Betrugsrisikomanagement: Wer ist dafür verantwortlich?
In meiner Praxis stoße ich häufig auf eine Situation, in der die Betrugsrisiken in Unternehmen nicht berücksichtigt (nicht bewertet) oder berücksichtigt werden, aber nicht kompetent und daher begrenzt und ohne die richtige Betonung. Dementsprechend wächst das Betrugsrisiko nicht nur - es wird erkannt. Wer ist mit dem Management der Betrugsrisiken beauftragt und wer muss beauftragt werden?
In dem Artikel betrachte ich nicht die rechtliche Essenz des Betrugsbegriffs. Für ein allgemeines Verständnis werde ich jedoch den von der Prüfungskommission unter dem Präsidenten der Russischen Föderation vorgeschlagenen Begriff zitieren:
Betrug ist ein Verbrechen im wirtschaftlichen Bereich, das gegen Eigentum gerichtet ist. Dies ist der Diebstahl des Eigentums eines anderen oder der Erwerb des Rechts auf das Eigentum eines anderen durch Betrug oder Vertrauensbruch (dieses Konzept entspricht den Normen von Artikel 159 des Strafgesetzbuchs der Russischen Föderation).
Offensichtlich hat jeder Manager sein eigenes Verständnis für den Prozess des Managements von Betrugsrisiken innerhalb einer Organisation. Die Praxis zeigt jedoch, dass sich dieses Verständnis in den meisten Fällen auf die Durchführung von Untersuchungen (Überarbeitungen) in Bezug auf verdächtige Tatsachen finanzieller und wirtschaftlicher Aktivitäten beschränkt, wenn diesem Thema zumindest etwas Aufmerksamkeit geschenkt wird.
Daher übertragen die Leiter russischer Unternehmen in der Regel die Kontrolle über die Risiken des internen Unternehmensbetrugs auf den Dienst für wirtschaftliche Sicherheit (im Folgenden: SEB) und / oder den Dienst für interne Revision (im Folgenden: Interner Kontrolldienst, Prüfungsapparat, im Folgenden: NEA). Situationen sind möglich, in denen die Verantwortung für das Management dieser Risiken niemandem übertragen wird. Es wird davon ausgegangen, dass jede Abteilung ihre internen Betrugsrisiken unabhängig bewertet und geeignete Maßnahmen ergreift, um sie zu reduzieren. Oder die Kontrollumgebung im Unternehmen ist äußerst negativ und betrügerische Handlungen sind die übliche Praxis und der übliche Führungsstil des Unternehmens.
Welche Probleme werden entschieden?
Der wirtschaftliche Sicherheitsdienst in Fragen der Betrugsprävention arbeitet normalerweise in zwei Hauptbereichen:
Der Schutz vor externen Betrugsdrohungen besteht darin, potenzielle Gegenparteien vor Abschluss einer Vereinbarung zu überprüfen. In den meisten Fällen beschränkt sich diese Überprüfung darauf, die Organisation in offenen Quellen zu finden: Informationen des Federal Tax Service (USRLE); in anderen Datenbanken (einschließlich bezahlter) verschiedener Art (Informationen zu Gründern, genehmigtem Kapital, Lizenzen, Schiedsverfahren usw.). Basierend auf den erhaltenen Daten wird eine ziemlich oberflächliche Analyse des potenziellen Partners durchgeführt; seltener Abweichung von der in den Dokumenten der Gegenpartei angegebenen Adresse oder anderen, tieferen Verfahren.
Das System zum Schutz vor internen Bedrohungen beschränkt sich häufig auf Fragen des Perimeterschutzes, einschließlich der Organisation des Verfahrens für den Import (Export) von Waren und Materialien in das Hoheitsgebiet und der Organisation der Videoüberwachung. Jene. bietet Schutz gegen physische Entfernung von Waren und Materialien.
In einem außerplanmäßigen Modus arbeitet die SEB nach Audits von Auditoren oder nach Erhalt von Betriebsinformationen (auch von einer offenen "Hotline", falls diese organisiert ist). Darüber hinaus führt der (Wirtschafts-) Sicherheitsdienst Untersuchungen zu verdächtigen Tatsachen und Missbräuchen durch (hauptsächlich in den Lagerbereichen von Waren und Materialien, zum Thema Kraftstoffverbrauch der Fahrzeuge des Unternehmens, zur Begründung rechenschaftspflichtiger Beträge usw.).
