anti-fraud approach (x5 retail group)

Программа борьбы с корпоративными хищениями (мошенничеством) в X5 Retail Group

Материалы к заседанию Исполнительного комитета

Кудрин В.В.

4 марта 2009 г.

Стр. 2

Определение мошенничества

► Мошенничество (Fraud) – это «использование служебного положения для целей личного обогащения путем ненадлежащего использования или воровства собственности или ресурсов организации».Источник: Association of Certified Fraud Examiners (ACFE)

► Мошенничество, Fraud (ISA 240) – это «преднамеренное действие, совершаемое одним лицом или группой лиц (руководящим звеном, работниками или третьей стороной), целью которого является незаслуженное и неправомерное получение выгоды путем обмана».

► Уголовный кодекс РФ определяет (ст. 159) мошенничество как «хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием» (ст. 159 УК РФ);

► кроме того, определяет (ст. 160) "присвоение" или "растрату" как «хищение чужого имущества, вверенного виновному».

► Наконец, глава 23 УК РФ "Преступления против интересов службы в коммерческих и иных организациях" дает определения, близкие по духу к определениям ISA 240 (ст. 201 «Злоупотребление полномочиями», ст. 204 «Коммерческий подкуп»).

Стр. 3

Состояние на текущий момент

► Понимание на уровне высшего руководства► Дирекция по безопасности► Отдел внутреннего аудита (как часть ДКА)

В процессе развития:► Практика независимых расследований (ОВР)► Кодекс корпоративных правил и этических норм (в

процессе обновления)► «Горячие» линии (в процессе запуска, необходимо

согласование)

Стр. 4

Ключевые компоненты эффективной системы борьбы с мошенничеством

Насколько явно выражена заинтересованность у высшего руководства и других заинтересованных лиц в формировании эффективной программы борьбы с мошенничеством?

Общее направление

Каков наш подход в управлении человеческими ресурсами? Имеются ли в нем элементы противодействия мошенничеству?

Уделяется ли в нашей компании достаточное внимание развитию необходимой инфраструктуры (инструментов, процедур, механизмов) борьбы с мошенничеством?

Люди

Инфраструктура

Стр. 5

Важность человеческого фактора:«треугольник мошенничества»

Стр. 6

«Треугольник мошенничества»(продолжение)

Три обобщенные причины, по которым сотрудники совершают мошенничество:

► Возможность совершить мошенническое действие – «возможность» (opportunity)

► Давление ситуации (обычно финансовая потребность) или стимул для совершения противоправных действий – «давление», «стимул» (pressure)

► Способность мошенника оправдать свои действия, придумывая им рациональное логическое объяснение – «рационализация», «само(оправдание)» (rationalization)

Стр. 7

Пирамида издержек, связанных с мошенничеством

Будущее

Покрытие убытков от мошенничества

Выявление и расследование мошенничества

Эффективная система предотвращения (системы внутреннего контроля над рисками) мошенничества

• Тон сверху• Рамочный контроль со

стороны ДБ• Внедрение универсальных

средств• Практика расследований

• Терпимость к мошенничеству

• Демотивация персонала

• Отсутствие универсальных средств

• Кодекс этики• Эффективная модель контроля• Сбалансированные расследованияПредотвращает

Отпугивает

Культивирует

Настоящее

Прошлое

Стр. 8

Практический подход к формированию эффективной модели противодействия мошенничеству

► Рекомендуется продолжить незавершенный {1} процесс внедрения универсальных общекорпоративных средств противодействия мошенничеству, направленных в т.ч. на обеспечение нашего соответствия с нормами законодательства, с одновременным {2} проектом диагностики системы внутреннего контроля, сфокусированной на рисках мошенничества (т.е. системы противодействия мошенничеству).

Совершенствование корпоративной модели противодействия мошенничеству

Определение и приоритезация последовательных и согласованных улучшений: Разработка и внедрение специфических

планов действий по улучшению процессов контроля и мониторинга рисков мошенничества,

Развитие компетенций менеджеров по управлению рисками мошенничества, а также

Совершенствование общекорпоративных компонентов модели противодействия мошенничеству и обеспечение эффективной согласованности (координации) между ними.

