- Langvarige svindeltilfeller oppstår når svakheter i den interne kontrollen skaper vedvarende muligheter for underslag og manipulering av informasjon.
- Mangel på arbeidsdeling, dårlig tilgangskontroll og slapp tilsyn er tilbakevendende faktorer i tilfeller av intern svindel.
- Styrking av internkontroll krever periodiske vurderinger av risikoen for svindel, justeringer av prosessdesign og en aktiv rolle for internrevisjon.
- Teknologi og en sterk etisk kultur er viktige pilarer for å oppdage avvik i tide og redusere varigheten og virkningen av svindel.
I mange organisasjoner starter ikke langvarig svindel med en stor skandale, men med en liten sprekk i det interne kontrollsystemet som ingen adresserer i tide. Den kombinasjonen av svake interne kontroller, misforstått tillit og slapp tilsyn Det er det perfekte yngleplassen for underslag av eiendeler og andre uregelmessigheter som kan forbli skjult i årevis.
Langt fra å være et problem som er eksklusivt for store multinasjonale selskaper, SMB-er og enheter av alle typer lider også under konsekvensene av dårlig utformede eller dårlig anvendte interne kontroller.Økonomiske tap, interne konflikter, regulatoriske sanksjoner og brutal omdømmeskade. Å forstå hvor kontrollene svikter, hvorfor de forverres og hvordan man kan styrke dem er nøkkelen til å utrydde langvarig svindel.
Svake interne kontroller og langvarig svindel: hvordan de henger sammen
De viktigste faglige organene har grundig analysert dette forholdet. AICPA og CIMA forklarer for eksempel hvordan Underslag av ansatte skjer når noen med tilgang til ressurser organiserer et bevisst og kontinuerlig misbruk. av midler eller eiendeler for å oppnå en personlig fordel. Dette er ikke en enkel feil, men en forsettlig handling som utnytter strukturelle svakheter i internkontrollen.
Blant de vanligste formene for underslag er ordninger som involverer underslag av kontanter, uredelig lagerstyring, manipulering av utgifter, opprettelse av fiktive leverandører eller endring av regnskapsmaterialeI alle disse tilfellene har det samme mønsteret en tendens til å gjenta seg: noen akkumulerer for mange kritiske funksjoner uten motvekt og utnytter fraværet av reelt tilsyn.
Studier av yrkessvindel, slik som de som er utført av ACFE, viser at Mer enn halvparten av tilfellene skyldes mangel på kontroller eller hvor enkelt de omgås eller oppheves.KPMG Forensic konkluderer på sin side med at svake interne kontroller var en nøkkelfaktor i rundt 60 % av svindelene som ble etterforsket over hele verden, en enda høyere prosentandel i Europa.
Når svindel vedvarer over tid, er det normalt at Forverringen av internkontrollen har vært gradvis: små unntak tolereres, vurderinger utelates «av hastverk», og overdreven tillit til visse personer.Kontrollene kollapser sjelden plutselig; de blir gradvis tomme helt til de ikke lenger tjener formålet sitt.
Denne svekkelsen har også mye å gjøre med den velkjente svindeltrekanten: press, mulighet og begrunnelseInternkontroll handler på muligheter. Hvis utformingen og disiplinen til kontrollene gjør det svært vanskelig å skjule svindel, blir mange forsøk aldri noe av.
Internkontroll som et levende system, ikke som en død bokstav
I følge COSO-rammeverket er internkontroll en prosess som tar sikte på å gi rimelig sikkerhet for oppnåelse av driftsmessige, informasjonsmessige og samsvarsmessige målDet er ikke en manual som skal oppbevares i en skuff eller et enkelt programvareprogram, men et dynamisk sett med forebyggende, detektive, korrigerende og verifikerende tiltak.
De forebyggende tiltakene tar sikte på forhindre svindel, for eksempel gjennom ansvarsdeling, autorisasjonsbegrensninger eller tilgangskontrollDetektivtiltak kommer i spill når noe allerede har skjedd: unntaksanalyse, avstemminger, uavhengige gjennomganger eller kontinuerlig overvåking som gjør det mulig å oppdage uregelmessigheter raskt.
