Temat: Nowości w Serwisie Edukacji Antykorupcyjnej CBA 5.10.2012...
"Kontrola zarządcza - czy pozwoli zapobiegać oszustwom?"
"Media nieustannie informują nas o kolejnych aferach korupcyjnych, które mają miejsce na wysokich szczeblach. Dlaczego i gdzie dochodzi do oszustw i nadużyć w sektorze finansów publicznych? W jaki sposób te organizacje są obligatoryjnie zobowiązane do wdrożenia procedur zabezpieczających?
Procedery oszustw są powszechne i mogą obejmować wszystkie organizacje bez względu na ich wielkość, lokalizację i specyfikę działania. Aby przybliżyć temat należałoby wyjaśnić, co to jest nadużycie i oszustwo, ponieważ wiele określa je w różny sposób. Najprostsza definicja to: „wykorzystanie wykonywanego zawodu w celu osobistego wzbogacenia się poprzez umyślne nadużycie, bądź niewłaściwe zastosowanie środków lub aktywów należących do organizacji, w której jest się zatrudnionym” .
Oszustwo czy też nadużycie może przybrać formę drobnej kradzieży jak i wyszukanych, przemyślanych działań w celu uzyskania korzyści. W naszym narodowym mniemaniu „drobne” oszustwa spotykają się z akceptacją społeczną. Tak dla przykładu zadam pytanie: czy wydrukowanie pracy magisterskiej w czasie pracy z wykorzystaniem sprzętu i papieru urzędowego to już naganne zachowanie czy możliwość jaką daje nam zajmowane stanowisko? W związku z tym kolejne pytanie, gdzie jest granica tego „przyzwolenia społecznego” i czy jej wymiar jest finansowy czy też etyczny? Częste i drobne nadużycia w dłuższym czasie mogą przynieść stratę porównywalną z przemyślanym i wyrafinowanym oszustwem.
Każde nadużycie cechuje się tym, iż jest dokonywane potajemnie i narusza powierzone obowiązki. Ponadto celem działania jest przyniesienie oszustowi korzyści w pośredni lub bezpośredni sposób, co powoduje jednocześnie straty w zyskach lub zasobach organizacji.
Czy zdajemy sobie sprawę, kto może być głównym źródłem strat finansowych w naszej organizacji? Próbując odpowiedzieć na to pytanie posłużyłem się raportem ACFE „Raport do Narodu na Temat Oszustw i Nadużyć Zawodowych (Report to the Nation on Occupational Fraud and Abuse),” który jest bardzo obszernym badaniem przeprowadzonym przez specjalistów.
Raport miał na celu:
• Podsumowanie opinii ekspertów na temat udziału procentowego oraz kwotowego strat
w dochodach organizacji powstałych w wyniku wszystkich form oszustw i nadużyć zawodowych.
• Ustalenie charakterystyki pracowników, którzy popełniają oszustwa i nadużycia zawodowe.
• Określenie, jakie rodzaje organizacji są ofiarami oszustw i nadużyć zawodowych.
• Klasyfikację przypadków w których dochodzi do oszustw i nadużyć zawodowych.
Eksperci wskazali w raporcie, że najczęściej do oszustw dochodzi poprzez niewłaściwy sposób korzystania z aktywów, a także z powodu korupcji i niewłaściwej sprawozdawczości finansowej.
W około 90% analizowanych przypadków związanych z niewłaściwym wykorzystaniem aktywów, oszustwo polegało na kradzieży gotówki należącej do organizacji. Przestępstwa polegające na przywłaszczeniu innych aktywów (tj. zapasy, wyposażenie, tajne informacje) były o wiele rzadsze, jednak bardziej kosztowne. Okazuje się przy tym, że proceder ten trwał około 18 miesięcy zanim został wykryty.
Współautorka artykułu, profesjonalistka z zakresu zarządzania ryzykiem, zwróciła moją uwagę na stwierdzenie „proceder taki trwał około 18 miesięcy, zanim został wykryty”.
Oznacza to, że należy zrobić wszystko co możliwe, aby przeciwdziałać oszustwom, ale najważniejsze, aby w razie ich wystąpienia jak najszybciej je wykryć. Jak to zrobić? Na stałe w systemie ciągłym zarządzać ryzykiem, a więc identyfikować i analizować ryzyko, a następnie odpowiednio na nie reagować.
