За даними Міжнародної асоціації сертифікованих фахівців з розслідування випадків шахрайства(ACFE), у серпні 2020 року про збільшення внутрішньокорпоративного шахрайства заявили 77% керівників великих компаній. За чотири місяці — з травня по серпень — зростання склало майже 10%. Найчастіше шахрайські схеми в компанії виявляють лише через два роки після їх появи, що приносить компаніям значні збитки. При цьому через недостатньо добре вибудовані операційні процеси фінансові втрати невеликих компаній практично удвічі вище, ніж великих компаній — 30% проти 17%.
У компаніях фінансова функція є однією з найбільш уразливих, і ризики шахрайства в таких процесах є досить високими. Серед найбільш поширених схем - розкрадання коштів (активів) шляхом маніпуляції з чеками і платежами. Такий тип крадіжок частіше зустрічається в невеликих компаніях, в чотири рази частіше, ніж у великих (22% і 6% відповідно). Також шахраї часто використовують біллінгові схеми і схеми з відшкодуванням фіктивних витрат працівникам. Іноді працівники подають на відшкодування досить «цікаві» звіти про витрати. Наприклад, компанія, яка отримала оплату за заявлену бізнес-вечерю, відома не як ресторан, а як стрип-клуб. Або придбання одягу на суму $ 250 для зустрічі з бізнес-клієнтом навряд чи входить до переліку допустимих витрат. Цей список креативу нескінченний: від дорогих сигар і польотів на гвинтокрилі до золотих запонок.
Причому, такі випадки удвічі частіше зустрічаються серед працівників, які подають підтверджуючу документацію на відшкодування в паперовому вигляді, порівняно з тими, хто використовує відповідні IT-рішення. Розкриття такого обману не перевищує 15%, і більше половини шахраїв знову скоюють таке в наступні два роки. Зрештою, з метою крадіжки коштів компанії працівники вищої ланки можуть завищувати або занижувати фінансові результати: 14% і 10% в невеликих і великих компаніях відповідно.
Виявити не означає попередити
Ефективний захист від шахрайства починається з превентивних заходів. Знаючи найпоширеніші лазівки, які використовуються недобросовісними працівниками, розуміючи мотиви, які штовхають їх на вчинення протиправних дій, можна вибудувати ефективну систему боротьби з цією загрозою. Компанія може попередити один із найпоширеніших ризиків, а саме безпідставне відшкодування витрат, якщо зробить наступні кроки:
Перший крок. Провести ретельну перевірку поточних працівників і потенційних кандидатів на критично значимі посади. Для цього ще до співбесіди слід перевірити минуле кандидата (зміну прізвища, адреси тощо), його рекомендації, профілі в соціальних мережах та інші дані. Якщо з'ясується, що людина є азартним гравцем, зловживає психоактивними речовинами чи агресивно критикує попереднього роботодавця, від співпраці з ним краще відмовитися.
Другий крок. Створити чіткі і зрозумілі процедури підзвітності. Якщо у вас нема розуміння, хто кому звітує в компанії, в тому числі, між материнською компанією і дочірнім підприємством, призводить до того, що у шахраїв буде більше можливостей приховувати втрати і шахрайство від супервайзера. Забезпечте розподіл повноважень між відділами в питаннях комплаєнс-функції, управління ризиками та операційної діяльності, відокремивши їх від бізнес-процесів.
Третій крок. Створіть контрольне середовище і знайдіть інструменти, які дозволяють швидко виявляти і управляти інцидентами в компанії. Ефективними можуть бути різні канали повідомлень про факти шахрайства: багатоканальна телефонна лінія, електронна пошта, месенджери, чат-боти. Відстежуйте і обмежуйте спроби отримання працівниками конфіденційної інформації. Якщо хтось намагається скопіювати базу даних компаній, це відразу повинно викликати підозру. Те ж саме можна сказати про різку активізацію листування між працівниками, не пов'язаними робочими відносинами. Звертайте увагу на особливо великі транзакції чи угоди з особливими умовами, наприклад, надання необґрунтованої розстрочки контрагентам. Регулярно вибірково перевіряйте окремі транзакції.