Derfra fokuseres korrigerende tiltak på reparere skaden, tette gapet og straffe oppførselenSelv om bekreftende tiltak forsterker påliteligheten til informasjonen gjennom ytterligere kontroller og verifiseringer, må alle disse elementene fungere på en koordinert måte og oppdateres når virksomheten, regelverket eller teknologien endres.
Problemet er at mange selskaper i praksis behandler internkontroll som noe statisk: Den er designet én gang, dokumentert og knapt anmeldt.Over tid dukker det opp snarveier, sammen med overraskelser i siste liten, nedbemanninger og overdreven avhengighet av visse nøkkelpersoner. Denne trenden skaper smutthull som stadig mer sofistikerte svindelforsøk sniker seg gjennom.
Dessuten, selv med et godt design, Den reelle effektiviteten av internkontroll avhenger av den etiske kulturen og eksemplet som toppledelsen setter.Hvis de ansvarlige deaktiverer kontroller når de er ubeleilig, eller tolererer «mindre juks» for å nå mål, er budskapet som resten av organisasjonen mottar ødeleggende for ethvert kontrollsystem.
Faktorer som undergraver internkontroll og fremmer svindel
Ekte tilfeller av langvarig svindel avslører en rekke tilbakevendende mønstre. Blant de vanligste faktorene som svekker internkontrollen er flere elementer som sjelden dukker opp over natten, men som snarere gradvis blir forankret i organisasjonens daglige drift.
En av de farligste er overdreven tillit til ansatte med mange års erfaringDen ansatt med lang erfaring, som kjenner alle prosessene og hvis ekspertise er udiskutabel, kan ubevisst bli et enkelt fallgruvepunkt. Bare fordi de er veteraner, betyr det ikke at de skal gis uforenlige oppgaver eller ekskluderes fra enhver seriøs vurdering.
De har også stor innflytelse Press for å overholde tidsfrister eller aggressive mål og insentiver som er dårlig tilpasset risikostyringNår det eneste som betyr noe er å «få endene til å møtes» eller levere i tide, er det en tendens til å lempe på kontrollene, hoppe over valideringer og godta spinkle forklaringer. Dette miljøet er perfekt for svindel for å skjule seg som en operasjonell nødsituasjon.
Tilsynsfeil er en annen klassiker: Mellomledelsen er opptatt av kortsiktighet, styrer som ikke stiller nok spørsmål, dekorative revisjonskomiteer eller evalueringer som blir en ren formalitet.Uten reell tilsyn ender kontrollene opp med å bli bokser å krysse av i, ikke effektive barrierer.
må ikke glemme kansellering eller omgåelse av kontroller av ledelsenDen såkalte «ledelsens overstyring» er fortsatt en kritisk faktor: når personen som burde sette et eksempel er nettopp den som tvinger frem unntak uten å etterlate spor, blir systemet illegitimt og etterlater hull som er vanskelige å tette.
Til slutt finnes det en overflod av altfor komplekse og svært manuelle prosesser, med liten sporbarhet. Jo større kompleksiteten er og jo mindre standardiseringen er, desto lettere er det å skjule, manipulere eller forsinke informasjon.Og det er dyrere for internrevisjonen å gjennomgå alt i detalj.
Typiske svakheter innen regnskap, lønn og innkjøp
Regnskaps-, lønns- og innkjøpsavdelingene konsentrerer en stor del av risikoen for intern svindel fordi de håndterer penger, sensitive data og forhold til tredjeparter. En dårlig kombinasjon av tilgang, tillatelser og mangel på segregering i disse områdene Det kan sette døren på gløtt for svindel med stor innvirkning.
