнее: какие стратегические принципы нужно прописать в Положениях по работе с безналичными денежными средствами, чтобы обезопасить организацию, например, от «намеренных ошибок в реквизитах».

Подобная ситуация может возникнуть, когда:

у сотрудника, формирующего или отправляющего платежи, есть возможность изменить реквизиты в платежном документе;

ошибка совершена не на этапе формирования платежа, а на этапе заведения контрагента (это может быть отнесено к сотруднику мастер-данных, который заводит и редактирует элементы справочников по контрагентам, номенклатуре и т.п.);

процесс формирования платежей не автоматизирован, либо отсутствуют процедуры контроля реквизитов;

ответственность за ошибки в платежных документах или мастер-данных для сотрудников минимальна или не определена;

сотрудник, работающий с платежами, недостаточно изучен и недостаточно проверен службами безопасности.

Что должна включать стратегия управления рисками?

Важным представляется включение в стратегию следующих моментов.

1. Проверка принимаемых на работу сотрудников на предмет: наличия крупных сумм задолженностей, его принадлежности к особым социальным группам, наличия инцидентов на предыдущих местах работы.

2. Проверка профессиональных знаний при приеме на работу.

3. Материальная ответственность сотрудников, занимающихся безналичными платежами.

4. Разделение полномочий сотрудников на этапе заведения мастер-данных, формирования платежных документов и подписания банковских документов в оплату.

5. Разработка системы контроля за совершенными хозяйственными операциями, в том числе их визирование.

6. Разработка системы материального стимулирования за хорошую работу.

7. Разработка Положений по работе и безопасности, должностных и рабочих инструкций с обязательным официальным уведомлением под подпись всех сотрудников, участвующих в процессах.

8. Ограничение доступа в журнальные операции определенным кругом лиц.

9. Конфигурирование IT-инфраструктуры, отвечающей требованиям бизнеса и безопасности.

10. Разработка системы паролей и доступов.

11. Разработка принципов работы и контрольных параметров для систем IT-мониторинга.

В качестве рекомендации для тактического управления риском «намеренных ошибок в реквизитах» можно посоветовать разработать бланк-запрос на заведение реквизитов контрагента для сотрудника мастер-данных. Желательно, чтобы такой запрос визировался ответственным сотрудником, помимо запрашивающего лица. В ситуации с подобной ошибкой будет виден ее источник.

Немного о вирусных и DDоS-атаках.

Обозначим основные тактические меры в связи с тем, что стратегия будет не так сильно отличаться от приведенного выше примера:

IT-инфраструктура должна отвечать требованиям бизнеса и безопасности. В данной ситуации это виртуализация серверов при наличии нескольких физических серверов. Конфигурация IT-инфраструктуры (локальные сети, серверы, роутеры, свитчи и т.д.) может предотвратить несанкционированный доступ. Все важные ресурсные хранилища отключены от интернета, при необходимости системе можно виртуализировать доступ в интернет;

формирование системы управления доступами и паролями — IdM, это понятие объемное и включает аппаратные и программные моменты безопасности, в том числе разработку принципов работы и контрольных параметров для систем IT-мониторинга. Как тактический инструмент можно сделать выбор и настройку системы в конфиденциальном режиме, ограничить доступ по ее обслуживанию;

настройка системы контроля и управления доступом, в том числе элементарные правила регулярной замены пароля, отслеживания ситуаций с компрометацией паролей и доступов. Проверка сложности при заведении нового пароля, исключение применения распространенных вариантов;

IT-структура управляется централизованно, но обслуживание различных информационных систем разделено, при доступе к данным проходит авторизация. Тип доступа зависит от обязанностей, высокие уровни закрыты дополнительными паролями. Все изменения фиксируются в системе мониторинга, требуется одобрение внесенных изменений;

системы предотвращения несанкционированного доступа, уничтожения активов, документов или бухгалтерских записей автоматизированы, усилены дополнительной защитой и подключены к системе мониторинга, которая отслеживает попытки обойти систему контроля и может зафиксировать источники таких сигналов вплоть до учетных записей, IP-адресов и прочих параметров;

