Чому один «свій» співробітник може коштувати компанії мільйон?

Коли власник бізнесу думає про загрози, він зазвичай уявляє хакерську атаку, агресивного конкурента або раптову перевірку контролюючих органів. Але дослідження останніх років чітко показують зовсім інший факт: найдорожчі втрати компаніям приносять не зовнішні вороги, а власні співробітники. Ті, кому довіряють. Ті, хто має ключі від офісу, доступи до бухгалтерії, паролі від CRM і номери постійних клієнтів. «Свої».

За даними Association of Certified Fraud Examiners (ACFE) у звіті Report to the Nations on Occupational Fraud and Abuse, середня компанія втрачає близько 5% свого річного доходу через внутрішнє шахрайство. Середній збиток від одного випадку occupational fraud складає приблизно $117 000, а кожне четверте розслідування виявляє втрати понад мільйон доларів. У середньому шахрайська схема залишається непоміченою впродовж 12 місяців — цілий рік, протягом якого «довірений» співробітник методично виносить активи, переказує гроші підставним контрагентам або зливає клієнтську базу конкурентам.

Ще красномовніша статистика: у 89% випадків внутрішніх шахрайств зловмисниками виявилися люди без жодних попередніх судимостей чи дисциплінарних стягнень. Тобто типовий «корпоративний злодій» — це не хтось, кого ви відразу запідозрите. Це ваш менеджер з продажів, який працює третій рік. Це бухгалтерка, яка пам'ятає дні народження всіх дітей у відділі. Це начальник складу, якого ви брали на роботу за рекомендацією родича. Це той, хто першим прибігає на корпоративи і кому ви довіряєте підпис на платіжних документах, коли поспішаєте на літак.

Українські реалії додають свої особливості. Невелика середня тривалість роботи, висока плинність кадрів, масовий перехід у режим часткової «віддаленки», обмежені бюджети на службу безпеки — усе це створює ідеальні умови для зловживань. До цього додається економічна нестабільність, яка штовхає навіть раніше чесних людей до раціоналізації крадіжок: «компанія мені все одно недоплачує», «я ж стільки для них зробив», «це тимчасово, я поверну».

У цій статті ми розберемо психологічний портрет типового insider'а, складемо список з десяти конкретних поведінкових сигналів, які видають нелояльного співробітника, проаналізуємо реальні категорії збитків і поговоримо про те, чому традиційні методи виявлення (відеоспостереження, аудит, доноси колег) працюють погано — і що можна робити натомість, щоб виявити загрозу до того, як вона перетвориться на семизначну цифру в колонці «збитки».

Психологічний портрет insider'а: чому «свої» стають небезпечними

У 1953 році американський кримінолог Дональд Кресі провів серію інтерв'ю з ув'язненими, які скоїли розтрати на робочому місці. Результатом стала концепція, яку сьогодні викладають у кожному курсі з корпоративної безпеки — трикутник шахрайства (Fraud Triangle). Кресі довів, що для того, щоб порядна, лояльна людина стала шахраєм, мають співпасти три фактори одночасно: тиск, можливість і раціоналізація. Якщо хоча б одна вершина трикутника відсутня — крадіжки не буде. Якщо всі три присутні — це питання часу.

Фінансовий тиск — найпоширеніший трігер. За даними тих же ACFE, понад 40% корпоративних шахраїв на момент скоєння злочину мали серйозні фінансові труднощі: іпотека, дитина в платному виші, лікування родичів, борги перед банками або, що дедалі частіше, азартні залежності та крипто-спекуляції, які пішли не за планом. Український ринок мікрокредитів і онлайн-казино зробив свій внесок: людина, яка ще рік тому отримувала зарплату й жила нормально, сьогодні може мати десяток мікропозик і відчайдушно шукати спосіб «закрити дірку».

Ключовий момент: тиск майже ніколи не помітний на роботі. Шахраї добре маскують фінансові проблеми. Більше того, часто вони демонструють зворотне — підкреслено успішний вигляд, нові гаджети, відпочинок «у Туреччині» (купується вже після першої крадіжки). Це психологічний компенсаторний механізм: людина намагається довести собі та оточенню, що в неї «все добре».

Можливість створює сама компанія. Найризикованіші посади — це не керівники найвищого рівня (їх рідше підозрюють, але й контролюють жорсткіше через зовнішній аудит). Найризикованіші — це посади «середньої ланки з повним доступом»: головний бухгалтер у малому бізнесі, єдиний логіст, начальник складу, ІТ-адміністратор «у форматі один за всіх», менеджер з тендерних закупівель. Чим довше людина сидить на такій посаді без ротації та без аудиту — тим більше вона знає про діри в системі і тим простіше їй цими дірами скористатися.