Popularna metoda analizy ryzyka, czyli tworzenie macierzy ryzyka polega na ustalaniu wartości ryzyka poprzez mnożenie współczynnika prawdopodobieństwa wystąpienia zdarzenia i współczynnika skutku. Metoda FMEA zwraca natomiast uwagę na element czasu wykrycia, bo jeśli coś przynosi wielką stratę, ale wykryjemy to wcześnie, łatwiej będzie dochodzić nam roszczeń i szybciej podejmiemy reakcję, ograniczając w ten sposób straty. Jeżeli więc wiemy, że jakieś ryzyko związane z oszustwem będzie trudne do wykrycia, ale jesteśmy w stanie przewidzieć, że w ogóle może wystąpić, to powinniśmy się skupić na przeciwdziałaniu nie tylko w zakresie minimalizacji samego prawdopodobieństwa lub skutku, ale także na wprowadzeniu procedur umożliwiających skrócenie czasu wykrycia.
Powracając do tematu strat, jednym z głównych wskaźników decydującym o rozmiarze strat dla organizacji, spowodowanych nadużyciami, jest pozycja jaką sprawca zajmuje w organizacji. Z raportu wynika, że przestępstwa dokonywane przez osoby na wyższych stanowiskach były zawsze bardziej znaczące niż przestępstwa dokonywane przez osoby na szeregowych stanowiskach. Można również zauważyć, że wzrost oszustw plasował się w grupie osób starszych a nie młodszych. Wynika to stąd, że starsze osoby zajmują więcej stanowisk kierowniczych, a co się z tym wiąże, mają większy dostęp do aktywów organizacji.
Podobnie jest z wykształceniem. Eksperci wskazują, że osoby o wyższym wykształceniu popełniają więcej oszustw niż osoby z niższym wykształceniem. Takie wyniki badań utwierdziły tezę, że tak samo jak w przypadku wieku i płci, zależność pomiędzy wykształceniem sprawcy nadużycia i wysokością strat jest funkcją pozycji jaką zajmuje on w organizacji.
Mimo, iż raport dotyczy badań w USA, wnioski i spostrzeżenia mogą zostać przeniesione także na nasz rodzimy grunt. Jak można zauważyć, do dużej ilości korupcji dochodzi podczas zmowy. W instytucjach finansów publicznych obligatoryjnie wprowadzono pojęcie „kontrola zarządcza”, zamiast „kontrola finansowa”. Choć korporacyjny sposób zarządzania (model zrządzania ukierunkowany na cele jednostki) pochodzi z USA, to ten model kierowania organizacją został zaakceptowany i przyjęty w naszej rzeczywistości. Celem takiego zarządzania jest zapewnienie przede wszystkim zgodności działalności organizacji z przepisami prawa oraz procedurami wewnętrznymi, skuteczności i efektywności działania, wiarygodności sprawozdań, ochrony zasobów, przestrzegania i promowania etyki zawodowej, przepływu informacji jak i zarządzania ryzykiem.
Pytanie jakie sobie teraz można zadać to „w jaki sposób kontrola zarządcza ma nam uszczelnić
i zabezpieczyć organizację i uchronić ją przed stratami spowodowanymi sabotażem czy innymi oszustwami”?
Kontrola zarządcza wprowadza wiele mechanizmów monitoringu i nadzoru procesów biznesowych. Wytyczne przedstawione w Komunikacie określają 22 Standardy w ramach pięciu obszarów:
1. środowisko wewnętrzne,
2. cele i zarządzanie ryzykiem,
3. mechanizmy kontroli,
4. informacja i komunikacja,
5. monitorowanie i ocena.
Udział w niej nie biorą wyłącznie osoby na kierowniczych i kluczowych stanowiskach, ale wszyscy pracownicy.
Fundamentem i podstawą działania organizacji jest środowisko wewnętrzne. Podstawą są zapisane wartości etyczne, statutowe i organizacyjne. To na tym etapie określa się odpowiednie struktury organizacyjne oraz kompetencje zawodowe. Ważne jest aby wszyscy pracownicy byli świadomi wartości etycznych i czuli odpowiedzialność za powierzone im zadania, a jednocześnie utożsamiali się z całą organizacją.
