23 мая в столичном отеле Марриотт Роял Аврора, что на Петровке, прошла конференция по внутреннему аудиту, организованная изданием The Moscow Times. Мероприятие собрало приличное число отечественных экспертов и довольно именитых докладчиков, среди которых был замечен, например, Игорь Робертович Сухарев из Министерства Финансов (к сожалению, лично мы его презентацию не застали). В отличие от традиционной ежегодной конференции от Института Внутренних Аудиторов, это мероприятие было «заточено» в большей степени под практический аспект внутреннего аудита, контроля и контрольно-ревизионной деятельности, к тому же с сильным акцентом на мошенничестве. Что же, тема сегодня в России актуальная – тем интереснее. Посмотрим, о чем говорили участники.
Мошенничество в банковской сфере
Светлана Куликова, заместитель руководитель службы внутреннего аудита; Игорь Туруев, руководитель службы внутреннего аудита, «Россельхозбанк»
Поговорим о «приземленных» вещах, с чем хотя бы раз в жизни сталкивается любой сотрудник службы внутреннего аудита – о мошенничествах, особенно в банковской сфере. Многие из нас сталкивались с ним, к сожалению. Если брать банковскую область, какие особенности тут можно выделить?
В большей степени, чем все другие организации, банки зависят от заемных средств, и коэффициент их финансового рычага существенно выше.
Далее, здесь присутствует огромная зависимость от информационных систем, ведь почти все деньги в системе, кроме разве что драгоценных металлов, по своей сути «виртуальны». Собственно, все виды мошенничеств, так или иначе, привязаны к этим двум особенностям и используют имеющиеся здесь уязвимости.
Насколько серьезна проблема в России? Оказывается, достаточно серьезна: в 2012 году называлась цифра более 200 миллиардов рублей. Это общая величина потерь от всех мошенничеств, включая отмывание денег.
Есть несколько видов рисков, на которые банк должен ориентироваться в первую очередь. Например, в зону прямой ответственности любой кредитной организации входят транзакционные риски – просто потому, что это то, чем в первую очередь она и занимается.
В прошлом году Россия опять оказалась в некотором роде «впереди планеты всей»: по уровню роста (но не общего абсолютного числа) случаев карточного мошенничества она заняла первое место.
Карточных мошенников давно пора рассматривать в рамках отдельной категории. Это очень ушлые люди, внешне – зачастую обаятельные, при этом постоянно пропускающие через себя огромные объемы информации в поисках того, что может сослужить им службу. Была такая известная личность, Френк Абигнейл (возможно, многие вспомнят фильм Стивена Спилберга, где его образ довольно удачно воплотил Леонардо Ди Каприо). Собственно, он здравствует и поныне, но вошел в историю в 60-е как криминальный гений, один из величайших мошенников, набивший руку на поддельных чеках. Когда много лет спустя, уже понеся наказание (отпущен досрочно за активное сотрудничество с ФБР), он делился опытом, то говорил, что даже простой корпоративный отчет мог его заинтересовать: он видел его и сразу запоминал, как выглядит подпись… Вот такой ход мыслей у этих людей.
Многие работают сегодня с банками через системы ДБО (дистанционного банковского обслуживания), и не только простые люди, но и целые компании. Важно понимать, что ответственность лежит на всех, и сегодня очень многие организации просто не уделяют достаточно внимания вопросам собственной IT–защиты (не сканируют системы на наличие вредоносных программ, теряют ключи и т.д.). Когда начинаются проверки, оказывается, что клиент не соблюдает правил безопасности, и страховые компании отказывают им в выплате.
Еще один важный аспект банковских операций: если рассматривать величину потерь, то они всегда преобладают при активных операциях банка, связанных с торговлей на рынке ценных бумаг. Одним из самых частых случаев являются несанкционированные операции трейдеров, причем даже в крупных банках, и даже на Западе: время от времени можно прочитать о таких случаях в новостях. Один из недавних примеров – торговля Жерома Кервьела из банка Societe Generale, который перешел в торговые операции как раз из отдела внутреннего контроля, что позволило ему до поры до времени держаться тише воды ниже травы. К тому же, пока операции приносят банку деньги, это застилает взор, и до определенного времени службу внутреннего аудита даже оттаскивают от трейдеров за ошейник как рвущихся с цепи, почуявших неладное псов – «не мешайте людям делать деньги». А потом становится слишком поздно.
