Этапы расследования финансовых махинаций

Разработать необходимые меры реагирования невозможно без восстановления полной картины происшествия.

В IBM i2 применяется целостный подход к решению данной проблемы:

1. Использование практически всех доступных источников данных для создания полной картины происходящего.
2. Предупреждение об угрозах на ранних этапах для более быстрого реагирования - на основе индивидуального подхода к клиентам и мер по надлежащей проверке клиентов.
3. Распределенные инструменты для расследования и совместной работы обеспечивают эффективное использование имеющихся знаний и навыков для более глубокого изучения материалов и повышения качества результатов.
4. Выявление и экспертное расследование подозрительных или нестандартных случаев и угроз с помощью лучших из имеющихся на рынке инструментов анализа и визуализации.
5. Автоматическая рассылка оперативной информации в соответствии с ролями и обязанностями позволяет аналитикам и следователям обмениваться свидетельствами и результатами анализа практически в реальном времени [6].

Мошенничество выявляется в несколько шагов. Изначально необходимо провести диагностику всех источников информации, а именно: ведутся интервью со всеми лицами, связанными с инцидентом; происходит массовая проверка контрагентов и выявление конфликта интересов и скрытых взаимосвязей. В заключение диагностических мер проводится анализ больших массивов электронных данных.

После диагностики происходит поиск фактов. Данный этап включает в себя анализ первичной документации (документы, подтверждающие хозяйственную операцию: продажа товаров, покупка материалов у поставщиков, оказание услуг клиентам, выплата зарплаты сотрудникам и других. Например: договор, счет, накладная и счет-фактура, кассовый, товарный чек или бланк строгой отчётности, акт оказания услуг (выполненных работ и счёт-фактура); восстановление удаленных данных с электронных носителей; анализ электронной почты и файлов по ключевым словам.

Корпоративные данные можно разделить на структурированные и неструктурированные .

Структурированные данные хранятся в электронных базах данных (классический пример электронной базы данных - автоматизированная бухгалтерская система 1С). Наличие «фиксированных полей» позволяет легко осуществлять поиск, сортировку и экспорт информации. Обработку и анализ информации можно выполнить, используя стандартные программные продукты [3].

Современный подход к анализу структурированных данных основывается на применении специального программного обеспечения, позволяющего производить аналитические тесты с большими объемами данных. В последнее время такие программные комплексы активно применяются при аудите финансовой отчетности, для раскрытия нетипичных операций в главной книге, закономерностей и аномалий в оборотах и корреспонденции счетов.

Традиционный подход к анализу структурируемых данных повсеместно используется в аудиторской практике в процессе анализа финансовой отчетности компании. Особое внимание уделяется крупным транзакциям, суммы которых выше установленного уровня материальности.

При обработке больших массивов электронных данных, путем применения определенных фильтров, можно провести анализ, например:

1. Отклонений стоимости закупок или продаж в разрезе товаров и услуг, контрагентов.
2. Анализ наилучшей доступной цены в разрезе контрагентов.
3. Анализ последовательности входящих счетов-фактур.
4. Дробление входящих счетов-фактур или исходящих платежей.
5. Существенные отклонения сумм счетов-фактур.
6. Взаимозачеты.
7. Разграничение обязанностей и прав доступа в учетную систему.
8. Задвоение счет-фактур и многое другое.

Согласно последним исследованиям, 80 % всей информации, хранящейся на компьютерах, является неструктурированными данными. Неструктурированные данные «разбросаны» по различным папкам, ящикам электронной почты, внутренней сети организации, что значительно затрудняет их анализ при помощи стандартных средств.

Неструктурированные данные могут содержать информацию, которая представляет значительный интерес для расследования. В результате их обработки есть возможность установить круг подозреваемых и выявить факты сговора. Анализ электронной переписки часто позволяет ответить на ключевые опросы расследования: «Кто?», «Что?» и «Когда?» [3].

