Šibke notranje kontrole in dolgotrajne goljufije: vzroki, tveganja in rešitve

Začetek » Škatle » Šibke notranje kontrole in dolgotrajne goljufije: vzroki, tveganja in rešitve

V mnogih organizacijah se dolgotrajne goljufije ne začnejo z velikim škandalom, temveč z majhno razpoko v sistemu notranjega nadzora, ki je nihče ne odpravi pravočasno. Ta kombinacija šibkih notranjih kontrol, napačno razumljenega zaupanja in ohlapnega nadzora To je idealno gojišče za nezakonito prisvajanje premoženja in druge nepravilnosti, ki ostanejo skrite leta.

Daleč od tega, da bi bil problem izključno za velike multinacionalne korporacije, Mala in srednje velika podjetja ter subjekti vseh vrst trpijo tudi zaradi posledic slabo zasnovanih ali slabo uporabljenih notranjih kontrol.Gospodarske izgube, notranji konflikti, regulativne sankcije in huda škoda za ugled. Razumevanje, kje kontrole odpovejo, zakaj se poslabšajo in kako jih okrepiti, je ključnega pomena za izkoreninjenje dolgotrajnih goljufij.

Slabe notranje kontrole in dolgotrajne goljufije: kako so povezane

Glavna strokovna združenja so to razmerje temeljito analizirala. AICPA in CIMA na primer pojasnjujeta, kako Do poneverbe zaposlenih pride, ko nekdo z dostopom do virov organizira namerno in nenehno zlorabo. sredstev ali premoženja za pridobitev osebne koristi. To ni preprosta napaka, temveč namerno ravnanje, ki temelji na strukturnih slabostih notranjega nadzora.

Med najpogostejšimi oblikami poneverbe so sheme, ki vključujejo zlorabo denarja, goljufivo upravljanje zalog, manipulacijo stroškov, ustvarjanje fiktivnih dobaviteljev ali spreminjanje računovodskih evidencV vseh teh primerih se ponavlja isti vzorec: nekdo si nabere preveč kritičnih funkcij brez protiutežev in izkorišča odsotnost pravega nadzora.

Študije poklicnih goljufij, kot so tiste, ki jih je izvedla ACFE, kažejo, da Več kot polovica primerov izhaja iz pomanjkanja nadzora ali enostavnosti, s katero se mu je mogoče izogniti ali izničiti.KPMG Forensic pa ugotavlja, da so bile šibke notranje kontrole ključni dejavnik pri približno 60 % preiskovanih goljufij po vsem svetu, v Evropi pa je ta odstotek še višji.

Ko goljufija traja dlje časa, je normalno, da Poslabšanje notranjega nadzora je bilo postopno: tolerirane so bile majhne izjeme, pregledi so bili opuščeni »zaradi naglice«, zaupanje v določene ljudi pa je bilo pretirano.Kontrole se redko nenadoma sesujejo; postopoma se izpraznijo, dokler ne prenehajo služiti svojemu namenu.

Ta oslabitev je v veliki meri povezana tudi z dobro znanim trikotnikom goljufij: pritisk, priložnost in opravičiloNotranji nadzor deluje na podlagi priložnosti. Če zasnova in disciplina nadzora zelo otežujeta prikrivanje goljufij, se mnogi poskusi sploh ne uresničijo.

Notranji nadzor kot živ sistem, ne kot mrtva črka na papirju

V skladu z okvirom COSO je notranji nadzor postopek, katerega cilj je zagotoviti razumno zagotovilo glede doseganja operativnih, informacijskih in skladnostnih ciljevNe gre za priročnik, ki bi ga shranili v predal, ali preprost program, temveč za dinamičen niz preventivnih, detektivskih, korektivnih in preverjalnih ukrepov.

Cilj preventivnih ukrepov preprečiti goljufije, na primer z ločitvijo nalog, omejitvami avtorizacij ali nadzorom dostopaDetektivni ukrepi pridejo v poštev, ko se je nekaj že zgodilo: analiza izjem, uskladitve, neodvisni pregledi ali stalno spremljanje, ki omogočajo hitro odkrivanje nepravilnosti.