Innen regnskap er en typisk svakhet at Den samme personen kan registrere journalposter, endre stamdata og avstemme bankkontoerVidere, hvis manuelle registreringer ikke er gjenstand for solid uavhengig gjennomgang, er det relativt enkelt å manipulere inntekter, utgifter eller saldoer for å dekke over uregelmessigheter.
Innen lønn varierer risikoene fra såkalte «spøkelsesansatte» til dupliserte betalinger, oppblåst overtid eller uberettigede endringer i lønnskonsepterNår lønnssystemer mangler strenge tilgangskontroller, eller databaser ikke jevnlig kryssrefereres med HR, øker muligheten for svindel.
Innkjøpsområdet konsentrerer et annet sett med betydelige risikoer: fiktive leverandører, samarbeid med tredjeparter for å blåse opp prisene, mottak av ikke-eksisterende varer eller betaling for tjenester som ikke er utførtHvis personen som ber om, godkjenner og betaler er den samme, eller hvis sirkelen er for liten, byr designet allerede på problemer.
I alle disse tilfellene viser studier at fraværet av arbeidsdeling, mangelen på tilstrekkelig tilgangskontroll og mangelfull dokumentasjon av autorisasjoner og godkjenninger Dette er tilbakevendende faktorer i svindel som går uoppdaget i årevis.
Hva er en svakhet og hva er en mangel i internkontrollen
Det er viktig å skille tydelig mellom to konsepter som ofte forveksles: svakhet i internkontrollen og mangel på internkontrollenEn svakhet er en mangel eller et gap i utformingen av kontrollsystemet som gjør organisasjonen sårbar for feil, svindel, ineffektivitet eller manglende samsvar.
Når den svakheten materialiserer seg til et konkret problem som Det hindrer å forhindre, oppdage eller korrigere en uregelmessighet i tide.Vi snakker om en mangel i internkontrollen. Det vil si at mangelen er den praktiske manifestasjonen av at kontrollen ikke var godt utformet eller ikke fungerer som den skal.
Mangler klassifiseres vanligvis i tre hovedgrupper: designmangler, driftsmangler og samsvarsmanglerDe første vises når kontrollen, slik den er utformet, ikke oppnår målet (for eksempel ikke å separere funksjoner i en klart kritisk prosess).
Driftsmessige mangler oppstår selv når kontrollen er godt utformet, men Den brukes ikke riktig, konsekvent eller fullstendigDette inkluderer autorisasjoner gitt uten gjennomgang, avstemminger gjort for sent eller ufullstendig, eller dokumentasjon som ikke oppbevares som den skal.
Til slutt oppstår mangler ved samsvar når Organisasjonen respekterer ikke lover, forskrifter eller interne retningslinjer som den skal følge.utsette seg for sanksjoner, bøter og alvorlig omdømmeskade. Denne typen svikt er spesielt alvorlig i regulerte miljøer eller børsnoterte selskaper.
SOX og behandling av betydelige mangler
I selskaper som er underlagt Sarbanes-Oxley-loven, etablerer paragraf 404 en særskilt disiplin angående internkontroll over finansiell rapportering. De såkalte SOX-kontrollene er de som er identifisert som kritiske for å sikre påliteligheten til regnskapet. og krever et høyere nivå av strenghet.
Når en av disse nøkkelkontrollene viser avvik, kalles det Mangler i SOX-kontrollen, som kan eskalere til en betydelig mangel eller vesentlig svakhetForskjellen er ikke bare akademisk: den avgjør om problemet blir avslørt for investorer og markedene eller ikke.
En betydelig mangel gjenspeiler et relevant problem, men et problem som etter revisors skjønn Det kan korrigeres uten at den potensielle effekten i alvorlig grad kompromitterer den økonomiske informasjonenSelv om det krever en rask respons og en utbedringsplan, er det ikke sikkert at det er beskrevet i den eksterne revisorens uttalelse.
Materiell svakhet, derimot, refererer til en mangel som er så alvorlig at det er rimelig mulig at det kan forekomme en vesentlig feilinformasjon i regnskapetI disse tilfellene må revisor eksplisitt angi dette i sin rapport, med påfølgende innvirkning på omdømme, kapitalkostnader og markedets tillit.
