Экономические преступления: не теряйте миллионы ("Консультант", N 1, январь 2012 г.)

Экономические преступления: не теряйте миллионы

Каждый год компании теряют миллиарды долларов от экономических преступлений. Но опасность не всегда приходит снаружи. Возможно, и внутри компании найдутся нечистые на руку работники, способные пойти против системы. А вы знаете, как их вычислить?

Киберпреступления в центре внимания

В России 37% организаций за последние 12 месяцев стали жертвами экономических преступлений, что значительно меньше, чем в 2009-м или в 2007 году. Означает ли это, что мошенничества в России пошли на убыль?

В опросе для Всемирного обзора экономических преступлений за 2011 год приняли участие почти 4000 респондентов из 72 стран. 126 опрошенных представляли ведущие российские компании.

Цель опроса состояла в том, чтобы узнать мнение респондентов об экономических преступлениях в целом и о киберпреступности в частности, которая всё чаще становится причиной беспокойства топ-менеджмента.

Нас особенно интересовало, какие виды киберпреступлений считаются самыми опасными и какие методы используются организациями для их предотвращения и обнаружения.

В данном обзоре представлен широкий спектр организаций, оперирующих в России, включая частные компании (67%); компании, акции которых торгуются на бирже (26%); предприятия государственного сектора (6%) и некоммерческие организации (1%). Организации, которые осуществляют деятельность исключительно в России, составили 51% от общего числа респондентов. Были представлены практически все индустрии, при этом наиболее широко - сектор розничной торговли и производства потребительских товаров (18%), финансовые услуги (17%), промышленное производство (12%),

ТЭК и горнодобывающая промышленность (10%). Более четверти опрошенных (27%) работает в организациях численностью не менее 10 000 человек по всему миру, а 43% являются представителями высшего руководства или членами советов директоров.

Спад экономической преступности

Испытав на себе последствия экономического шока, от которого пострадала Россия в конце 2008 года и в 2009 году, предприниматели стали более бдительными. Затраты стали объектом более пристального внимания владельцев компаний.

Мы отметили, что все больше компаний проводят упреждающую оценку потенциальных бизнес-партнеров и контрагентов.

Многие члены советов директоров и высшего руководства все более активно включаются в процесс контроля за хозяйственной деятельностью. Все эти факторы могут способствовать снижению уровня экономической преступности в абсолютном выражении.

"Компании, столкнувшиеся с мошенничеством, в разбивке по численности персонала"

Однако, по нашему опыту, больше экономических преступлений всегда фиксировали именно те организации, которые подают пример остальным в плане использования эффективных механизмов управления и усиления бдительности.

Таким образом, если усиление бдительности и поспособствовало падению уровня преступности, то не было единственной причиной этому.

Возможно, со времени проведения последнего опроса в 2009 году изменилась мотивация к совершению экономических преступлений. На тот момент российская экономика переживала худший период за последние годы.

Соответственно, такая ситуация существенно усиливала побудительную мотивацию потенциальных мошенников как из числа сотрудников компаний, так и за ее пределами.

В то время как руководство бросало все силы на решение неотложных задач, стараясь сохранить компанию на плаву, появлялись лазейки для мошенников, которые ими и пользовались.

Таким образом, улучшение экономической ситуации и снижение мотивации к совершению мошеннических действий должно было иметь положительные последствия и сказаться на числе зарегистрированных случаев мошенничества.

Кроме того, нельзя исключать и возможность снижения уровня раскрываемости. Этот факт вызывает обеспокоенность. 10% участников опроса не знают, совершались ли мошеннические действия в их организации. Кроме того, в этом году среди респондентов было больше компаний малого и среднего бизнеса, которые традиционно фиксируют меньше случаев таких преступлений.

Признание наличия рисков экономических преступлений на всех развивающихся рынках, в том числе и в России, делает эти страны не самым лучшим местом для ведения бизнеса. Почти треть респондентов из России (29%) вообще не проводят оценку риска мошенничества.

Согласно результатам нашего анализа, чем чаще организации проводят анализ рисков, тем выше уровень раскрываемости экономических преступлений, мониторинга и контроля зачастую не справляются с выявлением более изощренных преступлений. И такие случаи гораздо сложнее расследовать.

Принимая во внимание тот факт, что 83% опрошенных российских предпринимателей пытаются разобраться с экономическими преступлениями собственными силами, нетрудно предположить, что такие схемы вряд ли можно обнаружить, используя традиционные методы расследования, имеющиеся в распоряжении у отделов внутренних расследований предприятия.

Итак, прослеживается ли в России положительная тенденция снижения экономических преступлений?

"Виды экономических преступлений"

Существует высокая вероятность того, что необыкновенно высокий уровень преступности, зафиксированный в 2009 году, действительно снизился. Для этого есть все основания. Но статистику 2011 года нужно принимать с определенными оговорками.

