Fraud risk management: who is responsible for them?
In my practice, I often come across a situation where the risks of fraud in companies are not considered (not evaluated) or considered, but not competently, and therefore limited and without putting the right emphasis. Accordingly, the risks of fraud are not just growing - they are being realized. Who is assigned to manage the risks of fraud, and who needs to be assigned?
In the article I do not consider the legal essence of the concept of fraud. However, for a general understanding, I will cite the term proposed by the Audit Commission under the President of the Russian Federation:
Fraud is a crime in the economic sphere directed against property, which is the theft of another's property or the acquisition of the right to another's property by deceit or abuse of trust (this concept correlates with the norms of Article 159 of the Criminal Code of the Russian Federation).
Obviously, each manager has his own understanding of the process of managing fraud risks within an organization. But practice shows that if at least some attention is paid to this issue, then in most cases this understanding is limited to conducting investigations (revisions) regarding suspicious facts of financial and economic activity.
Therefore, the heads of Russian companies usually assign control over the risks of internal corporate fraud to the economic security service (hereinafter - the SEB) and / or the internal audit service (the internal control service, the audit apparatus, hereinafter - the NEA). There may be situations where responsibility for managing these risks is not assigned to anyone. It is assumed that each department independently evaluates its risks of internal fraud and takes appropriate measures to reduce them. Or the control environment in the company is extremely negative and fraudulent actions are the usual practice and management style of the company.
WHAT ISSUES ISS DECIDED
The economic security service in matters of fraud prevention usually works in two main areas:
Protection against external threats of fraud is to check potential counterparties before entering into an agreement. In most cases, this check is limited to finding the organization in open sources: information from the Federal Tax Service (USRLE); in other databases (including paid ones) of various kinds (information on founders, authorized capital, licenses, arbitration cases, etc.). Based on the data obtained, a fairly superficial analysis of a potential partner is carried out; less often, departure to the address indicated in the documents of the counterparty, or other, deeper procedures.
The system of protection against internal threats is often limited to perimeter security issues, including the organization of the procedure for the import (export) of goods and materials to the territory, and the organization of video surveillance. Those. provides protection against physical removal of goods and materials.
In an unscheduled mode, the SEB works after audits of auditors or upon receipt of operational information (including from an open "hot line" if it is organized). In addition, the (economic) security service carries out investigations of suspicious facts and abuses (mainly in the storage areas of goods and materials, on the issue of fuel consumption by the company's vehicles, on the substantiation of accountable amounts, etc.).
WHAT ISSUES IS ITS DECISION
During planned audits or based on received unofficial signals, including messages to the “hot line” (again, if organized), facts of economic activity with suspected fraud can be revealed. In these cases, usually internal auditors make appropriate requests for documents, conduct interviews with responsible officials, monitor the progress of the inventory, and collect other evidence. Based on the data received, the auditors draw conclusions that inform management.
Management, in turn, sends the results of the audit to the economic security service for an investigation. Only the management gets the results of the investigation; internal auditors often do not have feedback on what happened and where control was lost.
In practice, it happened that the research materials of the auditors were transferred to the service in which the suspicious facts were found. Which is extremely incorrect! You need to understand that the investigation should be conducted by third-party (independent) experts or not at all!
WHAT CHALLENGES IN THE FIELD OF FRAUD DOES THE OPERATIONAL MANAGEMENT SOLVE
Of course, the main initiatives in preventing the facts of abuse come primarily from business owners. And owners, if they are interested in this, should stimulate, mainly, operational management in this matter.
For this, the companies apply a set of relevant measures (in economically feasible amounts):
The main tenets of intolerance to fraud are prescribed in codes of ethical conduct (if any) or are indicated in the main priorities of the organization. The leadership may have other ways to voice their position, the main thing is that these postulates concern all employees, be always readable and regularly reminded to everyone (at general meetings, on internal Internet portals and main web pages of companies, in internal periodicals and reviews, etc.).
in the internal policies of individual business processes (for example, in the internal procurement policy or sales policies, etc.), key risks are described. For example, in the procurement policy it is necessary to indicate the inadmissibility of purchases at inflated prices, and in the sales policy the inadmissibility of closed agreements with the purchasers of partners in order to pay unofficial fees (kickbacks), etc.