Раціоналізація — найцікавіша частина. Дуже мало людей вранці перед дзеркалом кажуть собі: «я злодій». Натомість мозок вибудовує складну систему виправдань. «Я ж єдиний, хто реально працює, інші байдики б'ють — справедливо, що я візьму трохи більше». «Бос купив дружині машину за 80 тисяч доларів, а мені премію зрізав — я просто беру своє». «Це не крадіжка, я ж планую повернути, як тільки закрию кредит». Чим довше триває схема, тим міцнішою стає раціоналізація — і тим важче людині зупинитися самостійно.

Психологічний портрет типового insider'а виглядає так: чоловік або жінка 30–50 років, працює в компанії 3–7 років, має позитивну репутацію, не пропускає роботу, вважається «надійним» і «своїм». Часто це людина з підвищеною самооцінкою, яка переконана, що її недооцінюють. Часто — з зовнішніми атрибутами успіху, що не відповідають офіційному доходу. Майже завжди — людина, яка контролює певний унікальний процес у компанії і виступає його єдиним «носієм знань».

10 червоних прапорців нелояльного співробітника

Жоден з цих сигналів окремо не доводить, що людина — шахрай. Але якщо ви бачите три-чотири з цього списку у одного співробітника одночасно — це привід для більш уважного розгляду. Не обвинувачення, не звільнення, не публічної підозри. Саме розгляду: подивитися пильніше, перевірити процеси, у яких він задіяний, провести структуровану розмову.

1. Працює у вихідні без причини

Здавалося б — хіба це погано? Хороший працівник, що ще треба. Проблема в тому, що чесний співробітник, який залишається на вечір або виходить у суботу, зазвичай робить це під дедлайн і всі це знають. Insider же приходить на роботу тоді, коли в офісі нікого немає — щоб мати безконтрольний доступ до документів, серверів, складу, печатки. Якщо людина систематично з'являється у вихідні «попрацювати», але результат цієї роботи незрозумілий — це сигнал.

2. Відмова від відпусток

Один з найдавніших і найнадійніших червоних прапорців у банківській і страховій сферах. Чесна людина хоче відпочити. Шахрай боїться залишити свою «ділянку» без нагляду — бо за два тижні відсутності хтось інший може почати глибше копати документи і виявити схему. Багато великих компаній на Заході жорстко вимагають від ключового персоналу обов'язкову двотижневу відпустку поспіль саме як механізм виявлення зловживань.

3. Незрозумілий ріст рівня життя

Менеджер на зарплаті 25 тисяч гривень купує нову машину за пів мільйона. Бухгалтер раптом починає літати на Балі двічі на рік. Логіст ремонтує квартиру, що явно дорожча за всю його річну зарплату. Завжди знаходяться пояснення: «спадщина», «дружина почала бізнес», «продав дачу батьків». Іноді це правда. Часто — ні. Розрив між офіційним доходом і реальним рівнем витрат — один з найточніших сигналів.

4. Конфлікт із керівництвом, але «тримається»

Парадокс, який часто видає insider'а. Людина регулярно скаржиться на компанію, на босів, на політику, на зарплату. Каже, що «давно б пішла, якби не…». При цьому має пропозиції від конкурентів — і не йде. Чому? Бо в неї тут є джерело доходу, паралельне до зарплати. Звільнятися означає втратити доступ до цього джерела. У нормальному варіанті незадоволений співробітник або змінює ставлення, або йде. Той, хто скаржиться роками і нікуди не дівається, — підозрілий.

5. Обхід процедур та звітності

«Та навіщо нам ця бюрократія, я й так усе зроблю». «Давайте я підпишу, потім проведемо». «У мене немає часу заповнювати ці форми». Кожен обхід процедури — це створення «сірої зони», яку потім дуже важко перевірити. Чесний співробітник зазвичай навпаки наполягає на чіткому документуванні, бо це його захищає. Insider навпаки прагне зменшити кількість слідів.

6. Підозрілі знайомства з постачальниками/клієнтами

Менеджер з закупівель, який обідає з представником постачальника двічі на тиждень. Бухгалтер, який має «сімейні» відносини з керівником банку, через який проходять платежі. Логіст, який знає всіх водіїв особисто і дзвонить їм у вихідні. Самі по собі такі контакти — це нормально. Але коли вони стають надміру тісними і виходять за межі робочих питань — варто перевірити, чи немає тут «зворотних зв'язків» у вигляді відкатів.

