Gestión del riesgo de fraude: ¿quién es responsable de ellos?
En mi práctica, a menudo me encuentro con una situación en la que los riesgos de fraude en las empresas no son considerados (no evaluados) o considerados, pero no de manera competente, y por lo tanto limitados y sin poner el énfasis correcto. En consecuencia, los riesgos de fraude no solo están creciendo, sino que se están dando cuenta. ¿Quién está asignado para gestionar los riesgos de fraude y quién debe ser asignado?
En el artículo no considero la esencia legal del concepto de fraude. Sin embargo, para una comprensión general, citaré el término propuesto por la Comisión de Auditoría bajo el Presidente de la Federación de Rusia:
El fraude es un delito en el ámbito económico dirigido contra la propiedad, que es el robo de la propiedad de otra persona o la adquisición del derecho a la propiedad de otra persona por engaño o abuso de confianza (este concepto se correlaciona con las normas del artículo 159 del Código Penal de la Federación de Rusia).
Obviamente, cada gerente tiene su propia comprensión del proceso de gestión de riesgos de fraude dentro de una organización. Pero la práctica muestra que si al menos se le presta atención a este tema, en la mayoría de los casos este entendimiento se limita a realizar investigaciones (revisiones) sobre hechos sospechosos de actividad financiera y económica.
Por lo tanto, los gerentes de las compañías rusas generalmente asignan el control sobre los riesgos de fraude corporativo interno al servicio de seguridad económica (en adelante, el SEB) y / o al servicio de auditoría interna (el servicio de control interno, el aparato de auditoría, en adelante, el NEA). Las situaciones son posibles donde la responsabilidad de administrar estos riesgos no se asigna a nadie. Se supone que cada departamento evalúa de manera independiente sus riesgos de fraude interno y toma las medidas apropiadas para reducirlos. O el entorno de control en la empresa es extremadamente negativo y las acciones fraudulentas son la práctica habitual y el estilo de gestión de la empresa.
QUE PROBLEMAS SE DECIDEN
El servicio de seguridad económica en materia de prevención del fraude suele funcionar en dos áreas principales:
La protección contra amenazas externas de fraude es verificar posibles contrapartes antes de celebrar un acuerdo. En la mayoría de los casos, esta verificación se limita a encontrar la organización en fuentes abiertas: información del Servicio de Impuestos Federales (USRLE); en otras bases de datos (incluidas las pagas) de diversos tipos (información sobre fundadores, capital autorizado, licencias, casos de arbitraje, etc.). En base a los datos obtenidos, se lleva a cabo un análisis bastante superficial del socio potencial; con menos frecuencia, salida a la dirección indicada en los documentos de la contraparte u otros procedimientos más profundos.
El sistema de protección contra amenazas internas a menudo se limita a problemas de seguridad perimetral, incluida la organización del procedimiento para la importación (exportación) de bienes y materiales al territorio, y la organización de video vigilancia. Aquellos. brinda protección contra la remoción física de bienes y materiales.
En un modo no programado, el SEB funciona después de auditorías de auditores o al recibir información operativa (incluso de una "línea directa" abierta si está organizada). Además, el servicio de seguridad (económico) lleva a cabo investigaciones de hechos sospechosos y abusos (principalmente en las áreas de almacenamiento de bienes y materiales, sobre el tema del consumo de combustible por parte de los vehículos de la compañía, sobre la justificación de cantidades responsables, etc.).
¿CUÁLES SON SUS DECISIONES?
Durante las auditorías planificadas o en base a las señales no oficiales recibidas, incluidos los mensajes a la "línea directa" (nuevamente, si está organizado), se pueden revelar hechos de actividad económica con sospecha de fraude. En estos casos, generalmente los auditores internos hacen las solicitudes apropiadas de documentos, realizan entrevistas con los funcionarios responsables, monitorean el progreso del inventario y recopilan otras pruebas. Con base en los datos recibidos, los auditores sacan conclusiones que informan a la gerencia.