3

Внедрение универсальных средств противодействия мошенничествуРеализация задач по внедрению универсальных, общепринятых общекорпоративных средств противодействия мошенничеству (кодекс этики, «горячие» линии, практика независимых расследований)

Оценка рисков (2.1) и диагностика (2.2) системы противодействия мошенничествуОценка рисков мошенничества в целом по компании и в ключевых мега-процессах. Оценка дизайна и операционной эффективности системы внутреннего контроля над рисками мошенничества.

1

2

Стр. 9

Практический подход к формированию эффективной модели противодействия мошенничеству [продолжение]

Иные страте-гические

инициативы

Стратегичес-кие проекты

Бизнес-стратегии

Функциона-льные

стретегии

Риски упущенных возможностей

Риски опасностей

Стра

теги

я Ко

мпан

ии

Составляющие стратегии

Испо

лнит

ельн

ый

Коми

тет

Риски НадзорЭлементы

СКООРДИНИРОВАННЫЙ ПОДХОД К УПРАВЛЕНИЮ РИСКАМИ МОШЕННИЧЕСТВА

РИСКИ, ПРИСУЩИЕ КОМПОНЕНТАМ СТРАТЕГИИ

Оперативный контроль

Финансовый контроль

Юристы

ИТ

Развитие

ОВР

ДКА

Другие риск-функции

Другие комитеты

Высшее руководство

(Исполн. Комитет)

Правление

ЭФФЕКТИВНОСТЬ

СООТ

ВЕТС

ТВИЕ

Общее

направлениеЛю

диИнф

ра-структура

Наб. Совет(Комитет по

аудиту)

Дирекция по безопас-

ности

Маркетинг

Осно

вны

е ф

ункц

ии и

под

разд

елен

ия

Развитие

Закупки

Операции

Логистика

Эксплуатация

Вспо

мога

тель

ные ф

ункц

ии

Мон

итор

инг

HR

Достижение целейНа

дзор

Охват

Координация между разными «линиями» защиты

Оценка рисков мошенничества

Диагностика системы противодействия мошенничеству

2.1 2.2

Стр. 10

Корпоративная оценка рисков

Диагностика в мега-процессах

Оценка рисков в мега-процессах

Улучшения в мега-процессах

Выбор мега-процессов для диагностики

Основные инициативы в рамках формирования модели противодействия мошенничеству (начало)

Стр. 11

Мега-процессы, подлежащие диагностике

Мега-процессы, подлежащие диагностике

Управление транспортом

Закупки Управление

строительством

Управление активами и

эксплуатацией

?

?

Стр. 12

Подготовка Отчета и

подготовкапланов действий

Диагностика системы противодействия мошенничеству в мега-процессе

Недели: 1 2 – 3 8+

Встреча с ответственным руководителем (владельцем мега-процесса) Понимание ожиданий, предварительных анализ рисков уровня мега-процесса Определение области диагностики, примерного графика и рабочей программы

Определение графиков интервью Сбор и анализ соответствующей информации Проведение интервью по идентификации и оценке рисков По результатам оценки рисков выбор бизнес-процессов для диагностики системы противодействия

Проведение процедур проверки систем противодействия мошенничеству Определение ожидаемого состояния (нормы внешние и внутренние, эталонные практики, ведущие практики) Определение и согласование расхождений Выявление явных признаков мошенничества

Рассмотрение результатов на уровне владельца мега-процесса Возможные рекомендации Обсуждение ориентировочных планов действий Обсуждение дальнейших шагов

Выпуск финального Отчета о результатах диагностикиПодготовка кратких выводов (и рекомендаций) для высшего руководства Подготовка специфических планов действий (мероприятий) - в течение 1 месяца с даты выпуска отчета