7. Агресивна реакція на аудит

Внутрішній або зовнішній аудит — рутинна процедура. Чесна людина може бути роздратована тим, що це забирає час, але загалом ставиться спокійно. Insider реагує непропорційно: тривога, агресія, спроби обмежити доступ аудиторам, «втрата» документів саме тоді, коли вони потрібні, раптові лікарняні в дні аудиту. Це майже завжди ознака того, що в документах є щось, що людина дуже не хоче показувати.

8. Поступове розширення доступу

Людина починала з вузької ділянки, але з часом «допомагала колегам», «підміняла», «підхоплювала» — і тепер контролює три-чотири пов'язані процеси. Це класична схема: чим більше доступів зосереджено в одних руках, тим легше будувати схему «лівої руки», коли одна частина системи компенсує іншу і ніхто не може побачити повну картину. Якщо в компанії є людина, без якої «нічого не працює» — це не геній, це ризик.

9. Невідповідність декларованих доходів

Споріднений з прапорцем №3, але глибший. У соцмережах фотографії з дорогих ресторанів, тренування з персональним тренером, дитина у платній школі, дружина без роботи. Офіційно — середня зарплата. Питання: звідки гроші? Іноді відповідь нудна (другий бізнес, сімейна підтримка). Іноді — ні. Перевірити це нескладно: достатньо подивитися публічну активність у соцмережах і зіставити з відомим вам доходом.

10. Соціальна ізоляція в команді

Не плутати з інтровертами, які просто не люблять корпоративи. Йдеться про іншу річ: людина свідомо тримає колег на дистанції саме у робочих питаннях. Не ділиться інформацією, не передає знання, не пускає до своїх процесів, нервово реагує на «чужі» питання про свою ділянку. Це поведінка людини, яка щось приховує, а не просто соромиться.

Які ризики приносить insider: 5 категорій збитків

Коли власник чує слово «інсайдер», перше, що приходить у голову, — крадіжки готівки або товарів. Насправді сучасне внутрішнє шахрайство значно різноманітніше і часто завдає збитків, які складно відразу побачити в касі.

1. Прямі крадіжки активів. Класика жанру. Готівка з каси, товари зі складу, паливо з машин, інструменти з виробництва, канцтовари і техніка з офісу. У бухгалтерії — це може бути виплата зарплати «мертвим душам», подвійна оплата одного й того самого рахунку (другий раз — на свою картку), створення фейкових контрагентів. У середньому такі схеми «з'їдають» від 1 до 5% обороту компанії і зазвичай тривають місяцями, поки хтось не помітить.

2. Витоки інформації та клієнтських баз. Менеджер з продажів, який перед звільненням копіює всю CRM. Маркетолог, який зливає конкуренту майбутню рекламну стратегію. Розробник, який забирає з собою код у наступну компанію. У ІТ і консалтингу цей вид збитків часто перевершує всі інші разом узяті. Українські реалії 2024–2026 років додали ще один шар — витоки персональних даних клієнтів, які можуть призвести до серйозних штрафів за GDPR і репутаційного провалу.

3. Корпоративний шпіонаж і «продаж лояльності». Найскладніша для виявлення категорія. Людина працює у вашій компанії, але фактично — в інтересах конкурента. Передає інформацію про тендери, цінову політику, плани розвитку, ключових клієнтів. Іноді це робиться за гроші, іноді — як підготовка до «м'якого» переходу через рік-два. Збиток від однієї такої людини на ключовій позиції може досягати десятків відсотків ринкової частки.

4. Репутаційні втрати. Шахрайство стає публічним. Клієнти, які постраждали від витоку даних, починають публічно скаржитися. Колишній співробітник звинувачує компанію у відповідь — «це вони мене підставили». Партнери дізнаються, що вашою CRM розпоряджається конкурент. Будь-який з цих сценаріїв може коштувати компанії значно більше, ніж сама пряма крадіжка. Для брендів, побудованих на довірі (фінанси, медицина, освіта), репутаційний удар часто стає смертельним.

5. Юридичні ризики. Insider може використовувати компанію для власних злочинних схем — не тільки крадучи у вас, а й роблячи вас співучасником. Наприклад, бухгалтер, який оптимізує податки «творчо», ставить під загрозу директора. ІТ-адміністратор, який встановлює неліцензійне ПЗ, створює ризик перевірки. Менеджер, який отримує відкати, формально виступає від імені компанії — і коли схема розкривається, відповідає не тільки він особисто. Юридичні наслідки таких ситуацій часто розгрібаються роками.