Уровень мошенничества в России все еще выше, чем средний показатель по "большой семерке" развивающихся стран. Компаниям по-прежнему необходимо направлять больше усилий на оценку рисков и укрепление механизмов обнаружения, в частности, в тех областях, где появляются более сложные схемы и новые риски.

Какова же тенденция? Все мы надеемся, что возможностей и мотивов для совершения мошеннических действий станет меньше и уровень раскрытия случаев мошенничества повысится. Но до 2013 года мы вряд ли сможем узнать наверняка.

51% респондентов 2011 года - организации, оперирующие исключительно в России (в 2009 году их доля составляла 31%). Они сообщают о более низком уровне экономических преступлений - 30% по сравнению с 45% у организаций, которые ведут бизнес как в России, так и за ее пределами. Этот факт, по всей видимости, не должен вызывать удивления.

Те компании, которые работают только на российском рынке, обычно в среднем меньше по размеру, чем международные организации. Число зафиксированных случаев мошенничества находится в прямой зависимости от размера организации (штатной численности работников), что не противоречит результатам наших предыдущих опросов.

В более крупных организациях регистрируется большее число противоправных действий. Кроме того, в этом году увеличилось число малых частных компаний, принявших участие в опросе.

Среди организаций со штатом сотрудников свыше 5000 человек с мошенничеством столкнулись 58%. Однако при численности персонала менее 1000 сотрудников этот показатель резко уменьшается - до 20%.

Выявление случаев мошенничества

Как ни удивительно, но несмотря на признание рисков ведения бизнеса на развивающихся рынках, в том числе и в России, 29% российских респондентов вообще не проводят оценку рисков мошенничества. Еще 29% проводят такую оценку всего один раз в год.

Интересен тот факт, что среди организаций, которые проводили оценку риска мошеннических действий на регулярной основе, не реже одного раза в квартал, экономические преступления были зарегистрированы в 62% случаев.

Среди компаний, которые либо вообще не проводят оценку, либо проводят ее раз в год, уровень выявленных преступлений снижается до 34%.

Мы попросили респондентов, которые не проводят оценку рисков мошенничества, привести причины, по которым они не используют этот механизм.

Только 8% в качестве основной причины сослались на стоимость данной процедуры. 44% утверждают, что они не совсем хорошо ориентируются в том, что представляет собой оценка рисков мошенничества, еще 17% не видят никакой пользы от ее проведения. Остальные не смогли указать причину. Эта статистика не может не вызывать беспокойства.

Логично было бы предположить, что, если вы понимаете риск и можете оценить потенциальные выгоды, вы принимаете меры, чтобы найти оптимальный способ защитить себя от неизвестного.

Высокий уровень незащищенности от экономических преступлений по-прежнему отмечают 73% российских респондентов.

Эти организации должны ответить на вопрос о том, насколько сильно они опасаются крупного мошенничества или неправомерного действия со стороны преступников.

И насколько они готовы к внедрению надлежащих процедур предотвращения и обнаружения злоупотреблений?

Незаконное присвоение активов

Незаконное присвоение активов по-прежнему остается самой распространенной формой экономического преступления в России и во всем мире.

Неудивительно, что этот вид экономических преступлений преобладает над другими, так как его легче всего как совершить, так и выявить.

Большая распространенность таких правонарушений указывает руководству компаний, на чем необходимо сосредоточить первоочередное внимание во избежание возможного ущерба.

Серьезную проблему для российских организаций по-прежнему представляют взяточничество и коррупция.

По статистике Министерства внутренних дел, по сравнению с предыдущим годом средняя сумма взятки в России увеличилась приблизительно в 6,5 раза и составила 293 000 рублей.

Из числа организаций, в которых в течение прошедшего года были зарегистрированы экономические преступления, 40% столкнулись с фактами взяточничества или коррупции.

В организациях с численностью персонала более 5000 сотрудников этот показатель составил 48%, что ниже на 8% по сравнению с 2009 годом.

Риск все еще остается, в то же время появляются основания для оптимизма.

Широкий общественный резонанс, который вызывает эта тема, и меры, принимаемые российским правительством в правовом поле, а также работа внутри компаний по укреплению систем обеспечения комплайнса и формированию у сотрудников культуры этичного поведения, - все это приносит свои плоды.

"Финансовые потери от экономических преступлений за последний год"

Тем не менее никто не будет отрицать, что для борьбы с коррупцией или взяточничеством во всех сегментах российского делового сообщества еще многое предстоит сделать.

Преступления с использованием компьютерных технологий и манипулирование данными бухгалтерского учета упоминаются в ответах приблизительно 23% участников опроса.