La administración, a su vez, envía los resultados de la auditoría al servicio de seguridad económica para una investigación. Solo la administración obtiene los resultados de la investigación; los auditores internos a menudo no tienen comentarios sobre lo que sucedió y dónde se perdió el control.
En la práctica, sucedió que los materiales de investigación de los auditores fueron transferidos al servicio en el que se encontraron los hechos sospechosos. ¡Lo cual es extremadamente incorrecto! ¡Debe comprender que la investigación debe ser realizada por expertos externos (independientes) o no debe realizarse en absoluto!
QUÉ DESAFÍOS EN EL CAMPO DEL FRAUDE HACE LA GESTIÓN OPERATIVA
Por supuesto, las principales iniciativas para prevenir los hechos de abuso provienen principalmente de los dueños de negocios. Y los propietarios, si están interesados en esto, deberían estimular, principalmente, la gestión operativa en este asunto.
Para esto, las empresas aplican un conjunto de medidas relevantes (en cantidades económicamente viables):
Los principales principios de intolerancia al fraude se prescriben en los códigos de conducta ética (si los hay) o se indican en las principales prioridades de la organización. El liderazgo puede tener otras formas de expresar su posición, lo principal es que estos postulados conciernen a todos los empleados, sean siempre legibles y se les recuerden regularmente a todos (en reuniones generales, en portales de Internet internos y en las principales páginas web de las empresas, en publicaciones periódicas internas). y reseñas, etc.).
En las políticas internas de los procesos comerciales individuales (por ejemplo, en la política interna de compras o políticas de ventas, etc.), se describen los riesgos clave. Por ejemplo, en la política de adquisiciones es necesario indicar la inadmisibilidad de las compras a precios inflados, y en la política de ventas, la inadmisibilidad de acuerdos cerrados con los compradores de socios para pagar tarifas no oficiales (sobornos), etc.
Además, los párrafos relevantes están escritos en las regulaciones sobre unidades y descripciones de trabajo, que están vinculadas a contratos laborales; capacitaciones y sesiones informativas internas regulares; los procesos individuales se verifican periódicamente, se lleva a cabo un seguimiento temático variado.
Etc.
Pero, a menudo, las empresas no formulan los conceptos más básicos en la lucha contra el fraude interno. En consecuencia, no existen requisitos para la gestión; el sistema de motivación no tiene como objetivo construir un sistema efectivo que pueda identificar y prevenir tales riesgos. Las herramientas de monitoreo para controles y riesgos relevantes también están ausentes, los informes de riesgo de abuso no se compilan, los procedimientos de control no se formalizan, la capacitación del personal no se lleva a cabo. Por lo tanto, no debe esperar medidas efectivas en el campo de la lucha y prevención del abuso por parte de la gerencia operativa.
¿CUÁL ES LA SALIDA?
Los resultados logrados por el servicio de seguridad económica no son lo suficientemente significativos, ya que el SEB suprime efectivamente solo las extracciones físicas de bienes y materiales (si se organiza la seguridad del perímetro). Y tal robo, como regla, no es significativo. Los riesgos de fraude cometidos sin cruzar físicamente los valores materiales del perímetro, SEB, en la mayoría de los casos, no gestiona y no detecta.
Si los auditores internos sospechan de fraude, se presenta evidencia a la gerencia. Los auditores internos, por regla general, no realizan una investigación detallada debido a la falta de competencias o autoridades relevantes. Muy a menudo, la gerencia transfiere los materiales de los auditores nuevamente al SEB, que está tratando de realizar una investigación por su cuenta, sin involucrar a especialistas especializados (incluidos los auditores internos). Por lo tanto, la investigación está arrugada, con una cobertura insuficiente de todos los participantes, sin un análisis completo de todos los documentos y, en última instancia, en vano.
