Любая компания может стать объектом внутреннего мошенничества, и если эти риски не минимизировать, она понесет не только прямой материальный, но и косвенный ущерб в виде потери партнеров, ухудшения деловой репутации.
Причин немало. Так, большинство экономических преступлений совершаются работниками, привыкшими жить не по средствам или имеющими финансовые трудности. Не менее опасны люди, недовольные действиями руководителя или коллег. Стремясь компенсировать нанесенный моральный или материальный ущерб, они могут воспользоваться своим служебным положением для реализации мошеннических схем.
Потенциальной угрозой являются сотрудники, которые параллельно имеют свой бизнес в аналогичной сфере деятельности или намерены его создать. Они могут использовать базы данных компании для развития собственного бизнеса. Чтобы получить доступ к конфиденциальным документам компании, преступники порой готовы соглашаться на любую легкодоступную должность. Например, обслуживающий персонал может иметь неконтролируемый доступ к первичным документам и договорам, оставленным на рабочих столах, а также к файлам на незаблокированных компьютерах.
Украсть, навредить компании может любой сотрудник — даже самый, на первый взгляд, положительный, преданный своему делу. Чтобы обнаружить мошенника, надо разработать комплексную методологию. В ее основу необходимо включить как общие наблюдения, выявляющие неоднозначность поведения сотрудников, так и сугубо аналитические мероприятия, устанавливающие факт совершения подозрительной операции. Кроме того, основные причины и способы реализации мошеннических схем выявляются в ходе служебных расследований.
1. Разработка классификации видов мошенничества
Согласно отчету ACFE, все виды внутреннего мошенничества можно классифицировать, разделив на три категории.
Категория 1. Незаконное присвоение активов. Это преступление реализуется в виде кражи денежных средств, материальных или нематериальных активов. Примеры:
Категория 2. Коррупция. В основном это откаты и взятки, например:
Менеджмент может воровать двумя способами: из доходной части предприятия (уводя часть выручки себе на счета в контролируемые предприятия, давая скидки от прайса и получая обратно часть скидки, и т. д.) и из расходной (завышая сметы, проводя нереальные расходы). Часть из этих злоупотреблений, таких как перечисление выручки на свои счета, можно доказать. А часть — нет. Например, предоставление скидки от базового прайса. В большинстве компаний на каждом уровне ответственных сотрудников есть возможность предоставить скидку от базового прайса для клиентов. Отдел продаж может иметь возможность предоставить скидку до 10 процентов, коммерческий директор — до 20 процентов, генеральный — до 30 процентов. Предположим, менеджер департамента продаж привлекает нового клиента и дает ему скидку в рамках своих полномочий в размере 9 процентов. Вопрос: он молодец? Ответ: да, так как у предприятия повысилась доходная часть и он не превысил свои полномочия. А если 5 процентов от этой скидки ему ежемесячно возвращается в карман в качестве благодарности от клиента? При этом возврат очень сложно доказать. Если же речь идет не о товаре, а об услугах, стоимость которых на рынке имеет больший разброс по ценам, то обычно и размер скидок может быть большим, и, соответственно, возможностей для недоказуемого воровства со стороны менеджмента уйма. Единственная возможность выявить такие случаи (если клиент не мелкая компания) — это финансовым контролерам предприятий поставщика выйти на финансовых специалистов клиента и сверить ход. По завышениям расходной части тоже доказать мошенничество непросто, так как если смета не завышена в разы, а всего на 30 процентов, то это может быть в рыночных рамках и вполне вероятно, что эти дополнительные проценты уплачиваются за качество, скорость и т. д.
Категория 3. Умышленное искажение важных данных с целью обогащения. Обычно это первичные документы, финансовая отчетность. Вот примеры:
Возможно еще искажение данных о состоянии тех или иных активов компании. Например, это может быть дорогостоящая оргтехника. Под этим предлогом ее списывают, затем происходит передача участникам схемы.