Класичні методи виявлення та чому вони не працюють

Більшість українських компаній, що думають про захист від insider-загроз, використовують три класичні інструменти. Усі три мають серйозні обмеження.

Відеоспостереження. Камери в офісі, на складі, в касовій зоні. Здається, що це панацея — кожен крок під контролем. Але насправді відеоспостереження дає псевдовідчуття безпеки. По-перше, ніхто не дивиться записи в режимі реального часу — їх переглядають тільки після того, як інцидент уже стався. По-друге, сучасне insider-шахрайство переважно цифрове: гроші переказуються в системі банк-клієнта, дані копіюються на USB або в хмару, інформація надсилається месенджером з особистого телефону. Камера цього не побачить. По-третє, інсайдер знає, де камери, і просто діє поза їхнім полем зору або у моменти, коли вони не пишуть.

Внутрішній і зовнішній аудит. Ефективний інструмент, але з трьома великими «але». Аудит виявляє схеми вже після того, як вони працюють — у середньому через 12–18 місяців. Тобто коли збиток уже завданий. Друге: аудит працює з документами і цифрами, тому добре виявляє грубі схеми (фейкові контрагенти, подвійні платежі) і погано виявляє тонкі (відкати, витоки інформації, корпоративний шпіонаж). Третє: аудит коштує грошей, і малий і середній бізнес проводить його раз на рік або взагалі ситуативно — а insider за цей час встигає завдати достатньо шкоди.

Скарги колег і анонімні «гарячі лінії». Класика великих корпорацій. Працює — але з суттєвими обмеженнями. Колеги часто бачать, що щось не так, але мовчать з різних причин: страх помсти, небажання «стукати», лояльність до конкретної людини, неготовність брати на себе відповідальність. Дослідження показують, що навіть у компаніях з налагодженою системою whistleblowing більше половини інсайдерських схем виявляється не через колег, а випадково — через помилку самого шахрая, через зовнішнього партнера, через банк, який звернув увагу на дивний платіж.

Спільний недолік усіх трьох методів — вони реактивні. Вони виявляють шахраїв, які вже вкрали. До того моменту збитки вже завдані. У великій компанії з фінансовою «подушкою» це переноситься. У малому або середньому бізнесі один такий випадок може поставити крапку в історії всієї компанії.

Як технологія дозволяє знайти insider'а до того, як стане пізно

Логіка превентивного підходу проста: краще не ловити шахрая через рік після того, як він вкрав мільйон, а виявити нелояльність на етапі найму або під час планової перевірки — поки збитків ще немає. Саме для цього існує клас рішень, які прийнято називати поведінковою верифікацією.

Поведінкова верифікація — це не «допит» і не пошук «правди» про конкретні факти. Це структурована перевірка ставлення людини до ключових ризиків компанії: чи лояльна вона до роботодавця, чи має вже прихований конфлікт інтересів, чи мала фактів попередніх крадіжок, чи розглядає для себе варіант передачі інформації конкурентам. Сучасні методики дозволяють виявити високий рівень ризику з достатньою точністю, не вимагаючи фізичної присутності людини в офісі служби безпеки і не створюючи травматичного досвіду «допиту».

Сервіс StimulTest для бізнесу — це українська платформа поведінкової верифікації, яка побудована саме на цьому принципі. Перевірка проходить онлайн, займає у людини близько 30–40 хвилин і дозволяє роботодавцю отримати структурований звіт за ключовими ризиковими профілями: лояльність, фінансові ризики, схильність до зловживань, наявність прихованих конфліктів. Детально про принцип роботи технології можна прочитати окремо.

Ключова перевага підходу — він масштабується. Перевірити одну людину раз на рік на поліграфі — дорого і складно. Перевірити всю команду з 30 осіб у фоновому режимі за тиждень — реалістично. І саме така регулярна, недорога, спокійна перевірка дає компанії те, чого не дають ні камери, ні аудит: проактивне виявлення ризиків до того, як вони перетворяться на збитки.

Міні-кейс: логістична компанія, 12 співробітників, виявлено 2

Українська логістична компанія середнього розміру (флот 18 машин, оборот близько 60 млн грн на рік) звернулася до StimulTest після підозри, що паливо «йде наліво». Точкою, з якої почалися підозри, стало розходження між нормативним і фактичним пробігом машин на 8% протягом трьох місяців поспіль — у грошах це виходило близько 90 тис. грн на місяць.