En general, CBA y SEB no pueden confiar metodológicamente la gestión del riesgo de fraude. A estos servicios solo se les puede confiar investigaciones y monitoreo de los procedimientos de control existentes (su adecuación y correcta implementación e implementación). Lo cual, en primer lugar, es lógico, ya que el servicio de control, si se le indica que gestione los riesgos, no podrá evaluar objetivamente los resultados de su propio trabajo. Y en segundo lugar, cumple con las normas y prácticas internacionales.
Para la alta gerencia, el concepto de gestión del riesgo de fraude se limita a investigaciones y auditorías.
El escape total parece paradójico: la gestión operativa, que debe gestionar los riesgos de fraude (como, de hecho, el resto de los riesgos), no gestiona y no es responsable de ellos, y el CBA y SEB, que no deberían ser responsables de tales riesgos, son responsables de ellos (pero no están controlados al mismo tiempo).
ENFOQUE COLEGAUAL
Nuestros colegas extranjeros también enfrentan el problema de la pregunta: "¿Quién debería ser responsable de los riesgos de fraude interno?" Pero solo si a menudo no tenemos a nadie con quien tratar, tienen demasiados artistas. Por ejemplo, en un artículo de D. Torpy, CPA, y M. Sherrod, CFE, CPA “¿Quién posee el fraude? UnitingEveryonetoEfectiveManagetheAnti-FraudProgram ”, publicado en la revista FraudMagazine, describe una situación en la que los gerentes de ventas reaccionaron ante la sospecha de corrupción por parte de todos y, por supuesto, en diferentes momentos y a su manera. Aquellos. cuando un servicio planeó llevar a cabo una investigación, otro servicio reunió empleados para capacitación contra el fraude en el contexto del mismo caso, y el tercer servicio hizo sonar las campanas por violar el Código de Ética, etc.
Por lo tanto, el Sr. D. Torpy y M. Sherrod proponen crear un grupo de trabajo dentro de la compañía que sea responsable de gestionar los riesgos de fraude (un cierto Comité de Supervisión).
El grupo debe incluir empleados que, además de sus responsabilidades principales, participen en actividades de respuesta al fraude.
Para lograr un resultado positivo en la resolución de casos complejos de fraude, los miembros del equipo deben tener varias habilidades y conocimientos. Por lo tanto, el grupo especificado debe incluir representantes de diferentes áreas y servicios:
de la gerencia ejecutiva,
del comité de auditoría
del equipo de investigación,
del grupo de control para el cumplimiento de los requisitos (grupo de cumplimiento),
de un grupo de controladores (los autores no descifran cuáles, pero se puede suponer que estamos hablando de controladores operativos y / o financieros),
del departamento de auditoría interna,
del departamento de tecnología de la información,
de seguridad
del servicio legal
del servicio de recursos humanos
Cada especialista en el grupo realiza tareas específicas y cada uno es responsable ante el grupo. Además, los miembros del grupo no solo deben tener competencias en el campo de las investigaciones (como parte de su funcionalidad, por supuesto), sino también ser capaces de proponer iniciativas que eviten el fraude. Las funciones y responsabilidades de cada miembro del equipo deben estar claramente establecidas para no duplicarse entre sí.
En realidad, las ideas principales presentadas en el artículo del Sr. D. Torpy y M. Sherrod se resumen en el trabajo "Gestión del riesgo empresarial del fraude: una guía práctica", un trabajo conjunto de las tres organizaciones ACFE, IIA, AICPA.
El presidente del grupo asegura el logro de objetivos comunes y coordina las acciones de los miembros del equipo. En consecuencia, es necesario que esta sea la persona más interesada en el trabajo de calidad del grupo. Por ejemplo, designado por el propietario de la empresa (no el CEO) o uno de los miembros de la Junta de Directores (Junta de Supervisión).
El equipo creado debe trabajar en el marco del programa antifraude. El propósito de este programa es sentar las bases para los procedimientos de investigación, identificar y prevenir el fraude interno, así como para compilar e informar sobre las medidas tomadas, incluida la efectividad de los mecanismos implementados bajo el programa.