Пропажа денежных средств из кассы, пропажа товаров из торговых точек, со склада, торговля «левым» товаром и так далее — это виды мошенничества низшего персонала компании. Решение проблемы — коллективная ответственность и удержание сумм ущерба с ответственных лиц. То есть, если по результатам инвентаризации выявлена недостача товара в магазине, весь персонал магазина несет материальную ответственность за это и сумма ущерба удерживается из их зарплаты. Но добавлю, что важно иметь механизм удержания. То есть, если у сотрудников есть фиксированная зарплата, которая не зависит ни от чего, для удержания суммы недостачи необходимо оформить существенный объем документов с участием правоохранительных органов. Если же персонал имеет фиксированную переменную часть зарплаты, то удержать проще, и компания сможет компенсировать ущерб.
2. Внедрение методики выявления воров
Внедряя методику, очень важно пройти все описанные далее этапы.
Этап 1. Разработка индикаторов мошенничества. Эти «красные флаги» свидетельствуют о необычном поведении сотрудника и являются отправной точкой для дальнейшего анализа ситуации. Вот основные и самые значимые индикаторы.
Значительные расходы, не сопоставимые с доходами. Одежда, аксессуары, машины, квартиры, дома, места отдыха, увлечения — это индикаторы, на которые следует обратить внимание в первую очередь. И если сотрудник живет не по средствам, то существует большая вероятность, что официальный заработок — это не единственный его доход.
Финансовые трудности. К информации о том, что у сотрудника финансовые проблемы, стоит отнестись серьезно. Получить ее можно как от самого сотрудника, так и от его коллег. Кроме того, такой показатель, как наличие большого числа кредитов, также является сигналом о возможных финансовых трудностях.
Особенные отношения с поставщиком или заказчиком. Наличие таких отношений вы можете определить по следующим признакам:
Необычное поведение сотрудника. Отказ от новой должности; постоянные задержки на работе; просмотр информации, несвойственной должностным обязанностям; нежелание сотрудника передавать часть своих функций коллегам; работу без отпусков продолжительное время; жалобы на руководство и низкую оплату; социальная изоляция. Такое поведение вполне может свидетельствовать о мошенничестве со стороны сотрудника.
Создание препятствий для проведения аудита. Давление, компрометация, предложение аудитору взяток, задержки в представлении документов, представление ложной информации, невыполнение плана мероприятий без видимых причин, внезапное увольнение ключевых сотрудников — это важные сигналы для аудитора, свидетельствующие о необходимости проведения более тщательной проверки.
Например, сотрудник отказывается от перевода на новую должность, позволяет себе дорогостоящие отпуска, не соответствующие его доходам. А при проведении проверок он затягивает представление требуемых документов и пишет руководству компании служебные записки с жалобами на некомпетентность внутренних аудиторов. Вместе с тем отдельные сигналы также не стоит игнорировать.
Этап 2. Проведение мероприятий по выявлению мошенничества. Следующие мероприятия разоблачают факты мошенничества с большой достоверностью.
Системный анализ данных. Используется для анализа большого объема данных с целью установления подозрительных операций. Осуществляется сотрудниками департамента рисков на основе информации, полученной из автоматизированной учетной системы. В результате выявляются аномалии, тенденции и показатели риска среди множества операций.
Организация горячей линии. Позволяет идентифицировать практически любые виды мошенничеств. Хоть в российских компаниях к доносам относятся как к пережитку советских времен, горячая линия — наиболее эффективный и малозатратный метод выявления мошенничества.
Служебное расследование. Вот что вам надо сделать, чтобы провести его оперативно и результативно.
1. Создать комиссию по расследованию. Формируется она на основании приказа руководителя компании, в котором определяются сроки расследования и ответственные лица. В зависимости от специфики совершенного преступления в состав комиссии могут входить руководящий менеджмент, главный бухгалтер или его заместитель, а также представители отдела внутреннего аудита, юридического департамента, службы по работе с персоналом, cлужбы безопасности и отдела информационных технологий.
2. Провести расследование. Расследование, как правило, включает в себя следующие действия:
Затем комиссия готовит отчет и план корректирующих мероприятий, которые согласовываются с ответственными подразделениями и определяются сроки его исполнения. Результаты расследования представляются руководству и аудиторскому комитету компании.