И напоследок несколько практических примеров для развития кругозора. Копирование кредитки в ресторане: официант может за вознаграждение посодействовать этому процессу, поэтому лучше расплачивайтесь наличными!. Или такой забавный случай, о котором рассказала Светлана: выдали крупный кредит, а когда все сроки по уплате истекли и пришли проверять, в чем там дело, выяснилось, что взяли его два бомжа за две тысячи рублей притворившись семейной парой по поручению мошенника, который и унес кредит в неизвестном направлении. Непонятно, как кредитный менеджер не раскусил подделку – вроде бы это было несложно.
Выявление рисков мошенничества и проведение внутренних расследований: зоны ответственности. Практические примеры
Юлия Бронских, начальник службы безопасности John Deere Rus
Выступление Юлии получилось почти на 100% посвященным практическим аспектам выявления мошенничества: в нем она поделилась со слушателями примерами из своей практики. Многие вещи, к сожалению, далеко не всегда выявляются СВА. На что стоит обращать внимание в первую очередь?
Прежде всего, смотрите на подтверждающие финансовые документы. Многие не обращают внимания на договора, а именно они показывают, что должно было быть, и позволяют сравнить с тем, что есть на самом деле.
Можно брать любые направления деятельности, но интересная вещь: схемы мошенничества в разных индустриях примерно одинаковые, они легко распознаются. Следующие примеры докажут это.
Взять хотя бы ЧОПы, охранные услуги: как «мухлюют» они? Довольно часто охранники откровенно доказывают, что по законодательству им положен сон (это действительно так), и они спят на работе, тем самым воруя наши деньги. По идее, они должны предоставлять «запасного» охранника взамен того, который спит причитающиеся 4 часа, но не делают этого. Это тоже мошенничество, только не в том, что они что-то физически украли, а в том, что мы платим ни за что. Или взять для примера оказание услуг технической охраны (контроль точек доступа, видеонаблюдение). Несколько раз одну и ту же работу включают в разные счета (сначала установку, потом обслуживание камер) – не все сразу обращают на это внимание.
Клининговые услуги (видимо, тут имеется в виду уборка помещений) – та же ситуация (количество человек, время работы и т.д.). Либо не выставляют нужное количество людей на объект, либо те, что есть, работают не то количество времени, которое указано, а иногда сверху включают расходные материалы.
Строительные работы – благодатная тема! Начинается возведение объекта, и расходные суммы увеличиваются в 2-3 раза. Такого быть не может, ну никак. Основная рекомендация: аудиторы-контроллеры должны быть из сторонней независимой организации. Со «своими» подрядчики могут договориться, и обнаружить обман непросто, потому что со стороны, без соответствующих знаний, почти невозможно найти, на какие именно строительные детали накинули цену. Нельзя же, в конце концов, быть специалистом во всем.
Откаты при заключении договоров – типовая «российская проблема», иностранцы такого слова не знают. По крайней мере, так утверждает докладчица. Ну то есть как, они знают, просто в их понимании значение этого слова другое. «Откат» в РФ – это когда изначально мы платим больше, чем должны, а разница делится «распильщиками». Около 78% представителей российской деловой среды признались, что либо дают, либо берут откаты – т.е. это как бы нормальная деловая практика, все привыкли.
Иногда в ответ на проявления мошенничества объявляют служебное (или внутреннее) расследование. Помните, что такого понятия в российском трудовом или другом законодательстве вообще не существует.
И из практических рекомендаций: если есть возможность, попробуйте полиграф. А почему нет? Заставить пройти проверку нельзя (если речь идет о человеке, который уже трудится у нас), но даже если сотрудник откажется, это уже будет сигнал для Вас. А если полиграф используют при приеме на работу – так сам бог велел! Пока человек у нас не работает, мы имеем право тестировать его так, как хотим, а если уже он или она не желает этого – «спасибо, до свидания, позовите следующего».