OPINIÓN
La idea de crear un Comité de supervisión (o su equivalente) es interesante en muchos aspectos. Sin embargo, para implementarlo, es necesario observar una serie de condiciones:
La gerencia de la compañía (dueño del negocio, Junta Directiva, Director General) debería estar interesada en los resultados del trabajo del Comité de Supervisión. Esta es la condición principal! El cumplimiento de las condiciones restantes establecidas a continuación, sin el interés de la Guía, no tendrá sentido.
Los resultados del trabajo del Comité de Supervisión deben ser revisados regularmente por la Junta Directiva.
Basado en el trabajo del Comité de Supervisión, siempre debe haber una respuesta adecuada.
Pero bajo las condiciones del estilo ruso de hacer negocios (estamos hablando principalmente de grandes organizaciones), estas condiciones no siempre son factibles. Los propietarios gestionan (?) El negocio adquirido desde lejos, la alta dirección ejecutiva no está interesada en gestionar los riesgos de fraude, no está interesado en la gestión operativa, las funciones de SEB e IAS son borrosas.
CONCLUSIONES
Antes de construir un sistema de gestión de riesgos para el fraude interno, los dueños de negocios deben estimular la alta gerencia ejecutiva y operativa en consecuencia: darles autoridad y responsabilidad.
Excluir de las actividades operativas de SEB y NEA: en la coordinación de acuerdos, en la participación en la toma de decisiones sobre transacciones, etc. El SEB, por supuesto, tiene la funcionalidad para las mismas verificaciones de posibles contrapartes antes de presentar una oferta, por lo tanto, si revela (por ejemplo, auditores durante las inspecciones) signos de afiliación a las ofertas, el SEB no puede recibir instrucciones para realizar una investigación sobre este tema.
Desarrolle un programa para combatir el fraude en la empresa e introduzca un supervisor (con subordinación a los dueños de negocios), que supervisará su implementación. Además, este programa debe incluir un conjunto de medidas, y no solo auditorías y / o investigaciones.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
En mi práctica, a menudo me encuentro con una situación en la que los riesgos de fraude en las empresas no son considerados (no evaluados) o considerados, pero no de manera competente, y por lo tanto limitados y sin poner el énfasis correcto. En consecuencia, los riesgos de fraude no solo están creciendo, sino que se están dando cuenta. ¿Quién está asignado para gestionar los riesgos de fraude y quién debe ser asignado?
En el artículo no considero la esencia legal del concepto de fraude. Sin embargo, para una comprensión general, citaré el término propuesto por la Comisión de Auditoría bajo el Presidente de la Federación de Rusia:
El fraude es un delito en el ámbito económico dirigido contra la propiedad, que es el robo de la propiedad de otra persona o la adquisición del derecho a la propiedad de otra persona por engaño o abuso de confianza (este concepto se correlaciona con las normas del artículo 159 del Código Penal de la Federación de Rusia).
Obviamente, cada gerente tiene su propia comprensión del proceso de gestión de riesgos de fraude dentro de una organización. Pero la práctica muestra que si al menos se le presta atención a este tema, en la mayoría de los casos este entendimiento se limita a realizar investigaciones (revisiones) sobre hechos sospechosos de actividad financiera y económica.
Por lo tanto, los gerentes de las compañías rusas generalmente asignan el control sobre los riesgos de fraude corporativo interno al servicio de seguridad económica (en adelante, el SEB) y / o al servicio de auditoría interna (el servicio de control interno, el aparato de auditoría, en adelante, el NEA). Las situaciones son posibles donde la responsabilidad de administrar estos riesgos no se asigna a nadie. Se supone que cada departamento evalúa de manera independiente sus riesgos de fraude interno y toma las medidas apropiadas para reducirlos. O el entorno de control en la empresa es extremadamente negativo y las acciones fraudulentas son la práctica habitual y el estilo de gestión de la empresa.
