Gestion des risques de fraude: qui en est responsable?
Dans ma pratique, je rencontre souvent une situation où les risques de fraude dans les entreprises ne sont pas pris en compte (non évalués) ou pris en compte, mais pas avec compétence, et donc limités et sans mettre l'accent. En conséquence, les risques de fraude ne font pas que croître - ils se réalisent. Qui est chargé de gérer les risques de fraude et qui doit être affecté?
Dans l'article, je ne considère pas l'essence juridique du concept de fraude. Cependant, pour une compréhension générale, je citerai le terme proposé par la Commission d'audit sous la présidence de la Fédération de Russie:
La fraude est un crime dans la sphère économique dirigée contre les biens, qui est le vol de biens d'autrui ou l'acquisition du droit à des biens d'autrui par fraude ou abus de confiance (ce concept est en corrélation avec les normes de l'article 159 du Code pénal de la Fédération de Russie).
De toute évidence, chaque gestionnaire a sa propre compréhension du processus de gestion des risques de fraude au sein d'une organisation. Mais la pratique montre que si au moins une certaine attention est accordée à cette question, alors dans la plupart des cas, cette compréhension se limite à mener des enquêtes (révisions) concernant des faits suspects d'activités financières et économiques.
Par conséquent, les chefs d'entreprises russes confient généralement le contrôle des risques de fraude interne aux entreprises au service de sécurité économique (ci-après - le SEB) et / ou au service d'audit interne (le service de contrôle interne, l'appareil d'audit, ci-après - l'AEN). Des situations sont possibles où la responsabilité de la gestion de ces risques n'est attribuée à personne. Il est supposé que chaque service évalue indépendamment ses risques de fraude interne et prend les mesures appropriées pour les réduire. Ou l'environnement de contrôle dans l'entreprise est extrêmement négatif et les actions frauduleuses sont la pratique et le style de gestion habituels de l'entreprise.
QUELLES QUESTIONS SONT DÉCIDÉES
Le service de sécurité économique en matière de prévention de la fraude intervient généralement dans deux domaines principaux:
La protection contre les menaces externes de fraude consiste à vérifier les contreparties potentielles avant de conclure un accord. Dans la plupart des cas, cette vérification se limite à trouver l'organisation dans des sources ouvertes: informations du Federal Tax Service (USRLE); dans d'autres bases de données (y compris celles payées) de divers types (informations sur les fondateurs, le capital autorisé, les licences, les cas d'arbitrage, etc.). Sur la base des données obtenues, une analyse assez superficielle du partenaire potentiel est réalisée; moins souvent, départ à l'adresse indiquée dans les documents de la contrepartie ou autres procédures plus approfondies.
Le système de protection contre les menaces internes se limite souvent aux questions de protection du périmètre, notamment l'organisation de la procédure d'importation (exportation) de biens et matériaux sur le territoire, et l'organisation de la vidéosurveillance. Ceux. offre une protection contre l'enlèvement physique des marchandises et des matériaux.
Dans un mode non planifié, le SEB fonctionne après les audits des auditeurs ou dès réception des informations opérationnelles (y compris à partir d'une "hot line" ouverte si elle est organisée). En outre, le service de sécurité (économique) mène des enquêtes sur les faits suspects et les abus (principalement dans les zones de stockage des marchandises et des matériaux, sur la question de la consommation de carburant des véhicules de l'entreprise, sur la justification des montants comptables, etc.).
QUELLE QUESTION EST SA DÉCISION
Lors d'audits prévus ou sur la base de signaux informels reçus, y compris des messages à la «hot line» (là encore, si organisés), des faits d'activité économique suspectés de fraude peuvent être révélés. Dans ces cas, les auditeurs internes font généralement des demandes de documents appropriées, mènent des entretiens avec des responsables, surveillent la progression de l'inventaire et collectent d'autres éléments de preuve. Sur la base des données reçues, les auditeurs tirent des conclusions qui informent la direction.
La direction, à son tour, envoie les résultats de l'audit au service de sécurité économique pour enquête. Seule la direction obtient les résultats de l'enquête; les auditeurs internes n'ont souvent pas de retour d'information sur ce qui s'est passé et où le contrôle a été perdu.
Dans la pratique, il est arrivé que le matériel de recherche des auditeurs ait été transféré au service dans lequel les faits suspects ont été découverts. Ce qui est extrêmement incorrect! Vous devez comprendre que l'enquête doit être menée par des experts tiers (indépendants) ou pas du tout!
QUELS DÉFIS DANS LE DOMAINE DE LA FRAUDE LA SOLUTION DE GESTION OPÉRATIONNELLE
Bien entendu, les principales initiatives visant à prévenir les faits d'abus proviennent principalement des propriétaires d'entreprise. Et les propriétaires, s'ils sont intéressés par cela, devraient surtout stimuler la gestion opérationnelle en la matière.