В специальном разделе мы рассматриваем вопросы, связанные с концепцией и эволюцией киберпреступлений. О случаях недобросовестной конкуренции сообщают 17% участников опроса по сравнению с 7% в среднем по всему миру.

Этот факт, по всей видимости, не должен вызывать удивление. Рейдерские захваты и хищение конфиденциальной информации по-прежнему являются проблемой для российских компаний.

Как выяснилось, чаще всего этой угрозе подвергаются сектор коммуникаций, розничная торговля и промышленное производство.

Виновники экономических преступлений: кто они?

Согласно результатам обзора 2009 года, в выявленных экономических преступлениях чаще виновны внешние злоумышленники (62% в сравнении с 35%).

В этом году мы наблюдаем обратную тенденцию: внутренние правонарушители преобладают (55% в сравнении с 36%). Этот сдвиг может быть признаком того, что под влиянием сложившейся экономической ситуации ранее добросовестные сотрудники впервые становятся участниками экономических преступлений.

Помимо прочего, это могло произойти в результате того, что внешние стороны стали все чаще подвергаться более тщательным проверкам.

При ответе на вопрос, на каком должностном уровне находятся внутренние правонарушители, 31% российских респондентов указали, что это члены высшего руководства. Этот показатель существенно превышает средний результат по всему миру (18%).

При совершении экономических преступлений внешней стороной виновниками, по утверждению участников опроса, чаще всего являются клиенты (41%).

"Меры, принимаемые против мошенников внутри организации"

"Связь между должностным уровнем лица, совершившего преступление, и размером убытка компании"

Кто ищет, тот найдет

Самые популярные методы обнаружения не меняются из года в год. Список по-прежнему возглавляет корпоративная служба безопасности, хотя результаты опроса указывают на снижение ее эффективности по сравнению с предыдущими годами, равно как и эффективности функции внутреннего аудита.

За ними следуют неофициальные внешние источники и внутренний аудит.

Процент правонарушений, раскрытых случайно, увеличился до 6%, так же как и число случаев, где способ обнаружения мошенничества неизвестен - 17%.

"Виновники мошеннических действий"

"Источники угрозы киберпреступлений"

Горячая линия

Согласно результатам нашего обзора механизм конфиденциального информирования руководства о нарушениях внутри компании (горячую линию) применяют 59% респондентов, однако число случаев, раскрываемых с использованием этих систем, уменьшается.

Соответственно, возникает вопрос об эффективности таких горячих линий. В то же время 52% участников опроса, которые используют системы конфиденциального информирования, находят этот механизм эффективным или высокоэффективным, причем уровень раскрытия фактов мошенничества в этих организациях - 44%, что выше среднего показателя.

По нашему мнению, это говорит о том, что полностью преимуществами механизма конфиденциального информированию пользуется лишь небольшой процент организаций и что для продвижения этих систем еще многое предстоит сделать.

Искаженное восприятие киберпреступлений

Под киберпреступлениями понимается широкий круг неправомерных действий, совершаемых с использованием компьютерных технологий, включая взлом информационных систем (хакерство), атаки компьютерных систем с использованием компьютерных вирусов, кражи интеллектуальной собственности, коммерческий шпионаж и многие другие.

Всего жертвами таких атак стали 23% предпринимателей, отметивших случаи мошенничества в своих компаниях.

Усиление угрозы киберпреступлений за последние два года отмечают 25% российских участников опроса по сравнению 39% в среднем по всему миру.

Судя по числу преступлений и тому, как воспринимается эта угроза, по нашему мнению, реальная ситуация намного серьезнее. Это объясняется тем, что многие случаи киберпреступлений просто не фиксируются или вообще остаются без внимания.

В России наблюдается острый дефицит квалифицированных специалистов в области компьютерной безопасности, что серьезно сказывается на ситуации с информационной безопасностью в стране в целом.

Источники угрозы

С точки зрения киберпреступников, 14% респондентов полагают, что самая серьезная угроза кроется в самой организации, при этом 39% считают, что и внутренние, и внешние риски одинаково высоки.

Те, кто видит самые высокие риски внутри организации, к самым рискованным подразделениям относят ИТ, продажи и маркетинг.

Наибольшую обеспокоенность среди российских участников опроса вызывают финансовые потери, хищение интеллектуальной собственности и информации, репутационные риски и кража персональных данных.

В каждом отдельном случае более трети респондентов утверждают, что они "очень обеспокоены" возможными последствиями киберпреступлений.

Кроме того, почти 80% опрошенных выражают некоторую или серьезную обеспокоенность по поводу рисков нарушения законодательства как следствия киберпреступления.

Принимая во внимание тенденцию ужесточения регулирования во всех сферах предпринимательской деятельности, следует подчеркнуть необходимость в разработке эффективной стратегии минимизации риска атаки со стороны киберпреступников, а в случае неудачи принятия ответных мер по преодолению дестабилизации деятельности и последствий для компании.