Этап 3. Контроль исполнения плана мероприятий. Чтобы упорядочить процесс контроля, все корректирующие мероприятия нужно учитывать в единой базе данных, из которой можно в любой момент получить информацию об их исполнении (завершенные, в процессе исполнения и просроченные).
По результатам исполнения мероприятий ответственное подразделение отчитывается контролеру. Возможны ситуации, когда мероприятия не выполняются длительное время, так как ответственное подразделение не хочет или не может их исполнить, а у контролера нет механизма воздействия на него. В этом случае необходимо разобраться, в чем причина неисполнения плана мероприятий, а контролера наделить необходимыми полномочиями. Например, если мероприятия не исполнялись по независящим от сотрудника обстоятельствам, то нужно перенести сроки исполнения или отменить мероприятие, в противном случае контролер информирует о факте игнорирования требований по выполнению плана мероприятий руководство компании, а то, в свою очередь, принимает решение о наказании руководителя подразделения и сотрудника, ответственного за выполнение мероприятий, в том числе путем депремирования, объявления замечания или выговора.
3. Введение превентивных мер защиты
Мошенничество легче предотвратить, чем выявить. Поэтому необходимо наладить механизм сокращения рисков возникновения мошенничества. Следующие упреждающие меры помогут вам в этой работе.
Анализ бизнес-процессов и оценка рисков мошенничества. Предотвращение мошенничества начинается с изучения бизнес-процессов и обнаружения потенциальных угроз преступных действий. Далее оценивается существенность выявленных рисков, то есть просчитывается вероятность и последствия совершения преступления. Риск стоит игнорировать, если возможный ущерб от него меньше, чем затраты на его устранение. Например, хищение денежных средств сотрудником кассы — событие маловероятное, так как будет быстро обнаружено. Кроме того, при наличии своевременной инкассации оно не нанесет существенного ущерба компании. В противном случае необходимо принять меры по минимизации риска (доработать бизнес-процессы, внедрить дополнительные контрольные процедуры и др.). Например, для выбора какого-либо поставщика услуг компания утверждает тендерную процедуру, позволяющую найти оптимального контрагента.
Если сократить риск не представляется возможным, стоит отказаться от такого бизнес-процесса.
Предварительные процедуры контроля. К ним относятся:
1) контроль фактического наличия и состояния объектов;
2) авторизация сделок и операций, то есть подтверждение контролирующим сотрудником всех операций, введенных в автоматизированную систему исполнителем;
3) проверка контролирующим сотрудником оформленных документов до совершения бухгалтерских записей по операциям, требующим дополнительного контроля. Перечень таких операций вы должны определить самостоятельно. Например, это могут быть крупные сделки или сделки с определенными контрагентами;
4) реализация принципа «знай своего сотрудника». Он заключается в том, что при приеме кандидата на работу важно оценить не только его квалификацию, но и получить о нем дополнительную информацию, в том числе характеристику с прежнего места работы, сведения из социальных сетей.
Проведение информационных мероприятий. Меры борьбы с мошенничеством, последствия преступлений для компании и персонала, действия сотрудников при подозрении на совершаемые со стороны коллег преступления, наказание за участие в мошеннических схемах — эти и другие темы необходимо регулярно обсуждать внутри компании. Подобные встречи являются не только источником информации, но и сигналом потенциальным мошенникам, что вопрос находится на контроле у руководства.
Для получения максимальной отдачи от таких тренингов, следуйте советам.
1. Тренинги и семинары, посвященные вопросам мошенничества, проводите не реже одного раза в три-четыре месяца.
2. В зависимости от темы доклада включите в них выступление представителей департаментов внутреннего аудита, рисков, службы безопасности, департамента по работе с персоналом, юридического отдела.
3. Если на встрече планируется обсуждать вопросы, касающиеся внесения изменений во внутренние нормативные документы, тогда информацию о содержании доклада доведите до слушателей за два-три дня по e-mail, а по окончании мероприятия попросите их заполнить вопросник для оценки усвоенного материала.
