Zarządzanie ryzykiem oszustwa w toku działalności gospodarczej 

- przewodnik praktyczny[1]  

(fragment)

Oszustwo jest to każde zamierzone działanie lub zaniechanie działania tak zaprojektowane, aby zmylić innych, w rezultacie czego występuje ofiara, która ponosi stratę oraz popełniający oszustwo, który osiąga korzyść. 

Wstęp

Wszystkie organizacje są narażone na ryzyko oszustwa. Wielkie oszustwa doprowadziły do upadku całych organizacji, potężnych strat, znacznych kosztów prawnych, kar więzienia dla biorących w nich udział osób oraz spadku zaufania do rynków kapitałowych. Ujawnione oszukańcze zachowania kluczowych pracowników szczebla kierowniczego negatywnie wpłynęły na reputację marek oraz wizerunek wielu organizacji na całym świecie.

Regulacje takie jak: Konwencja Antykorupcyjna OECD z 1997 roku, amerykański Sarbanes-Oxley Act z 2002 roku czy Federalne Wytyczne Wyroków z 2005 roku oraz podobne unormowania na całym świecie zwiększyły odpowiedzialność kierownictw organizacji za zarządzanie ryzykiem oszustwa.

Po ostatnich skandalach finansowych opinia publiczna oraz interesariusze (np. właściciele, pracownicy, odbiorcy, dostawcy, jednostki rządowe, organizacje społeczne i media) oczekują, by organizacje stosowały podejście „zero tolerancji dla oszustw”. Zasady dobrego ładu korporacyjnego wymagają, aby zarząd organizacji albo równorzędny organ ponoszący odpowiedzialność zapewnił przestrzeganie wysokich wymogów etycznych w organizacji, niezależnie od jej statusu – prywatnego, publicznego, rządowego, niezarobkowego, jej wielkości lub gałęzi, w której działa. Zarząd pełni tu kluczową rolę, ponieważ historycznie rzecz ujmując największe oszustwa były popełniane głównie przez osoby szczebla kierowniczego przy współpracy innych pracowników. Przytomne radzenie sobie z przypadkami oszustwa wewnątrz organizacji pokazuje opinii publicznej, interesariuszom oraz organom regulacyjnym, jakie jest nastawienie zarządu do ryzyka oszustwa oraz tolerancji tego ryzyka w organizacji.

Oprócz zarządu, personel wszystkich szczebli, włączając w to pracowników na każdym poziomie zarządzania, audytorów wewnętrznych, a także biegłych rewidentów ponosi odpowiedzialność za radzenie sobie z ryzykiem oszustwa. W szczególności opinia publiczna oraz interesariusze oczekują wyjaśnień, jak organizacja reaguje na zaostrzenie przepisów, jaki program zarządzania ryzykiem oszustwa opracowała, jak rozpoznaje to ryzyko, co robi, by lepiej zapobiegać oszustwom, lub przynajmniej wykrywać je możliwie wcześnie i jakie działania są przewidziane w razie wykrycia oszustw.

Ten przewodnik zaleca sposoby, którymi zarząd, kierownictwo wyższych szczebli oraz audytorzy wewnętrzni mogą zwalczać oszustwa w swojej organizacji.

Jak wyjaśniono, oszustwo jest każdym zamierzonym działaniem lub zaniechaniem działania tak zaprojektowanym, aby zmylić innych, w rezultacie czego występuje ofiara, która ponosi stratę oraz popełniający oszustwo, który osiąga korzyść. Niezależnie od kultury, religii i innych czynników niektóre osoby będą posiadały motywację, aby dokonywać oszustw. Przeprowadzone w 2007 roku badanie[2] ujawniło, iż pierwotną przyczyną dokonywania oszustwa jest presja osiągania celów za wszelką cenę (81% ankietowanych) oraz szukanie osobistych korzyści (72%). Wielu respondentów jako przyczynę niewłaściwego działania wskazało ponadto to, że oszuści nie traktują swojego postępowania jako nagannego (40%).

Tylko przez konsekwentny wysiłek organizacja może chronić siebie przed poważnymi wypadkami oszustwa. Kluczowe zasady dla proaktywnego zarządzania ryzykiem oszustwa w organizacji to:

Zasada 1. Program zarządzania ryzykiem oszustwa, obejmujący pisemne wytyczne przekazujące oczekiwania zarządu i wyższych szczebli kierowniczych co do zarządzania ryzykiem oszustwa, powinien stanowić część ładu korporacyjnego organizacji (Załącznik 1).

Zasada 2. Organizacja powinna okresowo oceniać, jakie obszary są narażone na ryzyko oszustwa, aby rozpoznać specyficzne, potencjalne zdarzenia lub ciąg zdarzeń, które wymagają osłabienia (Załącznik 2).

Zasada 3. W celu uniknięcia potencjalnych kluczowych zdarzeń obciążonych ryzykiem oszustwa powinny zostać ustalone techniki zapobiegawcze, tak aby gdzie to możliwe łagodzić potencjalny wpływ tych zdarzeń na organizację (Załączniki 3 i 4).

Zasada 4. Powinny zostać ustalone techniki ujawnienia zaistniałych oszustw, w momencie gdy środki zapobiegawcze zawiodły albo nieosłabione ryzyka się zrealizowały.

Zasada 5. Dla stworzenia danych wyjściowych o potencjalnych obszarach oszustw powinien istnieć system raportowania; powinno być także stosowane skoordynowane podejście do dochodzeń i działań naprawczych, tak by kwestie potencjalnych oszustw były traktowane z należytą uwagą i na czas.

Poniżej, w streszczeniu, przedstawiono sposób działania tych zasad i sugestie dla ich wdrożenia w organizacji. Pominięto omawianie zasady 5., jako znanej.

(…)

1. Ryzyko oszustwa a zasady ładu korporacyjnego

2. Ocena ryzyka oszustwa

3. Zapobieganie oszustwom

4. Dochodzenie i działania naprawcze

Wnioski końcowe

Załącznik 1 Przykładowy układ programu (planu) przeciwdziałania oszustwom

Załącznik 2 Obszary narażone na ryzyko oszustwa

Załącznik 3 Przykład oceny ryzyka oszustwa

Załącznik 4 Karta oceny sprawności systemu wykrywania oszustw

[1] Skrót wspólnego opracowania amerykańskiego Institute of Internal Auditors, The American Institute of Certified Public Accountants, Association of Certified Fraud Examiners.

[2] The 2007 Oversight Systems Report on Corporate Fraud, www.oversightsystems.com.