Банковское обозрение

Финансовая сфера


29.05.2020 Аналитика
Враг внутри

Корпоративное мошенничество в практике внутреннего аудита банков: предпосылки, примеры  и возможности по предотвращению


Внутреннее корпоративное мошенничество не всегда связано с человеческим фактором, зачастую оно является результатом созданной в компании корпоративной культуры и условий труда.

В недавнем исследовании, проведенном компанией SAS на основе анализа работы в крупнейших банках и компаниях, был выявлен ряд основных причин возникновения корпоративного мошенничества. Более 61% сотрудников совершили противоправные и мошеннические действия ввиду отсутствия мониторинга и аудита процессов, 45% — по причине профессиональных компетенций и возможностей, поскольку их деятельность была связана с работой в бэк-офисе, бухгалтерской и операционной работой, 27% — из-за наличия такой технической возможности.  

Не менее интересными выглядят причины, которые побудили сотрудников совершить корпоративное мошенничество. Среди них — жадность, возможность совершить противоправные действия безнаказанно, недостатки внутренней культуры и желание достичь KPI. Как отмечено в исследовании, 21% сотрудников были вовлечены в мошеннические схемы под давлением вышестоящих лиц; 11% сотрудников, совершивших мошенничество, утверждали, что их недооценили на работе, поэтому они взяли лишь то, что им и так причитается.

Несмотря на то что слабые процедуры внутреннего контроля были признаны одним из основных факторов, провоцирующих и упрощающих совершение внутреннего корпоративного мошенничества, рассмотрим другие факторы, которые не принято открыто обсуждать в бизнес-среде, поскольку они инициированы непосредственно менеджментом банка.  

KPI не всегда прав

Мотивом, побуждающим к совершению корпоративного мошенничества, могут быть бизнес-показатели и планы, которые сотрудники зачастую не в состоянии выполнить в условиях своего трудового графика и реальных возможностей внутреннего структурного подразделения кредитной организации. 

Рассмотрим несколько простых примеров. Для начисления ежеквартальных бонусов специалистам по продажам результаты выполнения бизнес-плана привязали к новому KPI. Так, сотрудник должен выдать не менее 20 кредитов в день, при этом минимальная сумма кредита — 10 тыс. рублей, а срок — не менее одного месяца. Если сотрудник не справляется, он теряет часть ежемесячного дохода в виде премии. 

Для выполнения плана сотрудники начинали дробить суммы вновь выданных кредитов на одного заемщика, используя паспортные данные несуществующих заемщиков, знакомых, родственников и т.д. В результате в конце месяца установленные показатели были выполнены в полном объеме, а банк получал несуществующих заемщиков, кредиты которых погашались в течение одного-двух дней. Аналогично сотрудники поступали для выполнения бизнес-показателей по привлечению депозитов от физических лиц, и банк получал мнимых вкладчиков. Таким образом, по итогам каждого месяца сотрудники банка выполняли бизнес-план по привлечению клиентов, а размер кредитного или депозитного портфеля сохранялся на прежнем уровне. И это не результат ошибочных действий или человеческого фактора, а фактически ошибочные действия менеджмента организации.

Приведем некоторые примеры и индикаторы риска, на которые аудиторы должны обращать пристальное внимание. 

Дробление кредитов, выданных одному заемщику. Как правило, данный показатель характеризует недобросовестные действия кредитного инспектора или андеррайтера и указывает на фиктивность выполнения плана по выдаче кредитов. Если в течение одной-двух недель или менее одному заемщику выдается несколько кредитов, дополнительно можно проанализировать родственные связи заемщика и сотрудника банка. На практике встречаются случаи, когда одновременно с выдачей кредита открывается на длительный срок вклад, который впоследствии досрочно закрывается. 

Мошеннические или фиктивные действия сотрудников банка по искусственному выполнению плановых показателей. Фактически данный индикатор дублирует предыдущий с той лишь разницей, что он позволяет дополнительно отслеживать срок выдачи и досрочного погашения кредита или покрытие долга по кредитной карте. Например, такой срок может составлять до 30–35 дней, что характеризует фиктивность выдачи кредита. 

Выявление ипотечных или жилищных кредитов, по которым оформлено обеспечение не на всю сумму кредита. В зону особого риска входят кредиты, имеющие просроченную задолженность по первому или второму платежу. 

Необоснованная или фиктивная выдача кредитных карт. Фиксируются случаи выдачи кредитной карты при отсутствии заявки на ее выдачу либо выдачи карты клиентам, имеющим просроченную задолженность. Дополнительным признаком могут служить такие характеристики, как возраст заемщика (менее 21 года или старше 70 лет), отсутствие оборотов по текущему счету в течение длительного периода (заработная плата, пенсия, перечисления социального характера и пр.), отсутствие действующих кредитов.

Мошеннические действия сотрудников банка при оформлении договоров страхования. Аннулирование оформленных договоров страхования при отсутствии оснований, сторнирование действующей операции по оплате договора страхования. 