4. По окончании каждой встречи слушатели анонимно должны заполнить листы с обратной связью (фитбэки), где им потребуется ответить на вопросы, касающиеся полезности полученной информации, и высказать пожелания к содержанию будущих докладов.
Мотивация и оценка работы сотрудников. Людям важно, чтобы их компетентность и высокие результаты работы признавались и были отмечены руководителем, в том числе путем материального вознаграждения. Работники, чьи заслуги игнорируются, которым не дается обратная связь о качестве проделанной работы, могут затаить обиду. Подобная ситуация угрожает безопасности компании.
Ограничивая полномочия, функции подразделения нужно закрепить в Положении об отделе (департаменте), а обязанности сотрудника — в должностной инструкции. Права доступа в операционную систему компании также должны быть ограничены в соответствии с функционалом сотрудника.
Ограничение полномочий. Слишком широкий круг полномочий и отсутствие четкого разграничения обязанностей представляют собой потенциальную угрозу. Функции необходимо распределить так, чтобы исполнение и контроль осуществляли разные подразделения, а в рамках одного подразделения разные сотрудники. Например, может быть такое разграничение полномочий и обязанностей: вводом заявок (первичных учетных документов и др.) в базу данных и их авторизацией занимается отдел закупок, а их проверку на соответствие бюджету осуществляет сотрудник финансовой службы.
Разработка документов, сокращающих риск мошенничества.
К таким документам относятся:
1) комплексная политика — определяет основные процедуры, направленные на предотвращение мошенничества (в том числе критерии мошеннических действий, порядок организации контроля, хранения документов и ценностей, требования к применению паролей к персональным компьютерам);
2) кодекс поведения — это свод правил и норм делового поведения сотрудников компании. В кодексе может содержаться, например, следующая информация:
3) план реагирования в случае обнаружения мошеннической схемы, который может включать в себя информацию о порядке проведения расследования, составе комиссии, порядке информирования руководства о ходе и результатах расследования и т. д.
4) Ограничивая полномочия сотрудника, надо прописать его уточненные обязанности в должностной инструкции. Например, ввести обязанность согласовывать с руководством скидки клиентам и сделки свыше определенной суммы или лимита. Также с учетом обязанностей работника нужно ограничить права доступа в программу учета компании.
5) Стоит доработать регламент по проверке соискателя. Он должен отвечать принципу «знай своего сотрудника». При приеме кандидата на работу надо оценить не только его квалификацию, но и получить характеристику с прежнего места работы, сведения из социальных сетей и др. Стоит проверить, нет ли у него родственников, работающих на контрагентов.
6) Кодекс по работе с данными
В кодексе необходимо прописать порядок хранения документов и ценностей, требования к паролям. Также стоит закрепить требования к работе с конфиденциальной информацией и персональными данными сотрудников.
7) Регламент по расследованию
Надо разработать детальный план действий (регламент) на случай, если сотрудник обнаружил или подозревает кражу. В регламенте стоит конкретизировать, в каком порядке и кого из руководства нужно проинформировать о возможных фактах мошенничества, определить порядок расследования, формирования состава комиссии и т. д
Причин немало. Так, большинство экономических преступлений совершаются работниками, привыкшими жить не по средствам или имеющими финансовые трудности. Не менее опасны люди, недовольные действиями руководителя или коллег. Стремясь компенсировать нанесенный моральный или материальный ущерб, они могут воспользоваться своим служебным положением для реализации мошеннических схем.
Потенциальной угрозой являются сотрудники, которые параллельно имеют свой бизнес в аналогичной сфере деятельности или намерены его создать. Они могут использовать базы данных компании для развития собственного бизнеса. Чтобы получить доступ к конфиденциальным документам компании, преступники порой готовы соглашаться на любую легкодоступную должность. Например, обслуживающий персонал может иметь неконтролируемый доступ к первичным документам и договорам, оставленным на рабочих столах, а также к файлам на незаблокированных компьютерах.