Pour cela, les entreprises appliquent un ensemble de mesures pertinentes (en quantités économiquement réalisables):
Les principaux principes d'intolérance à la fraude sont prescrits dans les codes de conduite éthique (le cas échéant) ou sont indiqués dans les principales priorités de l'organisation. Le leadership peut avoir d'autres façons d'exprimer sa position, l'essentiel est que ces postulats concernent tous les employés, soient toujours lisibles et régulièrement rappelés à tous (lors des assemblées générales, sur les portails Internet internes et les principales pages web des entreprises, dans les périodiques internes) et critiques, etc.).
dans les politiques internes des processus opérationnels individuels (par exemple, dans la politique d'approvisionnement interne ou les politiques de vente, etc.), les principaux risques sont décrits. Par exemple, dans la politique d'approvisionnement, il est nécessaire d'indiquer l'irrecevabilité des achats à des prix gonflés, et dans la politique de vente l'irrecevabilité des accords conclus avec les acheteurs de partenaires afin de payer des frais non officiels (pots-de-vin), etc.
En outre, les paragraphes pertinents sont rédigés dans les règlements sur les unités et les descriptions de travail, qui sont liés aux contrats de travail; formations et briefings internes réguliers; les processus individuels sont contrôlés régulièrement, divers suivis thématiques sont effectués.
Etc.
Mais, souvent, les entreprises ne formulent pas les concepts les plus élémentaires de la lutte contre la fraude interne. En conséquence, aucune exigence de gestion n'a été imposée; le système de motivation n'a pas pour objectif de construire un système efficace capable d'identifier et de prévenir de tels risques. Les outils de suivi des contrôles et des risques pertinents sont également absents, les rapports sur les risques d'abus ne sont pas compilés, les procédures de contrôle ne sont pas formalisées, la formation du personnel n'est pas effectuée. Par conséquent, vous ne devez pas vous attendre à des mesures efficaces dans le domaine de la lutte et de la prévention des abus par la direction opérationnelle.
QUELLE EST LA SORTIE
Les résultats obtenus par le service de sécurité économique ne sont pas suffisamment significatifs, car le SEB ne supprime effectivement que les enlèvements physiques de biens et matériaux (si la sécurité du périmètre est organisée). Et un tel vol, en règle générale, n'est pas significatif. Les risques de fraude commis sans franchissement physique des valeurs matérielles du périmètre, SEB, dans la plupart des cas, ne gèrent pas et ne détectent pas.
Si des soupçons de fraude sont identifiés par les auditeurs internes, les preuves collectées sont présentées à la direction. Les auditeurs internes, en règle générale, ne mènent pas d'enquête approfondie en raison d'un manque de compétences ou d'autorités pertinentes. Le plus souvent, la direction transfère le matériel des auditeurs au SEB, qui tente de mener une enquête de son propre chef, sans impliquer des spécialistes spécialisés (y compris les auditeurs internes). Par conséquent, l'enquête est chiffonnée, avec une couverture insuffisante de tous les participants, sans une analyse complète de tous les documents, et, en fin de compte, en vain.
En général, CBA et SEB ne peuvent pas confier méthodologiquement la gestion des risques de fraude. Ces services ne peuvent être chargés que d'enquêtes et de suivi des procédures de contrôle existantes (leur adéquation et leur mise en œuvre et mise en œuvre correctes). Ce qui, tout d'abord, est logique, car le service de contrôle, s'il est chargé de gérer les risques, ne pourra pas évaluer objectivement les résultats de son propre travail. Et deuxièmement, il est conforme aux normes et pratiques internationales.
Pour la haute direction, le concept de gestion du risque de fraude se limite aux enquêtes et aux audits.
L'épuisement total semble paradoxal: la direction opérationnelle, qui devrait gérer les risques de fraude (comme, en fait, le reste des risques), ne gère pas et n'est pas responsable d'eux, et l'ABC et SEB, qui ne devraient pas être responsables de ces risques, en sont responsables (mais ils ne sont pas contrôlés en même temps).
APPROCHE COLLEAGUELLE
Nos collègues étrangers sont également confrontés au problème de la question: «Qui devrait être responsable des risques de fraude interne?» Mais ce n'est que si nous n'avons le plus souvent personne avec qui traiter, qu'ils ont trop d'artistes. Par exemple, dans un article de D. Torpy, CPA, et M. Sherrod, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram », publié dans le magazine FraudMagazine, décrit une situation dans laquelle les directeurs commerciaux ont réagi aux soupçons de corruption de tous et, bien sûr, à des moments différents et à leur manière. Ceux. lorsqu'un service prévoyait de mener une enquête, un autre service a rassemblé des employés pour une formation antifraude dans le même cas, et un troisième service a sonné pour avoir enfreint le code d'éthique, etc.
Par conséquent, MD Torpy et M. Sherrod proposent de créer au sein de l'entreprise un groupe de travail chargé de gérer les risques de fraude (un certain comité de surveillance).
Le groupe devrait comprendre des employés qui, en plus de leurs principales responsabilités, participent à des activités de lutte contre la fraude.