Further, the relevant paragraphs are written in the regulations on units and job descriptions, which are linked to labor contracts; regular internal trainings and briefings; individual processes are regularly checked, various thematic monitoring is carried out.
Etc.
But, often, companies do not formulate the most basic concepts in the fight against internal fraud. Accordingly, there are no requirements for management; the motivation system is not aimed at building an effective system that can identify and prevent such risks. Monitoring tools for relevant controls and risks are also absent, abuse risk reporting is not compiled, control procedures are not formalized, staff training is not carried out. Therefore, you should not expect effective measures in the field of combating and preventing abuse by operational management.
WHAT IS THE EXIT
The results achieved by the economic security service are not significant enough, since the SEB effectively suppresses only physical removals of goods and materials (if perimeter security is organized). And such theft, as a rule, is not significant. The risks of fraud committed without physical crossing the material values of the perimeter, SEB, in most cases, does not manage and does not detect.
If suspicions of fraud are identified by internal auditors, the evidence collected is presented to management. Internal auditors, as a rule, do not conduct a detailed investigation due to a lack of relevant competencies or authorities. Most often, the management transfers the materials of the auditors to the SEB, which is trying to conduct an investigation on its own, without involving specialized specialists (including internal auditors). Therefore, the investigation is crumpled, with insufficient coverage of all participants, without a full analysis of all documents, and, ultimately, to no avail.
In general, CBA and SEB cannot methodologically entrust fraud risk management. These services can only be entrusted with investigations and monitoring of existing control procedures (their adequacy and correct implementation and implementation). Which, firstly, is logical, since the controlling service, if instructed to manage risks, will not be able to objectively evaluate the results of its own work. And secondly, it complies with international standards and practices.
For senior management, the concept of fraud risk management is limited to investigations and audits.
The total exhaust looks paradoxical: the operational management, which should manage the risks of fraud (as, in fact, the rest of the risks), does not manage and is not responsible for them, and the CBA and SEB, which should not be responsible for such risks, are responsible for them (but they are not controlled at the same time).
COLLEAGUAL APPROACH
Our foreign colleagues also face the problem of the question: “Who should be responsible for the risks of internal fraud?” But only if we most often have no one to deal with, do they have too many performers. For example, in an article by D. Torpy, CPA, and M. Sherrod, CFE, CPA “Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram ”, published in the FraudMagazine magazine, describes a situation where sales managers reacted to the suspicion of corruption by everyone, and, of course, at different times and in their own way. Those. when one service planned to conduct an investigation, another service gathered employees for anti-fraud training in the same case, and a third service sounded bells for violating the Code of Ethics, etc.
Therefore, Mr. D. Torpy and M. Sherrod propose creating a working group within the company that is responsible for managing fraud risks (a certain Supervisory Committee).
The group should include employees who, in addition to their main responsibilities, participate in fraud response activities.
To achieve a positive outcome in resolving complex cases of fraud, team members must have various skills and knowledge. Therefore, the specified group should include representatives of different areas and services:
from executive management,
from the audit committee
from the investigation team,
from the control group for compliance with the requirements (compliance group),
from a group of controllers (the authors do not decipher which ones, but it can be assumed that we are talking about operational and / or financial controllers),
from the internal audit department,
from the department of information technology,
from security
from legal service
from HR service
Each specialist in the group performs specific tasks and each is accountable to the group. Moreover, the members of the group should not only have competencies in the field of investigations (as part of their functionality, of course), but also be able to propose initiatives that prevent fraud. The roles and responsibilities of each team member must be clearly stated so as not to duplicate each other.
Actually, the main ideas presented in the article by Mr. D. Torpy and M. Sherrod are summarized in the work “Managing the Business Risk of Fraud: A PracticalGuide” - a joint work of the three organizations ACFE, IIA, AICPA.