Typiske eksempler på vesentlig svakhet inkluderer manglende tilstrekkelig kontroll over inntektsføring, overdreven avhengighet av manuelle registreringer uten gjennomgang eller mangel på effektivt tilsyn med privilegert tilgang til finansielle systemerI dette miljøet finner langvarig svindel særlig grobunn hvis mangler ikke tas tak i raskt.
Rollen til internrevisjon og vurderinger av svindel
Selv om internrevisjon noen ganger kan forveksles, er den ikke i seg selv en kontroll, men en uavhengig funksjon som gjennomgår, evaluerer og forbedrer utformingen og driften av kontrolleneDeres rolle er nøkkelen til å oppdage nye svakheter og foreslå forbedringer før de fører til storskala svindel.
Blant deres ansvarsområder er evaluere effektiviteten av eksisterende kontroller, overvåke kritiske områder og fremme en kultur preget av etikk og samsvarI tillegg leder eller koordinerer de vanligvis spesifikke vurderinger av svindelrisiko, der de mest utsatte prosessene identifiseres og tiltak prioriteres.
Disse vurderingene involverer i økende grad tverrfaglige team: finans, personalressurser, teknologi, samsvar, jus og forretningsdriftMålet er å ha et helhetlig bilde av risikoene, inkludert de som oppstår ved intensiv bruk av teknologi eller komplekse forhold til tredjeparter.
Resultatene av disse analysene bør omsettes til konkrete planer: Styrke ansvarsdeling, omdefinere autorisasjonsnivåer, implementere datadrevet overvåking eller forbedre interne rapporteringskanalerUten det handlingsskritet forblir risikorapporter verdiløse.
Videre er samarbeid mellom internrevisjonen, toppledelsen og styret avgjørende for at anbefalingene skal kunne implementeres. Uten støtte ovenfra, blir forbedringer av internkontroll ofte utilstrekkelige.åpner døren for at de samme problemene kan dukke opp igjen etter noen år.
Intern svindel i små og mellomstore bedrifter: et stille, men svært reelt problem
Små og mellomstore bedrifter presenterer ofte en eksplosiv kombinasjon: høy personlig tillit, få ressurser og uformelle prosesserDette betyr at selv om volumet av individuelt svindel kan være lavere enn i et stort selskap, er den relative effekten ødeleggende.
Intern svindel i små og mellomstore bedrifter er ikke begrenset til store underslag; det inkluderer også små, pågående underslag, personlig bruk av eiendeler, endring av tidsplaner eller fakturaer og uformelle avtaler med leverandører eller kunderHvis ingen gjennomfører en grundig og systematisk gjennomgang, kan disse praksisene fortsette i årevis.
For mange små og mellomstore bedrifter blir internkontroll sett på som en luksus eller som byråkrati. Imidlertid et grunnleggende, men godt utformet system av retningslinjer, prosedyrer og evalueringer Det utgjør forskjellen mellom å oppdage det sent eller å kunne stoppe uredelig oppførsel i tide.
Selv i små organisasjoner er det mulig å etablere Separasjon av nøkkeloppgaver, autorisasjonskontroller etter beløp, periodiske avstemminger og et minimum av dokumentsporbarhetDet er ikke nødvendig å sette opp en stor struktur; det er nok å tilpasse god praksis til virksomhetens størrelse og kompleksitet.
Å ha ekstern rådgivning eller periodiske revisjoner, selv om de er begrenset i omfang, bidrar til å oppdage blindsoner som går ubemerket hen fra innsiden på grunn av vane eller overdreven selvtillitPå lang sikt er det vanligvis en mye billigere investering enn å påta seg tapene av et langvarig svindelforsøk.
Viktige kontrollsvakheter som øker risikoen for svindel
Når man gjennomgår praktiske tilfeller og faglitteratur, dukker det opp en liste over tilbakevendende svakheter som man bør huske på. Å identifisere og korrigere dem reduserer sannsynligheten for vedvarende svindel i organisasjonen drastisk.