Od tam naprej se korektivni ukrepi osredotočajo na popraviti škodo, zapolniti vrzel in kaznovati ravnanjeČeprav potrditveni ukrepi krepijo zanesljivost informacij z dodatnimi preverjanji in potrjevanjem, morajo vsi ti elementi delovati usklajeno in se posodabljati, ko se spremenijo poslovanje, predpisi ali tehnologija.

Težava je v tem, da v praksi mnoga podjetja notranji nadzor obravnavajo kot nekaj statičnega: Zasnovan je enkrat, dokumentiran in komaj pregledan.Sčasoma se pojavijo bližnjice, skupaj s presenečenji v zadnjem trenutku, odpuščanji in pretiranim zanašanjem na določene ključne posameznike. Ta trend ustvarja vrzeli, skozi katere se izmuznejo vse bolj dovršene goljufije.

Poleg tega, tudi z dobro zasnovo, Resnična učinkovitost notranjega nadzora je odvisna od etične kulture in zgleda, ki ga daje višje vodstvo.Če odgovorni onemogočijo kontrole, ko jim to ni v prid, ali pa tolerirajo "manjše goljufanje" za doseganje ciljev, je sporočilo, ki ga prejme preostali del organizacije, uničujoče za vsak kontrolni sistem.

Dejavniki, ki spodkopavajo notranje kontrole in spodbujajo goljufije

Resnični primeri dolgotrajnih goljufij razkrivajo številne ponavljajoče se vzorce. Med najpogostejšimi dejavniki, ki slabijo notranje kontrole, je več elementov, ki se redko pojavijo čez noč, temveč se postopoma ukoreninijo v vsakodnevnem poslovanju organizacije.

Eden najnevarnejših je pretirano zaupanje v osebje z dolgoletnimi izkušnjamiDolgoletni zaposleni, ki pozna vse procese in čigar strokovno znanje je nedvomno, lahko nevede postane edina točka neuspeha. Samo zato, ker je veteran, še ne pomeni, da bi mu morali dodeliti nezdružljive naloge ali ga izključiti iz kakršnega koli resnega pregleda.

Imajo tudi velik vpliv Pritisk na izpolnjevanje rokov ali agresivni cilji in spodbude, ki so slabo usklajene z upravljanjem tveganjKo je pomembno le to, da se »preživi« ali da se dostavi pravočasno, se nadzor omili, potrditve se izpustijo in se sprejmejo šibke razlage. Takšno okolje je idealno za goljufije, ki se prikrijejo kot operativna kriza.

Nadzorniške napake so še ena klasika: Srednje vodstvo, ki je zaskrbljeno s kratkoročnimi vidiki, upravni odbori, ki ne postavljajo dovolj vprašanj, okrasni revizijski odbori ali pregledi, ki postanejo zgolj formalnostBrez pravega nadzora kontrole na koncu postanejo le polja za kljukanje in ne učinkovite ovire.

ne sme pozabiti na preklic ali izogibanje kontrol s strani vodstvaTako imenovani »preglas vodstva« ostaja ključni dejavnik: ko je oseba, ki bi morala biti zgled, ravno tista, ki vsiljuje izjeme brez sledi, sistem postane nelegitimen in pušča vrzeli, ki jih je težko zapolniti.

Nenazadnje obstaja obilica preveč zapletenih in zelo ročnih procesov z malo sledljivosti. Večja kot je kompleksnost in manj standardizacije, lažje je skriti, manipulirati ali odložiti informacije.In za notranjo revizijo je dražje vse podrobno pregledati.

Tipične slabosti v računovodstvu, obračunu plač in nabavi

Računovodstvo, obračun plač in nabava so glavni vzrok za veliko tveganje notranjih goljufij, saj upravljajo z denarjem, občutljivimi podatki in odnosi s tretjimi osebami. Slaba kombinacija dostopa, dovoljenj in pomanjkanja segregacije na teh območjih Lahko pusti vrata priprta za goljufije z velikim učinkom.

V računovodstvu je tipična slabost ta, da ista oseba lahko vnaša v dnevnik, spreminja glavne podatke in usklajuje bančne računePoleg tega, če ročni vnosi niso predmet zanesljivega neodvisnega pregleda, je relativno enostavno manipulirati s prihodki, odhodki ali stanji, da bi prikrili nepravilnosti.

