Контрагент под микроскопом

Комплаенс и борьба с корпоративной коррупцией становятся все более насущными задачами для компаний всех масштабов. При этом схемы корпоративного мошенничества усложняются, и выявлять их в ручном режиме стало почти невозможно. Резидент ИТ-кластера Фонда "Сколково" – ​ООО "Интегроматика", входящее в консалтинговую группу Constanta, в 2017 году запустило в коммерческую эксплуатацию систему RiskService, которая обеспечивает безопасность работы с контрагентами. В интервью главному редактору "Стандарта" Леониду Конику генеральный директор компании "Интегроматика" Юрий Харламов рассказывает о состоянии дел в этой сфере.

- Что привело вас к созданию программной системы обеспечения безопасности работы с контрагентами RiskService?

- Все больше компаний и государственных структур хотят предотвратить именно внутрикорпоративное мошенничество. При этом все понимают, что добиться этого можно только с помощью полной автоматизации инструментов контроля, и всем интересна оптимизация затрат при одновременном расширении охвата анализируемых транзакций. Наибольший интерес на рынке вызывает возможность проверки и мониторинга поставщиков, так как закупки являются самой коррупционноемкой сферой, причем не только в государственных, но и в частных компаниях.

Конечно, такой запрос рынка возник не вчера. Исторически злоупотребления выявлялись в ходе внешнего, а потом и внутреннего аудита. До конца 1990‑х годов весь документооборот был "бумажным": так велся бухучет, да и аудит документировался на бумаге. Потом появился программный пакет Microsoft Office c редактором электронных таблиц Excel – ​началась постепенная автоматизация бухгалтерии и, как следствие, аудиторских процедур. В те времена, в силу невозможности изучить абсолютно все первичные бумаги, аудит проводился на выборочной основе: проверяющие опирались на отдельные документы и слова менеджеров, что не гарантировало 100 %-ной точности. Подчас это приводило к таким скандалам, как банкротство итальянской компании Parmalat в 2004 году: после того как аудиторы – ​Grant Thornton и Deloitte & Touche – ​не заметили исчезновения с ее счетов $14 млрд. Самое удивительное, что даже сейчас, в условиях широкого распространения и удешевления вычислительных мощностей, проверки проводятся выборочно.

Во всех крупных аудиторских компаниях до сих пор существуют отдельные бизнес-команды (обычно они взаимодействуют с ИТ-подразделениями), которые ведут расследования (их называют forensic services). В этом секторе доминирует большая четверка аудиторских компаний (в России это многомиллиардный бизнес, в рублевом исчислении). Но forensic-расследования начинают тогда, когда ситуация уже вышла из-под контроля: при выявлении признаков преступления или близости банкротства. При этом forensic-услуги очень дороги, и их могут себе позволить только очень крупные организации.

- Как эти задачи решает RiskService?

- Это инновационный продукт для крайне консервативной среды, к которой относятся аудиторы, финансовые контролеры и юристы. Созданная в 2012 году для развития RiskService компания "Интегроматика" является резидентом ИТ-кластера Фонда "Сколково". Первый автоматизированный прототип системы мы запустили в 2014 году, пилотная коммерческая версия стартовала в 2016 году (тогда же мы реализовали пять тестовых проектов), а в 2017 году состоялся коммерческий запуск RiskService.

Система включает в себя четыре инструмента для проверки и мониторинга контрагентов и сотрудников: комплексный анализ компании (полная проверка всех контрагентов и сотрудников компании за определенный временной промежуток), проверка контрагента (разовая проверка вызывающего подозрение юрлица или будущего бизнес-партнера), проверка сотрудника (на наличие у него связей с поставщиками и клиентами, либо на ведение деятельности индивидуального предпринимателя) и мониторинг (контроль избранного списка событий по контрагентам с направлением уведомлений по электронной почте). Система анализирует доступную информацию обо всех контрагентах и сотрудниках и формирует сводный отчет в удобном для изучения формате в Microsoft Excel.

В зависимости от потребностей и размера бизнеса заказчика, система RiskService может быть развернута на его территории (этот вариант востребован теми, кому важно ощущение, что информация не уходит за корпоративный периметр, а также при работе с персональными данными), либо предоставляться как облачное решение (это особенно ценно для заказчиков, у которых не хватает ресурсов для содержания внутренней системы контроля). RiskService в облачном варианте может использоваться и аудиторами: решение позволяет резко увеличить объем изучаемой информации и существенно сократить сроки проведения проверок.

- На рынке давно существуют такие системы проверки контрагентов, как "СПАРК-Интерфакс" или "Коммерсантъ Картотека". Чем RiskService отличается от них?

- Действительно, с учетом открытости некоторых источников, имеется немало сервисов для получения справки о контрагенте. Первым на рынке услуг проверки контрагентов был "СПАРК-Интерфакс", а портал "Зачестныйбизнес", к примеру, информацию о любом юрлице предоставляет бесплатно. Но во всех этих системах нет полноты анализируемых данных (даже при интеграции с внутренними информационными системами отсутствует транзакционный анализ), и для их сопоставления требуется существенный объем ручного труда.

Требования рынка ушли далеко вперед. Мы не пытаемся брать с клиентов деньги за доступ к открытым данным. Система RiskService подключается ко всем внутренним ИТ-системам организации (замечу, что очень часто в компаниях они не интегрированы, и на различных этапах работы с контрагентом задействованы разные сотрудники и системы). Такой подход позволяет не только идентифицировать потенциально мошеннические транзакции, но и находить возможности для оптимизации закупок. Например, помогает обнаружить существенный уровень монополизации закупок: если ваша компания является практически единственным заказчиком поставщика – ​очевидно, что это дает возможность договориться с ним о более выгодных условиях.

Также RiskService позволяет увидеть, что какой-то поставщик постоянно получает платежи быстрее, чем остальные или чем предусмотрено договором, либо имеет улучшенные условия работы, либо ему постоянно переводятся круглые суммы (без десятков и единиц рублей и копеек). В таких ситуациях наша система выдает "красные флаги". Наряду с данными учетных систем, RiskService способна обрабатывать сведения из нетипичных сред: к примеру, из системы выдачи пропусков (это дает возможность выявить, когда, к кому и как часто ходил представитель контрагента, прежде чем он стал поставщиком) или из офисной АТС (для получения с теми же целями информации о входящих звонках).

Схемы хищений и их прикрытия все время усложняются, и стандартные проверки уже не обеспечивают результатов. RiskService тоже не выдает 100 %-го заключения, как врач по медицинскому анализу, но мы даем возможность сузить фокус на том участке, где нужно провести углубленную проверку.

- Из каких программных блоков состоит система? С какими форматами данных она может работать?

- RiskService включает в себя веб-клиент, приложения для объединения клиентских информационных ресурсов и базу данных (мы применили СУБД PostgreSQL). Физически база с библиотекой тестов расположена в ЦОДе "Ростелекома", куда мы мигрировали из облачного сервиса Amazon, причем эта часть используется только для сбора внешних данных. В варианте on-premise система легко инсталлируется на виртуальной машине или сервере, который выделяет заказчик. Для защиты информации применяется SSH-туннелирование. Стандартные загружаемые форматы данных для RiskService – ​Excel, XML, JSON. Также мы можем легко интегрировать в систему любой табличный формат. RiskService способна выгружать данные из любого модуля программы "1С".

- А если у заказчика установлена ERP-система SAP или Oracle?

- Продукты SAP и Oracle сильно кастомизированы, поэтому для каждого такого заказчика мы делаем специальную программу-выгрузчик. Для одного из клиентов мы настроили API, и он забирает данные из RiskService в свою корпоративную аналитическую систему. Мы не забываем об удобстве пользователей. К слову, RiskService имеет дружественный веб-интерфейс и высокий уровень юзабилити. Мы абсолютно открыты – ​вплоть до передачи клиенту программного кода: для проверок службой безопасности или в случае если ему так комфортнее.

- Сколько времени уходит на настройку RiskService и как строится ваша ценовая политика?