В процессе анализа необходимо обеспечить защиту исходных данных, так как электронные данные могут быть изменены или удалены. На практике анализ неструктурированных данных осуществляется при помощи специального оборудования и программного обеспечения в три этапа.

Этап 1. Сбор и подготовка информации. Создание точных копий данных, хранящихся на корпоративных электронных носителях (жестких дисках, картах памяти и т.д.) Восстановление удаленных/утерянных файлов и писем. Выявление файлов с искусственно измененным расширением. Выборка и сортировка документов, пригодных для проведения анализа.

Этап 2. Анализ документов. Поиск документов по ключевым словам. Временной анализ данных. Построение и анализ социальных сетей. Сортировка документов по степени важности.

Этап 3. Презентация результатов. Подготовка отчета по выявленным фактам и документам, представляющим интерес. Распечатка или копирование оригиналов выбранных файлов.

Особое внимание стоит уделить проверке контрагентов. Главнейший принцип сбора информации о контрагенте - соответствие способа сбора информации законодательству. Однако, к сожалению, зачастую соблюдение этого принципа сложно достижимо. Оценивая контрагента, стоит брать во внимание, что за любым юридическим лицом стоит лицо физическое или даже группа физических лиц, от чьих действий и будет зависеть успешность взаимодействия с проверяемым контрагентом. В данном случае вступает в силу закон № 152-ФЗ «О персональных данных», который требует согласия физического лица (директора, учредителей) на обработку его персональных данных. И если в прошлом этих физических лиц наличествуют не самые светлые страницы, вряд ли они дадут добро на подобные действия [7].

До начала сбора информации о контрагентах необходимо определиться со способами сбора и классификацией источников информации. Существуют три способа сбора информации: гласный, негласный и смешанный.

Первый подразумевает обращение непосредственно к потенциальному партнеру (контрагенту) за получением от него юридически значимых документов по деятельности компании [7].

Второй способ предполагает сбор информации о потенциальном контрагенте без оповещения его о своих действиях (осуществление разрешенного законом сбора информации из всех возможных и представляющих интерес источников как платных, так и бесплатных).

Смешанный способ, получивший наиболее широкое распространение из трех, - это объединение гласного и негласного способов сбора информации: получение данных от потенциального контрагента и проведение собственного расследования. При использовании негласного и смешанного способов необходимо определиться с источниками сбора информации.

К бесплатным источникам относятся: периодические печатные СМИ («Ведомости», «Коммерсантъ»), Интернет (сайты, аналогичные «Компромат. Ru»), сайты органов государственной власти (Федеральной налоговой службы (ФНС России), Федеральной службы судебных приставов (ФССП России), Федеральной антимонопольной службы (ФАС России), Единый федеральный реестр сведений о банкротстве, Картотека арбитражных дел).

К платным источникам относятся данные, получаемые через специализированные информационные агентства («Интегрум», «СПАРК», «Контур-Фокус», «Коммерсанть-Картотека», «Прима-Информ»), владеющих обширными базами данных о юридических и аффилированных с ними физических лицах [7]. При обращении в информационные агентства специалисты по экономической безопасности остаются в рамках правового поля, т. е. данные агентства являются публичными. Качество работы улучшается за тот счет, что компании самостоятельно осуществляют выбор среди поставщиков платной информации, отдавая предпочтение либо одному из них, либо сразу нескольким. Сами же специализированные агентства аккумулируют информацию из Единого государственного реестра юридических лиц ФНС России, данных Росстата, Федеральной службы по финансовым рынкам (ФСФР России) и т. п. Получаемую информацию обрабатывают, сопоставляют и архивируют, в итоге потребителю достается практически одно и то же, но под разными ракурсами. Выбор иных специализированных агентств, безусловно, возможен.

