5 prostych zasad przejęcia kontroli nad ryzykiem nadużyć w firmie

Joanna Pacześniak

Zagrożenia, na które narażone są firmy na rynkach lokalnych i międzynarodowych, odznaczają się wysokim stopniem złożoności i stale rosnącą dynamiką zmian, która skutecznie utrudnia prowadzenie działalności gospodarczej. Otoczenie, w którym już od wielu lat działają firmy, charakteryzuje się ogólnym wzrostem ryzyka operacyjnego, także w kontekście bezpieczeństwa biznesu.

Na zdj. Joanna Pacześniak

Na zdj. Joanna Pacześniak

Zarządzanie ryzykiem operacyjnym według Bazylejskiego Komitetu Nadzoru Bankowego to zarządzanie „ryzykiem strat wynikających z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych”. Ryzyko wystąpienia nadużyć występuje zarówno wewnątrz organizacji, jak i w kontaktach zewnętrznych z klientami, kontrahentami i partnerami biznesowymi.

Kompleksowe i zintegrowane, a więc uwzględniające wszystkie obszary organizacji oraz wszystkich jej uczestników, podejście do zarządzania ryzykiem nadużyć w organizacji pozwala w długim okresie na wzrost efektywności zapobiegania, wykrywania i reagowania na nadużycia. W szerszym kontekście racjonalne i systematyczne identyfikowanie i zarządzanie ryzykiem nadużyć w organizacji ma znaczący wpływ na zapewnienie długoterminowej rentowności.

Rozpoczynając przygodę z zapewnieniem bezpieczeństwa swojej działalności gospodarczej, organizacja dokonuje przeglądu otoczenia, w którym działa, wewnętrznego i zewnętrznego. Nie zapominając jednocześnie o podejściu kompleksowym i zintegrowanym, czyli zwraca uwagę na wszystkie obszary działania firmy i ich wzajemne interakcje. Istotne wewnętrzne czynniki wpływające na firmę to: 

  • ludzie, którzy tworzą firmę – właściciele, zarządzający, pracownicy;
  • procesy i systemy zachodzące w firmie, w każdym jej obszarze i miejscu oraz na każdym szczeblu organizacyjnym. 

Zewnętrzne czynniki to klienci, kontrahenci czy potencjalni pracownicy. Nie lekceważmy też obszarów wspólnych, gdzie poprzez działanie konkretnych ludzi lub systemów (IT) środowisko wewnętrzne przenika się ze środowiskiem zewnętrznym. 

Kim jest audytor śledzczy, specjalista ds. wykrywania nadużyć lub zarządzania ryzykiem nadużyć?
Dowiedz się wiecej z naszego opracowania. Przejdź do artykułu »

Mając zbadane i określone środowisko, w którym działa firma, oraz mając zidentyfikowanych uczestników procesów biznesowych firmy można przystąpić do tworzenia systemu zarządzania ryzykiem nadużyć, który będzie uwzględniał indywidualne cechy danej firmy np. rodzaj, wielkość, złożoność czy profil ryzyka

Międzynarodowe organizacje: the Institute of Internal Auditors, the Amarican Institute of Certified Public Accountants and Association of Certified Fraud Examiners zalecają firmom podejście do zarządzania ryzykiem oparte na pięciu podstawowych zasadach, niezależnie od branży, w której działa firma : 


 

Ład korporacyjny w zarządzaniu ryzykiem nadużyć 

Podstawą tej zasady jest wbudowanie systemu zarządzania ryzykiem nadużyć w istniejącą strukturę organizacyjną firmy i uczynienie tego systemu integralną częścią zarówno struktury organizacyjnej, jak i ładu korporacyjnego. To niejako kamień węgielny zintegrowanego systemu zarządzania ryzykiem nadużyć w firmie. Rezultatem takiego podejścia jest to, że system ten obejmie wszystkie obszary firmy wraz z uczestnikami zachodzących w niej procesów. Podejście zintegrowane weźmie pod uwagę również wzajemne interakcje między nimi i będzie podstawą do skoordynowanego zarządzania tymi procesami. Wszyscy uczestnicy działalności gospodarczej, od właścicieli po kontrahentów, stają się uczestnikami systemu zarządzania ryzykiem nadużyć. 
Na tym bazowym etapie firma tworzy politykę zarządzania ryzykiem nadużyć (obejmującą nie tylko przeciwdziałanie, ale także wykrywanie i reagowanie na nadużycia) i procedury jako składowe formalnego programu zarządzania ryzykiem nadużyć.


 

Ocena ryzyka nadużyć 

Dla efektywnej i skutecznej ochrony przed nadużyciami firma powinna zrozumieć, co to jest ryzyko nadużycia i zrozumieć ryzyko nadużycia specyficzne dla niej, które w sposób pośredni lub bezpośredni dotyczy tej firmy. Usystematyzowana ocena ryzyka nadużyć uwzględniająca wielkość firmy, złożoność procesów, branżę, cele firmy powinna odbywać się cyklicznie i zakładać możliwość aktualizacji.

Zobacz oferty pracy w kontrolingu »

Plan cyklicznych ocen ekspozycji na ryzyko nadużycia pozwoli firmie identyfikować potencjalne zdarzenia czy schematy działań i tym samym minimalizować ryzyko ich wystąpienia.


