Тонкость была в том, что о реальной деятельности фонда, приносившего инвесторам 12-13% годовых, знал лишь сам Мэдофф и несколько его доверенных лиц, работавших на «семнадцатом этаже» в секретном помещении, где подделывалась отчетность. О том, что фонд, созданный одним из основателей и бывшим председателем совета директоров NASDAQ не инвестировал средства клиентов более 13 лет (а, может быть, и никогда) не знали даже сыновья Мэдоффа, вместе с ним руководившие компанией. 10 декабря 2008 года отец сообщил им о том, что Madoff Investment Securities – «один большой обман».
Последствия деятельности Мэдоффа были катастрофическими: задолженность фонда составляет около 50 миллиардов долларов, а The Wall Street Journal оценивает потенциальные потери от крушения пирамиды в 26,9 миллиардов долларов.
Madoff Investment Securities – это, пожалуй, не только самый яркий пример того, сколько рынок, инвесторы и компания могут потерять из-за деятельности одного человека. Это еще и иллюстрация, насколько тщетны могут быть внешние аудиторские проверки: инспекции Комиссии по ценным бумагам и биржам многие годы не выявляли в деятельности фонда никаких значимых нарушений.
Проблема мошенничества актуальна и для компаний, не связанных с фондовыми рынками. Любая организация несет риски из-за незаконных действий своих сотрудников. Например, непрозрачные закупочные схемы или серые логистические контракты, действующие в компании, могут нанести гораздо больше урона, чем активности прямых конкурентов.
По данным опроса PwC 48% российских компаний за последние два года столкнулись с экономическими преступлениями. Оставаясь выше общемирового показателя (36%), эти цифры все же оптимистичны: такой результат значительно ниже данных 2014 года (60%). Однако радоваться снижению преждевременно: потери от деятельности «троянских коней» в компаниях высоки: согласно исследованию Ассоциации специалистов по расследованию хищений и мошенничества (ACFE), около 5% годового дохода среднестатистическая компания теряет из-за махинаций, а ущерб одного случая, в среднем, составляет $ 150 тысяч долларов. В 23% случаев, особенно когда в злоупотреблениях замешаны топ-менеджеры, ущерб от одного факта мошенничества превышает $ 1 млн.
При этом эксперты прогнозируют рост потерь. Так «Известия», ссылаясь на отчет компании Zecurion, специализирующейся на кибербезопасности, сообщают, что ущерб российских банков от ошибочных и злонамеренных действий сотрудников в первом полугодии 2017 года вырос более чем вдвое в сравнении с аналогичным периодом прошлого года.
Сегодня в корпоративном мошенничестве эксперты выделяют несколько основных трендов, которые, в целом, можно назвать общими. Опрос PwC показывает, что доминируют следующие виды внутренних преступлений: незаконное присвоение активов (72% в России и 64% в мире); махинации при закупках (33 и 23%, соответственно); взяточничество (30 и 24%); манипуляция финансовой отчетностью (23 и 18%) и отмывание средств (12 и 11%). При этом доминирующими уже много лет остаются именно преступления работников: действительно, мало кто может нанести такой вред бизнесу, как сотрудник, пользующийся знанием «внутренней кухни» (о причастности «лиц внутри компании» к преступлениям PwC сообщили 46% респондентов).
Выявление таких нарушений в России ложится на внутренний аудит и службу безопасности (20 и 15 процентов соответственно). Этот достаточно результативно, однако не является панацеей: во многих случаях компаниям приходится привлекать дорогостоящих консультантов или тратить большие деньги на внутренние проверки, которые, как правило, выявляют мошенничества лишь постфактум, когда их последствия становятся необратимыми. У такого подхода есть и иные недостатки: в компаниях, которые вынуждены часто перестраивать бизнес-процессы ради конкурентоспособности, аудит не успевает за изменениями. Это приводит к ошибкам и срывам сроков проверок.
В мире же ставку делают на качество и скорость получения и обработки информации о подозрительных операциях, передавая контроль мониторинговым системам предотвращения угроз. Такие решения как SAP GRC (Governance, risk and compliance) позволяют отслеживать отклонения от нормативов в режиме реального времени, проверять финансовую отчетность на ее соответствие реальности, контролировать доступ сотрудников к информации.
По словам Андрея Нифатова, менеджера по развитию бизнеса SAP CIS, информационные системы SAP помимо прочего снижают риск сговора сотрудников, в случае которого средние потери компании от одного инцидента растут почти вдвое, составляя $250 тысяч. «Достаточно легко, с использованием единых корпоративных правил, решить важную организационную задачу в сфере управления рисками — разграничение полномочий сотрудников в рамках бизнес-процесса. В частности, значительно сокращают время и усилия на выявление злонамеренных действий сотрудников».
Проверка контрагентов осуществляется на основании внешних источников – SAP’ World Partner Ecosystem. В РФ используются базы данных World Check, Thomson Reuters Corporation и другие, которые могут быть подключены для выполнения проверок контрагентов. Особенностью нашего решения является всестороння проверка риска контрагента, как с использованием внешних данных таких как: sanction party screening, адреса массовой регистрации, адреса массовой регистрации, Индекс Должной Осмотрительности, как и внутренних данных: объем закупок, % согласования заявок одним сотрудником. Пилоты в компаниях в крупной компании производителе ПО, показали высокую производительность проверок по большому количеству контрагентов и данных накопленных по всему миру.
Встраивание машинного обучения в процесс выявления нарушений позволяет повысить точность обнаружения. Начальный этап обучения проводят на исторических данных. В базе знаний по совершенным нарушениям накапливается информация по ключевым параметрам бизнес-процесса, а также, отметка сотрудника безопасности о том, какие отклонения, транзакции, поставщики являются подозрительными. Встроенный из коробки механизм машинного обучения позволяет учиться искусственному интеллекту на принятых решениях сотрудником безопасности и в последствии помогает сотрудникам безопасности в поиске новых нарушений.
Решение SAP BIS поставляется с начальным набором правил: для внутреннего аудита закупок, контроль заявок на возмещение по страховым выплатам, мониторинг поведения сотрудников вашей компанией, отправленные и полученные электронные письма, сообщения в социальных сетях или посещения Сайтов.
Применение систем SAP GRC позволило транспортной компании Panalpina Group снизить затраты на аудит на 5–10 % и сократить время на управление полномочиями пользователей в информационных системах в среднем на 60–75 %. Концерн Dow Chemical выявил дублирующие счета на оплату с помощью системы постоянного мониторинга бизнес-процессов закупки (continuous control monitoring) на базе SAP GRC, что, в свою очередь снизило убытки.
О успехах российских компаний, активно трансформирующих свой бизнес с помощью решений SAP по противодействию мошенничеству, говорит, например, опыт «Аэрофлота». О нем рассказала Татьяна Кутакова, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО «Аэрофлот» на VIII региональной конференция Института внутренних аудиторов «Внутренний аудит в России». Авиакомпании было необходимо модернизировать систему внутреннего контроля и привести ее в соответствие с международными требованиями. Для этого было выбрано решение SAP Audit Management, которое ранее не использовалось на российском рынке. Систему привели в соответствие с требованиями заказчика. Ее внедрение позволило полностью автоматизировать все элементы внутреннего контроля, что существенно ускорило процесс и снизило операционные затраты.