Оценка рисков хищений: особенности и применение на практике

246

Оценка рисков хищений – несколько обособленный и специфический предмет по сравнению с привычной всем оценкой рисков. Однако методы, которые используются для оценки рисков хищений, могут применяться и для оценки многих других рисков. Как можно предупредить риски хищений, и насколько велика их роль для бизнеса, в рамках Risk Awareness Week-2020 рассказал президент российского отделения ACFE (Объединение сертифицированных специалистов по расследованию хищений) Сергей Мартынов.

 

– В 2011 году мы провели большое исследование: в течение года участники наших мероприятий – корпоративных тренингов и конференций – могли высказаться по поводу того, какой, по их мнению, уровень хищений в российском бизнесе в разных процессах. Проанализировав все ответы, мы пришли к выводу, что только в сфере капитального строительства расхищается 45,7% средств. Уверен, есть компании, где в процессе строительства расхищается гораздо больше денег, а есть те, где меньше. Но средняя температура по больнице очень показательна: из каждого рубля, который вы тратите на строительство, 45,7 копейки воруют. Это очень большие расходы. Если бы их удалось сократить, то, думаю, результат в экономике у нас был бы гораздо лучше. Также много хищений в инвестиционных проектах (44,9%), закупках сырья и материалов (37,5%), при расчетах с подрядчиками и приемке выполненных работ (33,8%). Меньше всего – при подготовке финансовой отчетности (7,3%), по командировочным и представительским расходам (6,6%).

 

Что такое риск хищений

Давайте разберемся с понятиями.

Хищения (злоупотребления) сотрудников и третьих лиц – источник значительных потерь бизнеса.

Риск хищений – возможность того, что в организации существуют достаточные условия для совершения злоупотребления сотрудниками и третьими лицами против интересов и имущества компании.

Свойства риска хищений:

Недоступность информации о точном количестве событий риска в прошлом. Мы не знаем, сколько у нас украли в прошлом. Если мы поймали пять мошенников, это не значит, что их было не 50, просто 45 остались непойманными.

Недоступность информации о точном количестве событий риска в настоящем (происходящих в данный момент). Допустим, с точки зрения страхования мы можем оценить величину риска угона машин определенной марки, поскольку знаем, сколько машин застраховано, сколько угнано, нужно просто поделить количество угнанных машин на общее количество застрахованных этой марки. Но когда мы не знаем точное количество угнанных машин, как это происходит с риском хищений, – то есть мы не знаем, сколько у нас украли, ответить на данный вопрос непросто.

Недоступна информация о точном количестве событий риска в будущем. Условия для осуществления риска хищения могут существовать, но станет ли хищение событием, фактом, перейдет ли из категории риска в событие, мы не знаем.

На тренинге я, как правило, задаю слушателям вопрос: представьте, что вы работаете в службе безопасности и раскрыли в этом году какое‑то количество хищений – предположим, 100, что на 20% больше, чем в прошлом. Как, на ваш взгляд, изменился риск хищений?

Предлагаю пять вариантов ответа:

1) риск хищений снизился, потому что поймали на 20% больше жуликов;
2) риск хищений увеличился, так как воровать стали на 20% больше;
3) оба ответа правильные;
4) оба ответа неправильные;
5) не знаю.

Мнения участников тренинга резко делятся, хотя 43% подозревают, что оба ответа неправильные, 30% – что риск хищений увеличился, по 13% – что риск хищений уменьшился и что оба ответа правильные. На самом деле мы не можем сказать, за счет чего увеличилось раскрытие хищений – возможно, мы стали работать лучше, а может, воровать стали больше, и мы не знаем общего количества хищений, произошедших в компании. Часть из них может быть от нас скрыта, а какая часть – 1%, 100% или больше, неизвестно.

 

Зачем нужно оценивать риски хищений

Часто мне задают вопрос: почему нельзя дождаться, когда хищение произойдет, и потом наказать виновного, возместить похищенное? Конечно, проще сидеть и ждать, пока украдут, чем возиться с оценкой рисков. Однако задумайтесь: сколько процентов похищенного на практике удается вернуть? Вы удивитесь, но, по оценкам экспертного сообщества, порядка 5%, особенно если речь идет о хищениях, совершаемых высшим менеджментом. Бывает тяжело найти концы, доказать, привлечь к ответственности.

