Intelligent Enterprise: Какова ситуация с корпоративным мошенничеством в России? Насколько она коррелирует с положением дел в экономике?
Татьяна Вострова: По итогам нашего опроса, проведенного среди представителей более ста российских компаний, за последние два года от мошенничества и коррупции пострадали 48% организаций. И это существенно ниже, чем двумя годами раньше, когда уровень экономических преступлений составил 60%.
Такая положительная тенденция является результатом принятия новых инициатив по противодействию коррупции в корпоративном и государственном секторах, усиления роли функции внутреннего аудита и усовершенствования систем, предназначенных для обнаружения противоправных действий.
В последнее время российские компании начали более активно использовать внутренние ресурсы и технический инструментарий, направленные на своевременное выявление и предотвращение преступных посягательств, включая коммерческий подкуп и иные симптомы корпоративной коррупции. За два года количество экономических правонарушений, выявленных службой внутреннего аудита, удвоилось (20% в 2016-м по сравнению с 10% в 2014-м). Это означает, что внутренний аудит является одним из наиболее действенных механизмов раскрытия мошеннических действий в России. В то же время существенно увеличилась роль мониторинга подозрительных операций в обнаружении фактов мошенничества и коррупции (11% по сравнению с 3% в 2014 году), что приближается к международной практике.
Не следует забывать и того, что в течение последних пяти лет в России был принят целый ряд законов и нормативных актов, направленных на борьбу с коррупцией. И вполне возможно, сейчас мы наблюдаем определенные результаты принятых мер.
Но несмотря на весьма существенное снижение уровня экономических правонарушений, ситуация в нашей стране более напряженная, чем в среднем по миру. И даже в сравнении с показателем по «большой семерке» развивающихся рынков, куда мы включаем Бразилию, Индию, Индонезию, Китай, Мексику, Россию и Турцию, ситуация в России выглядит не лучшим образом. Надо сказать, что мы не единственные, кто пытается отслеживать ситуацию в сфере мошенничества и коррупции. Но на практике разные компании и аналитические агентства используют разные критерии оценки, так что полученные данные часто несопоставимы, а значит, напрямую сравнивать их нельзя. С этим же связан и значительный разброс показателей. К слову, не всегда уместно сравнение показателей стран и регионов.
Многое зависит и от открытости респондентов и их готовности говорить на такую не слишком приятную тему. К примеру, наш самый первый опрос среди российских предприятий, который мы провели около десяти лет назад, показал очень низкий уровень мошенничества и коррупции по сравнению с текущим показателем. Но вряд ли это означает, что в прежние времена ситуация с данной проблемой была существенно лучше.
А насколько меняется ситуация в зависимости от отрасли? Где дело обстоит хуже, а где более-менее благополучно?
Сложнее всего дела обстоят в финансовом секторе, а также в сфере розничной торговли. Дальше с небольшим отрывом следуют транспорт и логистика, строительство, автомобильный сектор. Остальные отрасли подвержены корпоративному мошенничеству и коррупции меньше.
В соответствии с теорией существуют три фактора, под влиянием которых совершается мошенничество: давление внешних обстоятельств (например, страх потерять работу, снижение уровня доходов, высокая долговая нагрузка), наличие возможностей для такого деяния и самооправдание. В периоды экономических неурядиц неизбежно растет количество правонарушений, связанных с давлением внешних обстоятельств. Вместе с тем появляется и больше возможностей, так как программы сокращения затрат зачастую затрагивают незарабатывающие подразделения компаний, в том числе выполняющие функции внутреннего контроля и аудита. В России возможность совершения экономических преступлений является самым весомым фактором. Причем по сравнению с 2014 годом этот показатель вырос на 8%.
Какого рода посягательства наиболее характерны для нашей страны?
Традиционно наиболее распространенный вид экономических преступлений составляет незаконное присвоение активов организаций, под каковым подразумеваются как кражи со складов, так и вывод денежных средств. Этот вид мошенничества является самым распространенным и во всём мире. Второе место занимает мошенничество в области закупок товаров, работ, услуг. На третьем — взяточничество и коррупция.
На четвертом месте по популярности находятся киберпреступления. По данным наших респондентов уровень этого рода преступлений немного снизился по сравнению с ситуацией двухгодичной давности, и в настоящий момент он ниже, чем в целом по миру. Такая статистика выглядит неоднозначно, ведь всем хорошо известно, что количество киберпреступлений неуклонно растет. Возможно, наши респонденты недостаточно информированы о специфических видах мошенничества и угрозах, с которыми сталкиваются компании.
На виду обычно оказываются только посягательства, вызывающие широкий резонанс, — значимые прямые кражи, например, по каналам дистанционного банковского обслуживания, крупные утечки персональных данных клиентов или специфические формы вымогательства, скажем, с помощью DDoS-атак. А в последнее время участились случаи, когда требуют выкуп за расшифровку документов с зараженных ransomware компьютеров и серверов. По нашим наблюдениям, если кибератака не оказывает мгновенного существенного влияния на финансовый результат компании, то с момента ее осуществления до обнаружения может пройти немало времени.
Каков типичный портрет корпоративного мошенника? Он внутренний или внешний?