WAS FRAGEN IST, IST SEINE ENTSCHEIDUNG
Während geplanter Audits oder auf der Grundlage informeller Signale, einschließlich Nachrichten an die „Hotline“ (ebenfalls organisiert), können Tatsachen wirtschaftlicher Aktivitäten mit dem Verdacht auf Betrug aufgedeckt werden. In diesen Fällen stellen interne Prüfer in der Regel entsprechende Unterlagen an, führen Interviews mit verantwortlichen Beamten durch, überwachen den Fortschritt des Inventars und sammeln andere Beweise. Auf der Grundlage der erhaltenen Daten ziehen die Prüfer Schlussfolgerungen, die das Management informieren.
Das Management wiederum sendet die Ergebnisse der Prüfung zur Untersuchung an den Wirtschaftssicherheitsdienst. Nur das Management erhält die Ergebnisse der Untersuchung. Interne Prüfer haben häufig keine Rückmeldung darüber, was passiert ist und wo die Kontrolle verloren gegangen ist.
In der Praxis kam es vor, dass die Forschungsmaterialien der Prüfer an den Dienst weitergeleitet wurden, in dem die verdächtigen Tatsachen gefunden wurden. Welches ist extrem falsch! Sie müssen verstehen, dass die Untersuchung von (unabhängigen) Experten von Drittanbietern oder überhaupt nicht durchgeführt werden sollte!
WELCHE HERAUSFORDERUNGEN AUF DEM BETRUGSBEREICH LÖSEN DAS BETRIEBSMANAGEMENT
Natürlich kommen die Hauptinitiativen zur Verhinderung von Missbrauch in erster Linie von Geschäftsinhabern. Und Eigentümer sollten, wenn sie daran interessiert sind, vor allem das operative Management in dieser Angelegenheit anregen.
Hierzu wenden die Unternehmen eine Reihe relevanter Maßnahmen an (in wirtschaftlich vertretbaren Mengen):
Die wichtigsten Grundsätze der Intoleranz gegenüber Betrug sind in Verhaltenskodizes (falls vorhanden) festgelegt oder in den Hauptprioritäten der Organisation angegeben. Das Management hat möglicherweise andere Möglichkeiten, seine Position zu äußern. Hauptsache, diese Postulate betreffen alle Mitarbeiter, stehen jederzeit zum Lesen zur Verfügung und werden regelmäßig an alle erinnert (bei Hauptversammlungen, auf internen Internetportalen und Hauptwebseiten von Unternehmen in internen Zeitschriften) und Bewertungen usw.).
In den internen Richtlinien einzelner Geschäftsprozesse (z. B. in der internen Beschaffungsrichtlinie oder in den Vertriebsrichtlinien usw.) werden die Hauptrisiken beschrieben. Beispielsweise muss in der Beschaffungspolitik die Unzulässigkeit von Einkäufen zu überhöhten Preisen und in der Verkaufspolitik die Unzulässigkeit geschlossener Vereinbarungen mit den Käufern von Partnern angegeben werden, um inoffizielle Gebühren (Kickbacks) usw. zu zahlen.
Darüber hinaus sind die entsprechenden Absätze in den Vorschriften zu Einheiten und Stellenbeschreibungen enthalten, die mit Arbeitsverträgen verknüpft sind. regelmäßige interne Schulungen und Briefings; Einzelne Prozesse werden regelmäßig überprüft, verschiedene thematische Überwachungen durchgeführt.
Usw.
Oft formulieren Unternehmen jedoch nicht die grundlegendsten Konzepte zur Bekämpfung von internem Betrug. Dementsprechend wurden keine Managementanforderungen gestellt, und das Motivationssystem zielt nicht darauf ab, ein wirksames System aufzubauen, mit dem solche Risiken identifiziert und verhindert werden können. Es fehlen auch Überwachungsinstrumente für relevante Kontrollen und Risiken, es wird keine Berichterstattung über Missbrauchsrisiken erstellt, Kontrollverfahren werden nicht formalisiert, es werden keine Schulungen für das Personal durchgeführt. Daher sollten Sie keine wirksamen Maßnahmen im Bereich der Bekämpfung und Verhinderung von Missbrauch durch die Betriebsleitung erwarten.
Was ist der Ausgang?