Pour parvenir à un résultat positif dans la résolution de cas complexes de fraude, les membres de l'équipe doivent posséder diverses compétences et connaissances. Par conséquent, le groupe spécifié devrait comprendre des représentants de différents domaines et services:
de la direction générale,
du comité d'audit
de l'équipe d'enquête,
du groupe de contrôle pour la conformité aux exigences (groupe de conformité),
à partir d'un groupe de contrôleurs (les auteurs ne déchiffrent pas lesquels, mais on peut supposer que nous parlons de contrôleurs opérationnels et / ou financiers),
du service d'audit interne,
du département des technologies de l'information,
de la sécurité
du service juridique
du service RH
Chaque spécialiste du groupe effectue des tâches spécifiques et chacun est responsable devant le groupe. En outre, les membres du groupe doivent non seulement avoir des compétences dans le domaine des enquêtes (dans le cadre de leurs fonctionnalités, bien sûr), mais également être capables de proposer des initiatives qui empêchent la fraude. Les rôles et responsabilités de chaque membre de l'équipe doivent être clairement énoncés afin de ne pas se doubler.
En fait, les principales idées présentées dans l'article de MD Torpy et M. Sherrod sont résumées dans l'ouvrage «Gérer le risque commercial de fraude: un guide pratique» - un travail conjoint des trois organisations ACFE, IIA, AICPA.
Le président du groupe veille à la réalisation des objectifs communs et coordonne les actions des membres de l'équipe. Il est donc nécessaire que ce soit la personne la plus intéressée par le travail de qualité du groupe. Par exemple, nommé par le propriétaire de l'entreprise (pas le PDG) ou l'un des membres du conseil d'administration (conseil de surveillance).
L'équipe créée devrait travailler dans le cadre du programme anti-fraude. Le but de ce programme est de jeter les bases des procédures d'enquête, d'identifier et de prévenir les fraudes internes, ainsi que de compiler et de rendre compte des activités entreprises, y compris de l'efficacité des mécanismes mis en œuvre au sein du programme.
OPINION
L'idée de créer un comité de surveillance (ou son équivalent) est à bien des égards intéressante. Cependant, pour le mettre en œuvre, un certain nombre de conditions doivent être remplies:
La direction de l'entreprise (propriétaire d'entreprise, conseil d'administration, directeur général) doit être intéressée par les résultats des travaux du comité de surveillance. C'est la condition principale! Le respect des conditions restantes énoncées ci-dessous, sans l'intérêt du Guide, n'aura aucun sens.
Les résultats des travaux du comité de surveillance devraient être régulièrement examinés par le conseil d'administration.
Sur la base des travaux du Comité de contrôle, il devrait toujours y avoir une réponse adéquate.
Mais dans les conditions du style russe de faire des affaires (nous parlons principalement de grandes organisations), ces conditions ne sont pas toujours réalisables. Les propriétaires gèrent (?) Les affaires acquises de loin, les cadres dirigeants ne sont pas intéressés par la gestion des risques de fraude, et la direction opérationnelle n'est pas intéressée, les rôles de SEB et IAS sont flous.
CONCLUSIONS
Avant de mettre en place un système de gestion des risques de fraude interne, les propriétaires d'entreprise doivent stimuler les cadres supérieurs et la gestion opérationnelle en conséquence: leur donner autorité et responsabilité.
Exclure des activités d'exploitation du SEB et de l'AEN: dans la coordination des accords, dans la participation à la prise de décision sur les transactions, etc. Le SEB, bien sûr, dispose de fonctionnalités pour les mêmes contrôles des contreparties potentielles avant l'appel d'offres.Par conséquent, s'il révèle (par exemple, des auditeurs lors des inspections) des signes d'affiliation des offres, le SEB ne peut pas être chargé de mener une enquête sur cette question.
Développer un programme de lutte contre la fraude dans l'entreprise et introduire un superviseur (avec subordination aux chefs d'entreprise), qui suivra sa mise en œuvre. De plus, ce programme devrait inclure un ensemble de mesures, et pas seulement un audit et / ou une enquête.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
Dans ma pratique, je rencontre souvent une situation où les risques de fraude dans les entreprises ne sont pas pris en compte (non évalués) ou pris en compte, mais pas avec compétence, et donc limités et sans mettre l'accent. En conséquence, les risques de fraude ne font pas que croître - ils se réalisent. Qui est chargé de gérer les risques de fraude et qui doit être affecté?
Dans l'article, je ne considère pas l'essence juridique du concept de fraude. Cependant, pour une compréhension générale, je citerai le terme proposé par la Commission d'audit sous la présidence de la Fédération de Russie:
La fraude est un crime dans la sphère économique dirigée contre les biens, qui est le vol de biens d'autrui ou l'acquisition du droit à des biens d'autrui par fraude ou abus de confiance (ce concept est en corrélation avec les normes de l'article 159 du Code pénal de la Fédération de Russie).
De toute évidence, chaque gestionnaire a sa propre compréhension du processus de gestion des risques de fraude au sein d'une organisation. Mais la pratique montre que si au moins une certaine attention est accordée à cette question, alors dans la plupart des cas, cette compréhension se limite à mener des enquêtes (révisions) concernant des faits suspects d'activités financières et économiques.
