Агентство финансовых расследований
De Facto
Факты - наша валюта
Казначейство и учет:
Отсутствие контроля дублей и бюджетного контроля - один и тот же счет оплачивается дважды, иногда - с последующей отправкой подложных реквизитов для возврата переплаты
Казначейство и учет:
Бесконтрольная упр.отчетность приводит к завышению доходов / занижению расходов для получения бонусов
Кадры:
Выдача матпомощи подставным лицам – под видом сотрудников или их родственников
Кадры:
Фиктивные обучения – тренинги не проводятся, деньги делятся
Техническая служба:
Занижение стоимости при продаже ОС – разница между рыночной и продажной ценой присваивается
Снабжение:
Откаты – выбор более дорогого товара за личное вознаграждение, в т.ч. скрытое (не проходящее через р/сч, карту)
Снабжение:
Завышение объема/качества фактически поставленного товара (акты приемки подписываются без проверки)
Отдел продаж:
Заключение договоров с завышенными неустойками (нереальными условиями) в пользу контрагента с оплатой компанией штрафов по заведомому невыполнению
Транспортный цех:
Использование служебных авто в личных целях без компенсации ГСМ и износа
Снабжение:
Использование чужих документов при закупке дешевых аналогов
Снабжение:
Закупка неликвидных (имеющих скрытые дефекты, с окончившейся гарантией) ТМЦ под видом срочной необходимости с последующим списанием
ИТ:
Продажа баз данных клиентов конкурентам или мошенникам
Казначейство и учет:
KPI "на вере" - начисление себе или связанным сотрудникам завышенных бонусов
Казначейство и учет:
Искусственное завышение себестоимости через подложные накладные на расходы, если никто не обратил внимание - с последующим выводом ден.средств
Казначейство и учет:
Аренда у аффилированных лиц по завышенной цене без тендера, в т.ч. фиктивная аренда (жилая недвижимость, транспорт в командировках)
Казначейство и учет:
Неправомерное списание дебиторской задолженности с последующим перенаправлением платежей на реквизиты карманной компании
Снабжение:
Дробление закупок для обхода порога тендера и возможности заключить прямой договор с "заинтересовавшим" контрагентом
Снабжение:
В спецификации для тендера закладываются уникальные параметры (сертификаты) под конкретного производителя (за откат)
Снабжение:
Кража давальческого сырья через завышение норм расхода или неоприходование возвратных отходов
Руководитель бригады: присваивает KPI уволенных подчиненных, искусственно поддерживая текучку
Снабжение:
Пролонгация невыгодных контрактов от поставщика, без пересмотра условий (сначала через закупку "без контракта", потом "ну, мы уже закупили, для оплаты нужен договор")
ИТ:
Удаление логов и следов – сокрытие хищений из-за отсутствия мониторинга
ИТ:
Несанкционированный доступ к счетам – перевод денег на свои реквизиты с одновременным списанием в бухучете через 91 счет задним числом (банк.услуги, % по кредиту, командировочные на уволенного сотрудника и т.п.)
Кадры:
Добавление часов в табель сверхурочных / выходов без реальной работы
Склад:
Подлог инвентаризационных описей – сокрытие недостачи путем переноса на другие места хранения
Склад:
Вывоз материальных ценностей с фиктивными пропусками при отсутствии перекрестного контроля на проходной
Склад:
Вывоз активов под видом списания – оборудование «списывается» как изношенное, а фактически продается
Склад:
Сдача в аренду имущества (площади, инструмент, оборудование) компании без оформления
Отдел продаж:
Пропуск сроков исковой давности – умышленное бездействие
И многое, многое другое...
Отдел продаж:
Отсутствие договоров с ключевыми поставщиками - работа на устных соглашениях позволяет хищения без документальных следов
Внедрение системы внутреннего контроля
| Объект | Расшифровка | Типичные проблемы / нарушения | Часы (ориентировочно) |
| Составление карты рисков | 1. Сбор реестра бизнес-процессов 2.Определение ключевых рисков по направлениям: * Материальные активы (товар, ТМЦ, деньги); * Нематериальные активы (базы клиентов, ноу-хау); * Репутационные (нарушение 152-ФЗ, утечка персональных данных); * Операционные (сбой поставок, отгрузок из-за действий сотрудников). 3. Оценка вероятности и ущерба (балльная система). 4. Определение "красной зоны". | 1. Замалчивание проблемы (риск такой известный, что о нем все знают - и ничего не делают). 2. "Это может быть, но не у нас". 3. Непонимание связи между действиями сотрудников и минимизацией потенциального ущерба. 4. Перевод общения в эмоциональную плоскость. | 2 недели |
| Анализ существующих средств контроля | 1. Инвентаризация всех средств контроля 2. Физическая проверка предотвращающих средств контроля (шлагбаум, замок, антипассаж в СКУД) на обход. 3. Проверка обнаруживающих средств контроля (камера, DLP, журнал событий) на соответствие цели. 4. Анализ настройки порогов и правил срабатывания. 5. Тесты на уязвимости к инсайдерам с привилегиями. 6. Анализ реакции на инциденты: * Сколько времени проходит от срабатывания маркера до реакции? * Есть ли отчет ответственного лица по каждому срабатыванию? * Применяются ли меры к нарушителям? 7. Анализ наличия и актуальности регламента по контролю средств контроля (сверка учета с реальностью, имитация нарушений). | 1. Мнение, что если средство контроля есть - значит контроль есть. 2. Приписки в реестре работающих средств контроля (например - начальник охраны получает зарплату за обслуживание 100 камер, реально работают 60, а остальные давно выключены или заклеены, но числятся). 3. Камера в складе висит так, что основной стеллаж от нее залонен. 4. Если у отдела продаж правила инцидента по DLP в 2 раза слабее, чем у бухгалтерии — вероятен сговор. | 2 недели |