Die vom Wirtschaftssicherheitsdienst erzielten Ergebnisse sind nicht signifikant genug, da die SEB nur physische Abflüsse von Waren und Materialien wirksam unterdrückt (wenn die Perimetersicherheit organisiert ist). Und ein solcher Diebstahl ist in der Regel nicht signifikant. Die Betrugsrisiken, die begangen werden, ohne die materiellen Werte des Perimeters physisch zu überschreiten, werden von SEB in den meisten Fällen nicht verwaltet und nicht erkannt.
Wenn Betrugsverdacht durch interne Prüfer festgestellt wird, werden die gesammelten Beweise dem Management vorgelegt. Interne Prüfer führen in der Regel keine detaillierten Untersuchungen durch, da relevante Kompetenzen oder Befugnisse fehlen. In den meisten Fällen überträgt das Management die Unterlagen der Abschlussprüfer an die SEB, die versucht, selbst eine Untersuchung durchzuführen, ohne spezialisierte Spezialisten (einschließlich interner Prüfer) einzubeziehen. Daher ist die Untersuchung mit unzureichender Abdeckung aller Teilnehmer zerknittert, ohne eine vollständige Analyse aller Dokumente und letztendlich ohne Erfolg.
Im Allgemeinen können CBA und SEB das Betrugsrisikomanagement nicht methodisch anvertrauen. Diese Dienste können nur mit Untersuchungen und Überwachung bestehender Kontrollverfahren (deren Angemessenheit und korrekte Umsetzung und Umsetzung) betraut werden. Dies ist zum einen logisch, da der Controlling-Service, wenn er angewiesen wird, Risiken zu managen, die Ergebnisse seiner eigenen Arbeit nicht objektiv bewerten kann. Und zweitens entspricht es internationalen Standards und Praktiken.
Für die Geschäftsleitung beschränkt sich das Konzept des Betrugsrisikomanagements auf Untersuchungen und Audits.
Die Gesamtauspuffanlage sieht paradox aus: Das operative Management, das die Betrugsrisiken (wie auch die übrigen Risiken) steuern sollte, verwaltet und ist nicht für sie verantwortlich, und die CBA und SEB, die für solche Risiken nicht verantwortlich sein sollten, sind für sie verantwortlich (aber sie werden nicht gleichzeitig gesteuert).
KOLLEAGUELLER ANSATZ
Unsere ausländischen Kollegen stehen auch vor dem Problem der Frage: "Wer sollte für die Risiken von internem Betrug verantwortlich sein?" Aber nur wenn wir meistens niemanden haben, mit dem wir uns befassen können, haben sie zu viele Künstler. Zum Beispiel in einem Artikel von D. Torpy, CPA, und M. Sherrod, CFE, CPA: „Wem gehört Betrug? Jemanden vereinen, um das Anti-Fraud-Programm effektiv zu verwalten “, veröffentlicht im FraudMagazine-Magazin, beschreibt eine Situation, in der Vertriebsleiter auf den Korruptionsverdacht aller reagierten, und zwar zu unterschiedlichen Zeiten und auf ihre eigene Weise. Jene. Als ein Dienst vorhatte, eine Untersuchung durchzuführen, versammelte ein anderer Dienst Mitarbeiter für Schulungen zur Betrugsbekämpfung im selben Fall, und ein dritter Dienst läutete Glocken wegen Verstoßes gegen den Ethikkodex usw.
Daher schlagen die Herren D. Torpy und M. Sherrod vor, innerhalb des Unternehmens eine Arbeitsgruppe einzurichten, die für das Management der Betrugsrisiken verantwortlich ist (ein bestimmtes Aufsichtsgremium).
Die Gruppe sollte Mitarbeiter umfassen, die zusätzlich zu ihren Hauptaufgaben an Aktivitäten zur Betrugsbekämpfung teilnehmen.
Um ein positives Ergebnis bei der Lösung komplexer Betrugsfälle zu erzielen, müssen die Teammitglieder über verschiedene Fähigkeiten und Kenntnisse verfügen. Daher sollte die angegebene Gruppe Vertreter verschiedener Bereiche und Dienste umfassen:
von der Geschäftsleitung,
vom Prüfungsausschuss
vom Untersuchungsteam,
von der Kontrollgruppe zur Einhaltung der Anforderungen (Compliance-Gruppe),
von einer Gruppe von Controllern (die Autoren entschlüsseln nicht welche, aber es kann angenommen werden, dass es sich um operative und / oder finanzielle Controller handelt),
von der internen Revision,
aus der Abteilung Informationstechnologie,
vor der Sicherheit
vom Rechtsdienst
vom HR-Service
Jeder Spezialist in der Gruppe führt bestimmte Aufgaben aus und jeder ist gegenüber der Gruppe rechenschaftspflichtig. Darüber hinaus müssen die Mitglieder der Gruppe nicht nur über Kompetenzen im Bereich der Ermittlungen verfügen (natürlich im Rahmen ihrer Funktionalität), sondern auch in der Lage sein, Initiativen zur Betrugsbekämpfung vorzuschlagen. Die Rollen und Verantwortlichkeiten jedes Teammitglieds müssen klar angegeben werden, damit sie sich nicht gegenseitig duplizieren.
