ACFE (Association of Certified Fraud Examiners) у своєму глобальному дослідженні Occupational Fraud 2024: A Report to the Nations підтверджує, що найнебезпечніший шахрай - це не новачок. Співробітники зі стажем понад 5-10 років завдають збитків у рази більше, ніж новоприбулі працівники, а 87% викритих шахраїв раніше мали бездоганну репутацію.
У цій статті ми розберемо, чому лояльні працівники перетворюються на зловмисників, а найголовніше - як побудувати систему, яка захистить ваш бізнес
Чому “Трикутника” вже недостатньо
Кожен, хто хоч раз стикався з темою корпоративної безпеки, знає про “Трикутник шахрайства” Дональда Крессі. Це база. Щоб злочин відбувся, потрібні три елементи:
1) стимул або тиск (борги, ігроманія, коханка, “успішний успіх” в Instagram);
2) можливість вчинення дій (дірка в контролі, відсутність перевірок, доступ до активів);
3) виправдання (я не краду, я тимчасово позичаю, компанія мені недоплачує, всі так роблять).
Але давайте подивимось правді в очі: у багатьох компаніях є люди, які мають фінансові проблеми, вони мають доступ до грошей і, можливо, навіть образу на керівника. Але вони не крадуть. Чому?
Тому що цій теорії не вистачає четвертого, критично важливого елементу - це здатність.
Мало просто хотіти вкрасти і мати можливість. Треба мати хист це реалізувати і, що важливіше, приховати. Як ще один компонент - не боятися потенційних ризиків викриття.
Саме тому великі корпоративні шахрайства - це майже завжди справа рук топменеджменту або ключових вузькопрофільних спеціалістів.
Працівники, які роками не ходять у відпустку
Прийнято ставитись із повагою до людей, які віддані справі і працюють “24/7”. Але в контексті безпеки - це може бути один з головних “червоних прапорців”. Чому вони не відпочивають? Чому нікому не передають справи навіть на тиждень?
Це може бути не тому, що вони такі працьовиті, а тому, що побудована ними схема шахрайства вимагає ручного управління та постійної присутності.
Бо як тільки такий, наприклад, “незамінний” головбух чи начальник відділу закупівель вийде за поріг на два тижні, на його місце сяде інша людина і запитає: “А чому ми платимо цій фізичній особі-підприємцю за маркетингові послуги, якщо у нас немає маркетингу?”.
Відпустка - це стрес-тест для шахрайської системи. Якщо людина її уникає - це привід для детального аудиту її ділянки роботи.
Психологічний профайлінг
Прийнято виявляти шахрайство через дослідження способу життя працівника: дорогі авто, екзотичні відпустки, брендовий одяг при скромній зарплаті тощо. Можна час від часу перевіряти корпоративні афіляції працівника - часто недоброчесні співробітники створюють власні компанії чи реєструються як самозайняті особи, щоб легалізувати кошти, отримані від незаконного привласнення коштів чи майна.
Це правильний підхід, але він є реактивним. Коли ви побачили новий Range Rover у начальника складу - гроші вже вкрадено. Розслідування такого інциденту, швидше за все, не збереже гроші, вже втрачені від незаконних дій.
Ефективна система безпеки повинна включати аналіз майнового стану та ділових зв'язків кандидата ще на етапі найму. Надалі важливо здійснювати регулярний моніторинг, який дозволить відстежити динаміку змін і порівнювати стартові показники працівника з його поточним рівнем життя.
Таким чином комплаєнс-офіцер може побачити підозрілі “дзвіночки” на ранніх етапах.
Ефект вседозволеності
Потенційний шахрай часто демонструє зневагу до процедур. Він не носить бейдж, ігнорує політику чистого столу або демонстративно не проходить обов'язкові тренінги.
Якщо працівник вважає, що внутрішній контроль обмежує його геніальність - це перший крок до виправдання майбутніх махінацій.
“Застій” на одному місці
Працівник на своєму робочому місці - занадто довго, і знає всі переваги і недосконалості процесу настільки, що може отримувати з цього незаконні вигоди. Саме тому рекомендується здійснювати заміну людей на особливо відповідальних посадах раз на певну кількість часу.
Агресивний мікроменеджмент
Співробітник охороняє свою зону відповідальності. Він не дозволяє підлеглим спілкуватися з певними клієнтами напряму, вимагає ставити його в копію кожного листа, особисто веде переговори, навіть по дрібних контрактах.
Чесному працівнику вигідно делегувати. Шахраю делегувати смертельно небезпечно.
Надмірна лояльність до контрагента
Зверніть увагу на закупівельників або менеджерів, які захищають інтереси постачальника більше, ніж інтереси вашої компанії. Якщо ви чуєте фрази: “Ми не можемо тиснути на них зі штрафами, вони підуть від нас”, “Тільки вони можуть це зробити якісно”, “Давайте заплатимо наперед, у хлопців зараз касовий розрив”, це перші тривожні дзвіночки.
Закупівельник і менеджер з продажів мають бути партнерами для бізнесу, а не адвокатами ваших контрагентів.
Поєднання двох несумісних функцій в одного працівника (крах Barings Bank)
Класичний приклад того, як організаційна сліпота призводить до катастрофи, стався у 1995 році з британським Barings Bank. Трейдер Нік Лісон збирав величезні позиції на ринку деривативів, спекулюючи на японському індексі Nikkei. Коли угоди ставали збитковими, він не фіксував їх у звітності, а ховав на “таємному рахунку” через фіктивні операції.
Банк припустився фатальної помилки в архітектурі контролю. Лісон поєднував несумісні функції - він одночасно відповідав за торгівлю і за контроль операцій. Відсутність незалежного моніторингу та надмірна довіра до “успішного” працівника дозволили йому маніпулювати даними без перешкод.