Согласно Федеральному закону от 12 августа 1995 года № 144‑ФЗ «Об оперативно-розыскной деятельности», методы оперативно-розыскной деятельности могут применять только уполномоченные государством органы, то есть органы следствия, правоохранительные и спецподразделения. В коммерческой организации руководитель или специалист по безопасности не может применять методы оперативно-розыскной деятельности: не может ни подслушивать, ни подглядывать, вообще ничего не может, кроме как читать документы и разговаривать с людьми. Как в таких условиях собрать достаточное количество доказательств, чтобы потом, опираясь на них, можно было возбудить уголовное дело и привлечь виновника к ответственности? Это очень сложно. Кроме того, нередко самым существенным элементом в составе преступления, например, в наиболее распространенном – мошенничестве, является доказывание умысла.

 

 

Многие фиктивные сделки, через которые выводятся деньги, представляются как хозяйственный риск. Допустим, вы заключили с подрядчиком какую‑то сделку, перечислили ему деньги, а он не выполнил свои обязательства по поставке. Это хозяйственный риск. Попробуйте доказать, что это был умысел, что деньги выводились для того, чтобы их украсть. Где собрать эти доказательства, не используя элементы оперативно-розыскной деятельности, не подслушивая и не подглядывая? Это практически невозможно, если только мошенник не проявит какую‑то потрясающую глупость.

 

 

Еще один довод, зачем нужно оценивать риски хищений: предотвращение преступления приблизительно в 100 раз дешевле, чем его расследование. Затраты на то, чтобы создать какие‑то невозможные условия для осуществления хищения, значительно меньше тех, что вы понесете, когда все будет украдено и нужно будет заниматься расследованиями, привлекать виновного к суду – это долгий и низкорезультативный процесс. Поэтому не всегда развитие событий нужно доводить до факта преступления. Для этого надо уметь оценивать риски хищений, то есть когда еще факт хищения не состоялся, но существует такой риск, принимать меры.

Также нужно учитывать важный аспект: не всегда, если хищение состоялось, руководство компании или ее собственник хотят выносить информацию о хищении и привлекать к расследованию правоохранительные органы, в связи с чем многие мошенники остаются безнаказанными.

 

Как оценить риск хищений

Давайте поговорим о широко известных методах оценки рисков и определим из них те, которые можно применять для оценки рисков хищений.

1. «Тепловая карта», или карта рисков, которую я называю «методом блондинки»: то есть риск-менеджер или специалист, оценивающий риски, берет и закрашивает красным, желтым или зеленым цветом область, на которой размещает риски по своему усмотрению. Проблема в том, что если вы попросите двух разных экспертов в одной организации составить такую карту рисков, они сделают совершенно разные карты. Данный метод не является научным. Попробуйте, например, оценить риск пожара на предприятии. Пожар может быть разный: допустим, в урне загорелся окурок, он подымит и всё, а может сгореть какой‑то цех или все предприятие. Какова серьезность риска пожара? Карты рисков получаются красивые, яркие, но в практических целях для оценки рисков не рекомендуется применять «метод блондинки».

 

 

2. Оценка рисков по исторической аналогии.

В прошлом году весна наступила в марте, значит, мы ожидаем, что и в этом году она тоже наступит в марте. Можно посчитать, сколько раз за последние сто лет весна наступала в марте, какого числа расцветал подснежник в лесу, и, опираясь на эти данные, сделать заключение. Этот метод может применяться, но очень ограниченно. В любом учебнике статистики дается оговорка о том, что все, что вы прочитаете в нем, применимо только к случайным событиям, а они должны быть однородные, то есть совершенно одинаковые по своему смыслу, что в жизни можно встретить очень редко. Например, мы хотим определить риск того, что на какой‑то автозаправке случится пожар, и говорим, что все заправки приблизительно однородные, можем почитать статистику возгораний, сделать заключение о вероятности пожара на нашей автозаправке. Но результат будет очень неточный, поскольку все заправки разные: и конструктивно, и расположены они по‑разному, и персонал по‑разному соблюдает нормы безопасности. Попробуйте найти в жизни реально однородные события – это можно сравнить с подкидыванием монетки.