Pri obračunu plač se tveganja gibljejo od tako imenovanih "fantomskih zaposlenih" do dvojna plačila, napihnjene nadure ali neupravičene spremembe plačnih konceptovKadar v sistemih za obračun plač ni strogega nadzora dostopa ali pa se baze podatkov ne preverjajo redno s podatki oddelka za človeške vire, se poveča možnost goljufij.

Na področju nabave se skoncentrira še en sklop pomembnih tveganj: fiktivni dobavitelji, dogovarjanje s tretjimi osebami za napihovanje cen, prejem neobstoječega blaga ali plačila za neopravljene storitveČe je oseba, ki zahteva, odobri in plača, ista ali če je krog premajhen, zasnova že povzroča težave.

V vseh teh primerih študije kažejo, da odsotnost ločevanja nalog, pomanjkanje ustreznega nadzora dostopa in pomanjkljiva dokumentacija o dovoljenjih in odobritvah To so ponavljajoči se dejavniki pri goljufijah, ki ostanejo leta neodkrite.

Kaj je slabost in kaj pomanjkljivost notranjega nadzora

Pomembno je jasno razlikovati med dvema konceptoma, ki ju pogosto zamenjujemo: šibkost notranjega nadzora in pomanjkljivost notranjega nadzoraSlabost je napaka ali vrzel v zasnovi kontrolnega sistema, zaradi katere je organizacija ranljiva za napake, goljufije, neučinkovitost ali neskladnost.

Ko se ta slabost materializira v konkreten problem, ki Preprečuje pravočasno preprečevanje, odkrivanje ali odpravljanje nepravilnosti.Govorimo o pomanjkljivosti v notranjem nadzoru. To pomeni, da je pomanjkljivost praktična manifestacija tega, da nadzor ni bil dobro zasnovan ali ne deluje, kot bi moral.

Pomanjkljivosti se običajno razvrščajo v tri glavne skupine: pomanjkljivosti v zasnovi, operativne pomanjkljivosti in pomanjkljivosti v skladnostiPrvi se pojavijo, ko zasnovani nadzor ne doseže cilja (na primer, če ne loči funkcij v jasno kritičnem procesu).

Do operativnih pomanjkljivosti pride tudi, če je nadzor dobro zasnovan, vendar Ni uporabljen pravilno, dosledno ali v celotiTo vključuje dovoljenja, izdana brez pregleda, usklajevanja, opravljena pozno ali nepopolno, ali dokumentacijo, ki se ne hrani pravilno.

Končno se pomanjkljivosti v skladu pojavijo, ko Organizacija ne spoštuje zakonov, predpisov ali notranjih politik, ki bi jih morala upoštevati.izpostavljajo se sankcijam, globam in resni škodi ugledu. Ta vrsta napake je še posebej resna v reguliranih okoljih ali javnih delniških družbah.

SOX in obravnavanje pomembnih pomanjkljivosti

V podjetjih, za katera velja zakon Sarbanes-Oxley, člen 404 določa posebno disciplino glede notranjih kontrol nad finančnim poročanjem. Tako imenovane kontrole SOX so tiste, ki so opredeljene kot ključne za zagotavljanje zanesljivosti računovodskih izkazov. in zahtevajo višjo stopnjo strogosti.

Ko eden od teh ključnih kontrol kaže odstopanja, se to imenuje Pomanjkljivosti pri nadzoru SOX, ki se lahko stopnjujejo v znatno pomanjkljivost ali materialno šibkostRazlika ni zgolj akademska: določa, ali se problem razkrije vlagateljem in trgom ali ne.

Pomembna pomanjkljivost odraža relevantno težavo, ki pa po presoji revizorjev To je mogoče popraviti brez morebitnega vpliva, ki bi resno ogrozil finančne informacije.Čeprav zahteva hiter odziv in načrt sanacije, to morda ni opisano v mnenju zunanjega revizorja.

Materialna šibkost pa se nanaša na pomanjkljivost, ki je tako resna, da je zaradi nje razumno mogoče, da se v računovodskih izkazih pojavi pomembna napačna navedbaV teh primerih mora revizor to izrecno navesti v svojem poročilu, kar ima posledično vpliv na ugled, stroške kapitala in zaupanje na trgu.