Tatsächlich sind die Hauptideen, die in dem Artikel von Herrn D. Torpy und M. Sherrod vorgestellt wurden, in der Arbeit „Management des Geschäftsrisikos von Betrug: Ein praktischer Leitfaden“ zusammengefasst - einer gemeinsamen Arbeit der drei Organisationen ACFE, IIA, AICPA.
Der Vorsitzende der Gruppe stellt die Erreichung gemeinsamer Ziele sicher und koordiniert die Aktionen der Teammitglieder. Dementsprechend ist es notwendig, dass dies die Person ist, die am meisten an der Qualitätsarbeit der Gruppe interessiert ist. Zum Beispiel vom Eigentümer des Unternehmens (nicht vom CEO) oder einem der Mitglieder des Verwaltungsrates (Aufsichtsrat) ernannt.
Das geschaffene Team sollte im Rahmen des Betrugsbekämpfungsprogramms arbeiten. Ziel dieses Programms ist es, die Grundlagen für Untersuchungsverfahren zu legen, internen Betrug zu identifizieren und zu verhindern sowie ergriffene Maßnahmen zu erstellen und darüber Bericht zu erstatten, einschließlich der Wirksamkeit der im Rahmen des Programms implementierten Mechanismen.
MEINUNG
Die Idee, einen Überwachungsausschuss (oder einen gleichwertigen Ausschuss) einzurichten, ist in vielerlei Hinsicht interessant. Um es umzusetzen, müssen jedoch eine Reihe von Bedingungen beachtet werden:
Die Geschäftsführung des Unternehmens (Geschäftsinhaber, Verwaltungsrat, Generaldirektor) sollte an den Ergebnissen der Arbeit des Überwachungsausschusses interessiert sein. Dies ist die Hauptbedingung! Die Erfüllung der nachstehend aufgeführten verbleibenden Bedingungen ohne das Interesse des Leitfadens ist nicht sinnvoll.
Die Ergebnisse der Arbeit des Aufsichtsausschusses sollten regelmäßig vom Verwaltungsrat überprüft werden.
Auf der Grundlage der Arbeit des Überwachungsausschusses sollte immer eine angemessene Antwort erfolgen.
Unter den Bedingungen des russischen Geschäftsstils (wir sprechen hauptsächlich von großen Organisationen) sind diese Bedingungen jedoch nicht immer realisierbar. Eigentümer verwalten (?) Das erworbene Geschäft aus der Ferne, das Top-Management der Geschäftsleitung ist nicht an der Verwaltung von Betrugsrisiken interessiert, und das operative Management ist nicht interessiert, die Rollen von SEB und IAS verschwimmen.
SCHLUSSFOLGERUNGEN
Vor dem Aufbau eines Risikomanagementsystems für internen Betrug müssen Geschäftsinhaber die Geschäftsleitung und das operative Management entsprechend anregen: Geben Sie ihnen Autorität und Verantwortung.
Ausschluss von der Geschäftstätigkeit von SEB und NEA: bei der Koordinierung von Vereinbarungen, bei der Beteiligung an der Entscheidungsfindung über Transaktionen usw. Die SEB verfügt natürlich über Funktionen für die gleichen Überprüfungen potenzieller Gegenparteien vor dem Bieten. Wenn Sie also (z. B. durch Prüfer während der Inspektionen) Anzeichen einer Zugehörigkeit zu Ausschreibungen feststellen, können Sie die SEB nicht beauftragen, eine Untersuchung zu diesem Thema durchzuführen.