Землетрус у Кобе обвалив ринки, зробивши приховування збитків неможливим. Банк втратив 827 млн. фунт стерлінгів, зазнав повного банкрутства і був проданий за символічний 1 фунт стерлінгів.
Тому якщо ваш працівник одночасно, до прикладу, веде переговори з контрагентами та проводить оплату, це - передумова для можливого шайхрайства в майбутньому.
Коли KPI стають співучасниками злочину
Ми звикли думати про шахрайство як про дію проти компанії. Але існує ще шахрайство заради компанії. Це трапляється, коли акціонери або топменеджмент встановлюють цілі, які неможливо досягти законним шляхом: “Зробіть +30% прибутку в кризу або ми скоротимо відділ”. У цей момент лояльний менеджер опиняється перед вибором. Бути чесним і звільненим або “трохи підкрутити” звітність.
Він не кладе гроші собі в кишеню, а виписує фіктивні накладні, щоб закрити квартал або приховує витрати, щоб показати маржинальність. Він думає, що рятує бізнес, але потрібно вважати на те, що людина, яка збрехала сьогодні заради компанії і залишилася безкарною, завтра почне красти вже у компанії.
Теорія розбитих вікон в офісі
Великі розкрадання ніколи не виникають на порожньому місці. Згадайте теорію “розбитих вікон”. Якщо в будинку розбите одне скло і його не замінюють, то незабаром у цьому будинку не залишиться жодного цілого вікна.
В офісі це працює так само. Все починається з дрібниць, на які керівництво закриває очі:
Використання корпоративного таксі, щоб з'їздити по особистих питаннях;
Роздруківка дипломної роботи дитини на офісному принтері (пачками паперу);
Представницькі витрати на вечерю з друзями, проведену як зустріч з клієнтом.
Експрес-діагностика
Вам не потрібні дорогі консультанти з Big-4, щоб зрозуміти, чи здорова у вас атмосфера. Вам потрібно просто чесно відповісти на три питання або включити їх в анонімне опитування.
Тест на реалістичність. Чи можливо виконати наші KPI на 100%, дотримуючись абсолютно всіх процедур та етичних норм? Якщо більшість відповість, що “ні”, ви самі штовхаєте людей на махінації.
Тест на “погані новини”. Що відбувається з людиною, яка приносить погані новини або визнає помилку? Якщо її карають публічно, а проблеми замовчують, у вас ідеальне середовище для приховування збитків до останнього моменту.
Exit-інтерв'ю. Люди, які йдуть, часто не мають чого втрачати. Запитайте прямо: “Чи бачили ви випадки нераціонального використання ресурсів або обходу правил, про які ми не знаємо?”. Ви здивуєтесь, скільки правди можна почути, коли працівник вже тримає в руках трудову книжку.
Як контролювати процеси, не паралізуючи роботу компанії
Традиційна реакція на шахрайство - “закрутити гайки”. Більше підписів, більше паперів, більше охорони. Це шлях в нікуди. Надмірний контроль паралізує бізнес, але професійний шахрай все одно знайде обхідний шлях.
Нам потрібна система, яка буде інтегрована в бізнес-процеси і реагувати на шахрайство, не зупиняючи роботу всього бізнесу.
Право на помилку і нульова толерантність
Власники часто плутають помилку з недбалістю чи злим умислом.
Помилка - це коли працівник намагався зробити як краще, експериментував, але втратив гроші. За це карати не можна, інакше ви вб'єте ініціативу.
Шахрайство - це коли дії були приховані, свідомі та спрямовані на особисту вигоду.
Якщо менеджер “спалив” бюджет на невдалий маркетинг - це привід для аналізу. Якщо він взяв “відкат” у 1 000 доларів - це привід для звільнення. Без винятків. Навіть якщо він приносить мільйони.
Whistleblowing
У нашій культурі повідомлення про порушення колеги історично таврується як “стукацтво”. Це головний бар'єр. Щоб лінія довіри запрацювала, треба змінити парадигму.
Змініть наратив. Ми повідомляємо не на колегу, ми повідомляємо про дірку в нашому спільному човні. Шахрай краде не у абстрактного власника, він краде з фонду оплати праці, бонусів та розвитку компанії. Він краде у нас.
Гарантуйте анонімність, а не конфіденційність. Співробітники не вірять у конфіденційність. Використовуйте зовнішні платформи, де повідомлення шифрується і навіть IT-директор не бачить IP-адресу заявника.
Зворотний зв'язок. Найгірше для викривача - тиша. Якщо людина повідомила про проблему, вона має знати, що розслідування проведено.
Автоматизація
В еру технологій та штучного інтелекту ловити шахраїв вибірковою перевіркою документів щонайменше неефективно. Людське око замилюється вже на десятому акті виконаних робіт. У той же час прості автоматизовані скрипти можуть знайти те, що пропустить цілий відділ аудиту:
Співпадіння адрес чи телефонів співробітників та контрагентів;
Платежі, здійснені в неробочий час (вночі чи у вихідні);
Платежі “круглими” сумами або сумами трохи нижче допустимого ліміту;
Аномальну частоту транзакцій з новим контрагентом.
Алгоритм не має друзів, не ходить на перекури і не боїться авторитету топів компанії.
Перевірка фізичних осіб у LIGA360 - ваш ключ до зміцнення корпоративної безпеки. Наше рішення надає інформацію про міжнародні санкції, репутаційні ризики та інші важливі дані з понад 100 реєстрів, що допоможуть вам ухвалювати обґрунтовані рішення. Переконайтеся у всебічності LIGA360, запланувавши індивідуальну презентацію.
