Управление на риска от измами кой е отговорен за тях

В моята практика често се сблъсквам със ситуация, при която рисковете от извършване на измамни действия в компаниите не се разглеждат (не се оценяват) или се разглеждат, но некомпетентно, поради което ограничено и без да се акцентира правилно. Съответно рисковете от измама не само нарастват – те се осъзнават. На кого е възложено управлението на рисковете от измами и на кого трябва да бъдат възложени?

В статията не разглеждам правната същност на понятието измама. Въпреки това, за общо разбиране, ще дам термина, предложен от Одитната комисия към президента на Руската федерация:

Измаматае престъпление в икономическата сфера, насочено срещу собствеността, което е кражба на чужда собственост или придобиване на правото върху чужда собственост чрез измама или злоупотреба с доверие (това понятие корелира с нормите на член 159 от Наказателния кодекс на Руската федерация).

Очевидно всеки мениджър има собствено разбиране за процеса на управление на рисковете от измами в организацията. Но практиката показва, че ако се обърне поне малко внимание на този въпрос, тогава в повечето случаи такова разбиране се ограничава до провеждане на разследвания (одити) във връзка със съмнителни факти на финансова и икономическа дейност.

Поради това ръководителите на български фирми обикновено поверяват контрола върху рисковете от вътрешнокорпоративни измами на службата за икономическа сигурност (наричана по-нататък EBS) и/или службата за вътрешен одит (служба за вътрешен контрол, одиторски апарат, по-нататък IAS). Възможно е да има ситуации, при които отговорността за управлението на тези рискове не е възложена на никого. От всеки отдел се очаква самостоятелно да оцени своите вътрешни рискове от измами и поведениеподходящи мерки за намаляването им. Или контролната среда в компанията е изключително негативна и измамните дейности са обичайна практика и стил на управление на компанията.

КАКВИ ПРОБЛЕМИ РЕШАВА SEB

Службата за икономическа сигурност по въпросите на предотвратяването на измами обикновено работи в две основни области:

В непланиран режим EBS работи след одити на одитори или при получаване на оперативна информация (включително от отворена "гореща линия", ако е организирана). В допълнение, службата за (икономическа) сигурност провежда разследвания на съмнителни факти и злоупотреби (основно в местата за съхранение на стоки и материали, по въпроси на разхода на гориво от превозните средства на компанията, по въпроси на обосноваване на отчетни суми и др.).

КОИ ВЪПРОСИ РЕШАВА

По време на планирани проверки или въз основа на получени неофициални сигнали, включително съобщения на "горещата линия" (отново, ако е организирана), могат да бъдат установени факти на икономическа дейност със съмнение за измама. В тези случаи вътрешните одитори обикновено правят подходящи искания за документи, провеждат интервюта с отговорни служители, наблюдават напредъка на инвентаризацията и събират други доказателства. Въз основа на получените данни одиторите правят заключения, които се докладват на ръководството.

Ръководството от своя страна предава резултатите от проверката на службата за икономическа сигурност за проучване. Само ръководството получава резултатите от разследването, вътрешните одитори често нямат обратна връзка какво се е случило и къде е изгубен контролът.

На практика се случваше материалите от проучването на одиторите да се предават на службата, в която са открити съмнителни факти. Което е изключително некоректно! Трябва даразберете, че разследването трябва да се извърши от трети (независими) специалистиили изобщо да не се извършва!.

КАКВО Е ЗАДАЧИТЕ ЗА ИЗМАМА УПРАВЛЕНИЕ НА ОПЕРАЦИИ

Разбира се, основните инициативи за предотвратяване на фактите на насилие идват предимно от собствениците на фирми. И собствениците, ако имат интерес от това, по този въпрос трябва да стимулират най-вече оперативното управление.

За да направят това, компаниите прилагат набор от подходящи мерки (в икономически целесъобразни обеми):

  • основните постулати за нулева толерантност към измами са предписани в кодекси за етично поведение (ако има такива) или са посочени в основните приоритети на организацията. Ръководството може да има други начини да изрази своята позиция, основното е, че тези постулати засягат всички служители, винаги са достъпни за четене и редовно се напомнят на всички (на общи събрания, на вътрешни интернет портали и главни уеб страници на компании, във вътрешни периодични издания и прегледи и др.).
  • вътрешните политики на отделните бизнес процеси (например вътрешни политики за доставки или политики за продажби и т.н.) описват ключовите рискове. Например, в политиката за обществени поръчки е необходимо да се посочи недопустимостта на покупки на завишени цени, а в политиката за продажби - недопустимостта на сключени споразумения с купувачи партньори с цел плащане на неофициални такси (подкупи) и др.
  • освен това, съответните клаузи са записани в наредбите за отделите и длъжностните характеристики, които са свързани с трудовите договори; редовни вътрешни обучения и инструктажи; отделните процеси се проверяват редовно, различнитематичен мониторинг.
  • и т.н.
Но често най-елементарните концепции в областта на борбата с вътрешните измами не са формулирани в компаниите. Съответно няма изисквания към управлението, системата за мотивация не е насочена към изграждане на ефективна система, която да идентифицира и предотвратява подобни рискове. Липсват и инструменти за наблюдение на съответния контрол и рискове, липсва докладване на рисковете от злоупотреби, контролните процедури не са формализирани и не се провежда обучение на служителите. Ето защо не трябва да се очакват ефективни мерки в областта на противодействието и предотвратяването на злоупотреби от страна на оперативното ръководство.