Entwickeln Sie ein Programm zur Betrugsbekämpfung im Unternehmen und stellen Sie einen Vorgesetzten (mit Unterordnung unter die Geschäftsinhaber) vor, der dessen Umsetzung überwacht. Darüber hinaus sollte dieses Programm eine Reihe von Maßnahmen umfassen und nicht nur Audits und / oder Untersuchungen.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
In meiner Praxis stoße ich häufig auf eine Situation, in der die Betrugsrisiken in Unternehmen nicht berücksichtigt (nicht bewertet) oder berücksichtigt werden, aber nicht kompetent und daher begrenzt und ohne die richtige Betonung. Dementsprechend wächst das Betrugsrisiko nicht nur - es wird erkannt. Wer ist mit dem Management der Betrugsrisiken beauftragt und wer muss beauftragt werden?
In dem Artikel betrachte ich nicht die rechtliche Essenz des Betrugsbegriffs. Für ein allgemeines Verständnis werde ich jedoch den von der Prüfungskommission unter dem Präsidenten der Russischen Föderation vorgeschlagenen Begriff zitieren:
Betrug ist ein Verbrechen im wirtschaftlichen Bereich, das gegen Eigentum gerichtet ist. Dies ist der Diebstahl des Eigentums eines anderen oder der Erwerb des Rechts auf das Eigentum eines anderen durch Betrug oder Vertrauensbruch (dieses Konzept entspricht den Normen von Artikel 159 des Strafgesetzbuchs der Russischen Föderation).
Offensichtlich hat jeder Manager sein eigenes Verständnis für den Prozess des Managements von Betrugsrisiken innerhalb einer Organisation. Die Praxis zeigt jedoch, dass sich dieses Verständnis in den meisten Fällen auf die Durchführung von Untersuchungen (Überarbeitungen) in Bezug auf verdächtige Tatsachen finanzieller und wirtschaftlicher Aktivitäten beschränkt, wenn diesem Thema zumindest etwas Aufmerksamkeit geschenkt wird.
Daher übertragen die Leiter russischer Unternehmen in der Regel die Kontrolle über die Risiken des internen Unternehmensbetrugs auf den Dienst für wirtschaftliche Sicherheit (im Folgenden: SEB) und / oder den Dienst für interne Revision (im Folgenden: Interner Kontrolldienst, Prüfungsapparat, im Folgenden: NEA). Situationen sind möglich, in denen die Verantwortung für das Management dieser Risiken niemandem übertragen wird. Es wird davon ausgegangen, dass jede Abteilung ihre internen Betrugsrisiken unabhängig bewertet und geeignete Maßnahmen ergreift, um sie zu reduzieren. Oder die Kontrollumgebung im Unternehmen ist äußerst negativ und betrügerische Handlungen sind die übliche Praxis und der übliche Führungsstil des Unternehmens.
Welche Probleme werden entschieden?
Der wirtschaftliche Sicherheitsdienst in Fragen der Betrugsprävention arbeitet normalerweise in zwei Hauptbereichen:
Der Schutz vor externen Betrugsdrohungen besteht darin, potenzielle Gegenparteien vor Abschluss einer Vereinbarung zu überprüfen. In den meisten Fällen beschränkt sich diese Überprüfung darauf, die Organisation in offenen Quellen zu finden: Informationen des Federal Tax Service (USRLE); in anderen Datenbanken (einschließlich bezahlter) verschiedener Art (Informationen zu Gründern, genehmigtem Kapital, Lizenzen, Schiedsverfahren usw.). Basierend auf den erhaltenen Daten wird eine ziemlich oberflächliche Analyse des potenziellen Partners durchgeführt; seltener Abweichung von der in den Dokumenten der Gegenpartei angegebenen Adresse oder anderen, tieferen Verfahren.
Das System zum Schutz vor internen Bedrohungen beschränkt sich häufig auf Fragen des Perimeterschutzes, einschließlich der Organisation des Verfahrens für den Import (Export) von Waren und Materialien in das Hoheitsgebiet und der Organisation der Videoüberwachung. Jene. bietet Schutz gegen physische Entfernung von Waren und Materialien.
In einem außerplanmäßigen Modus arbeitet die SEB nach Audits von Auditoren oder nach Erhalt von Betriebsinformationen (auch von einer offenen "Hotline", falls diese organisiert ist). Darüber hinaus führt der (Wirtschafts-) Sicherheitsdienst Untersuchungen zu verdächtigen Tatsachen und Missbräuchen durch (hauptsächlich in den Lagerbereichen von Waren und Materialien, zum Thema Kraftstoffverbrauch der Fahrzeuge des Unternehmens, zur Begründung rechenschaftspflichtiger Beträge usw.).