Par conséquent, les chefs d'entreprises russes confient généralement le contrôle des risques de fraude interne aux entreprises au service de sécurité économique (ci-après - le SEB) et / ou au service d'audit interne (le service de contrôle interne, l'appareil d'audit, ci-après - l'AEN). Des situations sont possibles où la responsabilité de la gestion de ces risques n'est attribuée à personne. Il est supposé que chaque service évalue indépendamment ses risques de fraude interne et prend les mesures appropriées pour les réduire. Ou l'environnement de contrôle dans l'entreprise est extrêmement négatif et les actions frauduleuses sont la pratique et le style de gestion habituels de l'entreprise.
QUELLES QUESTIONS SONT DÉCIDÉES
Le service de sécurité économique en matière de prévention de la fraude intervient généralement dans deux domaines principaux:
La protection contre les menaces externes de fraude consiste à vérifier les contreparties potentielles avant de conclure un accord. Dans la plupart des cas, cette vérification se limite à trouver l'organisation dans des sources ouvertes: informations du Federal Tax Service (USRLE); dans d'autres bases de données (y compris celles payées) de divers types (informations sur les fondateurs, le capital autorisé, les licences, les cas d'arbitrage, etc.). Sur la base des données obtenues, une analyse assez superficielle du partenaire potentiel est réalisée; moins souvent, départ à l'adresse indiquée dans les documents de la contrepartie ou autres procédures plus approfondies.
Le système de protection contre les menaces internes se limite souvent aux questions de protection du périmètre, notamment l'organisation de la procédure d'importation (exportation) de biens et matériaux sur le territoire, et l'organisation de la vidéosurveillance. Ceux. offre une protection contre l'enlèvement physique des marchandises et des matériaux.
Dans un mode non planifié, le SEB fonctionne après les audits des auditeurs ou dès réception des informations opérationnelles (y compris à partir d'une "hot line" ouverte si elle est organisée). En outre, le service de sécurité (économique) mène des enquêtes sur les faits suspects et les abus (principalement dans les zones de stockage des marchandises et des matériaux, sur la question de la consommation de carburant des véhicules de l'entreprise, sur la justification des montants comptables, etc.).
QUELLE QUESTION EST SA DÉCISION
Lors d'audits prévus ou sur la base de signaux informels reçus, y compris des messages à la «hot line» (là encore, si organisés), des faits d'activité économique suspectés de fraude peuvent être révélés. Dans ces cas, les auditeurs internes font généralement des demandes de documents appropriées, mènent des entretiens avec des responsables, surveillent la progression de l'inventaire et collectent d'autres éléments de preuve. Sur la base des données reçues, les auditeurs tirent des conclusions qui informent la direction.
La direction, à son tour, envoie les résultats de l'audit au service de sécurité économique pour enquête. Seule la direction obtient les résultats de l'enquête; les auditeurs internes n'ont souvent pas de retour d'information sur ce qui s'est passé et où le contrôle a été perdu.
Dans la pratique, il est arrivé que le matériel de recherche des auditeurs ait été transféré au service dans lequel les faits suspects ont été découverts. Ce qui est extrêmement incorrect! Vous devez comprendre que l'enquête doit être menée par des experts tiers (indépendants) ou pas du tout!
QUELS DÉFIS DANS LE DOMAINE DE LA FRAUDE LA SOLUTION DE GESTION OPÉRATIONNELLE
Bien entendu, les principales initiatives visant à prévenir les faits d'abus proviennent principalement des propriétaires d'entreprise. Et les propriétaires, s'ils sont intéressés par cela, devraient surtout stimuler la gestion opérationnelle en la matière.
Pour cela, les entreprises appliquent un ensemble de mesures pertinentes (en quantités économiquement réalisables):
Les principaux principes d'intolérance à la fraude sont prescrits dans les codes de conduite éthique (le cas échéant) ou sont indiqués dans les principales priorités de l'organisation. Le leadership peut avoir d'autres façons d'exprimer sa position, l'essentiel est que ces postulats concernent tous les employés, soient toujours lisibles et régulièrement rappelés à tous (lors des assemblées générales, sur les portails Internet internes et les principales pages web des entreprises, dans les périodiques internes) et critiques, etc.).
dans les politiques internes des processus opérationnels individuels (par exemple, dans la politique d'approvisionnement interne ou les politiques de vente, etc.), les principaux risques sont décrits. Par exemple, dans la politique d'approvisionnement, il est nécessaire d'indiquer l'irrecevabilité des achats à des prix gonflés, et dans la politique de vente l'irrecevabilité des accords conclus avec les acheteurs de partenaires afin de payer des frais non officiels (pots-de-vin), etc.
En outre, les paragraphes pertinents sont rédigés dans les règlements sur les unités et les descriptions de travail, qui sont liés aux contrats de travail; formations et briefings internes réguliers; les processus individuels sont contrôlés régulièrement, divers suivis thématiques sont effectués.
Etc.
Mais, souvent, les entreprises ne formulent pas les concepts les plus élémentaires de la lutte contre la fraude interne. En conséquence, aucune exigence de gestion n'a été imposée; le système de motivation n'a pas pour objectif de construire un système efficace capable d'identifier et de prévenir de tels risques. Les outils de suivi des contrôles et des risques pertinents sont également absents, les rapports sur les risques d'abus ne sont pas compilés, les procédures de contrôle ne sont pas formalisées, la formation du personnel n'est pas effectuée. Par conséquent, vous ne devez pas vous attendre à des mesures efficaces dans le domaine de la lutte et de la prévention des abus par la direction opérationnelle.