КАКЪВ Е РЕЗУЛТАТЪТ

Резултатите, постигнати от услугата за икономическа сигурност, не са достатъчно значими, тъй като SES ефективно потиска само физическото изнасяне на стоки и материали (ако е организирана охрана на периметъра). И такава кражба, като правило, не е значителна. В повечето случаи SEB не управлява и не открива рисковете от измами, извършени без материални активи да пресичат периметъра.

Ако вътрешните одитори подозират измама, събраните доказателства се представят на ръководството. По правило вътрешните одитори не извършват подробно разследване поради липса на съответните компетенции или правомощия. Най-често ръководството прехвърля материалите на одиторите отново в SES, която се опитва да проведе разследване самостоятелно, без да включва специализирани специалисти (включително вътрешни одитори). Поради това разследването се оказва измачкано, с недостатъчно обхващане на всички участници, без пълен анализ на всички документи и в резултат на това неубедително.

Като цяло SVA и SEB методологически не могат да бъдат поверениуправление на риска от измами. На тези служби могат да бъдат поверени само проучвания и мониторинг на съществуващите процедури за контрол (тяхната достатъчност и правилно изпълнение и прилагане). Което, първо, е логично, тъй като контролната служба, ако й е поверено управлението на рисковете, няма да може обективно да оцени резултатите от собствената си работа. И второ, отговаря на международните стандарти и практики.

За висшето ръководство управлението на риска от измами е ограничено до разследвания и одити.

Кумулативният резултат изглежда парадоксален: оперативното управление, което би трябвало да управлява рисковете от измами (както и други рискове, всъщност), не ги управлява и не носи отговорност за тях, докато IAS и SEB, които не би трябвало да носят отговорност за такива рискове, са отговорни за тях (но не се управляват едновременно).

СПЕЦИАЛЕН ПОДХОД

Затова лордовете Д. Торпи и М. Шеррод предлагат да се създаде работна група в компанията, която да отговаря за управлението на риска от измами (някакъв Надзорен комитет).

Екипът трябва да включва служители, които в допълнение към основните си отговорности участват в дейности за реагиране при измами.

За да постигнат положителен резултат при справянето със сложни случаи на измами, членовете на екипа трябва да притежават различни умения и знания. Следователно тази група трябва да включва представители на различни области и служби:

Всъщност основните идеи, изложени в статията на г-н D. Thorpey и M. Sherrod, са представени най-общо в труда "Managing the Business Risk of Fraud: A Practical Guide" - съвместна работа на три организации ACFE, IIA, AICPA.

Председателят на групата осигурява постигането на общите цели и координира действията на членовете на екипа.Съответно е необходимо този човек да е най-заинтересован от качествената работа на групата. Например, назначен от собственика на бизнеса (не от главния изпълнителен директор) или от един от членовете на Съвета на директорите (Надзорния съвет).

Създаденият екип трябва да работи в рамките на програмата за борба с измамите. Целта на тази програма е да създаде основа за процедури за разследване, разкриване и предотвратяване на вътрешнокорпоративни измами, както и съставяне и докладване на извършените дейности, включително за ефективността на въведените механизми в рамките на програмата.

МНЕНИЕ

Идеята за създаване на Надзорен комитет (или негов еквивалент) е интересна в много отношения. За да се приложи обаче, трябва да бъдат изпълнени редица условия:

  • Ръководството на компанията (собственик на фирма, съвет на директорите, главен изпълнителен директор) трябва да се интересува от резултатите от работата на Надзорния съвет. Това е основното условие! Изпълнението на останалите условия, посочени по-долу,без интерес от страна на Ръководството, няма да има смисъл.
  • Резултатите от работата на Надзорния съвет следва редовно да се преразглеждат от Съвета на директорите.
  • Въз основа на резултатите от работата на Надзорния съвет винаги трябва да има адекватна реакция.

Но в условията на българския стил на правене на бизнес (става дума предимно за големи организации), тези условия не винаги са изпълними. Собствениците управляват (?) придобития бизнес отдалеч, висшето изпълнително ръководство не се интересува от управлението на рисковете от измами, оперативното ръководство също не се интересува, ролите на SEB и IAS са замъглени.

ОБОБЩЕНИЕ

Преди да изградят вътрешна система за управление на риска от измами, собствениците на фирми трябва да стимулират подходящовисше изпълнително и оперативно ръководство: дайте правомощия и отговорност.

Изключете от оперативните дейности на SEB и IAS: при договаряне на договори, при участие във вземане на решения по сделки и др. SEB, разбира се, има функционалност за същите проверки на потенциални контрагенти преди наддаване, следователно, ако (от одитори по време на проверки), например, бъдат идентифицирани признаци на принадлежност на участници в търгове, SEB не може да бъде инструктиран да проучи този проблем.

Разработване на програма за борба с измамите в компанията и въвеждане на надзорен орган (подчинен на собствениците на предприятия), който да следи нейното изпълнение. В същото време посочената програма трябва да включва набор от мерки, а не само провеждането на одити и/или разследвания.