Украсть, навредить компании может любой сотрудник — даже самый, на первый взгляд, положительный, преданный своему делу. Чтобы обнаружить мошенника, надо разработать комплексную методологию. В ее основу необходимо включить как общие наблюдения, выявляющие неоднозначность поведения сотрудников, так и сугубо аналитические мероприятия, устанавливающие факт совершения подозрительной операции. Кроме того, основные причины и способы реализации мошеннических схем выявляются в ходе служебных расследований.
1. Разработка классификации видов мошенничества
Согласно отчету ACFE, все виды внутреннего мошенничества можно классифицировать, разделив на три категории.
Категория 1. Незаконное присвоение активов. Это преступление реализуется в виде кражи денежных средств, материальных или нематериальных активов. Примеры:
- перечисление заработной платы «мертвым душам» (уволенным сотрудникам компании, но не исключенным из списочной численности, или третьим лицам, внесенным в базу данных о работниках компании умышленно);
- хищение данных о поставщиках и заказчиках компании путем направления информации по электронной почте или скачивания на flash-носитель;
- хищение фирменных бланков, форм документов, в том числе и различных договоров, которые компания отнесла к разряду конфиденциальной информации;
- заключение фиктивных сделок на оказание услуг (выполнение работ) — наиболее распространены подобные сделки в сферах, которые сложно оценить, таких как реклама, ремонт помещения, юридические или консультационные услуги.
Категория 2. Коррупция. В основном это откаты и взятки, например:
- завышение суммы договора на оказание услуг (выполнение работ). Как и в ситуации с заключением фиктивных сделок, такие договоры заключаются на услуги (работы), которые сложно проверить и оценить. Обычно это разного рода услуги. Часть суммы, перечисленная компанией по такому договору, соответственно уплачивается исполнителем сотруднику, организовавшему заключение договора;
- дорогостоящие подарки сотрудникам от поставщиков, заказчиков за содействие в подписании с ними договоров.
Менеджмент может воровать двумя способами: из доходной части предприятия (уводя часть выручки себе на счета в контролируемые предприятия, давая скидки от прайса и получая обратно часть скидки, и т. д.) и из расходной (завышая сметы, проводя нереальные расходы). Часть из этих злоупотреблений, таких как перечисление выручки на свои счета, можно доказать. А часть — нет. Например, предоставление скидки от базового прайса. В большинстве компаний на каждом уровне ответственных сотрудников есть возможность предоставить скидку от базового прайса для клиентов. Отдел продаж может иметь возможность предоставить скидку до 10 процентов, коммерческий директор — до 20 процентов, генеральный — до 30 процентов. Предположим, менеджер департамента продаж привлекает нового клиента и дает ему скидку в рамках своих полномочий в размере 9 процентов. Вопрос: он молодец? Ответ: да, так как у предприятия повысилась доходная часть и он не превысил свои полномочия. А если 5 процентов от этой скидки ему ежемесячно возвращается в карман в качестве благодарности от клиента? При этом возврат очень сложно доказать. Если же речь идет не о товаре, а об услугах, стоимость которых на рынке имеет больший разброс по ценам, то обычно и размер скидок может быть большим, и, соответственно, возможностей для недоказуемого воровства со стороны менеджмента уйма. Единственная возможность выявить такие случаи (если клиент не мелкая компания) — это финансовым контролерам предприятий поставщика выйти на финансовых специалистов клиента и сверить ход. По завышениям расходной части тоже доказать мошенничество непросто, так как если смета не завышена в разы, а всего на 30 процентов, то это может быть в рыночных рамках и вполне вероятно, что эти дополнительные проценты уплачиваются за качество, скорость и т. д.
Категория 3. Умышленное искажение важных данных с целью обогащения. Обычно это первичные документы, финансовая отчетность. Вот примеры:
- подделка сотрудниками документов по командировочным, представительским и прочим расходам;
- занижение балансовой стоимости активов для последующей их реализации по низкой цене лицам, аффилированным с сотрудником, проводившим их оценку.
Возможно еще искажение данных о состоянии тех или иных активов компании. Например, это может быть дорогостоящая оргтехника. Под этим предлогом ее списывают, затем происходит передача участникам схемы.
Пропажа денежных средств из кассы, пропажа товаров из торговых точек, со склада, торговля «левым» товаром и так далее — это виды мошенничества низшего персонала компании. Решение проблемы — коллективная ответственность и удержание сумм ущерба с ответственных лиц. То есть, если по результатам инвентаризации выявлена недостача товара в магазине, весь персонал магазина несет материальную ответственность за это и сумма ущерба удерживается из их зарплаты. Но добавлю, что важно иметь механизм удержания. То есть, если у сотрудников есть фиксированная зарплата, которая не зависит ни от чего, для удержания суммы недостачи необходимо оформить существенный объем документов с участием правоохранительных органов. Если же персонал имеет фиксированную переменную часть зарплаты, то удержать проще, и компания сможет компенсировать ущерб.
2. Внедрение методики выявления воров
Внедряя методику, очень важно пройти все описанные далее этапы.
Этап 1. Разработка индикаторов мошенничества. Эти «красные флаги» свидетельствуют о необычном поведении сотрудника и являются отправной точкой для дальнейшего анализа ситуации. Вот основные и самые значимые индикаторы.
Значительные расходы, не сопоставимые с доходами. Одежда, аксессуары, машины, квартиры, дома, места отдыха, увлечения — это индикаторы, на которые следует обратить внимание в первую очередь. И если сотрудник живет не по средствам, то существует большая вероятность, что официальный заработок — это не единственный его доход.
Финансовые трудности. К информации о том, что у сотрудника финансовые проблемы, стоит отнестись серьезно. Получить ее можно как от самого сотрудника, так и от его коллег. Кроме того, такой показатель, как наличие большого числа кредитов, также является сигналом о возможных финансовых трудностях.
Особенные отношения с поставщиком или заказчиком. Наличие таких отношений вы можете определить по следующим признакам:
- срочность в заключении сделки;
- согласование и подписание контрактов после поставки оборудования или оказания услуг;
- невыставление штрафных санкций при нарушении условий контрактов;
- разбивка крупных контрактов на мелкие для избежания их согласования при наличии в компании лимитов для согласования;
- работа родственников или бывших коллег на руководящих позициях в компаниях-контрагентах.
Необычное поведение сотрудника. Отказ от новой должности; постоянные задержки на работе; просмотр информации, несвойственной должностным обязанностям; нежелание сотрудника передавать часть своих функций коллегам; работу без отпусков продолжительное время; жалобы на руководство и низкую оплату; социальная изоляция. Такое поведение вполне может свидетельствовать о мошенничестве со стороны сотрудника.
Создание препятствий для проведения аудита. Давление, компрометация, предложение аудитору взяток, задержки в представлении документов, представление ложной информации, невыполнение плана мероприятий без видимых причин, внезапное увольнение ключевых сотрудников — это важные сигналы для аудитора, свидетельствующие о необходимости проведения более тщательной проверки.
Например, сотрудник отказывается от перевода на новую должность, позволяет себе дорогостоящие отпуска, не соответствующие его доходам. А при проведении проверок он затягивает представление требуемых документов и пишет руководству компании служебные записки с жалобами на некомпетентность внутренних аудиторов. Вместе с тем отдельные сигналы также не стоит игнорировать.
Этап 2. Проведение мероприятий по выявлению мошенничества. Следующие мероприятия разоблачают факты мошенничества с большой достоверностью.
Системный анализ данных. Используется для анализа большого объема данных с целью установления подозрительных операций. Осуществляется сотрудниками департамента рисков на основе информации, полученной из автоматизированной учетной системы. В результате выявляются аномалии, тенденции и показатели риска среди множества операций.
Организация горячей линии. Позволяет идентифицировать практически любые виды мошенничеств. Хоть в российских компаниях к доносам относятся как к пережитку советских времен, горячая линия — наиболее эффективный и малозатратный метод выявления мошенничества.
Служебное расследование. Вот что вам надо сделать, чтобы провести его оперативно и результативно.