QUELLE EST LA SORTIE
Les résultats obtenus par le service de sécurité économique ne sont pas suffisamment significatifs, car le SEB ne supprime effectivement que les enlèvements physiques de biens et matériaux (si la sécurité du périmètre est organisée). Et un tel vol, en règle générale, n'est pas significatif. Les risques de fraude commis sans franchissement physique des valeurs matérielles du périmètre, SEB, dans la plupart des cas, ne gèrent pas et ne détectent pas.
Si des soupçons de fraude sont identifiés par les auditeurs internes, les preuves collectées sont présentées à la direction. Les auditeurs internes, en règle générale, ne mènent pas d'enquête approfondie en raison d'un manque de compétences ou d'autorités pertinentes. Le plus souvent, la direction transfère le matériel des auditeurs au SEB, qui tente de mener une enquête de son propre chef, sans impliquer des spécialistes spécialisés (y compris les auditeurs internes). Par conséquent, l'enquête est chiffonnée, avec une couverture insuffisante de tous les participants, sans une analyse complète de tous les documents, et, en fin de compte, en vain.
En général, CBA et SEB ne peuvent pas confier méthodologiquement la gestion des risques de fraude. Ces services ne peuvent être chargés que d'enquêtes et de suivi des procédures de contrôle existantes (leur adéquation et leur mise en œuvre et mise en œuvre correctes). Ce qui, tout d'abord, est logique, car le service de contrôle, s'il est chargé de gérer les risques, ne pourra pas évaluer objectivement les résultats de son propre travail. Et deuxièmement, il est conforme aux normes et pratiques internationales.
Pour la haute direction, le concept de gestion du risque de fraude se limite aux enquêtes et aux audits.
L'épuisement total semble paradoxal: la direction opérationnelle, qui devrait gérer les risques de fraude (comme, en fait, le reste des risques), ne gère pas et n'est pas responsable d'eux, et l'ABC et SEB, qui ne devraient pas être responsables de ces risques, en sont responsables (mais ils ne sont pas contrôlés en même temps).
APPROCHE COLLEAGUELLE
Nos collègues étrangers sont également confrontés au problème de la question: «Qui devrait être responsable des risques de fraude interne?» Mais ce n'est que si nous n'avons le plus souvent personne avec qui traiter, qu'ils ont trop d'artistes. Par exemple, dans un article de D. Torpy, CPA, et M. Sherrod, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram », publié dans le magazine FraudMagazine, décrit une situation dans laquelle les directeurs commerciaux ont réagi aux soupçons de corruption de tous et, bien sûr, à des moments différents et à leur manière. Ceux. lorsqu'un service prévoyait de mener une enquête, un autre service a rassemblé des employés pour une formation antifraude dans le même cas, et un troisième service a sonné pour avoir enfreint le code d'éthique, etc.
Par conséquent, MD Torpy et M. Sherrod proposent de créer au sein de l'entreprise un groupe de travail chargé de gérer les risques de fraude (un certain comité de surveillance).
Le groupe devrait comprendre des employés qui, en plus de leurs principales responsabilités, participent à des activités de lutte contre la fraude.
Pour parvenir à un résultat positif dans la résolution de cas complexes de fraude, les membres de l'équipe doivent posséder diverses compétences et connaissances. Par conséquent, le groupe spécifié devrait comprendre des représentants de différents domaines et services:
de la direction générale,
du comité d'audit
de l'équipe d'enquête,
du groupe de contrôle pour la conformité aux exigences (groupe de conformité),
à partir d'un groupe de contrôleurs (les auteurs ne déchiffrent pas lesquels, mais on peut supposer que nous parlons de contrôleurs opérationnels et / ou financiers),
du service d'audit interne,
du département des technologies de l'information,
de la sécurité
du service juridique
du service RH
Chaque spécialiste du groupe effectue des tâches spécifiques et chacun est responsable devant le groupe. En outre, les membres du groupe doivent non seulement avoir des compétences dans le domaine des enquêtes (dans le cadre de leurs fonctionnalités, bien sûr), mais également être capables de proposer des initiatives qui empêchent la fraude. Les rôles et responsabilités de chaque membre de l'équipe doivent être clairement énoncés afin de ne pas se doubler.
En fait, les principales idées présentées dans l'article de MD Torpy et M. Sherrod sont résumées dans l'ouvrage «Gérer le risque commercial de fraude: un guide pratique» - un travail conjoint des trois organisations ACFE, IIA, AICPA.
Le président du groupe veille à la réalisation des objectifs communs et coordonne les actions des membres de l'équipe. Il est donc nécessaire que ce soit la personne la plus intéressée par le travail de qualité du groupe. Par exemple, nommé par le propriétaire de l'entreprise (pas le PDG) ou l'un des membres du conseil d'administration (conseil de surveillance).
