Мошенники без страха и упрека?

По данным исследования ACFE, компании теряют до 5% доходов в результате мошеннических действий своих сотрудников. Поймать на месте преступления удается лишь менее половины злоумышленников.

Внутренний демон

Причин, по которым сотрудник компании может решиться на мошенничество, немало: от личных неурядиц до желания «показать, на что я способен». Но результат одинаков: убытки и испорченные репутации. Статистика пока не радует: как показало недавнее исследование Ассоциации специалистов по расследованию хищений / мошенничества (ACFE), среднестатистическая компания теряет в результате мошеннических действий около 5 % годового дохода. Средний ущерб от одного случая мошенничества составляет $ 140 тыс., но в более 20 % он достигает $ 1 млн. Выявлена и прямая зависимость между размером причиненного ущерба и положением злоумышленника в корпоративной иерархии. Самый серьезный убыток причиняют владельцы и топ-менеджеры: в среднем, $ 573 тыс. Менеджеры среднего звена отнимают у своих компаний около $ 180 тыс., рядовые сотрудники — «всего» $ 60 тыс. Выявлены и зоны риска: в 77 % случаев мошенничество совершалось в бухгалтерии, отделах продаж и закупок.
Например, мировая практика показывает, что в мелких банках злоупотребления случаются гораздо чаще, чем в крупных. Это связано в первую очередь с тем, что в таких банках сотрудники могут совмещать несколько должностей, — и тогда ничто не мешает, например, совершить хищение в качестве кассира, а потом скрыть его в качестве бухгалтера. В некоторых случаях мошенничество происходит, в сущности, по приказу «сверху»: например, учредители банка берут фактически бесплатные кредиты, которые не спешат возвращать. Часто мошенничество возникает в результате сговора двух и более лиц и может приводить к особенно тяжелым последствиям: финансовые потери составляют в среднем $ 250 тыс., и это более, чем в два раза выше потерь от деятельности мошенника, действующего без сообщников. В «черный список» отраслей, где случаи мошенничества наиболее часты, входят, наряду с банками, страховой бизнес, торговля, строительство.
Пока психологи, социологи и эксперты по управлению персоналом спорят, как создать корпоративную культуру со 100-процентным «иммунитетом» к мошенничеству, на помощь бизнесу в повседневной работе приходят информационные технологии. Именно ИТ-инструменты могут стать наиболее надежным защитником компании от мошенничества и помочь действовать оперативно: злоупотребления пресечь, а злоумышленников — найти и обезвредить.

Многоликий обман

Как правило, злоупотребления можно разделить на три группы:
• Нецелевое использование активов организации — присвоение или нецелевое использование ресурсов (оплата за счет организации завышенных или несуществующих расходов, присвоение денежных средств).
• Коррупция / взяточничество (злоупотребление влиянием на принятие решений с целью прямой или косвенной личной выгоды).
• Махинации с финансовой отчетностью (отражение в отчетности фиктивной выручки, занижение расходов или необоснованное завышение активов и прочие действия, направленные на умышленное искажение или сокрытие ключевой финансовой информации).
Эксперты ACFE подсчитали, что наиболее распространенными (более 86 %) являются случаи нецелевого использования активов организации, однако средние потери от них были наименьшими — $ 120 тыс. в год. Махинации с финансовой отчетностью встречались только в 8 % случаев, но приводили к наибольшим потерям — в среднем до $ 1 млн в год. Случаи коррупции / взяточничества приводили к средним потерям в размере $ 250 тыс. ежегодно.
Внешние аудиты финансовой отчетности, несмотря на их важность для оценки состояния компании, не могут полностью решить задачу предотвращения злоупотреблений. Во-первых, методология внешнего аудита всегда основана на выборочных процедурах. Во-вторых, выявление случаев мошенничества не является основной целью внешнего аудита. В результате они позволяют выявить лишь около 3 % случаев мошенничества и не снижают потерь от злоупотреблений. Внутренние меры, направленные на снижение рисков мошенничества, являются значительно более результативными.

Действовать по порядку

С чего начинать борьбу с мошенничеством и злоупотреблениями в компании? И, что немаловажно, как вести ее, не подвергая подозрениям вполне лояльных и честных сотрудников?
Эксперты в области GRC (управления рисками и соответствия законодательству) считают, что первым шагом должно стать составление реестра рисков: они должны быть сформулированы и оценены с точки зрения вероятности наступления и влияния.
Не менее важно внедрение в организации единой системы внутреннего контроля. Ее отсутствие «помогло» мошенникам в более 35 % случаев.
Важно, чтобы руководство поддерживало внедрение и работу такой системы и принимало в ней участие. Примерно в 19 % случаев злоупотребления стали возможными именно потому, что руководство не предпринимало регулярных проверок, не уделяло внимания постоянному контролю. Проверки, которые в установленном порядке проводит руководство организации, и «горячие линии», по которым контрагенты (поставщики и покупатели) могут сообщить о злоупотреблениях, являются эффективным средством снижения потерь. В организациях, где таких инструментов контроля нет, потери в среднем на 45 % выше, чем там, где они внедрены и используются.
К наиболее эффективным мерам внутреннего контроля можно отнести:
• кодекс корпоративной этики (реализовали 78 % организаций);
• контроль подготовки финансовой отчетности со стороны руководства (реализовали 69 % организаций);
• реально действующую функцию внутреннего аудита или противодействия мошенничеству (реализовали 68 % организаций).
Многие руководители считают, что у них нет возможности прибавить к своим многочисленным обязанностям еще и руководство функцией внутреннего контроля. В этом аргументе есть доля истины — у современного руководителя действительно много задач и уровень личной ответственности весьма высок. Оптимальным решением может быть сбалансированный подход, при котором организация и исполнение процесса внутреннего контроля поддерживаются современными высокотехнологичными решениями.