Еще одно ограничение данного метода заключается в том, что для его применения необходимо, чтобы закон распределения анализируемой величины не менялся во времени, а этого в жизни тоже никогда не бывает. Возвращаясь к примеру про весну, – весна наступает приблизительно 15 марта, но, предположим, идет глобальное потепление или глобальное похолодание, и весь наш исторический ряд дает неправильную цифру, говоря, что весна должна наступить 15 марта. То же самое с попытками оценивать рыночные курсы акций по статистическим данным. Закон распределения величины постоянно меняется, и более того – мы чаще всего не знаем, по какому закону он меняется. Если в случае с климатом можем строить какие‑то теории, учитывать, насколько он теплеет, и, исходя из этого, корректировать статистические данные, в случае игры на фондовой бирже такое невозможно.
Кроме того, нужно учитывать, что для применения статистики число событий должно быть бесконечно или очень велико. Мы не можем на основании трех-пяти событий делать сколько‑нибудь значимые статистические заключения, поскольку ошибка будет неприемлемо велика. Любая статистика становится точной при количестве событий, которые мы учитываем, приближающемся к бесконечности. Однако мы не можем оценить индивидуальные явления на основании групповой статистики, которая является показателем результата измерения групповой характеристики генеральной совокупности. К примеру, невозможно вычислить средний рост преступника и дальше утверждать, что все люди, имеющие такой рост, преступники. К конкретному человеку это не относится, это статистическая ошибка игрока. Другой пример: допустим, мы подбросили монетку 10 раз, вероятность выпадения орла равна 0,5. Предыдущие 10 раз выпадала решка. Какова вероятность того, что орел или решка выпадут в следующее бросание? Большинство людей уверены, что если в предыдущие 10 раз выпадала решка, значит, на 11‑й выпадет орел. Оказывается, в соответствии со статистикой, вероятность никак не изменяется. Дело в том, что это характеристика бесконечного количества подбрасываний. У нас может и 15 раз подряд выпасть решка. Это как раз ошибка игрока, когда мы вычисляем что‑то, – например, нам интересно узнать изменение курса определенных акций – и используем для этого статистику по всему рынку, которая не применима к конкретному явлению. Почему‑то все об этом забывают и далее строят бессмысленные формулы.

3. Использование математических моделей.

Как частный случай, например анализ корреляции между двумя событиями. К сожалению, любая математическая модель является очень сильным упрощением реальной жизни, не учитывает большинство действующих факторов, и обычно никто не заботится о доказательстве того, что эта предложенная модель соответствует реальной жизни достаточно точно. Нужно понимать: любая математическая модель настолько неточна, что, как правило, не может применяться.

 

Предотвращение преступления приблизительно в 100 раз дешевле, чем его расследование

Риск может существовать в трех единых формах. Ранее я сам придерживался точки зрения, что есть риск как вероятность негативного исхода; риск как риск упустить позитивную возможность и есть риск как неопределенность, то есть когда мы идем по улице и не знаем, что за углом. Чем выше неопределенность, тем больше риск. На самом деле неопределенность – это не вид риска, а всего лишь оценка качества информации, которую мы имеем от той или иной ситуации. Чем ниже качество информации, тем выше неопределенность нашей оценки степени риска.

 

 

Так как же оценивать риски?

Предположим, у вас теоретически есть два способа оценки рисков. Первый – вы можете оценить величину риска в каких‑то условных единицах (тугриках, процентах и так далее). Второй – оценить, что риск достиг какого‑то критического уровня (или достигнет его) и скоро осуществится как событие. Какой из этих двух способов вы бы выбрали? Думаю, что риск-менеджеров не интересуют «шашечки», их интересует поездка. Оценивать величину риска в условных единицах бесполезно, поэтому я остановлюсь на втором способе – как научиться оценивать то, что риск достиг критического уровня.

 

 

Для этого предлагаю оценивать риск по следующей формуле:

Уязвимость + Угроза = Риск

Термин «уязвимость» сейчас в основном используется в информатике, много говорится об уязвимости систем. Уязвимость – это некая «дыра» в системе, которую можно использовать для совершения, условно говоря, хищений или событий риска. Второй параметр – угроза, это сила, которая стремится нанести ущерб. Сочетание этих компонентов – уязвимости и угрозы – дает понимание о риске.

Приведу пример. Представьте, что у вас есть какой‑то склад, где хранится нечто ценное, вокруг него установлен забор. Если в этом заборе есть дырка, это уязвимость, а если вокруг забора ходят какие‑то темные личности с явно нехорошими намерениями украсть товар, это угроза. Только сочетание угрозы и уязвимости создает риск. Если у нас нет уязвимости – дырки в заборе, значит, никто у нас ничего не украдет. А если у нас нет угрозы – этих подозрительных личностей, то от количества уязвимостей – этих дырок в заборе – ничего не зависит. При этом величина риска может учитывать в себе саму ценность того, что находится под этим риском.