Доли преступных посягательств со стороны внутренних и внешних мошенников приблизительно равны. Мошенник внутренний — это, как правило, мужчина с высшим образованием и опытом работы в данной компании не менее трех лет. Преимущественно речь идет о руководителях среднего звена. Вот уже долгие годы портрет этот принципиально не меняется и соответствует описанию мошенника, полученному на основании ответов респондентов по всему миру. Кибермошенники — сообщество не однородное, и, по нашим наблюдениям, в течение нескольких лет эти люди становятся всё моложе.
С внешними мошенниками ситуация на протяжении последних двух лет менялась более существенно. Так, например, сократилась доля мошенничества со стороны клиентов компаний: если два года назад с ними столкнулось 53% участников нашего опроса, то сейчас этот показатель составил лишь 35%. Вместе с тем выросла доля злоупотреблений, связанных с привлечением агентов и посредников, — с 20 до 29%.
Надо сказать, что в российских компаниях к внутренним мошенникам относятся довольно либерально. В 15% случаев к ним вообще не принимают никаких мер или переводят на другую должность. Увольняют нарушителя заметно реже, чем в целом по миру. Уведомление правоохранительных или регулирующих органов также бывает реже по сравнению с общемировой практикой.
В отношении внешних мошенников ситуация выглядит иначе. В большинстве случаев российские компании информируют правоохранительные органы о фактах совершённого экономического преступления, что превышает показатель в среднем по всему миру. И кроме того, у нас противоправное поведение намного чаще приводит к разрыву деловых отношений. В России таким образом склонны действовать 56% опрошенных против 25% в среднем по миру. А вот никаких мер не предпринимает лишь 6% российских компаний.
Каковы наиболее типичные сценарии в области высокотехнологичного мошенничества? Насколько быстро растет доля таких посягательств? И часто ли тут имеет место материальный мотив?
В деятельности, связанной с расследованием инцидентов, чаще всего приходится иметь дело с двумя сценариями. Это или кража денежных средств через каналы дистанционного банковского обслуживания (сюда же относятся и все случаи с карточным мошенничеством), или манипуляции с корпоративными данными и информацией. Первый случай, как правило, связан с деятельностью внешних мошенников, второй — внутренних.
Надо отметить, что манипуляции с корпоративными данными и информацией также зачастую имеют прямой или косвенный материальный мотив. За таким видом мошенничества может стоять сотрудник как среднего, так и высшего управленческого звена.
Насколько эффективно использование систем фрод-мониторинга для выявления и предотвращения мошенничества?
Автоматизированные решения для управления рисками мошенничества могут быть весьма эффективными. Система, настроенная с учетом специфических задач и особенностей бизнес-процессов организации, помогает оперативно выявлять сомнительные операции и предотвращать попытки вывода денежных средств. Безусловно, внедрение такой системы — процесс не простой и, как правило, весьма затратный. Поэтому компании следует сопоставлять затраты на подобные проекты с имеющимися рисками и величиной потенциального ущерба, который может быть нанесен в случае несвоевременного обнаружения мошенничества.
К примеру, когда у компании сотни или тысячи поставщиков, то провести оценку их благонадежности и аффилированности без использования автоматизированной системы в разумные сроки просто невозможно. Аналогичная ситуация с большими массивами данных и операций. Если же контрагентов считанные единицы или количество транзакций и данных невелико, с задачей выявления и предотвращения сомнительных операций вполне можно справиться без привлечения дополнительных инструментов. На практике в отношении таких бизнес-процессов гораздо проще и эффективнее перенастроить существующие элементы контроля, чем внедрять автоматические системы.
В конечном итоге сама компания решает, по какому пути пойти. Но какой бы инструментарий при этом ни использовался, одно из ключевых условий в борьбе с экономическими преступлениями — поддержка подобных инициатив со стороны высшего руководства предприятия. Если такая поддержка есть, то можно рассчитывать на успех внедрения практически любого технического решения.
Можно ли бороться с мошенничеством, используя исключительно организационные методы?
Да, безусловно можно. Существует ряд организационных мер, способствующих повышению прозрачности бизнеса и снижению рисков мошенничества, включая регулярную оценку рисков противоправных действий, системный подход к анализу благонадежности и аффилированности контрагентов, управление конфликтами интересов, усиление функции внутреннего аудита и контроля, проведение регулярных обучающих мероприятий для сотрудников, внедрение «горячей линии». Как показывает практика, «горячая линия» является эффективным механизмом выявления экономических правонарушений, когда сотрудники или контрагенты имеют возможность сообщить о любых сомнительных действиях, способных повлечь репутационный или финансовый ущерб для компании. Что нужно сделать, чтобы «горячая линия» заработала? Обеспечить конфиденциальность и анонимность, выстроить удобные каналы связи (такие, как телефон, электронная почта), проинформировать сотрудников и контрагентов о роли «горячей линии», организовать процедуры первичной обработки и расследования инцидентов, доведения результатов до сведения руководства и сотрудников. У нас принято говорить, что так называемое доносительство не свойственно нашим людям, это не в нашей культуре, у нас в обществе до сих пор сильнó предубеждение против подобных «горячих линий». Вместе с тем, как показывает накопленный нами опыт, во многих российских компаниях «горячие линии» успешно функционируют, позволяя своевременно выявлять и предотвращать факты мошенничества.
С Татьяной Востровой беседовал научный редактор Intelligent Enterprise Яков Шпунт
