fbpx

GrantThornton

Treść artykułu

Pan Jan – specjalista ds. produkcji w firmie „X” – był bardzo dobrym znajomym kierownika ds. kadr i płac. Wynagrodzenie wpływało regularnie na jego konto, kwota przelewów z roku na rok była coraz wyższa. Pan Jan w kolejnym miesiącu miał obchodzić jubileusz 5 lat pracy w zakładzie, więc zgodnie z panującym zwyczajem pracownik działu HR przygotował drobny upominek dla pracownika i przekazał prezent na ręce kierownika produkcji.

Okazało się, że jest jeden mały problem – wg kierownika produkcji Pan Jan odszedł z firmy 4 lata temu.

 

Po krótkim wewnętrznym śledztwie wyszło na jaw, iż profil Pana Jana rzeczywiście został deaktywowany w systemie kadrowo-płacowym po jego odejściu z pracy, jednak z jakiegoś powodu ponownie stał się aktywny 2 miesiące później. Przeprowadzony przegląd listy płac pracowników produkcyjnych wykazał, iż na liście znajdują się jeszcze 4 dodatkowe, nieznane pracownikom firmy osoby. Dziwnym trafem byli to synowie oraz małżonka kierownika ds. kadr i płac. Wyjaśniło się, dlaczego kierownik ds. kadr i płac tak niechętnie brał urlopy i zawsze był w pracy w momencie konieczności sporządzenia listy płac.

Co poszło nie tak?

Systemy kadrowo-płacowe najczęściej nie wymagają podwójnej autoryzacji zmian w bazie danych pracowników (wg zasady kontroli dwóch pary oczu). W większości firm zespół specjalistów ds. kadr i płac może w dowolnej chwili tworzyć profile nowych pracowników, zmieniać numery rachunków bankowych, podstawę wynagrodzenia. W firmie „X” istniała właśnie przedstawiona wyżej sytuacja – reaktywacja profilu pracownika wymagała jedynie jednego kliknięcia w systemie kadrowo-płacowym. Utworzenie na przestrzeni następnych miesięcy kolejnych pracowników, którzy nigdy nie przekroczyli progu firmy było już bardziej skomplikowane – zajęło 6 minut, zamiast wcześniejszych 2. Zabrakło przede wszystkim skutecznego mechanizmu kontrolnego nad wygenerowaną listą płac. Autoryzacja listy płac przez kierownika produkcji ograniczała się do przeglądu ogólnego poziomu wynagrodzeń i wahań kwoty miesiąc do miesiąca, nie skupiała się na samej zasadności występujących na niej pracowników. Przy poziomach zatrudnienia przekraczających 300 osób pojawienie się dodatkowego, pracownika  ducha” jest łatwe do przeoczenia. Potencjalne rozwiązania kontrolne ograniczające ryzyko polegałyby na wdrożeniu procedur:

a) Zatwierdzenia listy płac przez kierowników departamentów nie tylko pod względem zbiorczej kwoty wynagrodzeń, ale także pod względem autoryzacji listy osobowej

b) Wprowadzenia dwuetapowej autoryzacji zmian kluczowych danych w bazie danych systemu kadrowo-płacowego (rozwiązanie systemowe)

c) Wprowadzenia procedur okresowej weryfikacji zmian w bazie danych pracowników przez niezależną osobę (rozwiązanie manualne) przed wygenerowaniem i autoryzowaniem listy płac

O cyklu Mroczne Historie Audytu Wewnętrznego

Association of Certified Fraud Examiners opublikowało najnowsze wydanie corocznego raportu dotyczącego oszustw w miejscach pracy. Autorzy raportu oszacowali, iż przedsiębiorstwa tracą rokrocznie około 5% przychodów w wyniku oszustw popełnianych przez własnych pracowników.

Postanowiliśmy podzielić się z Państwem informacjami, jakiego rodzaju oszustwa mogą hipotetycznie wystąpić w wyniku istnienia słabości w systemie kontroli wewnętrznej. Nie ograniczyliśmy się jedynie do opisu zdarzenia – w każdym przypadku przedstawiliśmy także rozwiązania dotyczące systemu kontroli wewnętrznej, które prawdopodobnie ograniczyłyby możliwość popełnienia oszustwa. W końcu 30% przeanalizowanych przez badaczy oszustw spowodowanych było bezpośrednio brakami w systemie kontroli wewnętrznej, a kolejne 20% przypadków wynikało z ominięcia lub nieskuteczności wdrożonych mechanizmów kontrolnych.

Mamy nadzieję, iż przedstawione informacje będą użyteczne w projektowaniu systemu kontroli wewnętrznej w Państwa organizacjach. W razie pytań jesteśmy do Państwa dyspozycji.

W pozostałych odcinkach…

Sprawdź Audyt wewnętrzny Grant Thornton

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Audyt Zobacz wszystkie

Raportowanie niefinansowe (ESG) – zakres raportowania w latach 2022-2024

Jesteśmy w trakcie rewolucji związanej z raportowaniem niefinansowym. W najbliższych latach zasadniczo zmieni się zakres tego raportowania, zostanie ono znacząco poszerzone jak również ustrukturyzowane i wystandaryzowane. Zmiany spowodują nie tylko wyższą jakość i wartość informacyjną…

Najczęściej czytane