L'équipe créée devrait travailler dans le cadre du programme anti-fraude. Le but de ce programme est de jeter les bases des procédures d'enquête, d'identifier et de prévenir les fraudes internes, ainsi que de compiler et de rendre compte des activités entreprises, y compris de l'efficacité des mécanismes mis en œuvre au sein du programme.
OPINION
L'idée de créer un comité de surveillance (ou son équivalent) est à bien des égards intéressante. Cependant, pour le mettre en œuvre, un certain nombre de conditions doivent être remplies:
La direction de l'entreprise (propriétaire d'entreprise, conseil d'administration, directeur général) doit être intéressée par les résultats des travaux du comité de surveillance. C'est la condition principale! Le respect des conditions restantes énoncées ci-dessous, sans l'intérêt du Guide, n'aura aucun sens.
Les résultats des travaux du comité de surveillance devraient être régulièrement examinés par le conseil d'administration.
Sur la base des travaux du Comité de contrôle, il devrait toujours y avoir une réponse adéquate.
Mais dans les conditions du style russe de faire des affaires (nous parlons principalement de grandes organisations), ces conditions ne sont pas toujours réalisables. Les propriétaires gèrent (?) Les affaires acquises de loin, les cadres dirigeants ne sont pas intéressés par la gestion des risques de fraude, et la direction opérationnelle n'est pas intéressée, les rôles de SEB et IAS sont flous.
CONCLUSIONS
Avant de mettre en place un système de gestion des risques de fraude interne, les propriétaires d'entreprise doivent stimuler les cadres supérieurs et la gestion opérationnelle en conséquence: leur donner autorité et responsabilité.
Exclure des activités d'exploitation du SEB et de l'AEN: dans la coordination des accords, dans la participation à la prise de décision sur les transactions, etc. Le SEB, bien sûr, dispose de fonctionnalités pour les mêmes contrôles des contreparties potentielles avant l'appel d'offres.Par conséquent, s'il révèle (par exemple, des auditeurs lors des inspections) des signes d'affiliation des offres, le SEB ne peut pas être chargé de mener une enquête sur cette question.
Développer un programme de lutte contre la fraude dans l'entreprise et introduire un superviseur (avec subordination aux chefs d'entreprise), qui suivra sa mise en œuvre. De plus, ce programme devrait inclure un ensemble de mesures, et pas seulement un audit et / ou une enquête.
Alexander Koval
https://statskiy-sovetnik.pulscen.com.ua/news/170240
Original message
Управление рисками мошенничества: кто за них отвечает?
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
В своей практике я нередко сталкиваюсь с ситуацией, когда риски совершения мошеннических действий в компаниях не рассматриваются (не оцениваются) или рассматриваются, но не компетентно, а потому ограниченно и без расстановки правильных акцентов. Соответственно риски мошенничества не то чтобы растут – они реализовываются. Кому поручают управлять рисками мошенничества, и кому нужно их поручить?
В статье я не рассматриваю правовую суть понятия мошенничества. Однако для общего понимания, приведу термин, предложенный Комиссией по аудиторской деятельности при Президенте РФ:
Мошенничество – есть преступление в сфере экономики, направленное против собственности, представляющее собой хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (данное понятие коррелирует с нормами ст. 159 УК РФ).
Очевидно, что понимание процесса управления рисками мошенничества внутри организации у каждого руководителя своё. Но практика показывает, что если данному вопросу уделяется хоть какое-нибудь внимание, то в большинстве случаев такое понимание ограничивается проведением расследований (ревизий) в отношении подозрительных фактов финансово-хозяйственной деятельности.
Поэтому контроль над рисками внутрикорпоративного мошенничества руководители российских компаний обычно возлагают на службу экономической безопасности (далее – СЭБ) и/или службу внутреннего аудита (службу внутреннего контроля, ревизионный аппарат, далее – СВА). Возможны ситуации, когда ответственность за управления указанными рисками ни на кого не возложена. Предполагается, что каждый департамент самостоятельно оценивает свои риски внутреннего мошенничества и проводит соответствующие мероприятия по их снижению. Либо контрольная среда в компании крайне негативная и мошеннические действия – обычная практика и стиль управления компанией.
КАКИЕ ВОПРОСЫ РЕШАЕТ СЭБ
Служба экономической безопасности в вопросах предотвращения мошенничества обычно работает по двум основным направлениям:
Защита от внешних угроз мошенничества заключается в проверке потенциальных контрагентов перед заключением договора. В большинстве случаев такая проверка ограничивается поиском организации в открытых источниках: информация Федеральной налоговой службы (ЕГРЮЛ); в других базах данных (в том числе платных) различной направленности (информация об учредителях, уставном капитале, лицензиях, арбитражных делах и т.д.). На основании полученных данных проводится достаточно поверхностный анализ потенциального партнера; реже осуществляется выезд по адресу, указанному в документах контрагента, или другие, более глубокие процедуры.
Система защиты от внутренних угроз зачастую ограничивается вопросами охраны периметра, в том числе организация порядка ввоза (вывоза) ТМЦ на территорию, организация видеонаблюдения. Т.е. обеспечивает защиту от физического выноса ТМЦ.