Tipični primeri pomembnih slabosti vključujejo neustrezne kontrole nad pripoznavanjem prihodkov, pretirano zanašanje na ročne vnose brez pregleda ali pomanjkanje učinkovitega nadzora nad privilegiranim dostopom do finančnih sistemovV takšnem okolju dolgotrajne goljufije najdejo še posebej plodna tla, če se pomanjkljivosti ne odpravijo hitro.

Vloga notranje revizije in ocenjevanja goljufij

Čeprav je včasih zamenjeno, notranja revizija sama po sebi ni kontrola, temveč neodvisna funkcija, ki pregleduje, ocenjuje in izboljšuje zasnovo in delovanje kontrolNjihova vloga je ključna za odkrivanje nastajajočih slabosti in predlaganje izboljšav, preden se te spremenijo v obsežne goljufije.

Med njihovimi odgovornostmi so oceniti učinkovitost obstoječih kontrol, spremljati kritična področja in spodbujati kulturo etike in skladnostiPoleg tega običajno vodijo ali usklajujejo specifične ocene tveganja goljufij, v katerih se opredelijo najbolj izpostavljeni procesi in se določi prednostna naloga ukrepanja.

Te ocene vse pogosteje vključujejo multidisciplinarne ekipe: finance, človeški viri, tehnologija, skladnost s predpisi, pravno in poslovno področjeCilj je imeti celovit pregled nad tveganji, vključno s tistimi, ki izhajajo iz intenzivne uporabe tehnologije ali kompleksnih odnosov s tretjimi osebami.

Rezultate teh analiz je treba prevesti v konkretne načrte: Okrepiti ločitev nalog, na novo opredeliti ravni pooblastil, uvesti spremljanje na podlagi podatkov ali izboljšati interne kanale poročanjaBrez tega hitrega ukrepanja poročila o tveganjih ostanejo brez vrednosti.

Poleg tega je za izvedbo priporočil bistveno sodelovanje med notranjo revizijo, višjim vodstvom in upravnim odborom. Brez sponzorstva od zgoraj izboljšave notranjega nadzora pogosto ne uspejo.kar odpira vrata, da se iste težave po nekaj letih ponovijo.

Notranje goljufije v malih in srednje velikih podjetjih: tiha, a zelo resnična težava

Mala in srednje velika podjetja pogosto predstavljajo eksplozivno kombinacijo: visoko osebno zaupanje, malo virov in neformalni procesiTo pomeni, da je obseg posameznih goljufij morda manjši kot v velikih korporacijah, vendar je relativni vpliv uničujoč.

Notranje goljufije v malih in srednje velikih podjetjih niso omejene le na velike poneverbe; vključujejo tudi majhne, ​​stalne zlorabe, osebna uporaba sredstev, spreminjanje urnikov ali računov in neformalni dogovori z dobavitelji ali strankamiČe nihče ne opravi temeljitega in sistematičnega pregleda, se lahko te prakse nadaljujejo leta.

Za mnoga mala in srednje velika podjetja se notranji nadzor dojema kot luksuz ali birokracija. Vendar pa osnovni, a dobro zasnovan sistem politik, postopkov in pregledov To naredi razliko med tem, ali bomo goljufivo vedenje odkrili pozno ali pa bomo pravočasno preprečili.

Tudi v majhnih organizacijah je mogoče vzpostaviti Ločitev ključnih nalog, nadzor avtorizacije po znesku, periodične uskladitve in minimalna sledljivost dokumentovNi treba uvesti velike strukture; dovolj je, da dobre prakse prilagodimo velikosti in kompleksnosti podjetja.

Zunanje svetovanje ali redne revizije, tudi če so omejenega obsega, pomagajo pri odkriti slepe pege, ki jih od znotraj ne opazimo zaradi navade ali pretirane samozavestiDolgoročno je to običajno veliko cenejša naložba kot prevzemanje izgub zaradi dolgotrajne goljufije.

Ključne slabosti kontrol, ki povečujejo tveganje goljufij

Pri pregledu primerov iz resničnega sveta in strokovne literature se pojavi seznam ponavljajočih se slabosti, ki jih je treba upoštevati. Njihovo prepoznavanje in odpravljanje drastično zmanjša verjetnost nadaljnjih goljufij znotraj organizacije.