QUE PROBLEMAS SE DECIDEN
El servicio de seguridad económica en materia de prevención del fraude suele funcionar en dos áreas principales:
La protección contra amenazas externas de fraude es verificar posibles contrapartes antes de celebrar un acuerdo. En la mayoría de los casos, esta verificación se limita a encontrar la organización en fuentes abiertas: información del Servicio de Impuestos Federales (USRLE); en otras bases de datos (incluidas las pagas) de diversos tipos (información sobre fundadores, capital autorizado, licencias, casos de arbitraje, etc.). En base a los datos obtenidos, se lleva a cabo un análisis bastante superficial del socio potencial; con menos frecuencia, salida a la dirección indicada en los documentos de la contraparte u otros procedimientos más profundos.
El sistema de protección contra amenazas internas a menudo se limita a problemas de seguridad perimetral, incluida la organización del procedimiento para la importación (exportación) de bienes y materiales al territorio, y la organización de video vigilancia. Aquellos. brinda protección contra la remoción física de bienes y materiales.
En un modo no programado, el SEB funciona después de auditorías de auditores o al recibir información operativa (incluso de una "línea directa" abierta si está organizada). Además, el servicio de seguridad (económico) lleva a cabo investigaciones de hechos sospechosos y abusos (principalmente en las áreas de almacenamiento de bienes y materiales, sobre el tema del consumo de combustible por parte de los vehículos de la compañía, sobre la justificación de cantidades responsables, etc.).
¿CUÁLES SON SUS DECISIONES?
Durante las auditorías planificadas o en base a las señales no oficiales recibidas, incluidos los mensajes a la "línea directa" (nuevamente, si está organizado), se pueden revelar hechos de actividad económica con sospecha de fraude. En estos casos, generalmente los auditores internos hacen las solicitudes apropiadas de documentos, realizan entrevistas con los funcionarios responsables, monitorean el progreso del inventario y recopilan otras pruebas. Con base en los datos recibidos, los auditores sacan conclusiones que informan a la gerencia.
La administración, a su vez, envía los resultados de la auditoría al servicio de seguridad económica para una investigación. Solo la administración obtiene los resultados de la investigación; los auditores internos a menudo no tienen comentarios sobre lo que sucedió y dónde se perdió el control.
En la práctica, sucedió que los materiales de investigación de los auditores fueron transferidos al servicio en el que se encontraron los hechos sospechosos. ¡Lo cual es extremadamente incorrecto! ¡Debe comprender que la investigación debe ser realizada por expertos externos (independientes) o no debe realizarse en absoluto!
QUÉ DESAFÍOS EN EL CAMPO DEL FRAUDE HACE LA GESTIÓN OPERATIVA
Por supuesto, las principales iniciativas para prevenir los hechos de abuso provienen principalmente de los dueños de negocios. Y los propietarios, si están interesados en esto, deberían estimular, principalmente, la gestión operativa en este asunto.
Para esto, las empresas aplican un conjunto de medidas relevantes (en cantidades económicamente viables):
Los principales principios de intolerancia al fraude se prescriben en los códigos de conducta ética (si los hay) o se indican en las principales prioridades de la organización. El liderazgo puede tener otras formas de expresar su posición, lo principal es que estos postulados conciernen a todos los empleados, sean siempre legibles y se les recuerden regularmente a todos (en reuniones generales, en portales de Internet internos y en las principales páginas web de las empresas, en publicaciones periódicas internas). y reseñas, etc.).
En las políticas internas de los procesos comerciales individuales (por ejemplo, en la política interna de compras o políticas de ventas, etc.), se describen los riesgos clave. Por ejemplo, en la política de adquisiciones es necesario indicar la inadmisibilidad de las compras a precios inflados, y en la política de ventas, la inadmisibilidad de acuerdos cerrados con los compradores de socios para pagar tarifas no oficiales (sobornos), etc.
Además, los párrafos relevantes están escritos en las regulaciones sobre unidades y descripciones de trabajo, que están vinculadas a contratos laborales; capacitaciones y sesiones informativas internas regulares; los procesos individuales se verifican periódicamente, se lleva a cabo un seguimiento temático variado.