For det første fremhever den mangel på ansvarsdeling i kritiske prosesserÅ la én enkelt person starte, godkjenne, registrere og avstemme en transaksjon er nærmest en invitasjon til svindel, spesielt hvis de håndterer kontanter, betalinger, kjøp eller nye leverandørregistreringer.
Også vanlige er utilstrekkelig tilgangskontroll, både fysisk og logiskAnsatte med for mange tillatelser på systemer, delt tilgang, kontoer til tidligere ansatte som fortsatt er aktive, eller sensitive filer uten begrensninger er klare eksempler på at dører ikke er ordentlig lukket.
Manuelle prosesser uten tilstrekkelig tilsyn er et annet hovedfokus: uformelle godkjenninger via e-post, ukontrollerte regneark, håndtegnede avstemminger uten uavhengig gjennomgangJo mindre strukturert og mer manuell en prosess er, desto større er sjansen for at den blir manipulert uten å etterlate et tydelig spor.
Mangelen på opplæring og bevissthet om svindel og etikk betyr at mange ansatte De klarer ikke å gjenkjenne varseltegn, vet ikke hvordan de skal rapportere bekymringer, eller bagatelliserer atferd som faktisk er alvorlig.Uten en tydelig kultur blir internkontroll skjør.
Til slutt skaper svakt eller ikke-eksisterende tilsyn fra toppledelsen og styringsorganet et miljø som fremmer svindel. Hvis rapporter ikke gjennomgås kritisk, blir det ikke stilt spørsmål ved unntak, og det kreves ikke solide forklaringer.uregelmessigheter har mer rom for å vokse uten motstand.
Hvordan styrke internkontrollen mot langvarig svindel
Styrking av internkontroll innebærer mer enn bare å legge til flere regler; det innebærer også å utforme et sammenhengende system, som står i forhold til risikoene og som faktisk anvendes i daglig praksisFlere tiltak har vist seg å være spesielt effektive for å redusere forekomsten og varigheten av intern svindel.
En av dem er det periodiske vurderinger av svindelrisikoDisse vurderingene gjør det mulig å identifisere mer sensitive prosesser, punkter med kraftkonsentrasjon, områder med høy skjønnsmessig kontroll eller hendelseshistorikk. Disse vurderingene må oppdateres fordi risikoer utvikler seg med virksomheten.
En annen nøkkel er riktig ansvarsfordeling. Ikke alle trenger å kunne gjøre alt, og det er heller ikke sunt for én person å akkumulere flere kritiske funksjoner.Å skille de som ber om, de som godkjenner, de som utfører og de som forsoner seg reduserer mulighetene for svindel drastisk.
Det er også lurt å etablere formelle protokoller for godkjenning og overvåking av unntakUnntak er uunngåelige, men de kan ikke unnslippe kontroll: de må være godt dokumentert, begrunnet, godkjent av riktig nivå og gjennomgått etterpå.
Uavhengige undersøkelser og responsmekanismer legger til et ekstra lag: konfidensielle rapporteringskanaler, team forberedt på å undersøke og klare prosedyrer for å reagereUten disse verktøyene kan varseltegn bli stilnet av frykt eller mangel på tillit.
Til slutt spiller teknologi en stadig mer avgjørende rolle i å styrke kontrollene. Løsninger for kontinuerlig overvåking, avansert analyse og automatisering av kritiske prosesser De tillater deteksjon av avvik i sanntid og anvendelse av kontroller på en homogen måte, uten å avhenge så mye av den menneskelige faktoren.
Teknologi: fra svindlerens våpen til en alliert av internkontroll
KPMGs studier viser tydelig at Svindlere har blitt mye mer sofistikerte i sin bruk av teknologiSelv om mange selskaper fortsatt ikke klarer å utnytte potensialet som et forsvarsverktøy fullt ut, ble bare en liten prosentandel av svindelene som ble analysert oppdaget ved hjelp av avanserte dataanalyseteknikker.