The chairman of the group ensures the achievement of common goals and coordinates the actions of team members. Accordingly, it is necessary that this be the person most interested in the quality work of the group. For example, appointed by the owner of the business (not the CEO) or one of the members of the Board of Directors (Supervisory Board).
The created team should work within the framework of the anti-fraud program. The purpose of this program is to lay the foundations for investigation procedures, to identify and prevent internal fraud, as well as to compile and report on measures taken, including the effectiveness of the mechanisms implemented under the program.
OPINION
The idea of creating a Supervisory Committee (or its equivalent) is in many ways interesting. However, in order to implement it, it is necessary to observe a number of conditions:
The company's management (business owner, Board of Directors, General Director) should be interested in the results of the work of the Supervisory Committee. This is the main condition! Fulfillment of the remaining conditions set forth below, without the interest of the Guide, will not make sense.
The results of the work of the Oversight Committee should be regularly reviewed by the Board of Directors.
Based on the work of the Oversight Committee, there should always be an adequate response.
But under the conditions of the Russian style of doing business (we are talking mainly about large organizations), these conditions are not always feasible. Owners manage (?) The acquired business from afar, executive top management is not interested in managing fraud risks, it is not interested in operational management, the roles of SEB and IAS are blurred.
CONCLUSIONS
Before building a risk management system for internal fraud, business owners need to stimulate senior executive and operational management accordingly: give them authority and responsibility.
Exclude from the operating activities of the SEB and NEA: in the coordination of agreements, in the participation in decision-making on transactions, etc. SEB, of course, has functionality for the same checks of potential counterparties before bidding, so if you identify (for example, by auditors during the inspections) signs of affiliation of tenders, you cannot commission an SEB investigation on this issue.
Develop a program to combat fraud in the company and introduce a supervisor (with subordination to business owners), which will monitor its implementation. Moreover, this program should include a set of measures, and not just audit and / or investigation.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
In my practice, I often come across a situation where the risks of fraud in companies are not considered (not evaluated) or considered, but not competently, and therefore limited and without putting the right emphasis. Accordingly, the risks of fraud are not just growing - they are being realized. Who is assigned to manage the risks of fraud, and who needs to be assigned?
In the article I do not consider the legal essence of the concept of fraud. However, for a general understanding, I will cite the term proposed by the Audit Commission under the President of the Russian Federation:
Fraud is a crime in the economic sphere directed against property, which is the theft of another's property or the acquisition of the right to another's property by deceit or abuse of trust (this concept correlates with the norms of Article 159 of the Criminal Code of the Russian Federation).
Obviously, each manager has his own understanding of the process of managing fraud risks within an organization. But practice shows that if at least some attention is paid to this issue, then in most cases this understanding is limited to conducting investigations (revisions) regarding suspicious facts of financial and economic activity.
Therefore, the heads of Russian companies usually assign control over the risks of internal corporate fraud to the economic security service (hereinafter - the SEB) and / or the internal audit service (the internal control service, the audit apparatus, hereinafter - the NEA). There may be situations where responsibility for managing these risks is not assigned to anyone. It is assumed that each department independently evaluates its risks of internal fraud and takes appropriate measures to reduce them. Or the control environment in the company is extremely negative and fraudulent actions are the usual practice and management style of the company.
WHAT ISSUES ISS DECIDED
The economic security service in matters of fraud prevention usually works in two main areas:
Protection against external threats of fraud is to check potential counterparties before entering into an agreement. In most cases, this check is limited to finding the organization in open sources: information from the Federal Tax Service (USRLE); in other databases (including paid ones) of various kinds (information on founders, authorized capital, licenses, arbitration cases, etc.). Based on the data obtained, a fairly superficial analysis of a potential partner is carried out; less often, departure to the address indicated in the documents of the counterparty, or other, deeper procedures.