Etc.
Pero, a menudo, las empresas no formulan los conceptos más básicos en la lucha contra el fraude interno. En consecuencia, no existen requisitos para la gestión; el sistema de motivación no tiene como objetivo construir un sistema efectivo que pueda identificar y prevenir tales riesgos. Las herramientas de monitoreo para controles y riesgos relevantes también están ausentes, los informes de riesgo de abuso no se compilan, los procedimientos de control no se formalizan, la capacitación del personal no se lleva a cabo. Por lo tanto, no debe esperar medidas efectivas en el campo de la lucha y prevención del abuso por parte de la gerencia operativa.
¿CUÁL ES LA SALIDA?
Los resultados logrados por el servicio de seguridad económica no son lo suficientemente significativos, ya que el SEB suprime efectivamente solo las extracciones físicas de bienes y materiales (si se organiza la seguridad del perímetro). Y tal robo, como regla, no es significativo. Los riesgos de fraude cometidos sin cruzar físicamente los valores materiales del perímetro, SEB, en la mayoría de los casos, no gestiona y no detecta.
Si los auditores internos sospechan de fraude, se presenta evidencia a la gerencia. Los auditores internos, por regla general, no realizan una investigación detallada debido a la falta de competencias o autoridades relevantes. Muy a menudo, la gerencia transfiere los materiales de los auditores nuevamente al SEB, que está tratando de realizar una investigación por su cuenta, sin involucrar a especialistas especializados (incluidos los auditores internos). Por lo tanto, la investigación está arrugada, con una cobertura insuficiente de todos los participantes, sin un análisis completo de todos los documentos y, en última instancia, en vano.
En general, CBA y SEB no pueden confiar metodológicamente la gestión del riesgo de fraude. A estos servicios solo se les puede confiar investigaciones y monitoreo de los procedimientos de control existentes (su adecuación y correcta implementación e implementación). Lo cual, en primer lugar, es lógico, ya que el servicio de control, si se le indica que gestione los riesgos, no podrá evaluar objetivamente los resultados de su propio trabajo. Y en segundo lugar, cumple con las normas y prácticas internacionales.
Para la alta gerencia, el concepto de gestión del riesgo de fraude se limita a investigaciones y auditorías.
El escape total parece paradójico: la gestión operativa, que debe gestionar los riesgos de fraude (como, de hecho, el resto de los riesgos), no gestiona y no es responsable de ellos, y el CBA y SEB, que no deberían ser responsables de tales riesgos, son responsables de ellos (pero no están controlados al mismo tiempo).
ENFOQUE COLEGAUAL
Nuestros colegas extranjeros también enfrentan el problema de la pregunta: "¿Quién debería ser responsable de los riesgos de fraude interno?" Pero solo si a menudo no tenemos a nadie con quien tratar, tienen demasiados artistas. Por ejemplo, en un artículo de D. Torpy, CPA, y M. Sherrod, CFE, CPA “¿Quién posee el fraude? UnitingEveryonetoEfectiveManagetheAnti-FraudProgram ”, publicado en la revista FraudMagazine, describe una situación en la que los gerentes de ventas reaccionaron ante la sospecha de corrupción por parte de todos y, por supuesto, en diferentes momentos y a su manera. Aquellos. cuando un servicio planeó llevar a cabo una investigación, otro servicio reunió empleados para capacitación contra el fraude en el contexto del mismo caso, y el tercer servicio hizo sonar las campanas por violar el Código de Ética, etc.
Por lo tanto, el Sr. D. Torpy y M. Sherrod proponen crear un grupo de trabajo dentro de la compañía que sea responsable de gestionar los riesgos de fraude (un cierto Comité de Supervisión).
El grupo debe incluir empleados que, además de sus responsabilidades principales, participen en actividades de respuesta al fraude.