En første teknologisk forsvarslinje er identitetsverifisering i sanntid av ansatte, leverandører og relevante tredjeparter. Robuste autentiseringssystemer, dokumentvalidering og kontroller på høyt nivå reduserer risikoen for etterligning eller opprettelse av fiktive enheter i organisasjonen.
Dataanalyse og kontinuerlig overvåking lar oss gå fra engangsvurderinger til en permanent overvåkingsmodell. Avvikere kan identifiseres ved hjelp av regler, statistiske modeller og maskinlæring., for eksempel transaksjoner på uvanlige tidspunkter, gjentatte godkjenninger av samme person eller endringer i stamdata uten noen åpenbar grunn.
Automatisering av kritiske prosesser gir sporbarhet og standardisering. Digitalisering av godkjenningsarbeidsflyter, avstemminger eller valideringer reduserer menneskelige feil og genererer detaljerte poster. hvem gjorde hva, når og med hvilken autorisasjon. Dette forenkler revisjon og kompliserer skjønnsmessig manipulasjon.
Kunstig intelligens og maskinlæring tar denne tilnærmingen et skritt videre. De er i stand til å behandle store mengder informasjon og oppdage subtile sammenhenger mellom tilganger, transaksjoner og endringer i atferd. som et menneskelig lag ville savne.
Til slutt bidrar integrasjon med pålitelige interne og eksterne databaser til Beslutninger tas basert på verifisert og oppdatert informasjonDette reduserer sjansene for at manipulerte data, risikable leverandører eller transaksjoner med ugjennomsiktige motparter slipper gjennom.
Viktigheten av kultur, etikk og tredjepartsadministrasjon
Uansett hvor forsvarlig den tekniske utformingen av internkontrollen måtte være, Uten en kultur preget av integritet og engasjert lederskap vil svindel fortsette å finne smutthull.Toppledelsens holdning til samsvar, åpenhet og ansvarlighet setter tonen for hele organisasjonen.
Realiteten er at mange tilfeller av intern svindel opprettholdes takket være tausheten til de som mistenker noe, men De mangler trygge kanaler for å rapportere overgrep eller frykter gjengjeldelse hvis de sier ifra.Å etablere konfidensielle og godt administrerte rapporteringsmekanismer er et av de mest effektive virkemidlene for å avdekke svindel i en tidlig fase.
Tredjeparter bør ikke overses. I mer enn halvparten av tilfellene som KPMG har studert, leverandører, agenter, distributører eller andre eksterne partnere deltok i svindelordningeneDerfor er det ikke nok å se innover: det er nødvendig å forstå grundig de som blir med i verdikjeden og deres... tillitsfunksjoner.
Robuste tredjeparts utvelgelses- og overvåkingsprosesser, inkludert bakgrunnssjekker, omdømmerisikoanalyse og periodiske gjennomgangerDe reduserer eksponeringen for korrupsjonspraksis eller skjult samarbeid i intern svindel betydelig.
Til slutt bidrar den typiske profilen til bedriftssvindelen som er beskrevet i KPMGs studier til å avgrense kontrollfokuset: Alder mellom 36 og 55 år, intern ansatt med makt til å overstyre kontroller, lang ansettelse i selskapet, høy opplevd respekt og tydelig økonomisk motivasjonÅ være bevisst på disse trekkene betyr ikke å ha mistillit til alle, men det muliggjør bedre målretting av tilsynsarbeidet.
Alt i alt blir det klart at langvarig svindel ikke bare opprettholdes av noen fås onde intensjoner, men av svake interne kontrollsystemer, permissive kulturer og mangel på utnyttelse av teknologiÅ styrke arbeidsdelingen, profesjonalisere tilsyn, investere i dataanalyse og dyrke en sterk bedriftsetikk gjør organisasjonen til et mye mindre attraktivt miljø for den tålmodige svindleren som ønsker å operere i skyggene i årevis.