| Разработка мероприятий, минимизирующих каждый риск "красной зоны" с учетом существующих средств контроля | 1. Установить, какой уровень риска считается приемлемым (например, переход в «желтую» или «зеленую» зоны карты, где уместно). 2. Определить требуемое снижение вероятности и/или серьезности последствий. 3. Сформулировать конкретные действия, которые: * усиливают существующие контроли, * либо вводят новые контрольные точки, * либо изменяют процесс, устраняя причину риска. 4. Для каждого мероприятия определить: * ответственного, * сроки исполнения, * ресурсы, * индикаторы выполнения. 5. Провести анализ затрат на мероприятие против возможного ущерба от риска, при сопоставимости - повторить цикл. 6. Провести оценку остаточного риска после внедрения мероприятий. * Прогнозно рассчитать вероятность и последствия с учетом новых мер. * Убедиться, что риск покидает «красную зону». 7. Утвердить план управления рисками - последовательно согласовать мероприятия с владельцем риска, финансовым отделом, СЕО. | 1. Имитация активности (формально мероприятия разработаны, но они дублируют уже существующие и неработающие контроли). 2. Перекладывание ответственности (мероприятия назначаются на подразделения, не имеющие реальных полномочий или ресурсов). 3. Манипуляция оценкой риска (без привязки к существующим контролям искусственно занижается оценка остаточного риска, чтобы избежать внедрения дорогостоящих мер). 4. Бюджетные злоупотребления (под видом борьбы с риском «красной зоны» выделяются средства на ненужные системы, консалтинг или оборудование, которые вместо снижения риска приносят выгоду конкретным лицам). 6. Сокрытие провалов (если нет четких сроков и ответственных, то любое неисполнение можно списать на «неопределенность» и не отчитываться). 7. Выборочное применение (реально опасные игнорируются, так как их снижение требует сложных или непопулярных решений). | 3 недели |
| Разработка маркеров внутреннего контроля | 1. Декомпозиция потенциальных рисков до действий, выявление ключевых. индикаторов их возможного наступления 2. Разработка и утверждение маркеров контроля. 3. Определение владельцев маркеров в службе контроля или безопасности. | 1. При отсутствии четких маркеров (например, пороговых значений, событий, сигналов), ответственные лица могут просто «не заметить», что риск уже реализовался, быстро уволив кого-нибудь, на которого можно списать ответственность (не обязательно реально причастного), чтобы руководству не пришлось разделить ответственность. Ущерб продолжает накапливаться, руководству не докладывают, если факт выскрывается, то "мы знаем, виновного уволили". 2. Риск может перейти в «красную зону» незаметно, и когда он наступает, бороться уже поздно (просроченная дебиторка у компании под банкротством). 3. Замалчивание риска ради получение премий, бонусов за «успешное управление рисками», экономии бюджета на контрольные процедуры. 4. Создание видимости работы риск-менеджмента без затрат на реальные индикаторы и автоматизацию ведет к пропуску сигнала / ов (кумулятивный эффект). 5. Руководитель может игнорировать неудобные риски, связанные с его зоной ответственности, ссылаясь на отсутствие четких маркеров. 6. Если нет маркера «риск наступил» (например, четкого определения: «событие Х + убыток более У рублей»), то можно спорить о том, наступил ли риск вообще, что позволяет откладывать выплаты по страховке, резервирование средств, запуск плана Б. 7. Когда маркеры не формализованы, их можно доопределить постфактум. Например, после того как риск наступил и нанес ущерб, ответственный утверждает: «У нас маркером считается падение на 50%, а упало на 49% – значит, сигнала не было», что позволяет избежать наказания. 8. Отсутствие маркеров не позволяет проверить, было ли реально предотвращение или риск просто не наступил сам собой. Идет отчет «Благодаря моим действиям риск не реализовался», хотя никаких действий не предпринималось. 9. Контролер не может подтвердить или опровергнуть факт наступления риска в прошлом, т.к. оветственные заявляют: «мы не обязаны хранить данные, которых нет в методике». | 2 недели |
| Составление еженедельного дашборда для СЕО (и финансистов) | 1. Индекс доверия к персоналу (сколько аномалий выявлено / сколько подтвердилось). 2. Экономический эффект (предотвращенный ущерб + возвращенные активы). 3. Закрытые технические уязвимости. | Для контроля нужны деньги, деньги выдаются, когда показана эффективность предыдущих трат. | 3 дня |
| Итоговая встреча | Подведение итогов работы. | - | 1 день |
Оплата почасовая, в зависимости от включенности сотрудников Вашей компании - большинство шагов из указанных они могут сделать сами, мы просто не дадим свернуть на теоретизирование и сведение счетов / осваивание бюджета. Гарантия конфиденциальности.
Связаться с нами
Нравится то, что видите? Обращайтесь, чтобы узнать больше.
Агентство финансовых
расследований
De Facto
Факты - наша валюта
Обеспечение экономической безопасности юридических лиц и ИП
+7 (906)026-47-72
a5i4h@yandex.ru
191317, Россия, Санкт-Петербург
пл. Александра Невского, 2
Бизнес-центр Москва
Правовая информация
ИП Евдокимова Анастасия Валерьевна
ИНН: 781115880667
ОГРНИП: 321784700361238
Вернуться наверх