1. Создать комиссию по расследованию. Формируется она на основании приказа руководителя компании, в котором определяются сроки расследования и ответственные лица. В зависимости от специфики совершенного преступления в состав комиссии могут входить руководящий менеджмент, главный бухгалтер или его заместитель, а также представители отдела внутреннего аудита, юридического департамента, службы по работе с персоналом, cлужбы безопасности и отдела информационных технологий.
2. Провести расследование. Расследование, как правило, включает в себя следующие действия:
- интервью с потенциальным виновником, свидетелями, иными вовлеченными лицами и получение письменных объяснений;
- сбор доказательств (первичная документация, договоры и др.);
- анализ политик и бизнес-процессов компании;
- системный анализ данных.
Затем комиссия готовит отчет и план корректирующих мероприятий, которые согласовываются с ответственными подразделениями и определяются сроки его исполнения. Результаты расследования представляются руководству и аудиторскому комитету компании.
Этап 3. Контроль исполнения плана мероприятий. Чтобы упорядочить процесс контроля, все корректирующие мероприятия нужно учитывать в единой базе данных, из которой можно в любой момент получить информацию об их исполнении (завершенные, в процессе исполнения и просроченные).
По результатам исполнения мероприятий ответственное подразделение отчитывается контролеру. Возможны ситуации, когда мероприятия не выполняются длительное время, так как ответственное подразделение не хочет или не может их исполнить, а у контролера нет механизма воздействия на него. В этом случае необходимо разобраться, в чем причина неисполнения плана мероприятий, а контролера наделить необходимыми полномочиями. Например, если мероприятия не исполнялись по независящим от сотрудника обстоятельствам, то нужно перенести сроки исполнения или отменить мероприятие, в противном случае контролер информирует о факте игнорирования требований по выполнению плана мероприятий руководство компании, а то, в свою очередь, принимает решение о наказании руководителя подразделения и сотрудника, ответственного за выполнение мероприятий, в том числе путем депремирования, объявления замечания или выговора.
3. Введение превентивных мер защиты
Мошенничество легче предотвратить, чем выявить. Поэтому необходимо наладить механизм сокращения рисков возникновения мошенничества. Следующие упреждающие меры помогут вам в этой работе.
Анализ бизнес-процессов и оценка рисков мошенничества. Предотвращение мошенничества начинается с изучения бизнес-процессов и обнаружения потенциальных угроз преступных действий. Далее оценивается существенность выявленных рисков, то есть просчитывается вероятность и последствия совершения преступления. Риск стоит игнорировать, если возможный ущерб от него меньше, чем затраты на его устранение. Например, хищение денежных средств сотрудником кассы — событие маловероятное, так как будет быстро обнаружено. Кроме того, при наличии своевременной инкассации оно не нанесет существенного ущерба компании. В противном случае необходимо принять меры по минимизации риска (доработать бизнес-процессы, внедрить дополнительные контрольные процедуры и др.). Например, для выбора какого-либо поставщика услуг компания утверждает тендерную процедуру, позволяющую найти оптимального контрагента.
Если сократить риск не представляется возможным, стоит отказаться от такого бизнес-процесса.
Предварительные процедуры контроля. К ним относятся:
1) контроль фактического наличия и состояния объектов;
2) авторизация сделок и операций, то есть подтверждение контролирующим сотрудником всех операций, введенных в автоматизированную систему исполнителем;
3) проверка контролирующим сотрудником оформленных документов до совершения бухгалтерских записей по операциям, требующим дополнительного контроля. Перечень таких операций вы должны определить самостоятельно. Например, это могут быть крупные сделки или сделки с определенными контрагентами;
4) реализация принципа «знай своего сотрудника». Он заключается в том, что при приеме кандидата на работу важно оценить не только его квалификацию, но и получить о нем дополнительную информацию, в том числе характеристику с прежнего места работы, сведения из социальных сетей.
Проведение информационных мероприятий. Меры борьбы с мошенничеством, последствия преступлений для компании и персонала, действия сотрудников при подозрении на совершаемые со стороны коллег преступления, наказание за участие в мошеннических схемах — эти и другие темы необходимо регулярно обсуждать внутри компании. Подобные встречи являются не только источником информации, но и сигналом потенциальным мошенникам, что вопрос находится на контроле у руководства.