Во внеплановом режиме СЭБ работает после проверок аудиторов или при получении оперативной информации (в том числе с открытой «горячей линии», если она организована). Кроме того служба (экономической) безопасности проводит расследования подозрительных фактов и злоупотреблений (в основном, в местах хранения ТМЦ, по вопросам расхода горючего автотранспортом компании, по вопросам обоснования подотчетных сумм и т.п.).
КАКИЕ ВОПРОСЫ РЕШАЕТ СВА
В ходе плановых аудиторских проверок или на основании полученных неофициальных сигналов, включая сообщения на «горячую линию» (опять же, если она организована), могут выявляться факты хозяйственной деятельности с подозрением на мошенничество. В этих случаях обычно внутренние аудиторы делают соответствующие запросы документов, проводят интервью с ответственными должностными лицами, наблюдают за ходом инвентаризации, собирают иные доказательства. На основании полученных данных аудиторы делают выводы, которые сообщают руководству.
Руководство, в свою очередь, передает результаты проверки в службу экономической безопасности для проведения расследования. Результаты расследования получает только руководство, у внутренних аудиторов чаще нет обратной связи о том, что случилось, и где был утрачен контроль.
На практике случалось, что материалы исследований аудиторов передавались в ту службу, в которой были найдены подозрительные факты. Что крайне некорректно! Нужно понимать, что расследование должно проводиться сторонними (независимыми) специалистами или не проводиться вовсе!
КАКИЕ ЗАДАЧИ В ОБЛАСТИ МОШЕННИЧЕСТВА РЕШАЕТ ОПЕРАЦИОННЫЙ МЕНЕДЖМЕНТ
Конечно, основные инициативы в предотвращении фактов злоупотреблений исходят, прежде всего, от владельцев бизнеса. И владельцы, если они в этом заинтересованы, в данном вопросе должны стимулировать, главным образом, операционный менеджмент.
Для этого в компаниях применяется комплекс соответствующих мероприятий (в экономически целесообразных объемах):
основные постулаты о нетерпимости к мошенничеству прописываются в кодексах этического поведения (если таковые имеются) или обозначаются в основных приоритетах деятельности организации. У руководства могут быть и другие способы озвучить свою позицию, главное, чтобы эти постулаты касались всех работников, были всегда доступны для прочтения и регулярно всем напоминались (на общих собраниях, на внутренних интернет-порталах и главных web-страницах компаний, во внутренних периодических изданиях и обзорах и др.).
во внутренних политиках отдельных бизнес-процессов (например, во внутренней политике закупочной деятельности или политиках продаж и т.д.) описываются ключевые риски. Например, в политике в области закупок необходимо указать о недопустимости закупок по завышенным ценам, а в политике продаж недопустимость закрытых договоренностей с закупщиками партнеров с целью выплаты неофициальных гонораров (откатов) и т.д.
далее прописываются соответствующие пункты в положения о подразделениях и должностные инструкции, которые увязываются с трудовыми контрактами; проводятся регулярные внутренние обучения и инструктажи; отдельные процессы регулярно проверяются, проводятся различные тематические мониторинги.
И т.д.
Но, зачастую, в компаниях не сформулированы самые элементарные понятия в области борьбы с внутренним мошенничеством. Соответственно требования к менеджменту не предъявлены, система мотиваций не направлена на построение эффективной системы, способной выявлять и предупреждать такие риски. Инструменты мониторинга соответствующих контролей и рисков также отсутствуют, отчетность по рискам злоупотреблений не составляется, процедуры контроля не формализованы, обучение сотрудников не проводится. Поэтому не стоит ожидать результативных мероприятий в области противодействия и профилактики злоупотреблений со стороны операционного менеджмента.
ЧТО НА ВЫХОДЕ
Результаты, которые достигает служба экономической безопасности, не достаточно существенные, поскольку СЭБ эффективно пресекает лишь физические выносы ТМЦ (если охрана периметра организована). А такое воровство, как правило, не значительно. Рисками мошенничества, совершаемого без физического пересечения материальными ценностями периметра, СЭБ, в большинстве случаев, не управляет и не выявляет.
При выявлении подозрений на мошенничество внутренними аудиторами, собранные доказательства представляются руководству. Детальное расследование внутренние аудиторы, как правило, не проводят по причине отсутствия соответствующих компетенций либо полномочий. Чаще всего руководство передает материалы аудиторов опять же в СЭБ, которая пытается самостоятельно провести расследование, без привлечения профильных специалистов (и внутренних аудиторов в том числе). Поэтому расследование получается скомканным, с недостаточным охватом всех участников, без полного анализа всех документов, и, в итоге, безрезультатным.
Вообще СВА и СЭБ методологически нельзя поручать управление рисками мошенничества. Данным службам можно поручить лишь расследования и мониторинг существующих контрольных процедур (их достаточность и правильность внедрения и выполнения). Что, во-первых, логично, поскольку контролирующая служба, если ей поручить управлять рисками, не сможет объективно оценить результаты собственной работы. А во-вторых, соответствует международным стандартам и практикам.
У высшего менеджмента понятие об управлении рисками мошенничества ограничивается проведением расследований и ревизионными проверками.