Najprej poudarja pomanjkanje ločevanja nalog v kritičnih procesihČe eni sami osebi omogočimo začetek, odobritev, beleženje in usklajevanje transakcije, je to skoraj povabilo k goljufiji, še posebej, če gre za upravljanje gotovine, plačil, nakupov ali registracij novih prodajalcev.

Pogosti so tudi neustrezen nadzor dostopa, tako fizični kot logičniZaposleni s prekomernimi dovoljenji za sisteme, deljenim dostopom, računi nekdanjih zaposlenih, ki so še vedno aktivni, ali občutljivimi datotekami brez omejitev so jasni primeri neustrezno zaprtih vrat.

Ročni procesi brez ustreznega nadzora predstavljajo še en pomemben poudarek: neformalne odobritve po e-pošti, nenadzorovane preglednice, ročno sestavljene uskladitve brez neodvisnega pregledaManj strukturiran in bolj ročen kot je postopek, večja je verjetnost, da bo manipuliran brez jasne sledi.

Pomanjkanje usposabljanja in ozaveščenosti o goljufijah in etiki pomeni, da mnogi zaposleni Ne prepoznajo opozorilnih znakov, ne vedo, kako prijaviti skrbi, ali pa zmanjšujejo pomen vedenja, ki je dejansko resno.Brez jasne kulture postane notranji nadzor krhek.

Nenazadnje šibek ali neobstoječ nadzor s strani višjega vodstva in upravnega organa ustvarja okolje, ki spodbuja goljufije. Če poročila niso kritično pregledana, se izjeme ne postavljajo pod vprašaj in se ne zahtevajo trdne razlage.Nepravilnosti imajo več prostora za rast brez nasprotovanja.

Kako okrepiti notranje kontrole proti dolgoročnim goljufijam

Krepitev notranjega nadzora ne vključuje le dodajanja dodatnih pravil; vključuje tudi oblikovati skladen sistem, sorazmeren s tveganji in ki se dejansko uporablja v vsakdanji praksiVeč ukrepov se je izkazalo za posebej učinkovite pri zmanjševanju pojavnosti in trajanja notranjih goljufij.

Eden izmed njih je periodične ocene tveganja goljufijTe ocene omogočajo prepoznavanje občutljivejših procesov, točk koncentracije moči, področij z visoko diskrecijsko pravico ali zgodovine incidentov. Te ocene je treba posodabljati, ker se tveganja razvijajo skupaj s poslovanjem.

Drug ključ je pravilna razdelitev odgovornosti. Ni nujno, da vsakdo zna vsega, niti ni zdravo, da ena oseba kopiči več ključnih funkcij.Ločevanje tistih, ki zahtevajo, tistih, ki odobravajo, tistih, ki izvajajo, in tistih, ki usklajujejo, drastično zmanjšuje možnosti za goljufije.

Priporočljivo je tudi vzpostaviti formalni protokoli za odobritev in spremljanje izjemIzjeme so neizogibne, vendar se ne morejo izogniti nadzoru: morajo biti dobro dokumentirane, utemeljene, odobrene na ustrezni ravni in naknadno pregledane.

Neodvisni mehanizmi preiskav in odzivanja dodajo dodatno plast: zaupni kanali za prijavo, ekipe, pripravljene na preiskavo, in jasni postopki za odzivanjeBrez teh orodij lahko opozorilne znake utiša strah ali pomanjkanje zaupanja.

Nenazadnje ima tehnologija vse bolj odločilno vlogo pri krepitvi nadzora. Rešitve za neprekinjeno spremljanje, napredno analitiko in avtomatizacijo kritičnih procesov Omogočajo odkrivanje anomalij v realnem času in uporabo kontrol na homogen način, brez prevelike odvisnosti od človeškega dejavnika.

Tehnologija: od orožja goljufov do zaveznika notranjega nadzora

Študije KPMG jasno kažejo, da Goljufi so postali veliko bolj prefinjeni pri uporabi tehnologijeČeprav mnoga podjetja še vedno ne izkoriščajo v celoti njegovega potenciala kot obrambnega orodja, je bil le majhen odstotek analiziranih goljufij odkrit z uporabo naprednih tehnik analize podatkov.