WAS FRAGEN IST, IST SEINE ENTSCHEIDUNG
Während geplanter Audits oder auf der Grundlage informeller Signale, einschließlich Nachrichten an die „Hotline“ (ebenfalls organisiert), können Tatsachen wirtschaftlicher Aktivitäten mit dem Verdacht auf Betrug aufgedeckt werden. In diesen Fällen stellen interne Prüfer in der Regel entsprechende Unterlagen an, führen Interviews mit verantwortlichen Beamten durch, überwachen den Fortschritt des Inventars und sammeln andere Beweise. Auf der Grundlage der erhaltenen Daten ziehen die Prüfer Schlussfolgerungen, die das Management informieren.
Das Management wiederum sendet die Ergebnisse der Prüfung zur Untersuchung an den Wirtschaftssicherheitsdienst. Nur das Management erhält die Ergebnisse der Untersuchung. Interne Prüfer haben häufig keine Rückmeldung darüber, was passiert ist und wo die Kontrolle verloren gegangen ist.
In der Praxis kam es vor, dass die Forschungsmaterialien der Prüfer an den Dienst weitergeleitet wurden, in dem die verdächtigen Tatsachen gefunden wurden. Welches ist extrem falsch! Sie müssen verstehen, dass die Untersuchung von (unabhängigen) Experten von Drittanbietern oder überhaupt nicht durchgeführt werden sollte!
WELCHE HERAUSFORDERUNGEN AUF DEM BETRUGSBEREICH LÖSEN DAS BETRIEBSMANAGEMENT
Natürlich kommen die Hauptinitiativen zur Verhinderung von Missbrauch in erster Linie von Geschäftsinhabern. Und Eigentümer sollten, wenn sie daran interessiert sind, vor allem das operative Management in dieser Angelegenheit anregen.
Hierzu wenden die Unternehmen eine Reihe relevanter Maßnahmen an (in wirtschaftlich vertretbaren Mengen):
Die wichtigsten Grundsätze der Intoleranz gegenüber Betrug sind in Verhaltenskodizes (falls vorhanden) festgelegt oder in den Hauptprioritäten der Organisation angegeben. Das Management hat möglicherweise andere Möglichkeiten, seine Position zu äußern. Hauptsache, diese Postulate betreffen alle Mitarbeiter, stehen jederzeit zum Lesen zur Verfügung und werden regelmäßig an alle erinnert (bei Hauptversammlungen, auf internen Internetportalen und Hauptwebseiten von Unternehmen in internen Zeitschriften) und Bewertungen usw.).
In den internen Richtlinien einzelner Geschäftsprozesse (z. B. in der internen Beschaffungsrichtlinie oder in den Vertriebsrichtlinien usw.) werden die Hauptrisiken beschrieben. Beispielsweise muss in der Beschaffungspolitik die Unzulässigkeit von Einkäufen zu überhöhten Preisen und in der Verkaufspolitik die Unzulässigkeit geschlossener Vereinbarungen mit den Käufern von Partnern angegeben werden, um inoffizielle Gebühren (Kickbacks) usw. zu zahlen.
Darüber hinaus sind die entsprechenden Absätze in den Vorschriften zu Einheiten und Stellenbeschreibungen enthalten, die mit Arbeitsverträgen verknüpft sind. regelmäßige interne Schulungen und Briefings; Einzelne Prozesse werden regelmäßig überprüft, verschiedene thematische Überwachungen durchgeführt.
Usw.
Oft formulieren Unternehmen jedoch nicht die grundlegendsten Konzepte zur Bekämpfung von internem Betrug. Dementsprechend wurden keine Managementanforderungen gestellt, und das Motivationssystem zielt nicht darauf ab, ein wirksames System aufzubauen, mit dem solche Risiken identifiziert und verhindert werden können. Es fehlen auch Überwachungsinstrumente für relevante Kontrollen und Risiken, es wird keine Berichterstattung über Missbrauchsrisiken erstellt, Kontrollverfahren werden nicht formalisiert, es werden keine Schulungen für das Personal durchgeführt. Daher sollten Sie keine wirksamen Maßnahmen im Bereich der Bekämpfung und Verhinderung von Missbrauch durch die Betriebsleitung erwarten.
Was ist der Ausgang?
Die vom Wirtschaftssicherheitsdienst erzielten Ergebnisse sind nicht signifikant genug, da die SEB nur physische Abflüsse von Waren und Materialien wirksam unterdrückt (wenn die Perimetersicherheit organisiert ist). Und ein solcher Diebstahl ist in der Regel nicht signifikant. Die Betrugsrisiken, die begangen werden, ohne die materiellen Werte des Perimeters physisch zu überschreiten, werden von SEB in den meisten Fällen nicht verwaltet und nicht erkannt.