4 – 7

Рассмотрение результатов

и определение ориентировочных

действий

Проведение диагностики

Оценка рисков мошенничества

Планирование, согласование ожидаемых результатов

Стр. 13

Корпоративная оценка рисков

Диагностика в мега-процессах

Оценка рисков в мега-процессах

Улучшения в мега-процессах

Выбор мега-процессов для диагностики

Основные инициативы в рамках формирования модели противодействия мошенничеству

Общекорпоративная диагностика

Совершенствование общекорпоративной модели

Мониторинг

Стр. 14

Система борьбы с хищениями / мошенничеством

Тон сверху

Развитие компетенций

Система найма

Системамотивации

Функции Мониторинг

МетодологияКоординация,

обмен знаниямиРеакция на инциденты

Инфраструктура

Люди

Направление

Стр. 15

Совершенствование системы защиты (обороны) против рисков мошенничества

Ценности Компании Этические нормы Кодекс корпоративных правил Система внедрения и поддержания Кодекса корпоративных правил и этических норм

Оценка рисков хищений / мошенничества на уровне мега-процессов и ниже Система процедур и механизмов предотвращения мошенничества - Ответственность- Нормы и правила- Контрольные процедуры- Регулярные проверки по сигналам (признакам)

Мониторинг СВК на уровне владельцев бизнес-процессов Мониторинг СВК со стороны вспомогательных функций Мониторинг (диагностика) СВК со стороны Дирекции по безопасности Отдел внутреннего аудита (в составе ДКА) Мониторинг IT-систем и IT-мониторинг

Внедрение «горячих» линий Вопросы подотчетности и обеспечение защиты «горячих» линий Защита информаторов и фильтрация сигналов Система инициирования действий по сигналам «горячих» линий

Расследования менеджментом (инцидентов) Расследования на уровне Дирекции по безопасности (подотчетной CEO) Отдел внутренних расследований Координация IT-расследования Отчетность и информирование

Внутренняя Среда (Этика)

Система внутреннего

контроля

Мониторинг СВК

Whistleblowing(«информирование») Расследования

► Компоненты защиты (обороны) против рисков мошенничества

Стр. 16

Совершенствование системы защиты (обороны) против рисков мошенничества (2)

Ценности Компании Оценка рисков хищений / мошенничества на уровне мега-процессов и ниже

Мониторинг СВК на уровне владельцев бизнес-процессов

Внедрение «горячих» линий Вопросы подотчетности и обеспечение защиты «горячих» линий

Расследования менеджментом (инцидентов)

Внутренняя Среда (Этика)

Система внутреннего

контроля

Мониторинг СВК

Whistleblowing(«информирование»)

Расследования

► Текущая ситуация

Этические принципы Кодекс корпоративных правил

Система внедрения и поддержания Кодекса корпоративных правил и этических норм

Система процедур и механизмов предотвращения мошенничества: • Ответственность• Нормы и правила• Контрольные процедуры• Регулярные проверки по сигналам (признакам)

Мониторинг СВК со стороны вспомогательных функций (УФиОК, ДУП, Юристы)

Мониторинг (диагностика) СВК со стороны ДБ

Отдел внутреннего аудита

Мониторинг ИТ-систем и ИТ-мониторинг

Защита информаторов и фильтрация сигналов

Система инициирования действий по сигналам «горячих» линий

Расследования на уровне Дирекции по безопасности (подотчетной CEO)

Отдел внутренних расследований

Координация

ИТ-расследования

Опубликование

Стр. 17

Примерный график формирования системы противодействия мошенничеству

«Быстрые победы» 1 квартал 2 квартал 3-4 кварталы 2010+

«Горячие» линии

Кодекс этики

Независимые расследования

Диагностика

Выбор мега-процессов

Диагностика (процессы)

Планы действий (процессы)

Диагностика (Компания)

Совершенствование

Внедрение планов действий (процессы)

Планы действий (Компания)

Внедрение планов действий (Компания)

Стр. 18

Вопросы

?Подготовлено: Василий Кудрин, http://kudrin.ru