Мошенничество и внутренний аудит

Масштабы проблемы

Согласно «Глобальному исследованию по вопросам мошенничества в банковской сфере» компании KPMG, проведенному в 2019 году, более половины респондентов из разных стран мира на практике столкнулись как с ростом количества внешних мошеннических действий, так и с ростом суммы потерь от них. С 2015 по 2018 год значительно увеличилось количество мошеннических схем в банковской сфере, включая кражу личных данных и учетных записей, кибератаки,  CNP -атаки и  авторизованные платежи мошенникам.

Также 61% респондентов считает, что в 2018 году увеличилось количество внешних мошенничеств, а 31% – что увеличилось количество внутренних мошенничеств, рост общей суммы потерь от мошенничеств составил 59% и 27% соответственно.

Другое исследование, проведенное  PwC , «Борьба с мошенничеством – никогда не оканчиваемая битва 2020», также показывает, что риск мошенничества является одним из значимых для компаний.

При этом компании, у которых была разработана специальная программа противодействия мошенничеству, потеряли на 42% меньше, чем те, у которых такой программы не было. Если говорить об источниках, то, по данным исследования,  39% – это случаи внешнего мошенничества,  37% - внутреннего и порядка 20% – это микс (т.е. внутреннее и внешнее мошенничество). Если раскрыть, кто именно, то по внешнему мошенничеству основные действующие лица – это клиенты (26%), хакеры (24%), а по внутреннему мошенничеству –  менеджмент среднего уровня з в 34% случаев, сотрудники в 31%, высший менеджмент в 26%.

Подходы внутреннего аудита

Каким образом внутренний аудит может содействовать выявлению и предотвращению риска мошенничества? Вопрос и простой, и сложный одновременно. С одной стороны, необходимо понимать, что внутренние аудиторы  не являются профильными специалистами в части работы с риском мошенничества. Стандарты не указывают на необходимость профессионально владеть навыками и обладать знаниями в этой области. С другой стороны, на практике внутренний аудит участвует в  выявлении и  предотвращении риска мошенничества.

Можно выделить несколько подходов, которые могут быть применены внутренними аудиторами при работе с данным риском:

1. Системный: комплексная проверка на уровне организации. Внутренние аудиторы могут проводить аудиты и предоставлять обобщенную оценку, как в организации в целом выстроена работа с риском мошенничества, какие подразделения являются координаторами в такой работе, какие  митигирующие инструменты имеются, какие существуют  присущие и остаточные риски и др.;

2. Менее системный: таргетированная проверка в разрезе процесса или подразделения. Внутренние аудиторы могут проводить меньшую по объемам и охвату проверку, которая затрагивает тот или иной процесс или подразделение, но не организацию в целом;

3. Ситуативный : точечный разбор конкретного кейса, связанного с мошенничеством, и предоставление  рекомендаций ;

4. Точечный: работа над риском мошенничества только в рамках рассмотрения иных рисков и участия в рабочих группах. Внутренние аудиторы, участвуя в рабочей группе или осуществляя проверку иного  типа риска , изучают и оценивают в том числе и риск мошенничества.

Каждый из указанных выше способов имеет свои преимущества и недостатки, которые необходимо учитывать при планировании деятельности внутренних аудиторов. Например, преимущество системной проверки заключается в наиболее  полном охвате риска мошенничества и, как следствие, повышении зрелости системы управления рисками и внутреннего контроля, а также минимизации данного риска. Кроме того, этот подход предоставит возможность заинтересованным сторонам быть в курсе происходящего на уровне компании. Теперь о недостатках. Объемный охват – это, во-первых, всегда вопрос ресурсов внутреннего аудита и иных задействованных в процессе проверки сторон. Во-вторых, это шанс упустить из периметра внимания внутренних аудиторов другие риски. А если в компании существуют  профильные структуры по борьбе с риском мошенничества , то в сознании руководства и проверяемых подразделений может закрепиться мнение, что внутренние аудиторы – это сотрудники, которые никому не доверяют и дублируют чужую работу.

Красные флаги

Чтобы недостатки каждого из четырех обозначенных подходов трансформировать в преимущества, нужно мыслить рационально и действовать аккуратно.