Wenn Betrugsverdacht durch interne Prüfer festgestellt wird, werden die gesammelten Beweise dem Management vorgelegt. Interne Prüfer führen in der Regel keine detaillierten Untersuchungen durch, da relevante Kompetenzen oder Befugnisse fehlen. In den meisten Fällen überträgt das Management die Unterlagen der Abschlussprüfer an die SEB, die versucht, selbst eine Untersuchung durchzuführen, ohne spezialisierte Spezialisten (einschließlich interner Prüfer) einzubeziehen. Daher ist die Untersuchung mit unzureichender Abdeckung aller Teilnehmer zerknittert, ohne eine vollständige Analyse aller Dokumente und letztendlich ohne Erfolg.
Im Allgemeinen können CBA und SEB das Betrugsrisikomanagement nicht methodisch anvertrauen. Diese Dienste können nur mit Untersuchungen und Überwachung bestehender Kontrollverfahren (deren Angemessenheit und korrekte Umsetzung und Umsetzung) betraut werden. Dies ist zum einen logisch, da der Controlling-Service, wenn er angewiesen wird, Risiken zu managen, die Ergebnisse seiner eigenen Arbeit nicht objektiv bewerten kann. Und zweitens entspricht es internationalen Standards und Praktiken.
Für die Geschäftsleitung beschränkt sich das Konzept des Betrugsrisikomanagements auf Untersuchungen und Audits.
Die Gesamtauspuffanlage sieht paradox aus: Das operative Management, das die Betrugsrisiken (wie auch die übrigen Risiken) steuern sollte, verwaltet und ist nicht für sie verantwortlich, und die CBA und SEB, die für solche Risiken nicht verantwortlich sein sollten, sind für sie verantwortlich (aber sie werden nicht gleichzeitig gesteuert).
KOLLEAGUELLER ANSATZ
Unsere ausländischen Kollegen stehen auch vor dem Problem der Frage: "Wer sollte für die Risiken von internem Betrug verantwortlich sein?" Aber nur wenn wir meistens niemanden haben, mit dem wir uns befassen können, haben sie zu viele Künstler. Zum Beispiel in einem Artikel von D. Torpy, CPA, und M. Sherrod, CFE, CPA: „Wem gehört Betrug? Jemanden vereinen, um das Anti-Fraud-Programm effektiv zu verwalten “, veröffentlicht im FraudMagazine-Magazin, beschreibt eine Situation, in der Vertriebsleiter auf den Korruptionsverdacht aller reagierten, und zwar zu unterschiedlichen Zeiten und auf ihre eigene Weise. Jene. Als ein Dienst vorhatte, eine Untersuchung durchzuführen, versammelte ein anderer Dienst Mitarbeiter für Schulungen zur Betrugsbekämpfung im selben Fall, und ein dritter Dienst läutete Glocken wegen Verstoßes gegen den Ethikkodex usw.
Daher schlagen die Herren D. Torpy und M. Sherrod vor, innerhalb des Unternehmens eine Arbeitsgruppe einzurichten, die für das Management der Betrugsrisiken verantwortlich ist (ein bestimmtes Aufsichtsgremium).
Die Gruppe sollte Mitarbeiter umfassen, die zusätzlich zu ihren Hauptaufgaben an Aktivitäten zur Betrugsbekämpfung teilnehmen.
Um ein positives Ergebnis bei der Lösung komplexer Betrugsfälle zu erzielen, müssen die Teammitglieder über verschiedene Fähigkeiten und Kenntnisse verfügen. Daher sollte die angegebene Gruppe Vertreter verschiedener Bereiche und Dienste umfassen:
von der Geschäftsleitung,
vom Prüfungsausschuss
vom Untersuchungsteam,
von der Kontrollgruppe zur Einhaltung der Anforderungen (Compliance-Gruppe),
von einer Gruppe von Controllern (die Autoren entschlüsseln nicht welche, aber es kann angenommen werden, dass es sich um operative und / oder finanzielle Controller handelt),
von der internen Revision,
aus der Abteilung Informationstechnologie,
vor der Sicherheit
vom Rechtsdienst
vom HR-Service
Jeder Spezialist in der Gruppe führt bestimmte Aufgaben aus und jeder ist gegenüber der Gruppe rechenschaftspflichtig. Darüber hinaus müssen die Mitglieder der Gruppe nicht nur über Kompetenzen im Bereich der Ermittlungen verfügen (natürlich im Rahmen ihrer Funktionalität), sondern auch in der Lage sein, Initiativen zur Betrugsbekämpfung vorzuschlagen. Die Rollen und Verantwortlichkeiten jedes Teammitglieds müssen klar angegeben werden, damit sie sich nicht gegenseitig duplizieren.
