Как противостоять мошенничеству и коррупции в компании

Как противостоять мошенничеству и коррупции в компании

Как противостоять мошенничеству и коррупции в компании

Корпоративное мошенничество сегодня является одной из главных угроз бизнесу в России и странах СНГ. Инциденты в этой сфере наносят не только финансовый ущерб, но и репутационный, а также в целом негативно влияют на климат в организациях. Мы расскажем о том, как предотвращать мошенничество и коррупцию в компаниях из различных сфер бизнеса.

 

 

 

 

 

  1. Введение
  2. Что такое корпоративное мошенничество и как ему противодействовать
  3. Коррупция
  4. Организационные меры против мошенничества и коррупции
  5. Технические меры против мошенничества и коррупции
  6. Выводы

Введение

Согласно данным исследования «Делойт Форензик», корпоративное мошенничество является одной из самых распространённых угроз современному бизнесу в нашей стране. В 2019–2020 гг. с мошенничеством столкнулись 55 % опрошенных компаний из различных секторов в соответствующем регионе. При этом 46 % отметили, что основным последствием стал финансовый ущерб, а 37 % указали на потерю репутации. По данным «Делойт Форензик», основными схемами мошенничества в корпоративном секторе являются сговор с контрагентами, незаконное присвоение или использование активов в личных целях, а также коррупция.

Несмотря на то что проблема является весьма серьёзной и актуальной, а потери компаний от инцидентов исчисляются десятками тысяч долларов, многие не принимают адекватных мер по противодействию таким угрозам. Не планируют они и увеличивать расходы на это направление: так, по данным аналитиков «Делойт Форензик», около 84 % опрошенных компаний из числа столкнувшихся с мошенничеством в 2019–2020 гг. намерены сохранить на прежнем уровне или даже уменьшить затраты на противодействие внутренним инцидентам. Вместе с тем, отсутствие должного внимания здесь может провоцировать рост количества других происшествий в области защиты данных и негативно влиять на отрасль в целом.

Что такое корпоративное мошенничество и как ему противодействовать

Корпоративное мошенничество — это присвоение любых активов компании, включая  имущество, денежные средства, документы, значимую информацию и т. д., и манипулирование ими для личного обогащения, перепродажи конкурентам, шантажа, нанесения любого вида ущерба. Например, одна из распространённых схем корпоративного мошенничества включает в себя сговор с конкурентами и передачу им важных сведений о продажах, о стоимости услуг, о тендерах, о достигнутых договорённостях с заказчиками. Такие сведения «сливают» на сторону за внушительное финансовое вознаграждение.

По сути, мошенничество и коррупция — всегда умышленные преступления, направленные на получение материальной выгоды путём обмана, подлога и иных инструментов достижения подобной цели. Несмотря на то что в уголовном законодательстве не существует отдельной статьи «корпоративное мошенничество», эта категория преступлений подпадает под составы нескольких статей УК РФ: ст. 160 «Присвоение или растрата», ст. 204 «Коммерческий подкуп», ст. 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» и, собственно, ст. 159 «Мошенничество».

Результатом корпоративного мошенничества для организации может стать потеря клиентов и различных активов, ущерб репутации, ухудшение связей с партнёрами, отток сотрудников, снижение продаж и качества продуктов и услуг, уменьшение прибыли.

Для того чтобы эффективно противодействовать мошенничеству, в любой компании должен реализовываться комплекс различных контрольных мероприятий в отношении сотрудников. Необходимо не только ввести в действие систему профилактики корпоративного мошенничества и коррупции, но и создать службу внутреннего аудита, которая регламентируется Федеральным законом № 115 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», а также Федеральным законом № 273 «О противодействии коррупции».

Коррупция 

Коррупция в компании — это злоупотребление служебным положением с невыгодными для организации последствиями, которое приносит заинтересованному лицу (лицам) материальную или иную выгоду. Сюда можно отнести коммерческий подкуп, взятки, слив информационных активов «на сторону» и т. д. В качестве примера можно привести подкуп лица ответственного за проведение технической экспертизы для подготовки тендерной документации. Возьмём случай, когда определённая информационная система не соответствует заявленным требованиям заказчика (крупной государственной структуры). После получения взятки ответственное лицо готовит несоответствующее действительности заключение, заинтересованная организация выигрывает тендер, система внедряется. В итоге её функциональность не обеспечивает покрытия нужд госструктуры, что может привести к серьёзным последствиям не только для отдельного подразделения, но и для государства и общества. 

Помимо того что коррупция неизменно причиняет материальный или нематериальный ущерб самой компании, обществу либо общественным интересам, она также влечёт за собой снижение мотивации к ведению предпринимательской деятельности и отток капитала.

Какие причины приводят к возникновению коррупционной деятельности в компании?

  • Прежде всего это — низкий уровень или полное отсутствие мотивации, заинтересованности в эффективном, прибыльном функционировании компании у наёмного менеджмента.
  • Пробелы в законодательстве и сложности связанные с поиском и наказанием виновных.
  • Высокий уровень коррупции в целом, укоренившееся общественное мнение о безнаказанности и больших масштабах коррупции в стране.
  • Низкие зарплаты и отсутствие системы мотивации.
  • Отсутствие эффективных инструментов контроля.