 

Przeciwdziałanie nadużyciom – działania prewencyjne 

Opracowanie technik prewencyjnych przeciwdziałających wystąpieniu nadużyć i minimalizujących ryzyko negatywnego wpływu na firmę, jeśli takie ryzyko wystąpi. Jakkolwiek jest oczywiste, że nie wszystkie nadużycia uda się przewidzieć, to jednak opracowane wcześniej techniki stanowią pierwszą realną linie obrony przeciw nadużyciom.

Wykrywanie nadużyć 

Określone, opracowane i wbudowane w system techniki detekcyjne stosowane są w firmie do wykrycia nadużycia, kiedy środki prewencyjne nie zadziałały lub jeśli zostało zrealizowane ryzyko wcześniej nie uświadomione lub nie zminimalizowane. 
Procedura wykrywania nadużyć w firmie jest przejawem panowania nad tego typu ryzykiem w firmie. Z praktyki jednak wynika, że formalna procedura, a nawet wskazanie osób wewnątrz firmy, nie są skutecznym narzędziem walki z oszustem. Dużo skuteczniejsze jest posiłkowanie się w takich przypadkach profesjonalnym zespołem audytorów śledczych i detektywów, których podstawową wartością dodaną jest doświadczenie, bezstronność i brak uwikłania w relacje wewnątrz firmy.


 

Śledztwo i działania naprawcze 

Wiele firm, nawet te, które posiadają wbudowany system zarządzania nadużyciami, a co najmniej dysponują systemami kontroli wewnętrznej, zatrzymują się na śledztwie i wykryciu incydentu. Następnie wybierają drogę powiadomienia organów ścigania, a zdecydowanie częściej zwalniają pracownika-oszusta, zależnie od incydentu dyscyplinarnie, a czasami nawet za porozumieniem stron. 

Tymczasem moment ten jest doskonały do podjęcia działań naprawczych. Zarówno w aspekcie społecznym, czyli podniesienia świadomości pracowników w zakresie zachowań nieetycznych poprzez jasny komunikat o sytuacji i przeprowadzenie odpowiednich szkoleń, po działania zarządcze i podjęcie konkretnych kroków w celu uszczelnienia procesów w firmie. 

Zalecane jest stworzenie systemu raportowania wystąpienia incydentów. Dokumentowanie incydentów, podjęte w odpowiednim czasie śledztwo i podejmowanie działań naprawczych w sposób znaczący może zwiększać szansę firmy na odzyskanie strat, unikanie kosztownych i długotrwałych postępowań sądowych i wreszcie ograniczenie ryzyka narażenia reputacji firmy na szwank. 

Te pięć podstawowych zasad, na których może oprzeć swoje działania firma w walce z nadużyciami, stanowią dopiero ramy do wypracowania specyficznych, adekwatnych i skutecznych rozwiązań dla danej firmy. Ale istnieje jeszcze jedna zasada, a właściwie podejście zarządzających, bez którego system zarządzania ryzykiem nadużyć nie zadziała w długim okresie czasu. Punktem wyjścia jest opracowanie i rozwijanie kultury etycznej w firmie. To świadome podjęcie decyzji strategicznej przez właścicieli i zarządzających, że prowadzimy i rozwijamy naszą firmę w oparciu o etyczne zasady. Wymagamy tego zarówno od siebie, jak i od naszych pracowników, klientów oraz partnerów biznesowych. 

Stworzenie systemu zarządzania ryzykiem w oparciu o powyższe zasady nie spowoduje, że rynek ze wszystkimi jego uczestnikami zacznie grać w grę według przyjętych przez firmę zasad. Spowoduje jednak to, że firma uzyska w dużym stopniu kontrolę i panowanie nad swoimi działaniami.


Joanna Pacześniak jest audytorem wewnętrznym, śledczym oraz koordynatorem złożonych projektów audytorskich. Posiada ona kilkunastoletnie doświadczenie zawodowe w dziedzinie kontrolingu, zarządzania projektami i audytu wewnętrznego. Od kilku lat natomiast skupiła swoją specjalizację na obszarze audytu śledczego. Joanna Pacześniak współtworzyła departamenty audytu w dużych polskich firmach. Była również zaangażowana w wielu projektach audytu finansowego w sektorze administracji publicznej jak i prywatnym. 

Joanna Pacześniak prowadzi i nadzoruje liczne projekty w zakresie zarządzania ryzykiem, kontroli, wykrywania oszustw wewnątrz firm, wdrażania i doskonalenia systemów AML, optymalizacji procesów biznesowych w kierunku doskonalenia mechanizmów zarządzania ryzykiem operacyjnym oraz niwelowania negatywnych skutków ryzyka.

IBBC Group jest wiodącą firmą doradczą w Polsce i Europie Środkowo-Wschodniej w zakresie zarządzania ryzykiem i bezpieczeństwem biznesu. Oferuje wsparcie w kompleksowym zarządzaniu ryzykiem, w szczególności ryzykiem nieprawidłowości, nadużyć, braku zgodności oraz sytuacji kryzysowych. Zapewnia bezpieczeństwo realizacji działań biznesowych i pomoc w sytuacjach nadzwyczajnych. Dostarcza firmom zarówno kompleksowe rozwiązania analityczne, jak i prewencyjne. 
Dzięki ścisłej współpracy z Seccredo Group oferuje Klientom działania na arenie międzynarodowej.

Autor

Joanna Pacześniak

Joanna Pacześniak