После четкого определения с источником информации и способами ее сбора необходимо определить, какие конкретно сведения о потенциальном партнере следует запрашивать из бесплатных источников. Таковыми могут быть:

1. Наличие организации в реестре юридических лиц.
2. Общие регистрационные данные (размер уставного капитала, КПП, ОГРН, адрес, указанный при регистрации, и телефон).
3. Отсутствие неисполненных обязательств по решениям органов власти.
4. Участие в судебных тяжбах.
5. Вхождение в состав исполнительного органа организации дисквалифицированных лиц.
6. Сведения о лицах, отказавшихся в суде от участия (руководства) в организации или в отношении которых данный факт установлен (подтвержден) в судебном порядке.

Получаемая информация анализируется и проверяется во избежание вступления в гражданско-правовые отношения с организацией, располагающейся, к примеру, в здании полуразрушенной котельной или автомойки. Возможные варианты конкретной информации о потенциальном партнере, которую можно и нужно запросить из платных источниках:

1. История по сменявшимся директорам (ФИО, даты смен, в редких случаях - ИНН директора).
2. Численность персонала.
3. Действительный адрес нахождения, действительный телефон, адрес электронной почты.
4. Возможная аффилированность.
5. Общая сумма выигранных государственных контрактов.
6. Произошедшие изменения в данных по сравнению с предыдущим запросом по конкретной организации.

Размер платы за предоставленную информацию зависит от объема сведений и количества запросов, адресованных к конкретному источнику.

Важную роль играет получение согласия первых лиц организации контрагента на обработку их персональных данных. Для крупных и особо крупных заказчиков это не является проблемой, поскольку соглашение на получение подобной информации может быть условием допуска участников до тендерных/конкурсных процедур.

Рынок решил обозначенную проблему самым простым для себя способом - продажей консолидированной информации из так называемых «утекших» баз данных по физическим лицам и доступом к немногочисленным онлайн-БД (онлайн-сервисам). Однако нельзя не отметить главную особенность любых баз данных по физическим лицам на примере среднестатистических результатов их практической отработки, естественно, с получением согласия на обработку персональных данных проверяемых: неполноту результатов поиска. В среднем:

1. Из пяти принадлежавших проверяемому автомобилей отображается информация о трёх (60 % эффективности).
2. Из пяти сменившихся мест проживания - по два (40 % эффективности).
3. Из пяти сменившихся номеров сотового телефона - от двух (40 % эффективности).
4. Из пяти прежних мест работы - одно (20 % эффективности).
5. Из пяти полностью погашенных кредитов - по три (60 % эффективности).
6. Из десяти совершенных любых административных правонарушений - по четыре (40 % эффективности).
7. Поступление информации об ИН физического лица - в 50 % случаев и т. п.

Показатели, безусловно, разнятся от базы к базе, но, тем не менее, с учетом приведенных выше данных средний показатель полноты информации о физическом лице находится в пределах всего 40 % от того, что имеет место в действительности. Впрочем, 40 % может оказаться вполне достаточно. Особенно если объединить эту информацию с той, что получена непосредственно по юридическим лицам.

Минимум, что нужно сделать с полученной информацией далее, предпринять еще ряд шагов.

1. Разработать регламент проверки с указанием конкретных контрольных процедур. Благодаря наличию регламента каждая проверка приобретет формализованный характер, что поможет существенно снизить зависимость в полноте и качестве проверок от опыта проверяющего специалиста.
2. Создать единое внутреннее хранилище проверок. Создание такого рода хранилища автоматически исключит ситуацию повторной проверки новым сотрудником (филиалом) в отношении организации, ранее уже проверенной другим сотрудником (подразделением или филиалом), и предоставит дополнительные аналитические материалы, которые можно подвергнуть сличению с ранее добытыми данными.
3. Совершать повторные проверки согласно с набором процедур, предусмотренных регламентом. Данный пункт обязателен при нацеливании на действительно успешную работу подразделения экономической безопасности. Любая организация сегодня будет в лучшую или худшую сторону отличаться от себя же вчерашней, так как нет ничего постоянного. В структуре организации могут произойти, на первый взгляд, незначительные перемены, способные в последующем существенно отразиться на опыте взаимодействия с ней (например: произошла смена одного из учредителей, и с новым учредителем-организацией у проверяющего имеются незавершенные арбитражные споры). Лучше заняться профилактикой, нежели ожидать фактического наступления невыгодных последствий и пытаться что-то предпринять в условиях упущенного времени.

