В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!.
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
- основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
- во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
- далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
- И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
- от исполнительного менеджмента,
- от комитета по аудиту,
- от группы расследований,
- от группы контроля на соответствие требованиям (группа комплаенс),
- от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
- от отдела внутреннего аудита,
- от отдела информационных технологий,
- от безопасности,
- от юридической службы
- от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
- Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
- Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
- По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Начать дискуссию