Риском мошенничества можно управлять ("БДМ. Банки и деловой мир", N 7, июль 2008 г.)

Риском мошенничества можно управлять

Мошенничество в банках - это не кража или ограбление, а использование некой схемы или махинации для получения личной - и незаконной - выгоды. Однако последствия этих "тихих" преступлений бывают и тяжкими, и громкими по общественному резонансу.

"Тихие" преступления с громкими последствиями

Как ни удивительно, но, судя по статистике, убытки, понесенные банками в результате мошеннических действий, значительно превышают общие потери от совершенных в них грабежей, разбоев и просто краж. "Среднему грабителю банка удается унести $700, и его ловят в течение 24 часов, в то время как убытки от одного подделанного банковского чека превышают $2 000, организаторы зачастую остаются не пойманными, и подделки чеков случаются в сто раз чаще ограблений", - так Лес Хендерсон, автор бестселлера "Преступления убеждения" (Crimes of Persuasion), оценил объем потерь среднего уровня, связанных с банковскими мошенничествами. Надо сказать, подобные махинации не так безобидны для общества, как может показаться. Ведь "доход" от успешной аферы может быть потрачен не только на приобретение спортивных авто или украшений (так, правда, бывает чаще всего), но и на совсем не мирные цели. Как писала 5 июня The Canadian Press, в июне 2006-го террористическая ячейка, созданная выходцами из стран Среднего Востока, планировала получить ссуду в одном из банков Торонто. А деньги собирались потратить на приобретение оружия в Мексике и организацию беспрецедентного теракта на территории Канады - чтобы страна "никогда более не могла воспрянуть духом".

Арсенал мошенников

Способов банковского мошенничества немало, достаточно перечислить наиболее популярные.

Предоставление в банк поддельных денежных знаков, ценных бумаг и других документов.

Мошенничество с банковскими картами.

Фишинг и мошенничество с использованием средств Internet.

Внутреннее мошенничество сотрудников банка.

Легализация доходов, полученных преступным путем.

Использование подложного удостоверения личности.

Действия мошенников касаются не только банка как юридического лица, но и частных лиц - рядовых граждан. Нередко клиенты банка, пользующиеся банкоматом для снятия наличных, сами того не ведая, передают мошенникам данные с магнитной полосы своей кредитной карты и ее пароль. А суть аферы проста: поверх слота, принимающего пластиковую карту, устанавливается портативное считывающее устройство - скиммер. Разработчики скиммеров стремятся сделать их максимально неотличимыми от оригинального слота банкомата - чтобы жертва не обратила внимания на его наличие. Скиммер моментально считывает информацию со вставленной в банкомат карты и пересылает своему "хозяину". Получив эти данные, злоумышленник может изготовить точную копию пластиковой карты жертвы. Остается узнать пароль карты, для чего рядом с банкоматом устанавливается скрытая камера либо тонкая накладная клавиатура, передающая мошенникам информацию обо всех нажатиях клавиш, производимых жертвой. Таким образом, уже через несколько минут после завершения жертвой операции снятия наличности на руках у преступников оказывается точная копия пластиковой карты и сведения о пароле доступа к счету. То немногое, что может спасти счет жертвы от окончательного обнуления, - это внимательность к внешнему виду банкомата, частые выписки по карте и, при обнаружении необоснованных расходов, срочное обращение в банк-эмитент для приостановления операций по счету и смене пароля.

Не менее популярно и использование чужого удостоверения личности. Если аферистам удалось раздобыть сведения о частном лице, которые используются для получения доступа к банковским картам и зарегистрированным на него счетам, они могут даже получать от имени этого лица кредит.

Общий анализ ряда случаев банковских мошенничеств позволил выделить три основных элемента, сопутствующих их совершению:

активное вовлечение сотрудников банка, как рядовых служащих, так и высшего руководства, независимо либо в соучастии с третьими лицами;

нарушение, намеренное или нет, сотрудниками банка внутреннего регламента, невыполнение утвержденных политик и процедур;

использование поддельных денежных знаков, чеков, ценных бумаг.

Можно ли управлять риском мошенничества?