Совокупный выхлоп выглядит парадоксально: операционный менеджмент, который должен управлять рисками мошенничества (как, собственно, и остальными рисками), ими не управляет и не отвечает за них, а СВА и СЭБ, которые не должны отвечать за такие риски, за них отвечают (но при этом ими не управляют).
КОЛЛЕГИАЛЬНЫЙ ПОДХОД
Наши иностранные коллеги тоже сталкиваются с проблемой вопроса: «Кто должен отвечать за риски внутреннего мошенничества?» Но только если у нас чаще всего ими некому заниматься, то у них бывает слишком много исполнителей. Например, в статье Д. Торпи, CPA, и М. Шеррода, CFE, CPA «Who Owns Fraud? UnitingEveryonetoEffectivelyManagetheAnti-FraudProgram», опубликованной в журнале FraudMagazine, описана ситуация, когда на подозрение в коррупции менеджеров по продажам среагировали все кому не лень, и, конечно, в разное время и по-своему. Т.е. когда одна служба планировала проводить расследование, другая служба собирала сотрудников для тренинга по противодействию мошенничеству в разрезе этого же случая, а третья служба била в колокола о нарушении Кодекса Этики и т.д.
Поэтому Господа Д.Торпи и М.Шеррод предлагают создать внутри компании рабочую группу, отвечающую за управление рисками мошенничества (некий Надзорный комитет).
В состав группы должны входить сотрудники, которые дополнительно к своим основным обязанностям участвуют в мероприятиях по реагированию на мошенничество.
Для достижения положительного результата в решении сложных случаев мошенничества члены команды должны обладать различными навыками и знаниями. Поэтому в указанную группу должны войти представители разных направлений и служб:
от исполнительного менеджмента,
от комитета по аудиту,
от группы расследований,
от группы контроля на соответствие требованиям (группа комплаенс),
от группы контроллеров (авторы не расшифровывают каких именно, но можно предположить, что речь идет об операционных и/или финансовых контролерах),
от отдела внутреннего аудита,
от отдела информационных технологий,
от безопасности,
от юридической службы
от службы управления персоналом
Каждый специалист группы выполняет специфичные задачи и каждый подотчетен перед группой.Причем члены группы должны обладать не только компетенциями в области проведения расследований (в рамках своего функционала конечно), но и уметь предлагать упреждающие мошенничеству инициативы. Роли и ответственность каждого члена команды должны быть четко сформулированы, чтобы не дублировать друг друга.
Собственно, основные идеи, изложенные в статье господина Д.Торпи и М.Шеррода, в общем виде приведены в работе «Managing the Business Risk of Fraud: A PracticalGuide» - совместной работе трех организаций ACFE, IIA, AICPA.
Председатель группы обеспечивает достижение общих целей и координирует действия членов команды. Соответственно, нужно чтобы это был человек наиболее заинтересованный в качественной работе группы. Например, назначенный собственником бизнеса (не генеральным директором) или один из членов Совета Директоров (Наблюдательного Совета).
Созданная команда должна работать в рамках программы по борьбе с мошенничеством. Цель данной программы заключается в создании основ для процедур расследований, выявлений и предупреждений внутрикорпоративного мошенничества, а также составления и представления отчетности о проведенных мероприятиях, в том числе об эффективности внедренных механизмов в рамках программы.
МНЕНИЕ
Идея создания Надзорного комитета (или его аналога)во многом интересен. Однако чтобы его реализовать необходимо соблюдение ряда условий:
Руководство компании (владелец бизнеса, Совет директоров, генеральный директор) должно быть заинтересовано в результатах работы Надзорного комитета. Это главное условие! Выполнение остальных условий, изложенных ниже, без заинтересованности Руководства, не будет иметь смысла.
Результаты работы Надзорного комитета должны регулярно рассматриваться на Совете Директоров.
По результатам работы Надзорного комитета всегда должно быть адекватное реагирование.
Но в условиях российского стиля ведения бизнеса (речь идет, в основном, о крупных организациях) данные условия не всегда выполнимы. Владельцы управляют (?) приобретенным бизнесом издалека, исполнительный топ-менеджмент не заинтересован в управлении рисками мошенничества, не заинтересован и операционный менеджмент, роли СЭБ и СВА размыты.
ВЫВОДЫ
Прежде чем выстраивать систему управления рисками внутреннего мошенничества, владельцам бизнеса необходимо простимулировать соответствующим образом высший исполнительный и операционный менеджмент: наделить полномочиями и ответственностью.
Исключить из операционной деятельности СЭБ и СВА: в согласовании договоров, в участии по принятию решений по сделкам и т.д. У СЭБ, конечно, имеется функционал, по тем же проверкам потенциальных контрагентов перед проведением торгов, поэтому при выявлении (аудиторами в ходе проверок), например, признаков аффилированности участников на тендерах, в СЭБ нельзя поручать проводить расследование по этому вопросу.
Разработать программу по противодействию мошенничеству в компании и ввести надзорный орган (с подчинением владельцам бизнеса), который будет следить за её внедрением. При этом указанная программа должна включать комплекс мероприятий, а не только проведение ревизионных проверок и/или проведение расследований.
Александр Коваль
https://statskiy-sovetnik.pulscen.com.ua/news/170240