Читать еще:  Грабеж по предварительному сговору статья

профиль пользователя ограничивает доступ к приложениям организации, а система мониторинга отслеживает попытки обойти доступ и войти в неразрешенные приложения и разделы серверов реальных и виртуальных. Автоматическое включение процедур безопасности при сигналах системы мониторинга;

происходит регулярный анализ угроз уязвимости информационных систем, в том числе проверяется на угрозу новых вирусов;

контроль доступа к интернету должен осуществлять для любых устройств, доступ к компьютерному оборудованию проходит процедуру санкционирования, идентификации, при необходимости аутентификации. Фильтрация всей входящей почты и контентная фильтрация веб-трафика;

помимо защиты данных от несанкционированного доступа, организация защиты от изменений как в процессе хранения, так и в процессе передачи. Для крупных организаций, работающих с удаленными станциями, применение систем и крипто-оборудования для шифрования при передаче данных;

регулярная оценка работы IT-сотрудников;

осуществление мониторинга уровня обслуживания, выполнения технического задания, безопасности данных в связи с использованием услуг сторонних организаций;

осуществление контроля за внесением изменений в программное обеспечение (Patch Management);

регулярное копирование рабочих баз данных, безопасное хранение архивных копий с закрытием доступа для изменений;

идентификация и регулярное расследование нарушений безопасности;

подотчетность подразделения, осуществляющего внутренний контроль, определена и независима. В оптимальном варианте — подотчетность ревизионной комиссии или совету директоров.

Риск-матрица как инструмент

Один из методов управления системой безопасности является создание риск-матрицы.

Составляем перечень возможных событий, исходя из контролируемых параметров на базе Положений и Правил по работе с денежными средствами и информационными системами.

Указываем владельца процесса, в котором может произойти событие, степень его влияния в целом на работу организации и степень его вероятности (см. таблицу).

Определение степени влияния события на работу организации (таблица)

Риском мошенничества можно управлять

«Банки и деловой мир», 2008, N 7

Мошенничество в банках — это не кража или ограбление, а использование некой схемы или махинации для получения личной — и незаконной — выгоды. Однако последствия этих «тихих» преступлений бывают и тяжкими, и громкими по общественному резонансу.

«Тихие» преступления с громкими последствиями

Как ни удивительно, но, судя по статистике, убытки, понесенные банками в результате мошеннических действий, значительно превышают общие потери от совершенных в них грабежей, разбоев и просто краж. «Среднему грабителю банка удается унести 700 долл., и его ловят в течение 24 часов, в то время как убытки от одного подделанного банковского чека превышают 2000 долл., организаторы зачастую остаются непойманными, и подделки чеков случаются в сто раз чаще ограблений», — так Лес Хендерсон, автор бестселлера «Преступления убеждения» (Crimes of Persuasion), оценил объем потерь среднего уровня, связанных с банковскими мошенничествами. Надо сказать, подобные махинации не так безобидны для общества, как может показаться. Ведь «доход» от успешной аферы может быть потрачен не только на приобретение спортивных авто или украшений (так, правда, бывает чаще всего), но и на совсем не мирные цели. Как писала 5 июня The Canadian Press, в июне 2006-го террористическая ячейка, созданная выходцами из стран Среднего Востока, планировала получить ссуду в одном из банков Торонто. А деньги собирались потратить на приобретение оружия в Мексике и организацию беспрецедентного теракта на территории Канады — чтобы страна «никогда более не могла воспрянуть духом».

Арсенал мошенников

Способов банковского мошенничества немало, достаточно перечислить наиболее популярные.

  • Предоставление в банк поддельных денежных знаков, ценных бумаг и других документов.
  • Мошенничество с банковскими картами.
  • Фишинг и мошенничество с использованием средств Internet.
  • Внутреннее мошенничество сотрудников банка.
  • Легализация доходов, полученных преступным путем.
  • Использование подложного удостоверения личности.

