В соответствии с ведущими мировыми практиками, эффективная Программа противодействия злоупотреблениям должна включать 5 компонентов:
1. Оценка рисков мошенничества;
2. Методология выявления мошенничества;
3. Методология расследования мошенничества;
4. Система извещения о фактах мошенничества («горячая линия»);
5. Система создания нетерпимого отношения к фактам мошенничества и злоупотреблений (Кодекс Корпоративной Этики).
Эффективный ККЭ должен содержать:
► «Упреждающие» элементы (например, наказания за неэтичное поведение)
► «Выявляющие» элементы (например, стимулировать сотрудников на сообщение о фактах неэтичного поведения)
► ККЭ должен основываться на этических ценностях, а не на регламентированных правилах
► ККЭ должен акцентироваться на позитивных моментах этичного поведения
► ККЭ должен устанавливать честные отношения между сотрудником и компанией (например, предусматривать меры по защите сотрудников в спорных ситуациях)
► Важно – необходима регулярная проверка знаний сотрудников в отношении ККЭ.
Для выработки эффективных и соответствующих целям компании подходов к решению вопросов управления рисками мошенничества и злоупотреблений необходимо, чтобы они были направлены на достижение следующих трех целей:
• Предупреждение – системы контроля, предназначенные для снижения вероятности возникновения мошенничества и злоупотреблений
• Выявление – системы контроля, предназначенные для обнаружения случаев мошенничества и злоупотреблений при их возникновении
• Реагирование – системы контроля, предназначенные для исправления ситуации и ликвидации ущерба, вызванного мошенничеством и злоупотреблениями.
Понятие мошенничества имеет широкое юридическое толкование, которое, в целом, определяется как преднамеренное действие, направленное на получение несправедливых или незаконных преимуществ. Понятие злоупотребления и неправомерного действия также имеет широкое толкование и, как правило, определяется как нарушение законов, нормативно-правовых актов, внутренних политик, а также как действия, противоречащие этике ведения бизнеса. Вместе они создают следующие области риска, которые могут привести к потере доверия к компании или нанести ущерб репутации компании по этическим соображениям:
• Махинации с финансовой отчетностью (неправильное признание выручки от реализации, завышенная оценка активов, занижение обязательств и т.д.)
• Незаконное присвоение активов (хищение, махинации с заработной платой, воровство, нарушения в снабженческой деятельности, махинации с выплатой комиссионных вознаграждений, контрафактная деятельность и т.д.)
• Выручка или активы, полученные мошенническим или незаконным путем (выставление завышенных счетов клиентам, обман в сфере продаж, фиктивная выручка и прочие манипуляции)
• Снижение расходов или обязательств за счет мошеннических или незаконных действий (налоговые махинации, махинации с учетом заработной платы, фальсификация информации, предоставляемой регулирующим органам и т.д.)
• Расходы или обязательства, понесенные или увеличенные в связи с мошенническими или незаконными действиями (подкуп сотрудников коммерческих или государственных организаций, «откаты» и т.д.)
• Другие злоупотребления (конфликты интересов, использование внутренней информации в корыстных целях, дискриминация, хищение коммерческой тайны, нарушение антимонопольного законодательства, нарушение экологических требований).
Система внутреннего аудита современной организации играет ключевую роль в борьбе с мошенническими действиями. Она предназначена помогать руководству компании в работе по предотвращению, выявлению и реагированию на мошенничество и злоупотребления.
В целом, внутренний аудит должен нести ответственность за выполнение следующих функций:
• Планирование и проведение оценки состава и эффективности реализации мероприятий, направленных на борьбу с мошенничеством
• Помощь организации в проведении оценки рисков мошенничества и участие в разработке стратегий снижения таких рисков
• Предоставление отчетов аудиторскому комитету о проведенной оценке системы внутреннего контроля, аудите, расследованиях и подобных мероприятиях. Любая организация сталкивается с множеством рисков мошенничества и злоупотреблений.
Как и традиционная работа по оценке общих рисков организации, оценка рисков мошеннических действий позволяет руководству понять уникальный состав рисков, которые имеются в организации, выявить пробелы или узкие места, существующие в системе борьбы с такими рисками, и составить практический план, в котором определяются необходимые средства и система контролей для снижения таких рисков. Руководство должно проследить, чтобы такая оценка охватывала организацию целиком, включая все значимые бизнес-подразделения, процессы и клиентские отношения. Хотя ответственность за проведение работы по оценке рисков, рассмотрению ее результатов и, соответственно, определению степени эффективности существующих систем контроля лежит на руководстве компании, аудиторский комитет, как правило, осуществляет надзорную функцию за всем процессом.
Аудиторский комитет проверяет результаты работы по оценке рисков, следит за непрерывностью этого процесса и осуществляет взаимодействие с независимым аудитором компании, доводя до его сведения результаты оценки. Предупреждение: превентивные системы контроля, предназначенные для снижения вероятности возникновения мошенничества или злоупотреблений.
Совет директоров организации выполняет важную надзорную функцию и играет ключевую роль в реализации систем контроля для снижения рисков мошенничества и злоупотреблений. Совет директоров совместно с исполнительным руководством несет ответственность за создание соответствующего «настроя» внутри организации, обеспечивает поддержку этических принципов и надлежащих стандартов деловой практики. Члены Совета директоров не только несут ответственность за наличие в организации программ и системы контролей для решения проблем, связанных с нарушениями, но также обязаны обеспечить эффективную работу таких систем. Для практической реализации такой обязанности Совет директоров может делегировать функции по надзору за рисками мошенничества и злоупотреблений специальному комитету (как правило,
Аудиторскому комитету), который, в частности, выполняет следующие задачи:
• Оценка и обсуждение вопросов, выявленных в ходе анализа рисков мошенничества и злоупотреблений в организации
• Обсуждение с внутренними и внешними аудиторами результатов оценки качества программ и систем контролей организации, направленных на борьбу с мошенничеством
• Определение порядка получения и работы с вопросами и положениями, которые касаются сомнительных действий, влияющих на учетную информацию.
Для обеспечения эффективности систем контроля за мошенничеством и злоупотреблениями и их соответствия стандартам, определенным государственными органами, важно, чтобы ответственность за управление соответствующими рисками ложилась на высшее руководство компании (т.е. лиц, имеющих значительные полномочия или играющих значительную роль в определении политики компании). Эти критически важные надзорные функции в первую очередь включают в себя предупреждение, но также касаются областей выявления и реагирования. Генеральный директор в этом отношении может оказать наибольшее влияние на сотрудников. Руководя определенным образом, он может создать соответствующий настрой и должен сыграть ключевую роль в распространении культуры этических и профессиональных стандартов внутри организации.
В частности, исполнительный директор может быть примером поведения для сотрудников, выделять необходимые силы и средства на борьбу с мошенничеством, а также призывать к ответственности тех лиц в руководстве, в чьих подразделениях происходят нарушения. Также в руководстве компании следует назначить лицо, несущее прямую ответственность за борьбу с мошенническими действиями. Многие компании создают специальную должность под названием Директор по соответствию нормативным требованиям (Chief Compliance Officer), который исполняет свои функции в сотрудничестве с внутренними аудиторами, а также экспертами в конкретных областях. Директор по соответствию нормативным требованиям несет ответственность за координацию подходов к вопросам предупреждения, выявления и реагирования на мошенничество. При возникновении проблем в этой сфере данное лицо вправе задействовать соответствующие ресурсы внутри организации для ее решения и внесения необходимых изменений в порядок работы.
Также можно создать комитет, состоящий из менеджеров различных функциональных подразделений, который под председательством Директора по соответствию нормативным требованиям будет решать следующие вопросы: • Координация деятельности по оценке рисков организации
• Определение политик и стандартов деловой практики • Контроль структуры и реализации программ и систем контроля, направленных на борьбу с мошенничеством
• Отчетность перед Советом директоров и/или Аудиторским комитетом по результатам проведенной работы по управлению рисками мошенничества.
Кодекс поведения организации – это один из важнейших механизмов доведения до сотрудников информации об основных стандартах, регулирующих их поведение в рабочей обстановке. Если кодекс хорошо написан и доведен до сведения сотрудников, это служит не только подтверждением соответствующих политик компании, но и дает общий настрой организации, определяет ее культуру, подчеркивает приверженность руководства этическим принципам, дает информацию сотрудникам о том, какие ресурсы они могут задействовать для выполнения указаний руководства относительно нормативных требований.
Важнейшей частью эффективной стратегии предотвращения мошенничества является осмотрительность при найме на работу персонала, продлении трудовых отношений и продвижении по службе, а также соответствующие мероприятия при выборе агентов, поставщиков и других третьих сторон. Такая проверка особенно важна в отношении сотрудников, имеющих возможность влиять на процесс составления финансовой отчетности. Масштаб и глубина проверки, как правило, зависит от рисков, выявленных в организации, должности и/или величины полномочий сотрудника, и особенностей местного законодательства Для того чтобы сотрудники понимали свои обязанности в рамках системы контроля за мошенничеством и неправомерными действиями, необходимо, прежде всего, довести до их сведения существующие правила и провести соответствующее обучение.
Многие организации выполняют эту работу, но на нерегулярной основе – надо иметь в виду, что отсутствие планирования и приоритета в этом вопросе может создать у сотрудников ошибочное впечатление, что соответствующей системе контроля не уделяется должного внимания.