Odpowiednio „skonfigurowane” środowisko wewnętrzne to pierwsza linia obrony przed oszustwami i nadużyciami.
Każda organizacja jest ukierunkowana na cele, które mogą mieć wartości statutowe jak i biznesowe. Określenie celów wyznacza drogę, którą powinna kroczyć organizacja, a tym samym wszyscy jej pracownicy.
Zarządzanie ryzykiem jest to działanie ukierunkowane na przyszłość, a jednocześnie jest działaniem profilaktycznym. To na tym etapie organizacja powinna przeprowadzić analizę ryzyka i określić newralgiczne punkty, a w szczególności ryzyka związane z nadużyciami i oszustwami oraz sposoby reakcji na te ryzyka.
Pamiętajmy, że zarządzanie ryzykiem ma pozwolić organizacji na osiąganie jej zamierzonych celów i służy przewidywaniu tego, co się może wydarzyć, aby podjąć odpowiednie kroki zabezpieczające organizację, w razie ewentualnego ich wystąpienia. Jeżeli natomiast wiemy, że coś się stanie w przyszłości i jest to pewne, to nie mieści się już w pojęciu „zarządzanie ryzykiem”, tylko w obszarze korporacyjnego zarządzania organizacją, brania tego pewnika pod uwagę przy ustalaniu celów organizacji i odpowiedniej kontroli procesów.
Dla przypomnienia podaję poniżej definicję zarządzania ryzykiem wg COSO II: „Zarządzanie ryzykiem korporacyjnym jest realizowanym przez zarząd, kierownictwo lub inny personel, uwzględnionym w strategii i w całej organizacji procesem, którego celem jest identyfikacja potencjalnych zdarzeń, które mogą wywrzeć wpływ na organizację, utrzymywanie ryzyka w ustalonych granicach i rozsądne zapewnienie realizacji celów organizacji”.
Kontrola zarządcza wskazuje listę mechanizmów kontroli. Do najważniejszych należy dokumentacja, ciągłość działania, nadzór i ochrona zasobów. Wdrożone procedury określają zakres obowiązków, uprawnień i odpowiedzialności każdego pracownika. Jednocześnie prowadzony jest nadzór, który w rozumieniu kontroli zarządczej jest szerszy niż sama kontrola, gdyż istnieje możliwość zwierzchniego wpływania na podmiot. Ważna na tym etapie jest ciągłość działania jednostki, a co się z tym wiąże, utrzymanie kontroli nad operacjami finansowymi i gospodarczymi oraz ochrona zasobów finansowych i materiałowych oraz informacyjnych. Mówiąc o zasobach (nie można tu pominąć informacji czy też tajemnicy służbowej) należy zapewnić, aby do powierzonych zasobów miały dostęp tylko osoby upoważnione, które będą brały odpowiedzialność za zapewnienie ich ochrony i właściwe wykorzystanie.
Standardy w obszarze informacji i komunikacji dotyczą zapewnienia odpowiedniego i zrozumiałego obiegu informacji dla pracowników w całej organizacji. Często jednak bywa, że informacja wewnętrzna wypływa poza organizację, a jej treść może nieść sygnał do dokonania oszustwa.
Kontrola zarządcza jest procesem ciągłym, podlegającym monitorowaniu i ocenie. Pozwala to eliminować słabe punkty oraz wdrażać procesy tam, gdzie zauważono ich brak.
Dobrze wdrożona i utrzymywana kontrola zarządcza to szczelny system zabezpieczający organizację przed oszustwami i nadużyciami. Trzeba jednak pamiętać, że nie może być to tylko spis procedur na papierze, odłożony na półkę, ale wdrożony i ciągle doskonalący się system funkcjonowania nowocześnie zarządzanej organizacji."
Autor artykułu: Piotr Chmielewski
Współautor: Anna Słodczyk (Trener PIKW)
Ta wypowiedź została przeniesiona dnia 15.10.2012 o godzinie 21:29 z tematu ""Kontrola zarządcza - czy pozwoli zapobiegać oszustwom?""