Практическими критериями для выбора одного из вариантов могут послужить следующие  триггеры :

1. За последние год-три в компании были установлены многочисленные случаи реализации внутреннего или внешнего мошенничества, пусть даже связанные с незначительными суммами;

2. Сфера деятельности компании, согласно международным исследованиям, входит в так называемую  зону реализации рисков мошенничества ;

3. Страна, в которой функционирует ваш актив, имеет высокую степень риска мошенничества;

4. В структуре компании не функционирует подразделение по управлению рисками или иные службы, чьей функциональной зоной могла бы быть работа с этим типом рисков;

5. Внутренняя управленческая отчетность минимально охватывает и раскрывает  работу с риском мошенничества ;

6. В целом в организации, в отдельно взятых подразделениях происходит частая или, наоборот, медленная ротация человеческого капитала;

7. Некоторые подразделения показывают феноменальные результаты, то есть очень сильно выбиваются из тренда в лучшую сторону;

8. Финансовые показатели организации или отдельного направления ухудшаются на протяжении длительного периода;

9. Внутренние аудиторы получают сигналы о мошенничестве от представителей подразделений, по каналам  линии доверия и из иных источников, в частности, от менеджмента, представителей акционеров и т.д.

Эти красные флаги – лишь некоторые примеры. Их может быть гораздо больше и в разном сочетании, поэтому в случае каждой компании необходимо подходить к этому вопросу максимально подготовленно и взвешенно. Проявление или выявление «красных флагов» зависит от целого ряда факторов:

• отрасли, в которой функционирует компания

• масштабов бизнеса

• амбициозности и агрессивности принятой стратегии

• философии и ценностей компании

• уровня автоматизации процессов

• качества и полноты управленческой отчетности

• наличия хранилищ данных

• наличия биржевых обязательств и т.д.

Уметь договориться

Заслуживает внимания еще один аспект работы с риском мошенничества – это координация деятельности, когда на один случай мошенничества откликаются и обращают внимание разные стороны.

Пример. В статье «Кто должен отвечать за риски внутреннего мошенничества» Д. Торпи и М. Шеррод описали интересную ситуацию, когда на подозрение в коррупции менеджеров по продажам среагировали разные сотрудники компании, в разное время и каждый по-своему. Одно подразделение планировало проводить расследование, другое – собирало сотрудников для тренинга по противодействию мошенничеству в разрезе этого случая, а третья служба трубила о нарушении кодекса этики. По данным Глобального исследования по рискам, проведенного PwC в 2020 году, «была выявлена возросшая необходимость улучшения взаимодействия между  функциональными подразделениями , вовлеченными в риск-менеджмент. Поскольку компании вступают в эпоху четвертой промышленной революции, от этих подразделений требуется активное вовлечение в процесс создания и удержания стоимости бизнеса. Риски становятся все более сложными и взаимосвязанными, поэтому без тесного взаимодействия соответствующих подразделений неизбежно появление «слепых» зон в области рисков, которые могут быть незаметны для основных заинтересованных сторон. Это поставит под угрозу стратегические, финансовые и операционные инициативы на всех уровнях организации».

Если абстрагироваться от триггеров и необходимости координации, то в целом классический цикл работы по выявлению и предотвращению рисков мошенничества может выглядеть следующим образом: 

В итоге

1. Риск мошенничества  присущ практически любой компании.

2. Внутренние аудиторы могут содействовать выявлению и предотвращению рисков мошенничества путем проведения проверок и участия в координационных группах.

3. Имеется как минимум четыре подхода, которые внутренние аудиторы могут применять в своей деятельности в части указанного риска. Выбор какого-либо из них зависит от целого ряда факторов. В каждом отдельном случае подход должен выбираться индивидуально.

4. Квинтэссенцией деятельности внутренних аудиторов является умение как определить триггеры и факторы, так и предоставить практичные, системные и экономически обоснованные рекомендации по митигации риска мошенничества, по совершенствованию системы управления риском, внутреннего контроля и т.д. Кроме того, чтобы повысить эффект от деятельности внутреннего аудита, не нужно забывать про координацию с иными подразделениями.