Технология, снижающая риски

Автоматизация процесса внутреннего контроля позволяет вести единый реестр документации по контрольным процедурам и сопоставить их с выявленными ранее рисками мошенничества. Таким образом, в компании появляется системный единый подход к внутреннему контролю: плановые проверки, регулярные уведомления руководителей о необходимости проведения очередной проверки, возможность фиксировать и отслеживать историю результатов проверок и видеть, насколько эффективны меры по снижению корпоративных рисков.
К примеру, информационная система может заблаговременно провести анализ в автоматическом режиме и уведомить ответственного руководителя только в том случае, если были выявлены отклонения от плановых значений или иные инциденты. Такой обширный функционал для обнаружения и управления рисками, непрерывного контроля бизнес-процессов и соответствия требованиям регулирующих органов реализован в портфеле решений SAP GRC (Governance, risk and compliance). Эти компоненты используют единую технологическую платформу SAP HANA и общие основные данные, применяемые, например, при документировании бизнес-процессов и контролей. Важные процессы корпоративного управления — например, мониторинг контрольных процедур в разрезе бизнес-процессов — создаются один раз и затем могут использоваться всеми компонентами SAP GRC, обеспечивая единую стратегию корпоративного управления и снижение совокупной стоимости владения.
Вот примеры того, как SAP GRC работает на повышение эффективности компаний из разных отраслей и стран.
• Энергетическая компания ABB India, имеющая ежегодную выручку в $ 29 млрд и 6500 сотрудников в штате, сформировала на базе SAP GRC единое решение, работающее в офисах компании в 14 странах мира. Внедрив SAP GRC, ABB India сократила затраты на соответствие требованиям закона Сарбейнса — Оксли (внедрение эффективной системы внутреннего контроля над достоверностью финансовой отчетности) и проведение аудита.
• Транспортная компания Panalpina Group при помощи SAP GRC проводит анализ рисков на основе единых корпоративных стандартов. Внедрение решения позволило компании повысить прозрачность процессов распределения полномочий, снизить затраты на аудит на 5–10 % и сократить время на управление полномочиями пользователей в информационных системах в среднем на 60–75 %.
• Концерн Dow Chemical выявил дублирующие счета на оплату с помощью системы постоянного мониторинга бизнес-процессов закупки (Continue Control Monitoring) на базе SAP GRC.

Разделяй и… проверяй

Информационные системы позволяют достаточно легко, с использованием единых корпоративных правил, решить важную организационную задачу в сфере управления рисками — разграничение полномочий сотрудников в рамках бизнес-процесса. В частности, такие меры существенно снижают риск сговора или иных злонамеренных действий сотрудников, а если такие действия все же происходят, значительно сокращают время и усилия на их выявление.
Кроме прямых финансовых потерь, злоупотребления сотрудников могут быть связаны с утечками или кражей персональных данных, а это — прямые репутационные риски и нарушение требований действующего законодательства. В связи с принятием изменений в Федеральный закон № 152 «О персональных данных» компаниям теперь необходимо контролировать доступ сотрудников к персональным данным, которые обрабатываются в информационных системах. В частности, сложной задачей является контроль соответствия фактических прав доступа пользователей и необходимых прав доступа к персональным данным.
Мошенничество — угроза, актуальная для компании, работающей в любой отрасли и в любой стране мира. Использование современных инструментов контроля рисков в бизнес-процессах организации позволит не только автоматизировать контроль и аудит, но и дисциплинировать сотрудников — от рядовых менеджеров до высшего руководства. Помогают эти решения и в выявлении злоупотреблений со стороны клиентов. Например, страховым компаниям SAP Fraud Management for Insurance помогает автоматически выявлять случаи мошенничества, повышать эффективность их расследования и отказывать в выплатах по незаконным заявлениям о страховых случаях.
Применение алгоритмов прогнозной аналитики SAP для анализа большого количества транзакций позволит выявить скрытые мошеннические действия и оповестить о подозрительных случаях, которые могли бы остаться незамеченными при использовании традиционных методов обнаружения мошенничества и несоответствий. А это значит, что решения SAP помогут предотвратить миллионные убытки, наносимые организациям мошенническими действиями сотрудников.
 
 
Андрей Нифатов, менеджер по развитию бизнеса SAP CIS
 
 
Контакт с нами
Отправить

Выполните вход под своей учетной записью или зарегистрируйтесь, чтобы создать новую учетную запись.

Не зарегистрированы?

Еще не зарегистрированы? Получите доступ к 5000 эксклюзивных материалов, подпишитесь на новостную рассылку и управляйте ей.




Создать новый профиль