Во избежание подобных схем внутреннего фрода при выполнении любого бизнес-показателя необходимо предварительно анализировать возможности структурного подразделения по расширению клиентской базы. Зачастую слепое копирование бизнес-плана для всех внутренних структурных подразделений приводит к негативному эффекту. 

Кадры решают

Отсутствие системы внутреннего контроля и мониторинга для персонала среднего и низшего звена также может стать причиной внутреннего фрода.

Мотивом, побуждающим к совершению корпоративного мошенничества, могут быть бизнес-показатели и планы, которые сотрудники зачастую не в состоянии выполнить в условиях своего трудового графика

Рассмотрим в качестве примера функциональные обязанности кассира-контролера в отделении банка. На эту должность был принят сотрудник, в функции которого входили прием и пересчет денежных средств, поступающих из головного отделения банка, совершение кассовых и валютно-обменных операций, подготовка наличности для инкассации средств. С учетом небольших объемов операций в отделении сотрудник выполнял одновременно функции кассира и контролера. Функции сменного кассира выполняли сотрудники других подразделений банка в рамках установленного графика. 

Через месяц объем операций с наличными денежными средствами в отделении банка резко вырос, что автоматически привело к необходимости увеличения лимита работы с наличными деньгами. А спустя еще месяц сотрудник был уличен в корпоративном мошенничестве — многочисленных фальсификациях с объемами выданных и полученных наличных средств. Ему был инкриминирован ряд нарушений и должностных преступлений: совершение кассовых и валютно-обменных операций без оформления приходно-расходных документов, присвоение денежных средств вкладчиков, не обращающихся длительное время за их снятием, проведение несуществующих операций с банковскими картами в целях получения и присвоения комиссионного вознаграждения и пр. 

Еще одним индикатором, обусловливающим недостатки системы внутреннего контроля за линейным персоналом, может выступать высокая текучесть кадров. По разным оценкам, в зависимости от размера кредитной организации высокой считается текучесть свыше 10–15% общего количества персонала. Зачастую менеджмент просто игнорирует показатели текучести кадров, ссылаясь на недостатки квалификации персонала и процессы «естественного отбора» лучших сотрудников для организации. Однако когда речь заходит об утечке активов банка и в процессе аудита выявляется очевидная взаимосвязь понесенных потерь и убытков от действия персонала, менеджмент должен принять меры для снижения текучести кадров на уровне стратегии развития банка. 

Например, в кредитном подразделении банка последовательно в течение короткого промежутка времени уволились 70% сотрудников. Одна из причин увольнений — претензии к работе персонала, недостатки квалификации и невыполнение плана по привлечению новых клиентов. Результатом массового увольнения сотрудников стал отток ключевых клиентов банка. Фактически уволенные сотрудники «увели» основных заемщиков, что впоследствии отразилось на финансовом результате банка. 

Еще один пример связан с фактом сговора сотрудника банка с заемщиком путем выдачи заведомо невозвратного кредита. Практика выдачи невозвратных кредитов распространена в крупных банках (обычно за неформальное вознаграждение в виде процентов от суммы выданного кредита). Выявить случаи сговора сложно, и в процессе возбуждения уголовного дела только в единичных случаях сотрудники получают реальное наказание.  

В приведенных выше примерах прослеживается ошибка менеджмента, связанная с отсутствием системы контроля и мониторинга действий персонала, функции которого связаны с активами кредитной организации, с игнорированием операционных рисков, связанных с высокой текучестью кадров.

Зона ответственности

Еще одной причиной фрода может стать отсутствие адекватной системы контроля внутренних компетенций сотрудников кредитной организации. Внутренние компетенции сотрудника закреплены в его должностной инструкции. Однако на практике возникают ситуации, когда необходимо выполнять не только прямые, но и смежные обязанности других сотрудников. 

Приведем несколько примеров корпоративного мошенничества, являющегося результатом отсутствия системы контроля внутренних компетенций: 

  • использование внутреннего пароля другого сотрудника и совершение операций от имени другого лица; 

  • использование личного доступа в компьютер во внерабочее время или в период нахождения в отпуске или на больничном с одновременным совершением операций; 

  • превышение лимита при выдаче кредита в результате отсутствия / недостаточности полномочий; 

  • выполнение одновременных функций исполнителя и руководителя бизнес-процесса. 

Выявить случаи сговора сложно, и в процессе возбуждения уголовного дела только в единичных случаях сотрудники получают реальное наказание

Систематизация отчетности по кредитам физических лиц, включая внутреннюю отчетность банков, позволяет аудиторам дополнительно выявлять мошеннические схемы по выдаче таких кредитов. Зачастую такие операции характеризуются высокой скоростью принятия решения по выдаче кредита, отсутствием необходимой документации и кредитами, выданными одному заемщику. 

Аналогичным образом могут быть выявлены мошеннические действия сотрудников банка при выдаче кредитов юридическим лицам, при этом размер потенциального ущерба для банка может быть значительно выше. Рассмотрим некоторые индикаторы.

