№7(18)(2013)

Визначення шахрайства
Шахрайство охоплює широкий спектр порушень і незаконних дій, які характеризуються навмисним обманом або введенням в оману. Згідно з Міжнародними стандартами професійної практики внутрішнього аудиту шахрайство – це «...будь-яка незаконна дія, що характеризується обманом, приховуванням або порушенням довіри. Ці дії не пов’язані з загрозою насильства або фізичної сили. Шахрайства здійснюються сторонами і організаціями для одержання грошей, власності або послуг, для ухилення від сплати або втрати послуг або для забезпечення особистої чи ділової переваги».

Чому люди вчиняють шахрайства
Шахрайство може бути скоєне співробітниками на будь-якому рівні в межах організації, а також поза ними. Є три загальних характеристики більшості шахрайств:

• тиск чи стимул – потреба, яку шахрай намагається задовольнити шляхом вчинення шахрайства;
• можливість – здатність шахрая до скоєння шахрайства;
• раціоналізація – здатність шахрая виправдати для себе шахрайство.

Управління шахрайством

Шахрайство – це бізнес-ризик, з яким керівники, особливо керівники аудиту (внутрішнього аудиту), мали справу протягом тривалого часу. Численні заголовки статей висвітлювали корпоративні скандали та неправомірні дії, які свідчать про необхідність організацій та урядів поліпшувати корпоративне управління і нагляд. Як ефективно вирішувати питання ризику шахрайства в рамках організації – є основним предметом стурбованості рад директорів, менеджменту, власників бізнесу, внутрішніх аудиторів, керівників уряду, законодавців, регуляторів та багатьох інших зацікавлених сторін. І часто нові закони та правила всього світу змушували організації по-новому поглянути на цю давню проблему. Шахрайство негативно позначається на організації багато в чому, спричинюючи, зокрема, фінансові, репутаційні, психологічні та соціальні наслідки. За даними різних опитувань, фінансові втрати від шахрайства є значними.
Проте повну вартість шахрайства неможливо оцінити з точки зору часу, продуктивності, в тому числі й репутації відносин з клієнтами. Залежно від величини втрат вплив фінансового шахрайства на діяльність організації може бути значним, завдаючи останній непоправної шкоди. Таким чином, організаціям важливо мати дієву програму боротьби з шахрайством, яка включатиме підпрограми з попередження і виявлення шахрайства, а також процес оцінки ризиків шахрайства для їхнього виявлення в рамках організації.

Ефективна програма управління ризиками шахрайства містить:

• політику етики компанії – «ставлення у верхах» з боку вищого керівництва;
• обізнаність щодо шахрайства – розуміння природи, причин і характеристик шахрайства;
• оцінку ризиків шахрайства – оцінку ризику різних видів шахрайства;
• постійні перевірки – внутрішній аудит, який враховує ризик шахрайства в кожному аудиті та виконує відповідні процедури;
• попередження і виявлення – дії, що застосовуються для зниження можливості заподіяння шахрайства і переконання співробітників не вчинювати шахрайство з огляду на імовірність його виявлення та покарання;
• дослідження – процедури та ресурси для ґрунтовного розслідування і повідомлення про події, пов’язані з підозрами щодо шахрайства.

Участь внутрішнього аудиту
Отже, як може внутрішній аудит найкраще слугувати в якості ресурсу і відігравати важливу роль у протидії та виявленні випадків шахрайства? Міжнародні стандарти професійної практики внутрішнього аудиту (стандарти) Інституту внутрішніх аудиторів, що стосуються шахрайства і ролі внутрішнього аудитора у виявленні, попередженні та моніторингу ризиків шахрайства та врахуванні цих ризиків у аудиторських перевірках і розслідуваннях, включають:
Стандарт внутрішнього аудиту 1200: Професійна компетентність та належна ретельність 1210.A2 – внутрішні аудитори повинні мати достатні знання для того, щоб оцінити ризик шахрайства та спосіб управління таким ризиком у організації, але не перед­бачається, що внутрішній аудитор повинен володіти такою ж компетенцією, що й особа, основним обов’язком якої є виявлення та розслідування фактів шахрайства.
Стандарт внутрішнього аудиту 2120: Управління ризиками 2120.A2 – внутрішній аудит повинен оцінити можливість виникнення шахрайства та способи управління ризиками шахрайства.
Стандарт внутрішнього аудиту 2210: Цілі завдання 2210.A2 – внутрішні аудитори повинні розглядати ймовірність значних помилок, шахрайства, невідповідності або інших ризиків при розробці цілей завдання.