На этом процесс построения системы первоначальной проверки контрагентов можно считать завершенным.

Еще одной из главных задач специалиста по экономической безопасности в ходе расследования является анализ документов. Существует множество алгоритмов обнаружения мошенничеств. Один из них - это превентивный анализ мошенничества (алгоритм обнаружения на основании «набора очков»). В данном методе необходима развитая теория треугольника мошенничества и наличие определенных ключевых слов в сообщениях электронной почты [3]. Три составляющих треугольника - это Давление (обнаруживается по ключевым словам «Не успевать», «Не уложиться в бюджет»), Возможность (ключевые слова «Обойти», «Списать», «Признать выручку») и Оправдание (ключевые слова «Это нормально», «Имеет смысл», «Мало платят») (рис. 4). В результате очки по всем трем составляющим суммируются.

В 1950-х гг. криминалист Дональд Р. Кресси разработал «Треугольник мошенничества» для объяснения причин, по которым люди совершают мошенничества. Основной предпосылкой его теории было то, что все три компонента: Давление, Возможность, Оправдание - присутствуют при совершении мошенничества.

Рис. 4. Треугольник мошенничества

Существуют и другие методы анализа электронной почты. Один из них заключается в проведении анализа событий по следующим вопросам: «Кто с кем общается? О чем? Как долго? Как себя чувствует?». Основные шаги:

1. Анализ социальных сетей: взаимодействия людей, взаимодействия между организациями.
2. Структурирование основных тем: вывод наиболее используемых слов, основных тем, максимальные денежные суммы, «чувствительные фразы» (номера счетов или номера кредитных карт).
3. Общение во времени: когда происходит общение и наблюдение основных всплесков общения, предшествуют ли они ключевым событиям в бизнесе.
4. Анализ отношения: позитивные и негативные чувства, 10 самых негативных сообщений, 10 самых озлобленных сообщений, 10 самых озабоченных сообщений, анализ опроса потребителей и анализ опроса работников.

В итоге рассмотрены современные технические средства, используемые специалистами по экономической безопасности, и изучены этапы расследования финансовых махинаций, а также изложено условие задачи, которая будет решена в следующей главе пособия.

ПРОЕКТИРОВАНИЕ

ИНФОРМАЦИОННО

АНАЛИТИЧЕСКОЙ СИСТЕМЫ

РАССЛЕДОВАНИЯ ФИНАНСОВЫХ

Этапы расследования финансовых махинаций

Постановка задачи для проектирования системы расследования финансовых махинаций

Общие положения методики расследования финансовых преступлений

Основные положения методики расследования финансовых преступлений

РАССЛЕДОВАНИЕ ФИНАНСОВЫХ ПРЕСТУПЛЕНИЙ

ИСПОЛЬЗОВАНИЕ СОВРЕМЕННЫХ ТЕХНОЛОГИЙ ПРИ РАССЛЕДОВАНИИ ФИНАНСОВЫХ МОШЕННИЧЕСТВ

Расследование финансовых мошенничеств

Современные технологии в расследовании финансовых мошенничеств

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ, ИСПОЛЬЗУЕМЫЕ ПРИ РАССЛЕДОВАНИИ ФИНАНСОВЫХ МОШЕННИЧЕСТВ

АНАЛИЗ ФИНАНСОВЫХ МАХИНАЦИЙ В СОЦИАЛЬНЫХ СЕТЯХ