Четвертий крок. Не слід економити на проведенні тренінгів і навчанні працівників. Культивуйте в компанії нетерпиме ставлення до шахрайства і пояснюйте кому і якими каналами зв'язку слід повідомляти про можливі порушення, наприклад, на гарячу лінію. Гарантуйте конфіденційність і заохочення за надання важливої інформації про шахрайські схеми.
П'ятий крок. Приділяйте більше уваги перевірці діяльності топ-менеджерів компанії. Вважається, що керівники компанії несуть персональну відповідальність за протидію та розкриття шахрайських схем всередині компанії. Однак результати численних досліджень, наприклад, North Carolina State University, The University of Missouri-Kansas City та The University of Chieti and PescarainItaly, показують, що багато фінансових директорів є менш схильними повідомляти про потенційні випадки шахрайства. Вони більше концентруються на необхідності досягати фінансових показників (КПЕ). І ця тактика що може дорого обійтися компанії.
Шостий крок. Проводьте внутрішній аудит, плановий і позаплановий, який дозволить перевірити ефективність всіх попередніх кроків з протидії шахрайству, а також відповідні ланки в структурі компанії, включаючи звіти працівників про витрати.
Що робити з виявленим шахраєм
Перша доба є найбільш критичною для збору доказів: IP-адрес, цифрового сліду, журналів операцій, паперових носіїв тощо. Захисні заходи фіксуйте у внутрішніх протоколах.
Перші 24 години після виникнення підозри про шахрайство повинні включати такі дії:
- складання чіткого плану дій зі встановлення факту потенційного порушення; запобігання подальшого збитку (як фінансового, так і репутаційного); збору і збереження доказів; вжиття заходів щодо повернення активів і забезпечення конфіденційності;
- розробка комунікаційної стратегії;
- залучення всіх зацікавлених сторін: HR-відділу, юридичного департаменту, PR-відділу; IT-департаменту;
- оцінка необхідності залучення зовнішньої допомоги (юристів, форензік-фахівців, PR-агентства, правоохоронних органів);
- проведення (з урахуванням законодавчих вимог і внутрішніх нормативів) перевірки працівника, якого запідозрили в шахрайстві, шляхом кабінетного пошуку та IT-аналізу корпоративних гаджетів (ноутбука, мобільного телефону, карти пам'яті, інших пристроїв);
- оцінка потенційних дисциплінарних заходів щодо такого працівника.
Важливо визначитись в яких випадках необхідно звертатися до поліції, а в яких — доручити перевірку власній службі безпеки чи спеціальним агентствам. Кожен випадок шахрайства вимагає індивідуального розгляду. Остаточне рішення має прийматися топ-менеджментом компанії після аналізу всієї сукупності факторів: суми збитків, комплексності порушення, наявності доказової бази щодо порушника, цілей компанії (відшкодувати збиток, покарати винного, захистити репутацію тощо).
На наш погляд, у деяких випадках доречно залучати правоохоронні органи, оскільки це є переконливим аргументом для інших працівників, що компанія готова вжити жорсткі заходи і що у неї нульова толерантність до шахрайства. Якщо у компанії немає необхідних ресурсів чи експертизи для управління інцидентами з шахрайством, можливо, варто залучати зовнішніх фахівців. Якщо ж компанія проводить розслідування самостійно, то в цих випадках потрібна правова стратегія і план дій за його результатами, які допоможуть відшкодувати завдані збитки і побудувати ефективну систему запобігання та протидії новим або подібним схемам.
Інакше залишені без покарання факти порушень потягнуть за собою інші шахрайські схеми і завдадуть ще більш значну фінансову шкоди вашій організації.