На додаток до кількох Практичних рекомендацій, які випустив Інститут внутрішніх аудиторів щодо шахрайства, стандарти Інституту внутрішніх аудиторів також вимагають, щоб керівники внутрішнього аудиту включали інформацію щодо суттєвих ризиків та питань контролю, зокрема ризику шахрайства, в періодичні звіти для вищого виконавчого керівниц­тва та ради.
Хоча керівництво і рада в кінцевому рахунку відповідальні за стримування шахрайства, ефективна діяльність внутрішнього аудиту може бути надзвичайно корисною у вирішенні питань шахрайства. Внутрішні аудитори оцінюють ризики, з якими стикаються їхні організації, ґрунтуючись на планах перевірок та тестуваннях, і мають реагувати на ознаки та можливості вчинення шахрайства. Коли зовнішні аудитори зосереджуються на суттєвих викривленнях фінансової звітності, внутрішні аудитори часто знаходяться в кращому становищі у контексті виявлення симптомів, які супроводжують шахрайства, оскільки внутрішні аудитори зазвичай постійно працюють в організації, що дає їм більш глибоке розуміння організації та її системи управління. Зокрема, внутрішні аудитори можуть допомагати у стримуванні шахрайства шляхом вивчення й оцінки адекватності та ефективності системи внутрішнього контролю. Крім того, вони можуть консультувати керівництво в розробці ефективних заходів щодо запобігання шахрайству, знаючи сильні та слабкі сторони організації.
Існують різні підходи, які керівник внутрішнього аудиту може використовувати при проведенні внут­рішнього аудиту, враховуючи можливість шахрайства. Розглянемо їх детальніше.
Управління аудитом включає контроль шахрайства. Це охоплює політику, розуміння практики, ставлення у верхах, раду і корпоративне управління вищого виконавчого керівництва (контрольне середовище), а також пов’язану з ним практику, таку, як оцінка ризиків, оцінка адекватності превентивних контролів та контролю виявлення в управлінні ризиків шахрайства в межах прийнятності для організації, практики управління інцидентами, розслідування та відновлення. Внутрішній аудит має виділяти ресурси для розслідування шахрайської діяльності відповідно до існуючих ризиків шахрайства порівняно з іншими ризиками організації.

Аудит виявляє ймовірність шахрайства шляхом тестування процесів з високим рівнем ризику з метою визначення ознак шахрайства в межах організації і в зовнішніх ділових відносинах. Наприклад, тестування розрахунку заробітної плати для виявлення фіктивних співробітників або тестування рахунків-фактур постачальників для виявлення завищення цін, тестування, чи збігається адреса постачальника з адресою співробітника, для виявлення фіктивних постачальників, або перегляд баз даних для виявлення дублюючих операцій.
Врахування шахрайства в межах кожного аудиту. Наприклад, мозковий штурм з приводу ризику шахрайства, оцінка контролів щодо шахрайства, розробка процедур, які враховують ризики шахрайства, або оцінка помилок для визначення, чи можуть вони бути ознакою шахрайства. Зведені результати можуть давати уявлення, чи проінформоване керівництво і чи були ефективно реалізовані програми управління ризиками в масштабі всієї організації.
Консультаційні завдання допомагають керівництву визначати й оцінювати ризики та визначити адекватність контрольного середовища в контексті процесів перевірок, нових ділових започаткувань або систем інформаційних технологій (ІТ).

Сприяння самооцінці керівництва є ще одним прик­ладом оцінки ризику шахрайства, забезпечення впевненості щодо наявності контролів для зменшення цих ризиків і визначення відповідальних за моніторинг результатів. У рамках Міжнародних основ професійної практики Інститут внутрішніх аудиторів випустив інструкцію у вигляді практичного керівництва щодо ролі внутрішнього аудиту в запобіганні та виявленні шахрайства, яка «настійно рекомендується» для запровадження. Назване «Внутрішній аудит та шахрайство», керівництво направлене на підвищення обізнаності внутрішнього аудитора щодо шахрайства й дає уявлення про те, як розглядати ризики шахрайства при проведенні перевірок внутрішнього аудиту. Воно також слугує в якості загального керівництва, щоб допомагати внутрішнім аудиторам виконувати професійні Стандарти щодо шахрайства.