Выявление корпоративных злоупотреблений путем использования системы КИМов (ключевых индикаторов мошенничества)
Анна Сергеева, директор департамента внутреннего аудита и контроля ООО «Энтер» (группа компаний «Связной»)
Год назад эта система была внедрена в компании «Энтер». Сама компания молодая, на рынке меньше 2 лет, и сегодня находится на стадии активного развития.
Структура департамента внутреннего аудита в «Энтер»: он состоит из трех составляющих. 1) Контрольно-ревизионный отдел, 2) Отдел внутреннего аудита и 3) Отдел внутреннего контроля.
На определенном этапе стало ясно, что риски очень велики. Как уже было сказано, у компании высокие темпы роста, и открытие нескольких новых магазинов случается буквально каждую неделю. Как следствие, высок риск злоупотреблений: прямые хищения, капитальное строительство, подлоги и т.д. Требования к безопасности соответствующим образом повысились.
Но как усилить контроль без значительной траты ресурсов? Рассматривались два основных способа решения. Был вариант с набором дополнительного персонала, а можно было пойти путем внедрения новых инструментов. На втором варианте и остановились – так в компании стала применяться система ключевых индикаторов злоупотреблений. Надо сказать, применяется она весьма успешно: со слов докладчицы, высоких результатов удалось достичь при сохранении расходов на внедрение на минимальном уровне (хотя они, конечно, были – об этом чуть ниже).
Цель проекта – снижение уровня злоупотреблений. Для этого сначала использовалась система 1С, но теперь компания перешла на SAP. Для розничной торговли вообще (запомните, господа ритейлеры!) очень актуально выявление злоупотреблений в режиме реального времени, и у «Энтер» именно такая ситуация. Помимо основной цели снижения уровня злоупотреблений ставилась задача повышения эффективности контроля при сохранении прежних затрат на него. Все производилось в пять основных этапов:
1. Выявление ключевых рисков корпоративных злоупотреблений бизнес-процессов
2. Создание перечня видов (групп) злоупотреблений
3. Разработка возможных сценариев
4. Разработка индикаторов для каждого из сценариев
5. Создание системы получения информации
Сначала они взяли «топ-20» самых крупных бизнес-процессов в компании с точки зрения злоупотреблений. По каждому из них провели аудит. На втором этапе определили, какие типы злоупотреблений возможны по каждому бизнес-процессу. Разработали сценарии, провели ранжирование и определили их вероятности. На четвертом этапе разработали индикаторы, общее число которых оказалось очень большим – больше сотни. Уже после этого разработали систему КИМов – получилось от 4 до 12 для каждого из сценариев.
Ключевые индикаторы бывают разные. Одни сами по себе очень сильные и показывают злоупотребление почти на 100%, другим нужны вспомогательные. В этом месте Анна Сергеева привела в пример такой, например, как наличие металлической стружки в производственном цехе на полу утром, где с вечера все убиралось, а потому ее там не должно быть. Это тоже индикатор, причем из категории тех, что показывают нарушение почти со стопроцентной вероятностью: если стружка есть, значит, кто-то ночью занимался обточкой какой-то детали, чего случиться просто так никак не должно было… Поскольку индикаторов много, для них тоже нужно потом ввести систему градации.
Первые итоги после года работы: в основном положительные. Потери снизились на 34%, реакция на злоупотребления стала более оперативной, при этом новых сотрудников вообще не привлекалось. Вся система отслеживается буквально двумя специалистами.
Тут нужно прояснить важный момент. Конечно, новых специалистов не привлекалось, и отслеживание индикаторов производится с использованием простейшей программы Excel (они там «загораются» красным цветом, и сотрудники быстро бьют тревогу, если что-то случается). Однако для того, чтобы данные выгружались в Excel, они должны сначала обрабатываться более продвинутыми программами. Уже в ходе ответов на вопросы Анна пояснила, что изначальная система 1С разрабатывалась совместно с сотрудниками довольно известной компании «1С-Рарус», и, конечно же, на данном этапе «Энтер» должна была понести затраты. При переходе на SAP, о котором также говорилось, затраты будут, возможно, даже большие. Но это одноразовые издержки, в то время как итоговая система легка в обслуживании и найма новых сотрудников не требует.
