Pan Jan – specjalista ds. produkcji w firmie „X” – był bardzo dobrym znajomym kierownika ds. kadr i płac. Wynagrodzenie wpływało regularnie na jego konto, kwota przelewów z roku na rok była coraz wyższa. Pan Jan w kolejnym miesiącu miał obchodzić jubileusz 5 lat pracy w zakładzie, więc zgodnie z panującym zwyczajem pracownik działu HR przygotował drobny upominek dla pracownika i przekazał prezent na ręce kierownika produkcji.
Okazało się, że jest jeden mały problem – wg kierownika produkcji Pan Jan odszedł z firmy 4 lata temu.
Po krótkim wewnętrznym śledztwie wyszło na jaw, iż profil Pana Jana rzeczywiście został deaktywowany w systemie kadrowo-płacowym po jego odejściu z pracy, jednak z jakiegoś powodu ponownie stał się aktywny 2 miesiące później. Przeprowadzony przegląd listy płac pracowników produkcyjnych wykazał, iż na liście znajdują się jeszcze 4 dodatkowe, nieznane pracownikom firmy osoby. Dziwnym trafem byli to synowie oraz małżonka kierownika ds. kadr i płac. Wyjaśniło się, dlaczego kierownik ds. kadr i płac tak niechętnie brał urlopy i zawsze był w pracy w momencie konieczności sporządzenia listy płac.
Co poszło nie tak?
Systemy kadrowo-płacowe najczęściej nie wymagają podwójnej autoryzacji zmian w bazie danych pracowników (wg zasady kontroli dwóch pary oczu). W większości firm zespół specjalistów ds. kadr i płac może w dowolnej chwili tworzyć profile nowych pracowników, zmieniać numery rachunków bankowych, podstawę wynagrodzenia. W firmie „X” istniała właśnie przedstawiona wyżej sytuacja – reaktywacja profilu pracownika wymagała jedynie jednego kliknięcia w systemie kadrowo-płacowym. Utworzenie na przestrzeni następnych miesięcy kolejnych pracowników, którzy nigdy nie przekroczyli progu firmy było już bardziej skomplikowane – zajęło 6 minut, zamiast wcześniejszych 2. Zabrakło przede wszystkim skutecznego mechanizmu kontrolnego nad wygenerowaną listą płac. Autoryzacja listy płac przez kierownika produkcji ograniczała się do przeglądu ogólnego poziomu wynagrodzeń i wahań kwoty miesiąc do miesiąca, nie skupiała się na samej zasadności występujących na niej pracowników. Przy poziomach zatrudnienia przekraczających 300 osób pojawienie się dodatkowego, pracownika ducha” jest łatwe do przeoczenia. Potencjalne rozwiązania kontrolne ograniczające ryzyko polegałyby na wdrożeniu procedur:
a) Zatwierdzenia listy płac przez kierowników departamentów nie tylko pod względem zbiorczej kwoty wynagrodzeń, ale także pod względem autoryzacji listy osobowej
b) Wprowadzenia dwuetapowej autoryzacji zmian kluczowych danych w bazie danych systemu kadrowo-płacowego (rozwiązanie systemowe)
c) Wprowadzenia procedur okresowej weryfikacji zmian w bazie danych pracowników przez niezależną osobę (rozwiązanie manualne) przed wygenerowaniem i autoryzowaniem listy płac
O cyklu Mroczne Historie Audytu Wewnętrznego
Association of Certified Fraud Examiners opublikowało najnowsze wydanie corocznego raportu dotyczącego oszustw w miejscach pracy. Autorzy raportu oszacowali, iż przedsiębiorstwa tracą rokrocznie około 5% przychodów w wyniku oszustw popełnianych przez własnych pracowników.
Postanowiliśmy podzielić się z Państwem informacjami, jakiego rodzaju oszustwa mogą hipotetycznie wystąpić w wyniku istnienia słabości w systemie kontroli wewnętrznej. Nie ograniczyliśmy się jedynie do opisu zdarzenia – w każdym przypadku przedstawiliśmy także rozwiązania dotyczące systemu kontroli wewnętrznej, które prawdopodobnie ograniczyłyby możliwość popełnienia oszustwa. W końcu 30% przeanalizowanych przez badaczy oszustw spowodowanych było bezpośrednio brakami w systemie kontroli wewnętrznej, a kolejne 20% przypadków wynikało z ominięcia lub nieskuteczności wdrożonych mechanizmów kontrolnych.
Mamy nadzieję, iż przedstawione informacje będą użyteczne w projektowaniu systemu kontroli wewnętrznej w Państwa organizacjach. W razie pytań jesteśmy do Państwa dyspozycji.