 

 

Или другой пример. Одной из актуальных сегодня угроз, в том числе для здоровья населения, является пандемия коронавируса. Шесть лет назад правительство Бельгии ликвидировало стратегический запас масок-респираторов, а именно шесть миллионов штук. По идее, по окончании срока годности они должны ликвидировать старые маски и пополнять стратегический запас новыми, но тогда, шесть лет назад, они не стали этого делать, поскольку никаких предпосылок того, что маски в скором времени пригодятся, не было. В результате в 2020 году осуществилось событие риска, связанное с нехваткой защитных средств во время эпидемии. В данном случае угроза увеличилась, а оборона ослабла, и осуществилось событие риска.

Рассмотрим несколько примеров уязвимости и угрозы.

1. Отсутствие пропускной системы на входе (это явная уязвимость, ведь каждый может зайти в здание и сделать все, что угодно, – устроить теракт, что‑то украсть).

2. Использование полиграфа для проверки при приеме на работу (здесь, скорее, неиспользование полиграфа можно отнести к уязвимости, а сам факт его применения или неприменения относится к классу событий, влияющих на уязвимость).

3. Прием на работу сотрудника, неоднократно совершавшего хищения (на самом деле это не уязвимость, а результат уязвимости в системе внутреннего контроля, когда мы не проверяем биографию сотрудника в достаточной степени, прежде чем принять его на работу, а после этого он уже становится источником угрозы).

4. Директор по закупкам купил квартиру стоимостью 120 миллионов рублей, что явно превышает его официальные доходы (это, скорее, признак хищения, но непосредственно он не является ни уязвимостью, ни угрозой. Угроза – это сила, которая действует на наше предприятие извне или изнутри со стороны сотрудников, но она всегда стремится нанести ущерб).

5. Нечто другое.

Когда в ходе лекции я привожу эти примеры и спрашиваю слушателей, в каком из них речь идет именно об уязвимости, мнения, как правило, разделяются: 47% считают, что уязвимостью является отсутствие пропускной системы на входе и столько же – прием на работу сотрудника, неоднократно совершавшего хищения.

 

Что такое триггер риска и как его найти

Расскажу о своей концепции триггера риска, основанной на понимании риска как сочетания угрозы и уязвимости.

Занимаясь рисками более 15 лет, я заметил, что в реальной жизни угрозы и уязвимости всегда сбалансированы. Например, можно построить забор с рядами колючей проволоки, но если угрозы нет, то по закону экономии затрат энергии состояние защиты от угрозы будет деградировать до того уровня, когда угроза сможет осуществиться. Допустим, пока кто‑то не проделает дыру в этом заборе и украдет все, что сможет.

Когда событие риска совершается, уровень защиты срочно повышается, уязвимости затыкаются, пишутся новые регламенты, набирается новый персонал, баланс угрозы и уязвимости восстанавливается на какое‑то время. Внутренний аудит или служба безопасности в любой компании существует как раз по такой схеме: когда в компании начинают много воровать, руководство решает, что нужен хороший внутренний аудит и служба безопасности, набирает специалистов. Они начинают работать, быстро наводят порядок, а после этого наступает затишье, то есть уровень угрозы и уязвимости снижен, угроза находится в равновесии с уязвимостью. Может быть, ловят одного-двух жуликов в год, а так тишь и благодать. И года через три начальство начинает задавать вопрос: «зачем мы кормим этих бездельников, ведь уже три года у нас ничего существенного не происходит?!», и сокращает специалистов, ослабляя оборону и увеличивая уязвимость системы. Какое‑то время после этого ничего не происходит, но потом нечестные сотрудники, иногда находясь в сговоре с третьими лицами, понимают, что контролировать их некому, и дальше медленно, но неуклонно в компании начинает расти количество хищений. Затем весь цикл повторяется.

Такой закон, что когда оборона ослабевает, уязвимостей в отсутствие событий риска становится все больше, проявляется во всех областях жизни. Любая страна окажется неготовой к войне, если не ведет какие‑то малые войны. Поэтому страны постоянно ведут малые войны для поддерживания боеспособности своих вооруженных сил, то есть недопущения в них каких‑то серьезных уязвимостей.