  • Наличие просроченной задолженности по первому или второму платежу. Выявляются сотрудники, выдавшие наибольшее количество таких кредитов за определенный промежуток времени.

  • Реструктуризация задолженности. Осуществляется анализ кредитов, реструктурированных (включая пролонгацию) без видимых признаков просроченной задолженности. 

  • Необоснованный размер резерва на возможные потери по ссудам (РВПС). Выявляются случаи необоснованного снижения резерва по ссудам в разрезе сотрудника, ответственного за выдачу кредита, а также необоснованного включения отдельных ссуд в портфель однородных ссуд (ПОС).

  • Удельный вес просроченной задолженности в разрезе структурного подразделения/сотрудника, ответственного за выдачу кредита. Дополнительному анализу может быть подвергнута динамика удельного веса просроченной задолженности.

  • Жалобы клиентов. Проводится анализ жалоб клиентов на конкретных сотрудников, ответственных за выдачу кредитов за конкретный период.

  • Время совершения операций не соответствует рабочему времени сотрудника. На основе АБС выявляются случаи регистрации кредитных заявок во внерабочее время.

Перечень индикаторов, анализируемых внутренними аудиторами в результате проведения фрод-мониторинга, может постоянно корректироваться. Составляя карту потенциальных рисков, аудитор видит сигналы в разрезе отдельных индикаторов, сотрудников и конкретных подразделений, деятельность которых связана с определенным направлением банковского бизнеса (кредиты, вклады, ценные бумаги и пр.)

Прочие риски банковской инициации

Выделяя корпоративное мошенничество из разновидности операционного риска, мы говорим о необходимости его идентификации как риска, инициируемого главным образом самим банком. В научной литературе даже сформирован новый термин «риск банковской инициации», определяющий изменения различных процессов, инициатором которых является непосредственно кредитная организация. 

В зону «особого» риска попадают операции, совершаемые с использованием наличных денежных средств и средств, находящихся на счетах клиентов. Потенциальными индикаторами для выявления внутренних мошеннических действий со стороны сотрудников кредитной организации могут стать:

  • досрочное закрытие депозитных счетов и вкладов;

  • сторнирование операций по приходу и расходу в течение одного операционного дня;

  • совершение расходных операций по счетам клиентов, длительное время не использующих денежные средства;

  • совершение операций по счетам клиентов, попадающих в зону повышенного риска (несовершеннолетние лица, пенсионеры, лица, получающие социальные пособия, и пр.);

  • массовая выдача кредитных карт, депозитных сертификатов, оформление вкладов за короткий промежуток времени на большие суммы.

Как оптимизировать 

Приведем четыре основных шага, применение которых позволит оптимизировать действующие программы и методы по предотвращению внутреннего мошенничества в банке.  

1. Проведение периодического обзора результатов мониторинга операционного риска как самостоятельной аналитической процедуры. Менеджменту следует ответить на следующие вопросы:

  • Существует ли возможность расширения или настройки действующей системы индикаторов или тестов по выявлению риска в условиях меняющейся внутренней корпоративной среды?

  • Существуют ли реальные причины, которые послужили основой для внутреннего мошенничества, и как это отразилось на деятельности банка? 

2. Оценка точности и эффективности созданных процедур для мониторинга операционного риска. Вопросы:

  • Создана ли в банке система управления операционным риском (база — СУОР) и какова возможность ее использования для анализа причин внутреннего мошенничества?

  • Какова частота «ложных сигналов» и каковы причины их возникновения?

  • Используется ли в банке статистический анализ для корректировки существующих индикаторов операционного риска и есть ли возможность их настройки в изменяющихся условиях работы банка?

3. Использование дополнительных контрольных процедур и проверочных действий со стороны менеджмента банка. Вопросы:

  • Какие методы могут быть потенциально использованы для прогнозирования внутреннего мошенничества?

  • Проводилась ли оценка влияния текучести персонала на достижение бизнес-показателей организации и выявление новых случаев внутреннего мошенничества?  

  • Какова возможность моделирования индикаторов (их перенастройки) за короткий промежуток времени в целях повышения визуализации данных при одновременном снижении трудозатрат? 

4. Сопоставление потенциального и реализованного операционного риска в наиболее уязвимых направлениях деятельности банка. Вопросы:

  • Заложен ли в стратегию развития план мероприятий по снижению потенциальных и реализованных операционных рисков, включая риски текучести персонала, и какова возможность его выполнения?

  • Насколько снизился процент выявленных мошеннических действий за отчетный период по сравнению с предыдущий?

  • Каков результат влияния реализованного риска на деятельность банка (существенность)?   

Корпоративное мошенничество занимает особое место и требует использования качественно нового инструментария не только в системе внутреннего контроля и аудита, но и со стороны менеджмента банка. а процессы нейтрализации и предотвращения корпоративного мошенничества должны происходить одновременно с анализом созданной в компании корпоративной культуры и условий труда.







Сейчас на главной