- Цена продукта зависит от степени интеграции с другими системами заказчика, а также от уровня кастомизации библиотеки тестов и форм отчетов (при этом в качестве стандартного набора мы предоставляем клиентам удобный BI-инструмент) – ​коробочный подход тут не всегда работает. Инсталляция самой системы RiskService занимаем всего 30 минут. В среднем, полная кастомизация при интеграции с "1С" занимает три дня и еще два дня уходит на настройку отчетов. В самых сложных случаях, при написании API и интеграции с системами уровня SAP, вся работа требует до четырех недель.

Что касается ценообразования, мы предлагаем две модели – ​годовую подписку либо разовую комплексную проверку. В любом случае стоимость владения системой существенно ниже forensic-услуг внешних аудиторов и сопоставима с безлимитной подпиской на внешние источники данных от сервисов-агрегаторов. При этом заказчик получает постоянно обновляемый инструмент контроля, работающий по принципу антивирусных программ.

- Система RiskService адресована крупным организациям?

- Не обязательно. Просто в зависимости от масштаба компании интерес к решению RiskService будут проявлять разные группы внутренних заказчиков. В небольшой компании такая система нужна акционерам и генеральному директору, а в крупной корпорации – ​директорам по закупкам и по комплаенсу, финансовым проверяющим, кредитному контролеру, главным юристам и внутренним аудиторам, сотрудникам службы экономической безопасности.

Особенный интерес к подобным системам должны проявлять компании, акции которых торгуются в США и на биржах других западных стран. Все помнят историю 2016 года с компаниями МТС и "ВымпелКом" в Узбекистане, которые заплатили крупные штрафы Комиссии по ценным бумагам и биржам США и американскому Минюсту, а материнский холдинг VimpelCom – ​еще и властям Нидерландов. А ведь при негативном сценарии такие расследования могут заканчиваться не только штрафами, но и уголовным преследованием топ-менеджмента.

Комплаенс также важен для дочерних компаний иностранных юрлиц в России. Этот процесс обычно курируют штаб-квартиры, но чаще всего их процедуры поверхностны, и на уровне страны специальных мер не предпринимается. Бывает, что такие "дочки" зарубежных корпораций (впрочем, как и российские фирмы) и вовсе ограничиваются формальным заполнением чек-листа перед началом работы с контрагентом – ​и более к этому не возвращаются.

Проверку контрагента (на предмет способности выполнить поставку, а также финансовых и налоговых рисков) обычно начинают не заранее, а в тот момент, когда торги уже начались. Однако контрагент может легко пройти по заданным критериям, а о том, что происходит с ним в дальнейшем, голова уже ни у кого не болит. Но ведь по ходу работы у контрагента может произойти ряд существенных событий: смена адреса (причем на адрес массовой регистрации), подпись документов от имени ушедшего из жизни гендиректора, появление в составе совладельцев сотрудников компании-заказчика или их родственников, критическое ухудшение финансового положения и т. д.

Чем раньше компания начнет работу с подобными рисками, тем выше будет защищенность бизнеса. Это как с лечением: профилактика болезни и проще, и дешевле.

- Есть ли уже коммерческие внедрения RiskService? Как вам видится развитие системы?

- Да, коммерческие инсталляции уже есть – ​у клиентов из телекома, из сектора промышленного производства и из медиаиндустрии (с учетом чувствительной природы анализа и нашей заботы о сохранении конфиденциальности, мы не раскрываем имена клиентов). Один заказчик – ​"дочка" европейской компании, которая оказывает в России услуги предоставления в аренду ИКТ-инфраструктуры, – ​использует RiskService раз в году для проведения всех контрольных процедур: по сути, это услуга уровня Security as a Service. У нас также есть пользователи из числа инвестиционных фондов: они применяют RiskService для быстрой и полной проверки деятельности своих портфельных компаний.

Что касается дальнейшего развития системы, мы идем в сторону предиктивной аналитики и методов моделирования на основе анализа big data. Также мы продолжим развитие RiskService как системы, пригодной для использования во всех отраслях, включая ретейл и банковский бизнес. А сам процесс разработки новых тестов и алгоритмов для выявления новых угроз для нас бесконечен.