 

Вернемся к понятию триггера риска. Это событие, которое одномоментно повышает или уровень угрозы, или уровень уязвимости, то есть снижает оборону. В результате баланс угроза – уязвимость нарушается, и событие риска происходит. Классический пример: в ночь на 1 января 2018 года, когда все праздновали наступление Нового года, на сирийский аэропорт Хмеймим, где расположена российская авиация, напали боевики. Сработал триггер риска, который заключался в том, что резко ослаб уровень обороны и появились уязвимости. Военные не сразу поняли, что происходит, так как сами давали салют в честь Нового года, и когда со стороны стали прилетать мины, сначала не поняли, что происходит.

Второй пример – когда перед началом массовых мероприятий полиция стягивает дополнительные силы. В данном случае интуитивно понятно, что уровень угрозы при массовом скоплении людей гораздо выше для общественного порядка, поэтому для снижения возможных уязвимостей происходит усиление обороны.

Это иллюстрации принципа триггера риска. Если мы научимся его выявлять, то избавимся от событий риска, сможем в значительной степени их предотвратить.

 

Как найти эти триггеры риска и как их выявлять? Самое важное для нас – знать не какую‑то числовую оценку риска, допустим, что он составляет 55 баллов, а то, что завтра может наступить событие риска, и сегодня мы должны что‑то сделать для его предотвращения.

Для того чтобы выявить триггер риска, надо определить основные факторы угрозы и уязвимости. Пример – «треугольник хищений» американского социолога Дональда Кресси. Те, кто работает в области безопасности бизнеса, наверняка про него слышали. В 50‑х годах прошлого века Дональд Кресси интервьюировал 200 заключенных в тюрьмах и спрашивал их, почему они совершили хищения. Затем он обобщил статистику и выявил три главных фактора, влиявших на совершение хищений. Первый – возможность его совершить, то есть отсутствие замка. Второй – самооправдание, то есть возможность доказать самому себе или убедить себя, что это не хищение, а восстановление справедливости. Например, меня обделили премией, хотя я хорошо работал, поэтому я имею право украсть. Третий параметр – давление: какие‑то жизненные обстоятельства, которые вынуждают человека совершить хищение. Например, больные родственники или привязанность к азартным играм.

Таким образом, в «треугольнике хищений» существуют следующие факторы:

• Возможность = уязвимость (отсутствие замка)
• Самооправдание = уязвимость
• Давление = угроза.

Когда эти факторы по какой‑то причине усиливаются, а система внутреннего контроля компании больше не отрабатывает их, происходит событие риска. Например, в компании разрушена система внутреннего контроля или сокращены специалисты службы безопасности, соответственно, появляется возможность совершить хищение, и оно происходит.

Обычно факторов угрозы и уязвимости несколько десятков, в каждой компании они свои и зависят от специфики бизнеса, но практика показывает, что в любой момент времени только 3–5 из них являются актуальными.

 

Если в компании намечается реорганизация, сокращение персонала, мы должны ожидать, что в этот момент среди наших сотрудников может найтись тот, кто, будучи неуверенным в своем будущем, решит создать себе какую-то финансовую подушку безопасности, украв деньги у компании.

Тогда мы задаем следующий вопрос: а как все‑таки выявить этот триггер риска, который актуален в данный момент? Нужно проводить мониторинг состояния известных факторов и их величины, исходя из закономерностей их изменения. Например, мы знаем, что кризисные явления в экономике приводят к снижению лояльности персонала и росту угрозы совершения им хищений. Соответственно, если в компании намечается реорганизация, сокращение персонала, мы должны ожидать, что в этот момент среди наших сотрудников может найтись тот, кто, будучи неуверенным в своем будущем, решит создать себе какую‑то финансовую подушку безопасности, украв деньги у компании.

 

Что является индикаторами риска хищений

Кроме того, стоит проводить мониторинг индикаторов риска хищений. Здесь очень тонкий момент: прежде мы говорили о факторах, а теперь об индикаторах. Фактор – некая побуждающая величина, а индикатор – результат действия фактора. Фактор может быть индикатором, но далеко не все индикаторы являются факторами.

 

 

Индикатор – это объективно существующие явления, которые обычно сопутствуют хищениям, но не могут быть прямыми или косвенными доказательствами хищения.

Какими свойствами обладают индикаторы хищения?

• Индикаторы должны основываться на объективных данных, критерии оценки должны быть достаточно четко определены. Например, ваш кладовщик получает среднюю зарплату и вдруг приезжает на работу на машине стоимостью 5 миллионов рублей. Объективные данные: он приехал на дорогой машине, стоимость которой не соответствует его заработку.