Внутренний аудит в инвестиционных проектах РОСНАНО
Роман Лукашов, эксперт, внутренний контроль и аудит, ОАО «РОСНАНО»
Инвестиции у такой крупной, тем более государственной компании, как «РОСНАНО», должны также быть очень крупные. Так и есть: от 100 миллионов до 10 млрд. руб.
Недавние претензии, озвученные Счетной Палатой, довольно серьезные – отмечает Роман Лукашов – и с ними сейчас разбираются. Однако еще 4-5 лет назад бренд компании просто не узнавался. Сейчас же она у всех на слуху.
Функции внутреннего аудита, так уж сложилось исторически, распределены между тремя подразделениями: департамент финансового мониторинга, департамент внутреннего аудита и департамент внутренней безопасности.
Основной этап отбора инвестиционных проектов для проверки осуществляется в режиме онлайн на непрерывной основе. Иногда приходит запрос со стороны другого департамента: прямо говорят, что какой-то проект лучше проверить, и команда выезжает на место. Такого понятия как «годовой план» на ближайший период нет, объекты аудита выбираются непрерывно.
Объекты проверки – это не дочерние компании, и это ключевая особенность. Здесь перед нами организации, в которые осуществлялись инвестиции, и хотя какая-то доля владения может быть, все же это не наша организация, чтобы просто так прийти в нее и посмотреть, что не так. Здесь есть определенная процедура, иногда она получается быстрой, но чаще затягивается.
Еще одна особенность: необходимо грамотно распределить роли и ресурсы. Подразделение само по себе довольно ограниченное, поэтому активно привлекаются со-инвесторы со своими собственными службами. Под «со-инвесторами» имеются в виду другие компании, возможно, также государственные, хотя и необязательно, которые инвестируют в конкретную организацию вместе с нами и, следовательно, также заинтересованы в том, чтобы с ней все было в порядке. Никакой «драки» за права и функции не идет, это именно разделение труда в общих интересах.
Важный момент: необходимо обеспечить участие достаточного количества проверяющих, поскольку проекты инвестиций, как правило, очень большие, и ограниченными ресурсами там не справиться. В группе минимум 10 человек, чаще даже 20 или больше. Со стороны со-инвесторов в случае совместных проверок ставится свой собственный руководитель. Вся схема позволяет контролировать ход проверки и экономить ресурсы.
Какие могут возникнуть сложности? Бывает, что люди на объекте инвестиций откровенно противодействуют проверке, не идут на сотрудничество и делают все, чтобы процесс затянулся. Это не наши люди, мы не можем убрать их сами, но появляются так называемые «стратегические» задачи: каким-то образом защитить тех людей, которые нам помогают, и изолировать тех, кто противодействует. Иногда приходится использовать рычаги давления, чтобы «услать» людей в административный отпуск, дабы они не мешали.
Предварительные итоги поступают в виде отчета и моментально идут «наверх» для принятия управленческих решений. После принятия глобальных решений о проверке (что делается параллельно – еще до завершения проверки) производится структурирование результатов. Мы ориентируемся на сухие выжимки конкретных вещей: оценка обнаруженных фактов для определения эпизодов с, так скажем, возможным «продолжением» в виде уголовного или административного разбирательства. После их обнаружения информация передается в правоохранительные органы, либо начинается судебное разбирательство с целью возмещения ущерба. Лучше заранее обсудить, каковы перспективы компании выиграть, потому что, например, РОСНАНО – госструктура, и может быть так, что в некоторых случаях в конфликт лучше вообще не вступать.
А в лучшем варианте, в случае подтверждения нарушения могут быть два итога: либо возмещение ущерба, либо возбуждение уголовного дела.
Ну а на самом последнем этапе производится систематизация полученного опыта, чтобы дать менеджерам советы на будущее, не наступать на эти грабли снова. Создается своего рода «база прецедентов».
GAAP.RU благодарит The Moscow Time за сотрудничество в рамках мероприятия