Вполне, но при одном условии - в процесс управления таким риском должны быть так или иначе вовлечены все сотрудники компании. А задавать тон - высшее руководство. Собственно, механизм управления рисками известен, и в его основе лежит, прежде всего, высокий уровень корпоративной культуры, который изначально зависит от "политической воли" топ-менеджмента. Остальная работа ведется, как правило, в рамках функциональных обязанностей каждого подразделения и каждого отдельного сотрудника. Скажем, служба безопасности обеспечивает физическую защиту активов, IТ-департамент содействует обеспечению сохранности и конфиденциальности данных, программного обеспечения и компьютерной техники. А задачей внутреннего аудита, помимо прочего, является анализ эффективности системы управления риском мошенничества и доведение до сведения руководства информации об уровне риска в организации.

Раз уж мы начали говорить о задачах различных департаментов, то стоит упомянуть, что все чаще в организациях создается специальный отдел по противодействию мошенничеству, который работает в тесном контакте с теми подразделениями, которые мы уже назвали.

В рамках управления рисками мошенничества выделяют три основных направления:

противодействие (Antifraud);

обнаружение (Detection);

расследование (Investigation).

Противодействие

В целом это направление борьбы с мошенничеством включает следующие процедуры:

внедрение и развитие культуры противодействия мошенничеству;

должное распределение обязанностей между сотрудниками;

установление экономически целесообразных систем внутреннего контроля для выявления случаев мошенничества и их предотвращения;

развитие у сотрудников навыков и знаний, требуемых для эффективного управления риском мошенничества;

работа с уже произошедшими случаями мошенничества;

установление эффективной системы оповещения о фактах мошенничества;

отслеживание исполнения действий, определенных руководством для минимизации риска мошенничества;

создание системы мониторинга риска мошенничества.

С целью управления этим риском обычно разрабатывается специальный документ - политика по противодействию мошенничеству. Однако она определяет лишь подход и общие принципы. Помимо того, принципы управления риском мошенничества должны найти свое отражение во всех основных направлениях деятельности банка, а процедуры описаны в ряде документов.

Кодекс этики делового поведения;

Политика по работе с персоналом;

Система корпоративного управления;

Отчеты по отслеживанию риска мошенничества;

Система обучения противодействию мошенничеству.

Разумеется, все без исключения служащие банка должны быть ознакомлены с политикой по противодействию мошенничеству, а внутренние положения регламентируют роль каждого сотрудника в ее реализации.

Чрезвычайно важна процедура обучения работников банка, которая включает несколько этапов:

Предоставление копии политики каждому новому сотруднику в качестве приложения к трудовому договору или руководству работника.

Инструктаж новых сотрудников во время вводного обучения.

Разработка обучающей программы, проверка знаний сотрудников.

Обеспечение свободного доступа сотрудников банка к политике противодействия мошенничеству и кодексу этики делового поведения.

Обеспечение незамедлительного оповещения сотрудников банка обо всех изменениях в политиках.

Включение вопросов, касающихся мошенничества, в еженедельные или ежемесячные рассылки.

Оповещение персонала о результатах расследований и дисциплинарных взысканиях в отношении работников, совершивших мошенничество.

Контроль, и еще раз контроль

Как читатель, наверное, уже заметил, противодействие мошенничеству - мера превентивная и позволяет снизить этот риск в принципе. Есть, однако, "болевые точки", требующие дополнительного контроля. Так, очень хороший эффект дает участие сотрудников отдела по противодействию мошенничеству в процессе выдачи кредитов. Они выявляют и проверяют потенциальных мошенников еще до разрешения на получение займа. Понятно, что подобная процедура требует дополнительных временных и финансовых затрат, так как подробный анализ заемщика может занять несколько дней. Но ведь ошибки обходятся куда дороже.

Тем не менее, предотвратить мошеннические атаки можно и в процессе проведения текущих банковских операций. Например, один из банков установил во всех подразделениях последнюю версию базы данных, разработанную ведущей информационно-технологической компанией в Африке и используемую для идентификации мошенников. База содержит список таких преступников, что позволяет разоблачить их еще до того, как они станут клиентами или контрагентами банка. Дело в том, что для подтверждения перевода средств этот банк, помимо подписи, использует отпечаток указательного пальца клиента - как известно, в отличие от имени, фамилии и даже внешности, которые могут меняться со временем, эта "примета" уникальна. Система оснащена высококачественным сканнером, снимающим отпечатки пальцев, и специальным программным обеспечением, которое сравнивает их с теми, что имеются в базе данных и принадлежат уже известным мошенникам. Если отпечатки идентичны, на экране всплывает фотография мошенника. Основная идентификация происходит, конечно, по отпечатку пальца, фотография служит лишь для визуального сравнения изображенного на фотографии мошенника с человеком, пытающимся совершить операцию. Конечно, можно поспорить о законности и этичности этих методов в разных странах, но сейчас такой метод успешно работает и используется многими банками как один из дополнительных методов установления личности.