Для получения максимальной отдачи от таких тренингов, следуйте советам.
1. Тренинги и семинары, посвященные вопросам мошенничества, проводите не реже одного раза в три-четыре месяца.
2. В зависимости от темы доклада включите в них выступление представителей департаментов внутреннего аудита, рисков, службы безопасности, департамента по работе с персоналом, юридического отдела.
3. Если на встрече планируется обсуждать вопросы, касающиеся внесения изменений во внутренние нормативные документы, тогда информацию о содержании доклада доведите до слушателей за два-три дня по e-mail, а по окончании мероприятия попросите их заполнить вопросник для оценки усвоенного материала.
4. По окончании каждой встречи слушатели анонимно должны заполнить листы с обратной связью (фитбэки), где им потребуется ответить на вопросы, касающиеся полезности полученной информации, и высказать пожелания к содержанию будущих докладов.
Мотивация и оценка работы сотрудников. Людям важно, чтобы их компетентность и высокие результаты работы признавались и были отмечены руководителем, в том числе путем материального вознаграждения. Работники, чьи заслуги игнорируются, которым не дается обратная связь о качестве проделанной работы, могут затаить обиду. Подобная ситуация угрожает безопасности компании.
Ограничивая полномочия, функции подразделения нужно закрепить в Положении об отделе (департаменте), а обязанности сотрудника — в должностной инструкции. Права доступа в операционную систему компании также должны быть ограничены в соответствии с функционалом сотрудника.
Ограничение полномочий. Слишком широкий круг полномочий и отсутствие четкого разграничения обязанностей представляют собой потенциальную угрозу. Функции необходимо распределить так, чтобы исполнение и контроль осуществляли разные подразделения, а в рамках одного подразделения разные сотрудники. Например, может быть такое разграничение полномочий и обязанностей: вводом заявок (первичных учетных документов и др.) в базу данных и их авторизацией занимается отдел закупок, а их проверку на соответствие бюджету осуществляет сотрудник финансовой службы.
Разработка документов, сокращающих риск мошенничества.
К таким документам относятся:
1) комплексная политика — определяет основные процедуры, направленные на предотвращение мошенничества (в том числе критерии мошеннических действий, порядок организации контроля, хранения документов и ценностей, требования к применению паролей к персональным компьютерам);
2) кодекс поведения — это свод правил и норм делового поведения сотрудников компании. В кодексе может содержаться, например, следующая информация:
- нормы делового общения и взаимодействия с коллегами, клиентами,
- правила поведения на рабочем месте,
- отношение сотрудников к имуществу и интеллектуальной собственности компании, к конфиденциальной информации, к коррупции и мошенничеству,
- ответственность сотрудников и руководителей за соблюдение этических норм;
3) план реагирования в случае обнаружения мошеннической схемы, который может включать в себя информацию о порядке проведения расследования, составе комиссии, порядке информирования руководства о ходе и результатах расследования и т. д.
4) Ограничивая полномочия сотрудника, надо прописать его уточненные обязанности в должностной инструкции. Например, ввести обязанность согласовывать с руководством скидки клиентам и сделки свыше определенной суммы или лимита. Также с учетом обязанностей работника нужно ограничить права доступа в программу учета компании.
5) Стоит доработать регламент по проверке соискателя. Он должен отвечать принципу «знай своего сотрудника». При приеме кандидата на работу надо оценить не только его квалификацию, но и получить характеристику с прежнего места работы, сведения из социальных сетей и др. Стоит проверить, нет ли у него родственников, работающих на контрагентов.
6) Кодекс по работе с данными
В кодексе необходимо прописать порядок хранения документов и ценностей, требования к паролям. Также стоит закрепить требования к работе с конфиденциальной информацией и персональными данными сотрудников.
7) Регламент по расследованию
Надо разработать детальный план действий (регламент) на случай, если сотрудник обнаружил или подозревает кражу. В регламенте стоит конкретизировать, в каком порядке и кого из руководства нужно проинформировать о возможных фактах мошенничества, определить порядок расследования, формирования состава комиссии и т. д