Prva linija tehnološke obrambe je preverjanje identitete v realnem času zaposlenih, dobaviteljev in ustreznih tretjih oseb. Robustni sistemi za preverjanje pristnosti, potrjevanje dokumentov in nadzor na visoki ravni zmanjšujejo tveganje lažnega predstavljanja ali ustvarjanja fiktivnih entitet znotraj organizacije.

Analiza podatkov in stalno spremljanje nam omogočata prehod z enkratnih pregledov na model trajnega nadzora. Izstopajoče vrednosti je mogoče prepoznati z uporabo pravil, statističnih modelov in strojnega učenja., kot so transakcije ob nenavadnih časih, ponavljajoče se odobritve iste osebe ali spremembe glavnih podatkov brez očitnega razloga.

Avtomatizacija kritičnih procesov zagotavlja sledljivost in standardizacijo. Digitalizacija delovnih procesov odobritve, uskladitev ali potrjevanja zmanjšuje človeške napake in ustvarja podrobne zapise. kdo je kaj storil, kdaj in s kakšnim pooblastilom. To olajša revizijo in otežuje diskrecijsko manipulacijo.

Umetna inteligenca in strojno učenje ta pristop popeljeta še korak dlje. Sposobni so obdelati velike količine informacij in zaznati subtilne povezave med dostopi, transakcijami in spremembami v vedenju. ki bi ga človeška ekipa pogrešala.

Končno, integracija z zanesljivimi notranjimi in zunanjimi bazami podatkov prispeva k Odločitve se sprejemajo na podlagi preverjenih in ažurnih informacijTo zmanjšuje možnosti, da se manipulirani podatki, tvegani ponudniki ali transakcije z nepreglednimi nasprotnimi strankami izmuznejo skozi.

Pomen kulture, etike in upravljanja s strani tretjih oseb

Ne glede na to, kako zanesljiva je tehnična zasnova notranje kontrole, Brez kulture integritete in predanega vodstva bodo goljufije še naprej našle vrzeli.Odnos višjega vodstva do skladnosti, transparentnosti in odgovornosti določa ton celotne organizacije.

Resničnost je, da se številni primeri notranjih goljufij ohranijo zaradi molka tistih, ki nekaj sumijo, vendar Nimajo varnih kanalov za prijavo zlorab ali pa se bojijo povračilnih ukrepov, če spregovorijo.Vzpostavitev zaupnih in dobro upravljanih mehanizmov poročanja je eden najučinkovitejših vzvodov za odkrivanje goljufij v zgodnjih fazah.

Tretjih oseb ne gre spregledati. V več kot polovici primerov, ki jih je preučevala KPMG, dobavitelji, zastopniki, distributerji ali drugi zunanji partnerji so sodelovali v goljufivih shemahZato ni dovolj, da se ozremo navznoter: treba je temeljito razumeti tiste, ki se pridružujejo vrednostni verigi, in njihove... fiduciarne funkcije.

Robustni postopki izbire in spremljanja tretjih oseb, vključno z preverjanje preteklosti, analiza uglednega tveganja in redni preglediZnatno zmanjšajo izpostavljenost koruptivnim praksam ali prikritemu sodelovanju pri notranjih goljufijah.

Končno, tipičen profil korporativnega goljufa, opisan v študijah KPMG, pomaga natančneje opredeliti fokus nadzora: Starost med 36 in 55 let, zaposleni v podjetju z močjo preglasovanja, dolgoletna zaposlitev, visoka zaznana spoštovanost in jasna ekonomska motivacijaZavedanje teh lastnosti ne pomeni, da ne zaupamo vsem, omogoča pa boljše usmerjanje nadzornih prizadevanj.

Gledano kot celota postane jasno, da dolgotrajne goljufije ne vzdržujejo zgolj zli nameni peščice, temveč tudi šibki sistemi notranjega nadzora, permisivna kultura in premajhna uporaba tehnologijeKrepitev ločevanja nalog, profesionalizacija nadzora, vlaganje v analitiko podatkov in gojenje močne korporativne etike organizacijo naredijo veliko manj privlačno okolje za potrpežljivega goljufa, ki želi leta delovati v senci.