The system of protection against internal threats is often limited to perimeter security issues, including the organization of the procedure for the import (export) of goods and materials to the territory, and the organization of video surveillance. Those. provides protection against physical removal of goods and materials.
In an unscheduled mode, the SEB works after audits of auditors or upon receipt of operational information (including from an open "hot line" if it is organized). In addition, the (economic) security service carries out investigations of suspicious facts and abuses (mainly in the storage areas of goods and materials, on the issue of fuel consumption by the company's vehicles, on the substantiation of accountable amounts, etc.).
WHAT ISSUES IS ITS DECISION
During planned audits or based on received unofficial signals, including messages to the “hot line” (again, if organized), facts of economic activity with suspected fraud can be revealed. In these cases, usually internal auditors make appropriate requests for documents, conduct interviews with responsible officials, monitor the progress of the inventory, and collect other evidence. Based on the data received, the auditors draw conclusions that inform management.
Management, in turn, sends the results of the audit to the economic security service for an investigation. Only the management gets the results of the investigation; internal auditors often do not have feedback on what happened and where control was lost.
In practice, it happened that the research materials of the auditors were transferred to the service in which the suspicious facts were found. Which is extremely incorrect! You need to understand that the investigation should be conducted by third-party (independent) experts or not at all!
WHAT CHALLENGES IN THE FIELD OF FRAUD DOES THE OPERATIONAL MANAGEMENT SOLVE
Of course, the main initiatives in preventing the facts of abuse come primarily from business owners. And owners, if they are interested in this, should stimulate, mainly, operational management in this matter.
For this, the companies apply a set of relevant measures (in economically feasible amounts):
The main tenets of intolerance to fraud are prescribed in codes of ethical conduct (if any) or are indicated in the main priorities of the organization. The leadership may have other ways to voice their position, the main thing is that these postulates concern all employees, be always readable and regularly reminded to everyone (at general meetings, on internal Internet portals and main web pages of companies, in internal periodicals and reviews, etc.).
in the internal policies of individual business processes (for example, in the internal procurement policy or sales policies, etc.), key risks are described. For example, in the procurement policy it is necessary to indicate the inadmissibility of purchases at inflated prices, and in the sales policy the inadmissibility of closed agreements with the purchasers of partners in order to pay unofficial fees (kickbacks), etc.
Further, the relevant paragraphs are written in the regulations on units and job descriptions, which are linked to labor contracts; regular internal trainings and briefings; individual processes are regularly checked, various thematic monitoring is carried out.
Etc.
But, often, companies do not formulate the most basic concepts in the fight against internal fraud. Accordingly, there are no requirements for management; the motivation system is not aimed at building an effective system that can identify and prevent such risks. Monitoring tools for relevant controls and risks are also absent, abuse risk reporting is not compiled, control procedures are not formalized, staff training is not carried out. Therefore, you should not expect effective measures in the field of combating and preventing abuse by operational management.
WHAT IS THE EXIT
The results achieved by the economic security service are not significant enough, since the SEB effectively suppresses only physical removals of goods and materials (if perimeter security is organized). And such theft, as a rule, is not significant. The risks of fraud committed without physical crossing the material values of the perimeter, SEB, in most cases, does not manage and does not detect.
If suspicions of fraud are identified by internal auditors, the evidence collected is presented to management. Internal auditors, as a rule, do not conduct a detailed investigation due to a lack of relevant competencies or authorities. Most often, the management transfers the materials of the auditors to the SEB, which is trying to conduct an investigation on its own, without involving specialized specialists (including internal auditors). Therefore, the investigation is crumpled, with insufficient coverage of all participants, without a full analysis of all documents, and, ultimately, to no avail.
In general, CBA and SEB cannot methodologically entrust fraud risk management. These services can only be entrusted with investigations and monitoring of existing control procedures (their adequacy and correct implementation and implementation). Which, firstly, is logical, since the controlling service, if instructed to manage risks, will not be able to objectively evaluate the results of its own work. And secondly, it complies with international standards and practices.
For senior management, the concept of fraud risk management is limited to investigations and audits.