Tatsächlich sind die Hauptideen, die in dem Artikel von Herrn D. Torpy und M. Sherrod vorgestellt wurden, in der Arbeit „Management des Geschäftsrisikos von Betrug: Ein praktischer Leitfaden“ zusammengefasst - einer gemeinsamen Arbeit der drei Organisationen ACFE, IIA, AICPA.
Der Vorsitzende der Gruppe stellt die Erreichung gemeinsamer Ziele sicher und koordiniert die Aktionen der Teammitglieder. Dementsprechend ist es notwendig, dass dies die Person ist, die am meisten an der Qualitätsarbeit der Gruppe interessiert ist. Zum Beispiel vom Eigentümer des Unternehmens (nicht vom CEO) oder einem der Mitglieder des Verwaltungsrates (Aufsichtsrat) ernannt.
Das geschaffene Team sollte im Rahmen des Betrugsbekämpfungsprogramms arbeiten. Ziel dieses Programms ist es, die Grundlagen für Untersuchungsverfahren zu legen, internen Betrug zu identifizieren und zu verhindern sowie ergriffene Maßnahmen zu erstellen und darüber Bericht zu erstatten, einschließlich der Wirksamkeit der im Rahmen des Programms implementierten Mechanismen.
MEINUNG
Die Idee, einen Überwachungsausschuss (oder einen gleichwertigen Ausschuss) einzurichten, ist in vielerlei Hinsicht interessant. Um es umzusetzen, müssen jedoch eine Reihe von Bedingungen beachtet werden:
Die Geschäftsführung des Unternehmens (Geschäftsinhaber, Verwaltungsrat, Generaldirektor) sollte an den Ergebnissen der Arbeit des Überwachungsausschusses interessiert sein. Dies ist die Hauptbedingung! Die Erfüllung der nachstehend aufgeführten verbleibenden Bedingungen ohne das Interesse des Leitfadens ist nicht sinnvoll.
Die Ergebnisse der Arbeit des Aufsichtsausschusses sollten regelmäßig vom Verwaltungsrat überprüft werden.
Auf der Grundlage der Arbeit des Überwachungsausschusses sollte immer eine angemessene Antwort erfolgen.
Unter den Bedingungen des russischen Geschäftsstils (wir sprechen hauptsächlich von großen Organisationen) sind diese Bedingungen jedoch nicht immer realisierbar. Eigentümer verwalten (?) Das erworbene Geschäft aus der Ferne, das Top-Management der Geschäftsleitung ist nicht an der Verwaltung von Betrugsrisiken interessiert, und das operative Management ist nicht interessiert, die Rollen von SEB und IAS verschwimmen.
SCHLUSSFOLGERUNGEN
Vor dem Aufbau eines Risikomanagementsystems für internen Betrug müssen Geschäftsinhaber die Geschäftsleitung und das operative Management entsprechend anregen: Geben Sie ihnen Autorität und Verantwortung.
Ausschluss von der Geschäftstätigkeit von SEB und NEA: bei der Koordinierung von Vereinbarungen, bei der Beteiligung an der Entscheidungsfindung über Transaktionen usw. Die SEB verfügt natürlich über Funktionen für die gleichen Überprüfungen potenzieller Gegenparteien vor dem Bieten. Wenn Sie also (z. B. durch Prüfer während der Inspektionen) Anzeichen einer Zugehörigkeit zu Ausschreibungen feststellen, können Sie die SEB nicht beauftragen, eine Untersuchung zu diesem Thema durchzuführen.
Entwickeln Sie ein Programm zur Betrugsbekämpfung im Unternehmen und stellen Sie einen Vorgesetzten (mit Unterordnung unter die Geschäftsinhaber) vor, der dessen Umsetzung überwacht. Darüber hinaus sollte dieses Programm eine Reihe von Maßnahmen umfassen und nicht nur Audits und / oder Untersuchungen.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
Original message
Управление рисками мошенничества: кто за них отвечает?
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
