Роль и задачи внутреннего контроля в предотвращении мошенничества — кратко:
- предупреждение: создавать барьеры для реализации мошеннических схем (система прав, процедуры, обучение);
- обнаружение: своевременно выявлять аномалии и нарушения (ревизии, аналитика, сверки);
- сдерживание: повышать вероятность обнаружения и наказания, уменьшающую мотивацию к мошенничеству;
- реагирование и восстановление: проводить расследование, устранять причины, возвращать активы и исправлять процессы;
- постоянное улучшение: оценка рисков и корректировка контроля на основе инцидентов и данных.
Основные задачи/элементы контроля:
- оценка рисков и приоритизация областей с высоким риском мошенничества;
- контрольная среда: тон со стороны руководства, кодекс этики, ответственность;
- разделение обязанностей (SoD): распределение функций инициирования, одобрения, исполнения и учёта;
- авторизации и лимиты: обязательные уровни одобрения платежей/закупок;
- верификация контрагентов и процедура онбординга поставщиков;
- сопоставления и сверки (например, сопоставление заказа, приёмки и счёта);
- доступ и логирование в информационных системах; контроль изменений в мастер-данных;
- непрерывный мониторинг и аналитика транзакций (поиск дубликатов, аномалий);
- каналы сообщений о нарушениях (whistleblowing) и внутренний аудит.
Пример схемы мошенничества и соответствующие меры контроля
Схема мошенничества (пример «фиктивный поставщик / завышенные счета»), шаги:
1) сотрудник создаёт в системе подконтрольного фиктивного поставщика;
2) по фиктивному поставщику выпускаются счета за якобы поставленные товары/услуги;
3) сотрудник инициирует оплату и обеспечивает её одобрение (через подделку документов или collusion);
4) деньги переводятся на счёт «прокладки».
Карта контроля по шагам:
- шаг 1 (создание поставщика)
- контроль: процедура онбординга поставщиков с независимой верификацией (проверка реестров, ИНН, уставных документов) и подтверждением реального адреса/контактов; запрет на одновременное создание и утверждение поставщика одним лицом; изменения в справочнике поставщиков требуют двойного одобрения.
- параметр: изменение/создание поставщика требует одобрения минимум $2$ уполномоченных лиц и внешней проверки при сумме ожидаемых поставок свыше $100,000$.
- шаг 2 (счета)
- контроль: обязательное $3$-стороннее сопоставление: заказ (PO) + накладная/акт приёмки (GRN) + счёт; автоматизированное сопоставление в ERP с блокировкой платежа при несоответствии.
- контроль на дубликаты и круглые суммы: аналитика транзакций, выявление повторяющихся сумм/поставщиков.
- шаг 3 (одобрение платежа)
- контроль: лимиты подписей: платежи выше установленного порога требуют более высокого уровня одобрения и подтверждения получателя; разделение функций инициирования/одобрения/выполнения платежа.
- параметр: платежи свыше $500,000$ требуют подписи директора и внешней проверки документов.
- шаг 4 (перечисление средств)
- контроль: сверка банковских выписок независимым сотрудником/аудитором; предварительная привязка банковских реквизитов поставщика к проверенным данным (whitelist); регулярные отзывы у банков (positive pay) и подтверждение реквизитов при первом платеже.
- контроль возврата: мониторинг аномалий по скоростям вывода средств на новые счета.
Дополнительные меры детекции и реагирования:
- регулярные выборочные проверки и ревизии поставщиков и контрактов (внутренний аудит);
- аналитика: поиск необычных паттернов (новые поставщики с быстрым ростом платежей, однотипные суммы, совпадающие IP/контакты); настройка тревог на превышение базовых KPI (например, рост расходов по поставщику более $200\%$ за квартал);
- канал сообщений о нарушениях с защитой информаторов;
- план реагирования: блокировка операций, форензик-расследование, юридические меры и дисциплинарные санкции.
Ключевое правило: сочетание превентивных (политики, авторизации, SoD), детективных (сверки, аудит, аналитика) и корректирующих мер (расследование, исправление процессов) даёт системную защиту. Эффективность контроля растёт при автоматизации процессов и регулярной оценке рисков.