Шахрайство і технології
Завдяки постійним технологічним досягненням практично все, з чим ми стикаємося, пов’язане з технологією. Незалежно від галузі чи підприємства, ІТ мають вирішальне значення для підтримки конкурентних переваг, управління ризиками та досягнення бізнес-цілей, і організації в усьому світі виділяють величезні ресурси для вкрай важливих технологічних проектів. Але з розвитком технологій розвиваються і схеми здійснення шахрайства. Широке визначення шахрайства, згадане на початку цієї статті, охоплює ризик шахрайства та загрози всередині ІТ-підрозділів, оскільки скоєння шахрайства уможливлюється завдяки використанню технології. Технологія дає змогу шахраям вчиняти та приховувати традиційні схеми шахрайства більш легко, і залежність від автоматизованих інструментів, які допомагають застосовувати ці схеми, кидає нові виклики у виявленні та запобіганні шахрайству.
Проте технологія є також інструментом, який може допомогти запобігти й виявити шахрайство. Досягнення в галузі технології все частіше дають змогу організаціям запроваджувати автоматизовані засоби контролю для запобігання та виявлення фактів шахрайства. Технологія також допомагає організаціям перейти від методів статичного чи періодичного моніторингу шахрайства, таких, як контроль виявлення, до методів безперервного, в режимі реального часу моніторингу шахрайства, які надають перевагу, власне, в запобіганні фактам шахрайства. Численні додаткові аналітичні програмні пакети наразі наявні для надання допомоги при аналізі даних. Крім того, є комп’ютерна криміналістична технологія і програмне забезпечення, які застосовуються в розслідуванні фактів, коли комп’ютери використовуються для здійснення шахрайства або визначення типових індикаторів. Використовуючи технологію для реалізації програм запобігання шахрайству в реальному часі та передових засобів його виявлення, організації можуть зменшити час, необхідний для виявлення фактів шахрайства, тим самим знижуючи втрати від його можливих наслідків.
Вкрай важливо, щоб аудитори були попереду шахраїв у своїх знаннях технології та про наявні інструменти. При доступному програмному забезпеченні, при використанні комп’ютерів локалізація бухгалтерської інформації не тільки має сенс, це абсолютна необхідність, якщо аудитори виконують свій обов’язок незалежного нагляду. Незважаючи на те що багато організацій внутрішнього аудиту стикаються з проблемами недостатнього бюджету, обмеженого комплектування штату людськими ресурсами, а також посиленого робочого навантаження, очікується, що професіонали з аудиту сьогодні відіграватимуть значну роль у наданні допомоги організаціям в управлінні ризиками шахрайства шляхом застосування відповідних засобів контролю з метою запобігання і виявлення шахрайства. Для цього необхідно, щоб внут­рішні аудитори мали відповідні навички, а технічні засоби були доступними для того, щоб допомагати їм успішно супроводжувати програму управління шахрайством, яка включає його попередження, виявлення і розслідування.
Бажано, щоб усі фахівці з аудиту – не тільки спеціалісти ІТ-аудиту – були більш досвідченими в таких областях, як аналіз даних і використання технологій, які допомагатимуть їм відповідати вимогам завдань. Крім оцінки адекватності внутрішнього контролю, складним завданням внутрішніх аудиторів є аналіз контролів і виявлення лазівок у системах для потенційного шахрайства. Розуміючи взаємозв’язок між різними ІТ-системами і програмами, внутрішні аудитори можуть застосувати своє критичне мислення для визначення зони підвищеного ризику та переходити до конкретних операцій.

Інститут внутрішніх аудиторів щодо протидії шахрайству за допомогою технологій
Інститут внутрішніх аудиторів нещодавно опублікував новий випуск Глобального керівництва з технологічного аудиту (GTAG) щодо шахрайства. Написана простою діловою мовою для вирішення сучасних питань, пов’язаних з ІТ-управлінням, контролем і безпекою, серія керівництв GTAG слугує готовим ресурсом для керівників аудиту щодо ризиків різних технологій і рекомендованою практикою, пов’язаною з ними. У GTAG 13: Запобігання і виявлення шахрайства в автоматизованому світі дається огляд методів для ефективної взаємодії з командами та менеджмен­том для оцінки ризиків, пов’язаних з шахрайством, з урахуванням досягнень у області технологій. Керівництво в рамках Міжнародних основ професійної практики Інституту внутрішніх аудиторів «настійно рекомендується» до впровадження і включає в себе:

• пояснення з використання різних типів аналізу даних для виявлення шахрайства;
• різноманітні ризики ІТ-шахрайства;
• шаблон оцінки ризику шахрайства з використанням інформаційних технологій.

Внутрішні аудитори можуть використовувати це авторитетне керівництво з метою зміцнення їхніх знань в області інтеграції технологій і шахрайства. Воно призначене як доповнення до Практичного керівництва Інституту внутрішніх аудиторів «Внутрішній аудит і шахрайство» та для інформування керівників внутрішнього аудиту і внутрішніх аудиторів щодо використання технології для запобігання, виявлення та реагування на шахрайство. З ресурсами, згаданими тут, можна ознайомитися на сайті Інституту внутрішніх аудиторів:
www.theiia.org.