Действия мошенников касаются не только банка как юридического лица, но и частных лиц — рядовых граждан. Нередко клиенты банка, пользующиеся банкоматом для снятия наличных, сами того не ведая, передают мошенникам данные с магнитной полосы своей кредитной карты и ее пароль. А суть аферы проста: поверх слота, принимающего пластиковую карту, устанавливается портативное считывающее устройство — скиммер. Разработчики скиммеров стремятся сделать их максимально неотличимыми от оригинального слота банкомата — чтобы жертва не обратила внимания на его наличие. Скиммер моментально считывает информацию со вставленной в банкомат карты и пересылает своему «хозяину». Получив эти данные, злоумышленник может изготовить точную копию пластиковой карты жертвы. Остается узнать пароль карты, для чего рядом с банкоматом устанавливается скрытая камера либо тонкая накладная клавиатура, передающая мошенникам информацию обо всех нажатиях клавиш, производимых жертвой. Таким образом, уже через несколько минут после завершения жертвой операции снятия наличности на руках у преступников оказывается точная копия пластиковой карты и сведения о пароле доступа к счету. То немногое, что может спасти счет жертвы от окончательного обнуления, — это внимательность к внешнему виду банкомата, частые выписки по карте и при обнаружении необоснованных расходов срочное обращение в банк-эмитент для приостановления операций по счету и смене пароля.

Не менее популярно и использование чужого удостоверения личности. Если аферистам удалось раздобыть сведения о частном лице, которые используются для получения доступа к банковским картам и зарегистрированным на него счетам, они могут даже получать от имени этого лица кредит.

Общий анализ ряда случаев банковских мошенничеств позволил выделить три основных элемента, сопутствующих их совершению:

  • активное вовлечение сотрудников банка, как рядовых служащих, так и высшего руководства, независимо либо в соучастии с третьими лицами;
  • нарушение, намеренное или нет, сотрудниками банка внутреннего регламента, невыполнение утвержденных политик и процедур;
  • использование поддельных денежных знаков, чеков, ценных бумаг.

Можно ли управлять риском мошенничества?

Вполне, но при одном условии — в процесс управления таким риском должны быть так или иначе вовлечены все сотрудники компании. А задавать тон — высшее руководство. Собственно, механизм управления рисками известен, и в его основе лежит, прежде всего, высокий уровень корпоративной культуры, который изначально зависит от «политической воли» топ-менеджмента. Остальная работа ведется, как правило, в рамках функциональных обязанностей каждого подразделения и каждого отдельного сотрудника. Скажем, служба безопасности обеспечивает физическую защиту активов, IT-департамент содействует обеспечению сохранности и конфиденциальности данных, программного обеспечения и компьютерной техники. А задачей внутреннего аудита, помимо прочего, является анализ эффективности системы управления риском мошенничества и доведение до сведения руководства информации об уровне риска в организации.

Раз уж мы начали говорить о задачах различных департаментов, то стоит упомянуть, что все чаще в организациях создается специальный отдел по противодействию мошенничеству, который работает в тесном контакте с теми подразделениями, которые мы уже назвали.

В рамках управления рисками мошенничества выделяют три основных направления:

  • противодействие (Antifraud);
  • обнаружение (Detection);
  • расследование (Investigation).

Противодействие

В целом это направление борьбы с мошенничеством включает следующие процедуры:

  • внедрение и развитие культуры противодействия мошенничеству;
  • должное распределение обязанностей между сотрудниками;
  • установление экономически целесообразных систем внутреннего контроля для выявления случаев мошенничества и их предотвращения;
  • развитие у сотрудников навыков и знаний, требуемых для эффективного управления риском мошенничества;
  • работа с уже произошедшими случаями мошенничества;
  • установление эффективной системы оповещения о фактах мошенничества;
  • отслеживание исполнения действий, определенных руководством для минимизации риска мошенничества;
  • создание системы мониторинга риска мошенничества.

С целью управления этим риском обычно разрабатывается специальный документ — политика по противодействию мошенничеству. Однако она определяет лишь подход и общие принципы. Помимо того, принципы управления риском мошенничества должны найти свое отражение во всех основных направлениях деятельности банка, а процедуры описаны в ряде документов:

  • кодекс этики делового поведения;
  • политика по работе с персоналом;
  • система корпоративного управления;
  • отчеты по отслеживанию риска мошенничества;
  • система обучения противодействию мошенничеству.

Разумеется, все без исключения служащие банка должны быть ознакомлены с политикой по противодействию мошенничеству, а внутренние положения регламентируют роль каждого сотрудника в ее реализации.

Чрезвычайно важна процедура обучения работников банка, которая включает несколько этапов:

  • Предоставление копии политики каждому новому сотруднику в качестве приложения к трудовому договору или руководству работника.
  • Инструктаж новых сотрудников во время вводного обучения.
  • Разработка обучающей программы, проверка знаний сотрудников.
  • Обеспечение свободного доступа сотрудников банка к политике противодействия мошенничеству и кодексу этики делового поведения.
  • Обеспечение незамедлительного оповещения сотрудников банка обо всех изменениях в политиках.
  • Включение вопросов, касающихся мошенничества, в еженедельные или ежемесячные рассылки.
  • Оповещение персонала о результатах расследований и дисциплинарных взысканиях в отношении работников, совершивших мошенничество.

Контроль, и еще раз контроль

Как читатель, наверное, уже заметил, противодействие мошенничеству — мера превентивная и позволяет снизить этот риск в принципе. Есть, однако, «болевые точки», требующие дополнительного контроля. Так, очень хороший эффект дает участие сотрудников отдела по противодействию мошенничеству в процессе выдачи кредитов. Они выявляют и проверяют потенциальных мошенников еще до разрешения на получение займа. Понятно, что подобная процедура требует дополнительных временных и финансовых затрат, так как подробный анализ заемщика может занять несколько дней. Но ведь ошибки обходятся куда дороже.

Тем не менее предотвратить мошеннические атаки можно и в процессе проведения текущих банковских операций. Например, один из банков установил во всех подразделениях последнюю версию базы данных, разработанную ведущей информационно-технологической компанией в Африке и используемую для идентификации мошенников. База содержит список таких преступников, что позволяет разоблачить их еще до того, как они станут клиентами или контрагентами банка. Дело в том, что для подтверждения перевода средств этот банк, помимо подписи, использует отпечаток указательного пальца клиента — как известно, в отличие от имени, фамилии и даже внешности, которые могут меняться со временем, эта «примета» уникальна. Система оснащена высококачественным сканером, снимающим отпечатки пальцев, и специальным программным обеспечением, которое сравнивает их с теми, что имеются в базе данных и принадлежат уже известным мошенникам. Если отпечатки идентичны, на экране всплывает фотография мошенника. Основная идентификация происходит, конечно, по отпечатку пальца, фотография служит лишь для визуального сравнения изображенного на фотографии мошенника с человеком, пытающимся совершить операцию. Конечно, можно поспорить о законности и этичности этих методов в разных странах, но сейчас такой метод успешно работает и используется многими банками как один из дополнительных методов установления личности.

Читать еще:  Ч 1 ст 159 ук рф мошенничество

Обнаружение

Обнаружить факт мошенничества можно разными путями, каждому типу преступления соответствует своя техника. Один из наиболее распространенных и опасных его видов — внутреннее мошенничество, в котором замешаны сотрудники банка. Его обнаружить сложнее, чем внешнее (поскольку «работают» профессионалы), однако с помощью специальных индикаторов это можно сделать достаточно точно. Таких индикаторов около сотни, приведем лишь некоторые.

  • Резкое удорожание стиля жизни сотрудника.
  • Быстрое увольнение недавно пришедшего в банк сотрудника.

Установление «неформальных» отношений сотрудника с партнерами и поставщиками компании.

Печально известный трейдер банка Societe Generale Жером Кервьель прямо указывает на один из подобных индикаторов: «Простой факт, что я не уходил в отпуск в 2007 г., должен был насторожить моих менеджеров. Это ведь одно из правил внутреннего контроля — трейдер, который не хочет уходить в отпуск, — это трейдер, который не хочет показывать базу своих заявок».