"Последствия киберпреступлений"

Ответственность и меры

Сфера расследования компьютерных преступлений в России все еще находится в зачаточном состоянии. Компаниям только предстоит полностью изучить весь потенциал этого следственного инструмента.

Сторонних экспертов привлекают 60% опрошенных организаций, причем 41% из них делают это в рамках обычных превентивных мероприятии, а 52% - при возникновении соответствующего инцидента. Только 40% компаний полагают, что они способны расследовать киберпреступления своими силами.

Есть основания полагать, что участники опроса не готовы иметь дело с киберпреступниками. Так, у 30% опрошенных нет плана организации PR-кампаний и работы со СМИ, а 22% вообще не знают, есть ли в компании такой план.

Согласно результатам опроса российских предпринимателей, ответственность в этой сфере все чаще переносится со структурных подразделений и советов директоров на плечи ИТ-директора.

64% опрошенных утверждают, что за работу по управлению рисками киберпреступлений отвечает ИТ-директор (в сравнении с 54% по всему миру).

При этом лишь немногие полагают, что ответственность лежит на структурных подразделениях (6%) или совете директоров (13%).

При ответе на вопрос, с какой регулярностью совет директоров или аналогичный орган занимается рассмотрением рисков киберпреступности, 19 процентов опрошенных остановились на варианте "вообще не рассматривают".

Принимая во внимание все возрастающее значение информационных технологий и непростые экономические условия, компании больше не могут игнорировать вопросы касающиеся информационной безопасности.

В то время как советы директоров по всему миру начинают со всей серьезностью относиться к проявлениям киберпреступности, сопряженным с высоким ущербом и репутационными рисками, судя по результатам опроса, в России советы директоров все еще не уделяет должного внимания киберпреступлениям.

Подготовлено по материалам обзора

компании PricewaterhouseCoopers

Несекретные материалы. Основные выводы

Мошенничество остается одним из основных рисков для компаний во всем мире. Только за последний год в России от экономических преступлений пострадало 37% компаний.

- Мошенничество воспринимается как серьезная потенциальная угроза: 73% организаций, участвовавших в опросе, полагают, что вероятность того, что в течение следующего года они могут стать объектами экономических преступлений, очень высока.

- Наиболее распространенным видом экономических преступлений в России остается незаконное присвоение активов (72%).

При этом взяточничество и коррупция, что неудивительно, по-прежнему являются одной из основных проблем на российском рынке, с которой в прошлом году столкнулось 40% респондентов.

По словам 13% опрошенных бизнесменов, из-за рисков, связанных с коррупцией, они отказались от выхода на новый рынок или от реализации новой коммерческой возможности. Эта статистика вызывает обеспокоенность.

Восприятие уровня коррупции влияет не только на прямые иностранные инвестиции: от вложения средств в те области, которым присущи высокие риски коррупции, воздерживаются и российские организации.

- 23% респондентов стали жертвами киберпреступлений. Это растущая угроза. Мошенники действуют все более изощренно, при этом риски киберпреступлений, многие из которых ассоциируются с развивающимися рынками, в частности с Россией, вызывают повышенную обеспокоенность у респондентов всего мира.

Очевидно, что лишь у немногих организаций есть четкое представление о рисках, связанных с преступлениями с использованием компьютерных технологий. При этом даже те, кто понимает природу этих рисков, не всегда знают, как себя от них защитить.

- Большинство расследований (83%) проводятся самими организациями. В отсутствие независимого анализа объективность расследования зачастую ставится под сомнение, а в некоторых случаях у персонала складывается неправильное представление о действиях руководства.

- 55% организаций возлагают ответственность за совершенные преступления исключительно на собственных сотрудников, действовавших в одиночку; при этом 36% респондентов считают, что дело не обошлось безучастия внешней стороны.

Эта статистика говорит о сокращении доли экономических преступлений, совершенных в результате сговора между сотрудниками компаний и сторонними мошенниками.

Очевидно, что с начала мирового экономического спада предусмотрительные организации стали намного тщательнее проверять своих партнеров по бизнесу. Это также могло способствовать уменьшению количества зарегистрированных случаев мошенничества в России.

- Когда речь идет об участии в мошеннических действиях собственных сотрудников, российские организации стали намного чаще, чем в предыдущие годы, прибегать к увольнениям или информировать правоохранительные органы. 77% таких случаев закончились увольнением виновного лица.

- 59% участников опроса в России используют механизм конфиденциального информирования об имеющихся нарушениях (горячую линию). Причем большинство отмечают эффективность (47%) или высокую эффективность (5%) этого механизма.

"Консультант", N 1, январь 2012 г.