Сегодня для вас еще одна статья от наших клиентов и партнеров, аудиторской компании "А.Уайт энд Г.Хеджес Аудит". И в конце статьи как всегда бонус для "любознательных". Хороших дней, Владимир Кусакин ____________________________________ Уроки на миллион У моего клиента случилась беда. У него украли деньги. Много денег. Способ новый, неожиданный. Был взломан почтовый ящик его финансового директора и в день, когда она пошла на целый день на какие-то курсы, с ее почты поступило распоряжение в банк перевести деньги ООО "Ромашка". А теперь поясню. Клиент использовал "серую" схему оптимизации налогообложения. Старая привычка оптимизировать налоги за счет увеличения стоимости товаров, работ, услуг поставщика. Вечное ложное данное - "так все делают". Не все. Итак, взломали почтовый ящик. Злоумышленники создали копию почтового ящика на сервере, находящемся в Германии. С копии почтового ящика отправили письмо с просьбой перевести средства на ООО "Ромашка". Сотрудник конторы, которая осуществляет платежи, якобы пытался дозвониться до финансового директора, чтобы она подтвердила платеж. Но она была в тот день на курсах повышения квалификации и к телефону не подходила. Поэтому платеж провели. Интернет пестрит сообщениями о краже денег со счетов юридических лиц, работающих по системе Интернет-банк и использующих электронно-цифровую подпись. Я просто набрала в поиске "украли деньги со счета" и была поражена количеством разнообразных историй! Но если платеж на "помойку" или физическое лицо, которое называют "космонавтом" (видимо, несуществующего в природе и никогда не находимое) со своего счета еще можно оспаривать, судиться, писать заявления в правоохранительные органы и т.д., то в случае с платежом, осуществленным со счета "серой" (для меня = обнальной) конторы, никакой правовой позиции нет и быть не может. Это не лихие 90-ые, с автоматами никто не бегает. Мошенники стали более изощренными и грамотными. Можно придумать много способов технической защиты. Написать еще больше регламентов. Но если Вы не привели свои дела в порядок и многие сотрудники в Вашем офисе знают об этом, а остальные догадываются, то вероятность кражи многократно увеличивается. Никакая служба безопасности не может гарантировать Вам, что Ваши сотрудники в нерабочее время не болтают о состоянии дел в компании своим друзьям и знакомым. Другой, более давний случай. Известная компания, желая минимизировать свои налоги, отправила деньги на закупку материалов "серому" поставщику. Владельцы "серого" поставщика много лет обслуживали данного клиента. Более 15. Все когда-то вместе начинали. Вызывали друг у друга полное доверие. Экипаж, снимающий наличные в банке, на специально купленной для этих целей бронемашине и ВСЕГДА сопровождаемый патрульной милицейской машиной(!!!), развозил деньги по клиентам. Человеком, который непосредственно выдавал средства, был близкий родственник владельца "серого" поставщика. Да и вся контора состояла из одних родственников. Ведь главное - доверие! И так - много лет. Но однажды звезды легли по-другому. И в один злополучный день машина с экипажем как обычно подъехала к офису клиента, курьер зашел в здание, патруль ожидал его у входа. Но ни через час, ни позже курьер так и не вышел. Как выяснилось позже, ушел через другой выход. Да и сумма была не особенно великая - 300 000 $. Бывало, и больше возил. Почему именно в этот раз? Бенефициар денег смог добиться от владельца "серого" поставщика, что последний выдал ему расписку о том, что должен денег. Никто не бросился продавать свои квартиры, машины и иное имущество, чтобы погасить долг. Хотя понятно, что люди, занимающиеся "обналом", далеко не бедные. Дальше - наняли милиционеров, и те за половину суммы нашли сбежавшего бедолагу у дальних родственников на Украине. За 2 дня!! А говорят, что милиция работать не умеет. Все могут! Профессионалы. Им только мотивации не хватает. Клиенту вернули только половину. Извини, друг. Риски общие. Больше денег нет. У владельцев самостоятельного бизнеса много проблем - персонал, продажи, финансы. Может, стоит избавиться хотя бы от одной головной боли и наладить свой учет таким образом, чтобы не было необходимости платить плохим людям? А сколько в моей личной практике было ситуаций, когда сотрудники клиента вели себя неадекватно! Один такой горе-сотрудник в течение месяца ездил на работу, сопровождаемый нарядом полиции, боясь, что его не пустят в здание и не разрешат пройти к своему рабочему месту. Что пришлось пережить владельцу за это время! Суть конфликта проста и вечна. Как в том анекдоте: "Шлагбаум я один открываю, а деньги пополам". Директор по просьбе своей родной, очень интеллигентной тети взял на работу ее не очень удачливого сына и определил его на какую-то маленькую должность. Так продолжалось несколько лет. И все эти годы были стоны от родственников, как мало платят молодому начинающему дарованию. Наш владелец, он же директор, резонно парировал, что рынок труда большой, и если есть ощущение, что с тобой в данном месте несправедливо обходятся, имеет смысл попытать счастья где-нибудь еще. В другой компании, например. Но наш молодой герой пошел другим путем. Он подружился с девушкой из бухгалтерии. И та, в подтверждении своей любви, скопировала ему базу управленческого учета. Но почему в российских бухгалтериях так много неустроенных женщин?! В следующий раз, когда горе-сотрудник опять пришел к владельцу и стал требовать повышения зарплаты, у него уже был более весомый аргумент, чем раньше. В предыдущие годы были объяснения - расходы выросли, на жизнь не хватает... Теперь - угроза отдать секретные сведения правоохранительным органам. Ситуация не могла быть разрешена мирным путем. Слишком много эмоций переполняло стороны. Не знаю, сколько бы это еще длилось. Обратились к нам. Адвокат, специализирующийся на подобных вопросах, взял на себя роль арбитра. И буквально за две встречи решил вопрос мирным путем. Сотрудник написал заявление по собственному желанию. Правда, этому предшествовала огромная круглосуточная работа в течение нескольких дней. Человек проработал несколько лет, лично подписал какие-то документы, даже принес однажды фальшивый больничный лист. Просто за эмоциями никто не придал этому значение. Для этого и понадобился посторонний человек, который мог трезво оценить ситуацию. У меня все время возникает вопрос: почему реальный управленческий учет так сильно отличается от учета, который мы предоставляем открытым источникам? Неужели нельзя дела организовать таким образом, чтобы оптимизация не наносила существенный урон бизнесу и приводила к его закрытию. Мой ответ - можно. Просто никто не считает. Ведь если посчитать все годовые расходы на налоги и сомнительные операции, то может лучше заплатить чуть больше Родине, чуть меньше плохим людям? Посчитайте, может личный доход и не изменится, а спать будет спокойней? Из последнего. Один мой клиент решил уволить за прогулы свою секретаршу. Ее ежемесячный доход составлял 80 000 руб. Из них что-то белое, что-то другое. Что удивительно - она не из категории "красоток", ноги не от ушей, за 30, английского не знает. Когда я вижу такие зарплаты у соответствующего персонала, у меня возникает всегда два вопроса: 1) что они умеют делать такого, чего я не умею делать и 2) "возьмите меня!" Но речь не об этом. Добрейшей души человек, наш владелец, решил не ломать жизнь далеко не юной девице и предложил написать заявление по собственному желанию. Она долго плакала, и тогда он решил еще более участливо отнестись к ее судьбе. И принял решение выплачивать еще ДВА месяца ей белую зарплату, пока та не найдет себе новую работу. Его долго благодарили, и он чувствовал себя еще более великодушным и не злопамятным. НО! Благими намерениями... У нашей девицы брат оказался юристом! А вы знаете, что не все юристы учились в нужном месте и не все они стали профессионалами. А еще по утрам, прихорашиваясь перед зеркалом, наша девица смотрела "Доброе утро" по телевизору, где никому неведомые юристы и адвокаты давали советы обиженному персоналу. Поэтому на следующее утро у нее уже не было никакого чувства благодарности к бывшему владельцу, и она решила, что он достаточно состоятельный человек, чтобы выдать ей не только белую часть зарплаты за 2 месяца, а полную зарплату в размере 160 000 руб. Она стала обзванивать своих уже бывших коллег, и, предварительно включив диктофон, обсуждать долго и нудно причины своего увольнения. А потом, как бы невзначай, спрашивать: "Ну, ты же знаешь, что моя зарплата