Для того чтобы вести планомерную борьбу с мошенничеством и коррупцией в компании, можно использовать организационные или технические меры.

Организационные меры против мошенничества и коррупции

Существует ряд эффективных организационных мер противодействия, выявления либо профилактики мошенничества и коррупции в компании. Сюда можно отнести:

  • Разработку и начало использования пакета организационно-распорядительной документации, которая направлена на описание запрещённых действий, с обязательным ознакомлением с каждым документом под роспись.
  • Внесение в фабулу трудовых договоров, заключаемых с сотрудниками организации, пунктов определяющих ответственность за совершение противоправных действий.
  • Информирование всех сотрудников о любых инцидентах данного типа в организации и о привлечении к дисциплинарной, уголовной ответственности всех виновных.
  • Реализация принципа «четырёх глаз» (согласно которому для подписания юридически и / или финансово значимого документа или принятия решения требуется одобрение нескольких руководителей), а также системы комплементарной проверки должностных лиц, которые наделены широким спектром полномочий.
  • Введение системы периодической оценки лояльности сотрудников к компании, например при помощи индекса employee Net Promoter Score (eNPS).
  • Реализация различных мер для повышения мотивации сотрудников и вовлечённости в развитие бизнеса компании: различные корпоративные мероприятия, соревнования, системы премирования и т. д.
  • Организация постоянных контрольно-ревизионных мероприятий либо создание структурного подразделения, в функции которого будет входить осуществление таких мероприятий (обобщённо — разработка регламента и проведение проверок внутренней коммерческой деятельности как подразделений, так и компании в целом). Подразделения этого типа осуществляют контроль качества и легитимности финансовой отчётности.

Технические меры против мошенничества и коррупции

Технические меры профилактики и борьбы с мошенничеством и коррупцией можно разделить на программные и программно-аппаратные. Их функциональность должна охватывать следующие ключевые задачи:

  • Защита конфиденциальной информации от внесения изменений.
  • Защита от утечек информации.
  • Жёсткое разграничение прав доступа в информационные системы компании.
  • Внедрение системы управления проектами.
  • Контроль деятельности сотрудников через корпоративные порталы.
  • Систематические проверки персонала на полиграфе.
  • Применение системы аудио- и видеонаблюдения.
  • Применение системы контроля и управления физическим доступом (СКУД).
  • Обеспечение возможности поиска и выявления ошибок, противоречий, несостыковок в отчётной документации и массивов данных, косвенно указывающих на факт мошенничества.

Для эффективного противодействия корпоративному мошенничеству и коррупции в организации также необходимо внедрить и сконфигурировать DLP-систему и SIEM-систему.

Под DLP-системой мы понимаем инструмент для предотвращения утечек данных — средство защиты информации, которое реализует такие функции, как контроль электронной почты или доступа в интернет (для предотвращения передачи конфиденциальной информации по каналам связи), контроль внесения изменений и операций с файлами на рабочих станциях и серверах, контроль ввода с клавиатуры (для последующей проверки вводимой информации), контроль поведения пользователей (для выявления нетипичных запросов в браузере, подготовки к увольнению и т. д.), а также журналирование — возможность регистрации всех подозрительных действий пользователей в отдельный лог-файл, который можно использовать для анализа текущей ситуации либо расследования мошенничества и коррупции в организации.

Кроме того, в компании должна быть внедрена SIEM-система, которая собирает и анализирует информацию о событиях по безопасности, отслеживает сигналы тревоги, поступающие ото средств защиты информации и сетевого оборудования, анализирует полученные данные и выполняет поиск связанных между собой событий, контролирует инфраструктуру в штатном режиме и оповещает ответственных лиц, если штатный режим был нарушен.

В связке эти средства противодействия корпоративному мошенничеству и коррупции в организации могут обеспечить высокий уровень безопасности конфиденциальных сведений. Помимо этого, журналы регистрации таких систем могут быть использованы в качестве основы для доказательной базы в суде.

И, наконец, за применение всего комплекса перечисленных нами мер должны нести ответственность службы экономической и информационной безопасности компании или наделённые соответствующими полномочиями сотрудники. Их вознаграждение должно напрямую зависеть от того, насколько они способны вовремя выявить и пресечь случаи корпоративного мошенничества, а также от того, насколько качественно реализуются превентивные меры.

Выводы

Организациям из любых отраслей, которые не ведут планомерную работу по профилактике мошенничества и коррупции, следует помнить, что подобные инциденты не заставят себя ждать. И чем меньше внимания было уделено этому направлению, тем больший ущерб может возникнуть. В отдельных случаях, когда коррумпированные сотрудники ведут планомерную работу по развалу организации и передаче конфиденциальных ресурсов конкурентам, можно даже говорить о банкротстве. В любом случае, убытки от мошенничества и коррупции могут исчисляться десятками тысяч долларов. Кроме того, организация может оказаться замешанной в скандалах или противоправных действиях, за которые придётся нести административную или уголовную ответственность.

Поэтому необходимо приложить максимум усилий для того, чтобы не допустить случаев мошенничества и даже возникновения у сотрудников мысли о возможности реализации коррупционных схем. Чем больше компаний начнёт принимать меры, тем более здоровой будет обстановка в бизнесе, снизится количество инцидентов в целом.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru