Сценарии мошенничества (кратко)
- Фальшивые поставщики (shell vendors): сотрудник создает фиктивного поставщика и загружает поддельные счета; платеж идет на реквизиты, контролируемые мошенником.
- Двойные/многократные платежи: тот же счет выставляют несколько раз с небольшими изменениями или повторно отправляют в разные платежные окна.
- Завышенные счета/сплит-инвойсы: сумма завышается или большой счет дробят, чтобы обойти лимиты согласования.
- Подмена реквизитов поставщика (invoice redirection): в реальной накладной меняют банковские реквизиты на мошеннические.
- Коллюзия: сотрудник отдела закупок/склада и AP согласовывают фиктивные поставки (отсутствуют товары/услуги).
- Возвраты/кредит-ноты, которые используются для маскировки вывода средств.
Ключевые принципы контроля (высокоуровнево)
- Превенция: блокировать возможность совершения мошенничества (политики, технологии, раздельные обязанности).
- Выявление: автоматические и ручные проверки, мониторинг аномалий.
- Исправление/реакция: процедуры расследования, заморозка платежей, возврат средств, дисциплина.
Комплекс внутреннего контроля (процедуры и технические правила)
1) Разделение обязанностей (Segregation of duties)
- Создание/изменение поставщика: отдельная функция (Vendor Master Team), не связанная с обработкой счетов или платежей.
- Приём и ввод счетов: AP-клерк вводит данные, но не запускает платежи.
- Согласование и утверждение счетов: заказавший/ответственный за услугу (requestor) + руководитель подразделения.
- Выпуск платежей: специалист по платежам формирует платежный файл; подпись/авторизация платежа — другой руководитель/топ-менеджер.
- Контрольный пункт: нельзя, чтобы одна и та же учетная запись выполняла функции "ввод счета" и "внесение/изменение реквизитов банка".
2) Политики согласования и лимиты
- Требовать профильного согласования: платежи без PO должны иметь объяснение и отдельное утверждение.
- Установить уровни утверждения по сумме, например:
- Одобрение руководителя при сумме $\le 50,000$ - Дополнительное одобрение финансового директора при сумме $>50,000$ и $\le 200,000$ - Совместное одобрение (двое) при сумме $>200,000$ - Для одноразовых/новых поставщиков требовать дополнительного уровня проверки и верификации.
3) Трехсторонняя сверка (Three‑way match)
- Платеж разрешён только если выполнено условие:
$$\text{Invoice}\text{соответствует}\text{PO}\text{и}\text{Goods Receipt (GRN)}$$ т.е.
$$\text{Invoice Amount}=\text{PO Amount}\text{и}\text{Товары/услуги подтверждены}$$ - Разрешать отклонения только в пределах допустимой толерантности:
$$|\text{Invoice Amount}-\text{PO Amount}|\le \epsilon ,\epsilon =0.05\times \text{PO Amount}$$
4) Контроль за изменением реквизитов поставщика
- Любое изменение банковских реквизитов инициируется заявкой, требующей:
- загрузки официального банковского документа от поставщика,
- прямого телефонного подтверждения на ранее известный номер поставщика,
- одобрения менеджера + отдельной проверки Vendor Master Team.
- Изменения блокируются на период верификации (например, $\text{48 часов}$) и логируются в аудите.
5) Автоматические проверки и алгоритмы (IT/ERP)
- Автоматическое обнаружение дубликатов: правилo блокирует инвойсы, если совпадает комбинация (vendor, invoice number, amount) или хэш контента за период $\le 30$ дней:
$$\text{Block если}(vendor,invoice\_no,amount)\text{совпадает за}\le 30\text{дней}$$ - Аномалии по суммам: вычислять z‑score:
$$z=\frac{x-\mu }{\sigma }$$ и помечать инвойсы с $z>3$ как подозрительные.
- Анализ частоты и паттернов: отметить поставщиков с резким ростом суммы или числа счетов (увеличение >$100\%$ за месяц).
- Правила трекинга изменений Vendor Master: журнал изменений с пользователем, временем и причиной; автоматический отчет по изменениям банковских реквизитов.
6) Платежные контролы
- Двухфакторная авторизация платежных файлов (подписант отличается от составителя).
- Ограничение возможности ручных платежей — разрешать только при экстренных случаях и с письменным обоснованием.
- Маскирование/проверка CSV/SEPA-файлов перед загрузкой в банк (проверка совпадения сумм и количества строк).
7) Ручные детективные процедуры и сверки
- Ежемесячная сверка с выписками поставщиков (vendor statement reconciliation) и разбор всех несоответствий.
- Анализ «старых» счетов (aging): помечать счета со сроком > $90$ дней и требовать эскалации.
- Выборочные подтверждения поставщиков (vendor confirmations) и инвентарные выборки (physical/receipt checks).
8) Контроль доступа и аудит
- Ролевой доступ в ERP с принципом минимальных привилегий.
- Логирование всех транзакций и еженедельные/ежемесячные отчёты об изменениях Vendor Master и прав на оплату.
- Внутренний аудит: регулярные и внеплановые проверки, фокус на высокорисковые операции.
9) Реакция на инцидент и расследование
- Процедура заморозки платежей по подозрительным поставщикам и немедленная проверка всех транзакций за период.
- Уведомление банка и попытка отзыва/сторнирования платежа при обнаружении мошенничества.
- Документированное расследование с дисциплинарными и юридическими действиями.
10) Дополнительно: обучение и культура
- Обучение сотрудников отделов закупок и AP по признакам мошенничества и политике верификации.
- Канал анонимных сообщений/вискл-блейд (whistleblower) и поощрение сообщений о подозрениях.
Пример практических правил внедрения (кратко)
- Внедрить трёхстороннюю сверку для всех PO‑оплат (срок реализации: $\text{3 мес}$).
- Настроить автоматический блок при дубликате за $\le 30$ дней.
- Ввести двухуровневое согласование для сумм $>50,000$.
- Проводить ежемесячную сверку vendor statements и аудит изменений Vendor Master.
Ключевые метрики для мониторинга
- Доля исключений/исправлений к общему объёму счётов: $\%$ - Количество заблокированных дубликатов в месяц
- Время обработки инвойса (DPO—Days Payable Outstanding) и доля старых счетов $>90$ дней.
Вывод (одно предложение)
Сочетание строгой сегрегации обязанностей, автоматических проверок (дубликаты, аномалии, верификация реквизитов), трёхсторонней сверки и регулярных ручных сверок/аудитов существенно снижает вероятность и выявляет схемы фальсификации в расчётах с поставщиками.