• Индикаторы хищений должны оцениваться быстро, на основании доступной отчетности, запросов или наблюдения, не требовать трудоемких процедур для своей оценки. Это факт, который можно получить быстро, его легко оценивать, иначе весь смысл в оценке рисков хищений уходит.

• Индикаторы должны быть неизвестны тем, кто может быть мотивирован на их фальсификацию. Например, если мы намерены мониторить какой‑то параметр и сопоставлять его с другим, который с высокой степенью соответствует хищению, то не нужно это широко афишировать.

• Должна быть известна степень связи индикатора с хищением. Насколько связано то, что кладовщик приезжает на дорогой машине, с хищением? Как часто такая ситуация в жизни соответствует хищению и как часто не соответствует?

• Стоит обратить внимание на вес (силу) индикатора хищения. Насколько сильно конкретный индикатор подтверждает изучаемое событие?

• Индикатор может быть очень тесно связан с хищением – допустим, всегда при хищении мы видим этот индикатор, это является доказательством хищения. Однако в жизни такое бывает редко.

• Индикатор хищения может быть сильным и слабым.

Сильный: жизнь не по средствам. Возможно, кладовщику машину подарила теща, но это случается редко.

Слабый индикатор: руководитель подразделения ведет себя грубо с проверяющими его аудиторами. Да, аудиторов никто не любит, поэтому связь с хищением здесь слабая, но она может быть. Также может вообще отсутствовать связь индикатора с хищением, тогда это несостоятельный индикатор.

То есть у каждого индикатора есть своя «сила». Посмотрим несколько примеров индикаторов рисков хищений.

• Например, «нарушение установленного порядка исполнения операций, объясняемое благими целями, если в результате хищения создаются благоприятные условия для хищения». Например, заключение фиктивного договора аутстаффинга, когда компания сливает деньги на фиктивного подрядчика по договору аутстаффинга, объясняя это тем, что нужно было кому‑то что‑то заплатить. Здесь вероятно хищение.

• Некриминальные объяснения нанесенного ущерба, которые не могут быть проверены. Если проверка объяснений невозможна, то риск того, что это специально организовано с целью хищения, очень велик.

• Противоречия в объяснениях в ходе проверки или смена одних объяснений другими. В начале расследования причины своих действий объясняют одними причинами, а затем, когда выясняется, что объяснение оказывается несостоятельным, начинается выдвижение других причин. Это достаточно сильный признак того, что от вас хотят скрыть хищение.

• Отсутствие первичных подтверждающих документов об операции. Например, во всех операциях есть первичные документы, а по той, которая вызывает у вас подозрение, оригиналов первичных документов нет. Скорее всего, их специально уничтожили или хранят где‑то отдельно, чтобы в случае раскрытия хищения оригиналы документов невозможно было представить в суд.

 

Мы провели исследование по самым значимым индикаторам хищений и опросили более 500 экспертов в области безопасности бизнеса по каждому из индикаторов. Например, может ли быть связано с хищением отсутствие первичных документов о сомнительной операции. Предлагались следующие варианты ответов:

1. Не может быть связано с хищением;
2. Очень редко связано с хищением;
3. Достаточно часто связано с хищением;
4. Практически всегда связано с хищением;
5. Абсолютно всегда связано с хищением.

 

По данному индикатору 46% экспертов считают, что практически всегда отсутствие первичных документов связано с хищением, 31% – что достаточно часто связано, 23% – абсолютно всегда связано с хищением. Усредненная оценка ответов экспертов показывает, что это достаточно сильный индикатор хищений.

В 2013 году совместно с компанией EY мы провели исследование по оценке рисков хищений, в рамках которого выделили наиболее существенные индикаторы, опросили экспертов, определили вес каждого индикатора, и эту информацию представили в отчете об исследовании. Познакомиться с результатами этой работы можно здесь https://www.acfe-rus.com/research.

 

Также я хотел бы упомянуть о методике интеллидженс (intelligence), которая может использоваться как инструмент оценки рисков. Может сложиться ситуация, когда у нас есть целый набор факторов, и надо каким‑то образом его сопоставить с нашими гипотезами (например, гипотезами о том, чем вызван нанесенный компании ущерб). Проблема заключается в том, что тот набор индикаторов, который у нас есть в данной конкретной ситуации, может в равной степени соответствовать или поддерживать ту или иную гипотезу. Данный механизм позволяет оценить, какую гипотезу выбрать на основании данного набора факторов, это и есть методика Intelligence.

 

Сергей МАРТЫНОВ, президент российского отделения ACFE,
Елена ВОСКАНЯН, журналист