Как основу для организации системы обнаружения и контроля банки традиционно используют существующую и законодательно закрепленную систему внутреннего контроля. Хорошо сконструированная и экономически целесообразная, такая система должна идентифицировать большинство случаев мошенничества или попытки совершения такого рода действий. Согласно статистике Министерства финансов США более 50% случаев мошенничеств, совершенных государственными служащими, были выявлены посредством стандартных процедур контроля и только около 30% случаев были раскрыты благодаря информации, полученной со стороны третьих лиц.

Примеры процедур контроля могут включать:

  • проверку данных клиента;
  • разделение полномочий между инициатором, контролером и исполнителем операции;
  • проверку внутренними и/или внешними аудиторами операций и финансовой отчетности банка;
  • отслеживание управленческой информации по работе подразделений банка;
  • контроль бюджета и другой финансовой информации;
  • независимые оценки работы банка;
  • «горячую линию».

Российские банки в дополнение к перечисленным процедурам используют и неформальные инструменты для обнаружения мошенничества: внешнюю информацию, «старые связи», e-mail рассылки и т.д.

Расследование

В зависимости от изобретательности, степени жадности и организованности мошенников процесс расследования может потребовать участия руководителей высшего звена и активную работу с персоналом, а также сотрудничество со службами безопасности — как внутренними, так и государственными.

Все процедуры проведения расследования должны быть прописаны в плане реагирования на потенциальное мошенничество. Сотрудники, участвующие в расследовании, должны быть заранее ознакомлены с правилами его проведения, дабы получить желаемый результат, не нарушив того множества российских законов, от Конституции РФ до Закона об адвокатуре, которые прямо или косвенно регулируют это поле деятельности. Для примера вернемся к расследованию Societe Generale. Оно проводится открыто, с использованием служб безопасности и проведения расследований в отношении других банков. Более того, стало известно, что в конце 2007 г. партнеры Societe Generale привлекали его внимание к некоторым крупным операциям, которые как раз и проводил Жером Кервьель. Из банка сообщили, что провели должную проверку, однако она не выявила реального положения дел. Степень вины самого Кервьеля определит полиция с некоторой помощью независимых аудиторов, которых банк намерен пригласить для более детальной проверки.

Что касается России, организованная борьба с финансовым мошенничеством в банках здесь только начинается. Согласно данным сайта www.mvd.ru число мошенничеств, связанных с финансово-кредитными организациями, в январе — апреле 2008 г. составило 44 130, а за аналогичный период 2007-го — 32 003. Данные статистики позволяют сделать вывод, что проблема мошенничества приобретает все большее значение, а значит, необходимо накапливать опыт, в том числе зарубежный, для усовершенствования известных методов борьбы с ним.

Хочется надеяться, что в среднесрочной перспективе и государство, и банки, осознав всю серьезность проблемы, начнут разрабатывать и применять более совершенные методы борьбы с финансовыми преступлениями. А это в свою очередь поможет переломить сложившуюся тенденцию и укрепить в сознании банковских работников и рядовых граждан простое правило — мошенничать с банком нельзя не только из моральных соображений, но и потому, что преступление непременно будет раскрыто и не останется безнаказанным.

Риск мошенничества сотрудников организации

Определение мошенничества представлено в различных документах, регламентирующих разные области профессиональной деятельности. В Международных стандартах финансовой отчетности под мошенничеством понимается использование лицом своего положения с целью личного обогащения посредством умышленного ненадлежащего использования или злоупотребления ресурсами или активами организации-работодателя. Более детальное определение мошенничества сформулировано в ст. 201 Уголовного кодекса РФ: «Использование лицом, исполняющим управленческие функции в коммерческой или иной организации своих полномочий вопреки законным интересам этой организации и в целях извлечения выгод и преимуществ для себя или других лиц либо нанесения вреда другим лицам, если это деяние повлекло причинение существенного вреда правам и законным интересам граждан или организаций либо охраняемым законам интересам общества и государства».

Следует выделить четыре характерные черты мошенничества.