была 80000?" Человек собирал доказательства к суду или для писем в прокуратуру. Помните, в советских фильмах про милицию следователь всегда умнее преступника? И всегда справедливость торжествует. Это сейчас все иначе. Другие времена, другие нравы. Итак, "жадность фраера сгубила". Ей показалось мало собрать показания свидетелей. Поэтому под покровом ночи она проникла в офис, находящийся в офисном центре. Взяла ключи у охраны, которая ничего не подозревала. И украла уставные документы компании, которые "просто лежали" в бухгалтерии, и все ведомости на зарплату со своей подписью, которые хранились там же. Дальше дело техники - адвокаты, заявление в прокуратуру и т.д. Только один нюанс сколько седых волос появилось на голове владельца? Не устаю повторять, приведите свои дела в порядок, если это возможно. Пусть Ваш бизнес приносит Вам радость и удовлетворение. И напоследок несколько рекомендаций. Про кражу денег со счета советую почитать: 1) журнал "ИТОГИ" № 17/776 (25.04.11) "Грабеж со скоростью клика" 2) ЭЦП юридических лиц - подарок рейдерам / Д.В. Огородов // эж-Юрист. 2005. №48. 3) Криптография: гражданско-правовые аспекты / Д.В. Огородов // Законодательство, 2006, №9. С.44-51. 4) ЭЦП: цивилистический треугольник (юридическое лицо, директор, удостоверяющий центр) // Коллегия. 2006. № 9. С. 52-59. 5) Конфиденциальность, коммерческая тайна и результаты интеллектуальной деятельности в части четвертой ГК РФ (дискуссионные вопросы) // Коллегия. – 2007. № 12. С.49-58. Мероприятия по противодействию. 1) Берется отдельный компьютер, ставится в отдельное место. На нем полностью форматируется всё, что только можно, и под нашим присмотром с нуля ставится чистая система. Этот компьютер в общем случае не должен иметь подключение к интернету сетевой шнур должен быть не воткнут в сетевую розетку (были несколько случаев когда компьютеры заражались вирусом даже не посещая сайтов, а просто принимая специально сформированные запросы из сети (пример эпидемия Lovesan в 2005 или 2007 году) + лишняя физическая защита. 2) Рассмотреть вариант использования альтернативных ОС, например Mac OS X или Linux, так как для этих систем ситуация с вирусами куда проще(можно считать что вирусов под эти системы не существует).Обратной стороной этого является то, что возможно не все ключи будут работать на Mac OS или Linux. Но это можно будет понять только протестировав все ключи на Mac OS X. 3) Если это Windows, то естественно антивирус и естественно хороший. 4) В качестве дополнительной защиты (а если использовать будем Windows, то обязательно это надо сделать) делается следующее: в момент после полной установки системы, антивируса и драйверов ключей, до момента, когда происходит первое подключение к Интернету, запускается специальный процесс "снимка содержимого диска". Это дает нам полный снимок девственно чистой системы, в которой гарантированно не успело поселиться ничего, т.к. к Интернету она еще не подключалась. Также на компьютере специально прописываются в качестве разрешенных только сайты нужных банков, остальное просто блокируется без вопросов и исключений. 5) Затем устанавливается специальная система, которая при каждом выключении или перезагрузке компьютера возвращает систему в то самое исходное состояние, при этом теряется абсолютно все, что было записано на этот компьютер, содержимое диска просто механически приводится в состояние, в котором оно было на момент "рождения". 6) САМЫЙ ВАЖНЫЙ ПУНКТ. Ключи ни в коем случае нельзя оставлять в компьютере или оставлять сотрудникам. Ключи в сейф, в компьютере не оставлять ни за что. Принцип материальной ответственности - непременно. Но также следует понимать, что если у человека есть доступ к расчетному счету, на котором лежат миллионы, то это значит, что он эти миллионы может перевести по своему желанию. Банк операцию исполнит, а получателем вполне может оказаться фирма ООО, зарегистрированная на украденный паспорт, с уставным капиталом 10000 рублей.(как обычно и происходит) 7) Да, и естественно - оплата платежей только через один компьютер Я не сама такая умная. Все советы по поводу противодействия интернет-кражам мне дала компания "Софт-эксперт", которая нас обслуживает. Успехов Вам и процветания! Милютина Алла Борисовна,