Обнаружение

Обнаружить факт мошенничества можно разными путями, каждому типу преступления соответствует своя техника. Один из наиболее распространенных и опасных его видов - внутреннее мошенничество, в котором замешаны сотрудники банка. Его обнаружить сложнее, чем внешнее (поскольку "работают" профессионалы), однако с помощью специальных индикаторов это можно сделать достаточно точно. Таких индикаторов около сотни, приведем лишь некоторые.

Резкое удорожание стиля жизни сотрудника.

Быстрое увольнение недавно пришедшего в банк сотрудника.

Установление "неформальных" отношений сотрудника с партнерами и поставщиками компании.

Печально известный трейдер банка Societe Generale Жером Кервьель прямо указывает на один из подобных индикаторов: "Простой факт, что я не уходил в отпуск в 2007 году, должен был насторожить моих менеджеров. Это ведь одно из правил внутреннего контроля - трейдер, который не хочет уходить в отпуск, - это трейдер, который не хочет показывать базу своих заявок".

Как основу для организации системы обнаружения и контроля банки традиционно используют существующую и законодательно закрепленную систему внутреннего контроля. Хорошо сконструированная и экономически целесообразная, такая система должна идентифицировать большинство случаев мошенничества или попытки совершения такого рода действий. Согласно статистике Министерства финансов США, более 50% случаев мошенничеств, совершенных государственными служащими, были выявлены посредством стандартных процедур контроля, и только около 30% случаев были раскрыты благодаря информации, полученной со стороны третьих лиц.

Примеры процедур контроля могут включать:

проверку данных клиента;

разделение полномочий между инициатором, контролером и исполнителем операции;

проверку внутренними и/или внешними аудиторами операций и финансовой отчетности банка;

отслеживание управленческой информации по работе подразделений банка;

контроль бюджета и другой финансовой информации;

независимые оценки работы банка;

"горячую линию".

Российские банки в дополнение к перечисленным процедурам используют и неформальные инструменты для обнаружения мошенничества: внешнюю информацию, "старые связи", e-mail рассылки и т.д.

Расследование

В зависимости от изобретательности, степени жадности и организованности мошенников процесс расследования может потребовать участия руководителей высшего звена и активную работу с персоналом, а также сотрудничество со службами безопасности - как внутренними, так и государственными.

Все процедуры проведения расследования должны быть прописаны в плане реагирования на потенциальное мошенничество. Сотрудники, участвующие в расследовании, должны быть заранее ознакомлены с правилами его проведения, дабы получить желаемый результат, не нарушив того множества российских законов, от Конституции РФ до Закона об адвокатуре, которые прямо или косвенно регулируют это поле деятельности. Для примера вернемся к расследованию Societe Generale. Оно проводится открыто, с использованием служб безопасности и проведения расследований в отношении других банков. Более того, стало известно, что в конце 2007 года партнеры Societe Generale привлекали его внимание к некоторым крупным операциям, которые как раз и проводил Жером Кервьель. Из банка сообщили, что провели должную проверку, однако она не выявила реального положения дел. Степень вины самого Кервьеля определит полиция с некоторой помощью независимых аудиторов, которых банк намерен пригласить для более детальной проверки.

Что касается России, организованная борьба с финансовым мошенничеством в банках здесь только начинается. Согласно данным сайта www.mvd.ru число мошенничеств, связанных с финансово-кредитными организациями, в январе-апреле 2008 года составило 44 130, а за аналогичный период 2007-го - 32 003. Данные статистики позволяют сделать вывод, что проблема мошенничества приобретает все большее значение, а значит, необходимо накапливать опыт, в том числе зарубежный, для усовершенствования известных методов борьбы с ним.

Хочется надеяться, что в среднесрочной перспективе и государство, и банки, осознав всю серьезность проблемы, начнут разрабатывать и применять более совершенные методы борьбы с финансовыми преступлениями. А это в свою очередь поможет переломить сложившуюся тенденцию и укрепить в сознании банковских работников и рядовых граждан простое правило - мошенничать с банком нельзя не только из моральных соображений, но и потому, что преступление непременно будет раскрыто и не останется безнаказанным.

"БДМ. Банки и деловой мир", N 7, июль 2008 г.