Власник міг піти класичним шляхом: викликати кожного водія і логіста на «розмову», встановити більше GPS-датчиків, найняти зовнішнього аудитора. Натомість було прийнято рішення провести поведінкову перевірку всіх 12 людей, причетних до операційного процесу — водіїв, диспетчерів, начальника гаража та логіста. Перевірка зайняла тиждень.

Результат: у 10 з 12 співробітників ризиковий профіль був у нормі — ніяких прихованих конфліктів інтересів, відсутність ознак нелояльності, нульові факти крадіжок. У двох — підвищений ризик за категорією «фінансові зловживання» з ознаками давньої системної схеми. Власник не звільняв цих людей одразу — натомість він провів структуровану розмову, посилив контроль на конкретних ділянках і поступово, протягом місяця, схема перестала працювати. Один із співробітників звільнився за власним бажанням. Збитки на момент виявлення — близько 270 тис. грн за квартал, далі вже не зростали.

Цей приклад показує головне: поведінкова перевірка не призначена для того, щоб «звільнити винного». Вона призначена для того, щоб точно знати, де у вашій команді ризики — і керувати ними свідомо, а не наосліп.

Превентивний підхід: побудова культури безпеки в компанії

Технології самі по собі не вирішують проблему. Камера, аудит, поведінкова перевірка — це інструменти. Працюють вони тільки в правильному середовищі. Це середовище називається культурою безпеки — і його будує не служба безпеки, а власник і керівники.

Основні принципи, які перетворюють компанію на «незручну ціль» для insider'а: розподіл обов'язків (жодна людина не повинна одна контролювати повний цикл — від замовлення до оплати), обов'язкові відпустки (мінімум 14 днів поспіль для кожного, хто має фінансові доступи), регулярна ротація на ключових позиціях, прозоре документування процесів (щоб «незамінних» не існувало), чіткі правила доступів з принципом мінімально необхідних прав, передбачувані планові перевірки, про які знають усі.

Дуже важливий психологічний момент: культура безпеки не повинна перетворюватися на культуру тотальної підозри. Якщо співробітники відчувають, що їх постійно «ловлять», результатом буде масова втрата лояльності — і парадоксально зростання insider-загроз. Правильна культура виглядає інакше: «у нас прозорі правила, передбачувані перевірки, чесна оплата, ми довіряємо людям, але одночасно ми не створюємо штучних спокус — і коли щось не так, ми це швидко бачимо».

Для малого бізнесу непогана відправна точка — впровадити три речі одночасно: розподіл фінансових повноважень (наприклад, платежі понад певну суму вимагають другого підпису), обов'язкову поведінкову перевірку всіх кандидатів на ключові позиції до прийняття на роботу, і планову повторну перевірку діючого персоналу раз на 12–18 місяців. Цей мінімальний набір закриває 70–80% типових insider-сценаріїв і коштує значно менше, ніж один середній випадок шахрайства.

FAQ

Чи легально перевіряти співробітника на лояльність?

Так, якщо перевірка проводиться добровільно, з письмовою згодою людини, в межах, дозволених трудовим законодавством України, і дані обробляються відповідно до закону про захист персональних даних. StimulTest працює саме в такій правовій рамці.

Чи можна обманути поведінковий тест?

Сучасні методики враховують спроби соціально бажаних відповідей через систему перехресних запитань і шкал контролю. Повністю «обманути» структурований тест складно, особливо коли йдеться не про окреме питання, а про загальний поведінковий профіль.

Що робити, якщо тест показав ризик у конкретного співробітника?

Не звільняти одразу. Результат тесту — це не доказ скоєного, а підстава для уважного перегляду процесів, у яких людина задіяна, посилення контролю та структурованої розмови. Часто проблема вирішується без розриву трудових відносин.

Як часто потрібно перевіряти команду?

Базова рекомендація — кожного нового співробітника на ключових позиціях до прийняття на роботу, плюс планова повторна перевірка діючого персоналу раз на 12–18 місяців. Для високоризикових позицій (фінанси, закупівлі, ІТ-адміністрування) — частіше.

Скільки коштує одна перевірка і чи це доступно для малого бізнесу?

Вартість поведінкової верифікації через онлайн-сервіси на порядок нижча за класичний поліграф і доступна навіть для бізнесу з командою у 5–10 осіб. Точні умови та тарифи можна уточнити у розділі контактів.

Більше матеріалів про корпоративну безпеку — у розділі Безпека та на головній сторінці сайту.