The total exhaust looks paradoxical: the operational management, which should manage the risks of fraud (as, in fact, the rest of the risks), does not manage and is not responsible for them, and the CBA and SEB, which should not be responsible for such risks, are responsible for them (but they are not controlled at the same time).
COLLEAGUAL APPROACH
Our foreign colleagues also face the problem of the question: “Who should be responsible for the risks of internal fraud?” But only if we most often have no one to deal with, do they have too many performers. For example, in an article by D. Torpy, CPA, and M. Sherrod, CFE, CPA “Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram ”, published in the FraudMagazine magazine, describes a situation where sales managers reacted to the suspicion of corruption by everyone, and, of course, at different times and in their own way. Those. when one service planned to conduct an investigation, another service gathered employees for anti-fraud training in the same case, and a third service sounded bells for violating the Code of Ethics, etc.
Therefore, Mr. D. Torpy and M. Sherrod propose creating a working group within the company that is responsible for managing fraud risks (a certain Supervisory Committee).
The group should include employees who, in addition to their main responsibilities, participate in fraud response activities.
To achieve a positive outcome in resolving complex cases of fraud, team members must have various skills and knowledge. Therefore, the specified group should include representatives of different areas and services:
from executive management,
from the audit committee
from the investigation team,
from the control group for compliance with the requirements (compliance group),
from a group of controllers (the authors do not decipher which ones, but it can be assumed that we are talking about operational and / or financial controllers),
from the internal audit department,
from the department of information technology,
from security
from legal service
from HR service
Each specialist in the group performs specific tasks and each is accountable to the group. Moreover, the members of the group should not only have competencies in the field of investigations (as part of their functionality, of course), but also be able to propose initiatives that prevent fraud. The roles and responsibilities of each team member must be clearly stated so as not to duplicate each other.
Actually, the main ideas presented in the article by Mr. D. Torpy and M. Sherrod are summarized in the work “Managing the Business Risk of Fraud: A PracticalGuide” - a joint work of the three organizations ACFE, IIA, AICPA.
The chairman of the group ensures the achievement of common goals and coordinates the actions of team members. Accordingly, it is necessary that this be the person most interested in the quality work of the group. For example, appointed by the owner of the business (not the CEO) or one of the members of the Board of Directors (Supervisory Board).
The created team should work within the framework of the anti-fraud program. The purpose of this program is to lay the foundations for investigation procedures, to identify and prevent internal fraud, as well as to compile and report on measures taken, including the effectiveness of the mechanisms implemented under the program.
OPINION
The idea of creating a Supervisory Committee (or its equivalent) is in many ways interesting. However, in order to implement it, it is necessary to observe a number of conditions:
The company's management (business owner, Board of Directors, General Director) should be interested in the results of the work of the Supervisory Committee. This is the main condition! Fulfillment of the remaining conditions set forth below, without the interest of the Guide, will not make sense.
The results of the work of the Oversight Committee should be regularly reviewed by the Board of Directors.
Based on the work of the Oversight Committee, there should always be an adequate response.
But under the conditions of the Russian style of doing business (we are talking mainly about large organizations), these conditions are not always feasible. Owners manage (?) The acquired business from afar, executive top management is not interested in managing fraud risks, it is not interested in operational management, the roles of SEB and IAS are blurred.
CONCLUSIONS
Before building a risk management system for internal fraud, business owners need to stimulate senior executive and operational management accordingly: give them authority and responsibility.
Exclude from the operating activities of the SEB and NEA: in the coordination of agreements, in the participation in decision-making on transactions, etc. SEB, of course, has functionality for the same checks of potential counterparties before bidding, so if you identify (for example, by auditors during the inspections) signs of affiliation of tenders, you cannot commission an SEB investigation on this issue.
Develop a program to combat fraud in the company and introduce a supervisor (with subordination to business owners), which will monitor its implementation. Moreover, this program should include a set of measures, and not just audit and / or investigation.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
Original message
Управление рисками мошенничества: кто за них отвечает?
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