Para lograr un resultado positivo en la resolución de casos complejos de fraude, los miembros del equipo deben tener varias habilidades y conocimientos. Por lo tanto, el grupo especificado debe incluir representantes de diferentes áreas y servicios:
de la gerencia ejecutiva,
del comité de auditoría
del equipo de investigación,
del grupo de control para el cumplimiento de los requisitos (grupo de cumplimiento),
de un grupo de controladores (los autores no descifran cuáles, pero se puede suponer que estamos hablando de controladores operativos y / o financieros),
del departamento de auditoría interna,
del departamento de tecnología de la información,
de seguridad
del servicio legal
del servicio de recursos humanos
Cada especialista en el grupo realiza tareas específicas y cada uno es responsable ante el grupo. Además, los miembros del grupo no solo deben tener competencias en el campo de las investigaciones (como parte de su funcionalidad, por supuesto), sino también ser capaces de proponer iniciativas que eviten el fraude. Las funciones y responsabilidades de cada miembro del equipo deben estar claramente establecidas para no duplicarse entre sí.
En realidad, las ideas principales presentadas en el artículo del Sr. D. Torpy y M. Sherrod se resumen en el trabajo "Gestión del riesgo empresarial del fraude: una guía práctica", un trabajo conjunto de las tres organizaciones ACFE, IIA, AICPA.
El presidente del grupo asegura el logro de objetivos comunes y coordina las acciones de los miembros del equipo. En consecuencia, es necesario que esta sea la persona más interesada en el trabajo de calidad del grupo. Por ejemplo, designado por el propietario de la empresa (no el CEO) o uno de los miembros de la Junta de Directores (Junta de Supervisión).
El equipo creado debe trabajar en el marco del programa antifraude. El propósito de este programa es sentar las bases para los procedimientos de investigación, identificar y prevenir el fraude interno, así como para compilar e informar sobre las medidas tomadas, incluida la efectividad de los mecanismos implementados bajo el programa.
OPINIÓN
La idea de crear un Comité de supervisión (o su equivalente) es interesante en muchos aspectos. Sin embargo, para implementarlo, es necesario observar una serie de condiciones:
La gerencia de la compañía (dueño del negocio, Junta Directiva, Director General) debería estar interesada en los resultados del trabajo del Comité de Supervisión. Esta es la condición principal! El cumplimiento de las condiciones restantes establecidas a continuación, sin el interés de la Guía, no tendrá sentido.
Los resultados del trabajo del Comité de Supervisión deben ser revisados regularmente por la Junta Directiva.
Basado en el trabajo del Comité de Supervisión, siempre debe haber una respuesta adecuada.
Pero bajo las condiciones del estilo ruso de hacer negocios (estamos hablando principalmente de grandes organizaciones), estas condiciones no siempre son factibles. Los propietarios gestionan (?) El negocio adquirido desde lejos, la alta dirección ejecutiva no está interesada en gestionar los riesgos de fraude, no está interesado en la gestión operativa, las funciones de SEB e IAS son borrosas.
CONCLUSIONES
Antes de construir un sistema de gestión de riesgos para el fraude interno, los dueños de negocios deben estimular la alta gerencia ejecutiva y operativa en consecuencia: darles autoridad y responsabilidad.
Excluir de las actividades operativas de SEB y NEA: en la coordinación de acuerdos, en la participación en la toma de decisiones sobre transacciones, etc. El SEB, por supuesto, tiene la funcionalidad para las mismas verificaciones de posibles contrapartes antes de presentar una oferta, por lo tanto, si revela (por ejemplo, auditores durante las inspecciones) signos de afiliación a las ofertas, el SEB no puede recibir instrucciones para realizar una investigación sobre este tema.
Desarrolle un programa para combatir el fraude en la empresa e introduzca un supervisor (con subordinación a los dueños de negocios), que supervisará su implementación. Además, este programa debe incluir un conjunto de medidas, y no solo auditorías y / o investigaciones.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
Original message
Управление рисками мошенничества: кто за них отвечает?
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