  • 1. Мошенничество связано с исполнением служебных обязанностей, в рамках которых должностное лицо использует свои должностные полномочия. Но существует разница в двух приведенных определениях мошенничества. Если в Международных стандартах финансовой отчетности под мошенничеством понимается деяние при исполнении обязанностей в рамках юридического лица — работодателя, которому и нанесен вред, то в Уголовном кодексе РФ должностные обязанности не ограничиваются конкретным юридическим лицом, которому нанесен имущественный или финансовый ущерб.
  • 2. Исполнение должностных обязанностей осуществляется мошенником не в интересах юридического лица, являющегося работодателем или относительно которого принимаются управленческие решения, а в личных интересах должностного лица с целью получения им прямой или косвенной выгоды в виде материальных или финансовых благ.
  • 3. Сам факт незаконного получения должностным лицом материальных или финансовых выгод свидетельствует либо об утрате организацией-работодателем материальных ценностей, либо о неполучении потенциальных доходов от использования данного актива.
  • 4. Мошенническая деятельность ведется тайно.

Российское отделение Ассоциации сертифицированных специалистов по расследованию хищений в 2011 г. опубликовало результаты исследований мошеннической деятельности: объемы хищений в результате мошенничества составляют более 15,8% от годового объема реализации или 31,0% от суммы затрат на ведение бизнеса.

Существуют различные формы мошенничества, которые в первую очередь определяются видом объекта мошенничества. Относительно денежных средств выделяют три формы мошенничества: сокрытие и присвоение; хищение; мошеннические выплаты. С точки зрения прочего имущества, отличного от денежных средств, — две формы мошенничества: незаконное использование и хищение.

Незаконное использование имущества, отличного от денежных средств, не предполагает незаконное его присвоение. Имущество остается в собственности экономического субъекта, но должностное лицо использует его не в интересах организации, а в личных целях, для личного обогащения.

О мошенничестве косвенно могут свидетельствовать следующие обстоятельства и факты.

  • • уровень жизни сотрудников, не соответствующий их доходам;
  • • отсутствие документов;
  • • наличие копий подтверждающих документов;
  • • замена и фальсификация документов и договоров;
  • • завышение цен поставщиков;
  • • избыточные закупки;
  • • рост неоплаченной дебиторской задолженности;
  • • нарушение взаимосвязи между экономическими показателями деятельности хозяйствующего субъекта;
  • • замена товаров менее качественными;
  • • выставление счетов за невыполненные работы. Подтверждениями факта мошенничества сотрудников являются:
  • • фальшивые счета;
  • • фальшивые нефинансовые документы (например, листки временной нетрудоспособности, накладные и т.п.);
  • • накладные, счета, свидетельствующие о приобретении материальных ценностей для личного потребления (например, часы, альбомы, цифровая техника и т.п.);
  • • бестоварные накладные;
  • • расходные кассовые ордера или ведомости, по которым выплачивалась заработная плата сотрудникам, фактически не работающим в организации, так называемым мертвым душам;
  • • многократные перечисления денежных средств в организации, количество поставок от которых не соответствует, значительно меньше перечисленных средств;
  • • несанкционированное списание денежных средств со счетов организации, открытых в кредитных учреждениях;
  • • платежные поручения на перечисление денежных средств фирмам-однодневкам;
  • • хакерские атаки на серверы экономического субъекта.

Управление рисками мошенничества: кто за них отвечает

В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?

В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:

Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).

Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.

Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.

КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ

Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:

Читать еще:  Кража со взломом ук

Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.

Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.

Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).

КАКИЕ ВОПРОСЫ РЕШАЕТ СВА

В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.

Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.

На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!.

КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ

Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.

Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):

  • основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
  • во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
  • далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
  • И т.д.

Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.

ЧТО НА ВЫХОДЕ

Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.

При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.

Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.

У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.

Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).

КОЛЛЕГИАЛЬНЫЙ ПОДХОД

Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.

Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).

В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.

Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:

  • от исполнительного менеджмента,
  • от комитета по аудиту,
  • от группы расследований,
  • от группы контроля на соответствие требованиям (группа комплаенс),
  • от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
  • от отдела внутреннего аудита,
  • от отдела информационных технологий,
  • от безопасности,
  • от юридической службы
  • от службы управления персоналом

Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.

Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» — совместной работе трех организаций ACFE, IIA, AICPA.

Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).

Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.

МНЕНИЕ

Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:

  • Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
  • Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
  • По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.

Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.

ВЫВОДЫ

Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.

Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.

Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector