Firma XYZ posiadała bardzo rozbudowany system kontroli wewnętrznej nad zakupami i płatnościami. Wszystkie płatności do kontrahentów procesowano z wykorzystaniem paczek przelewów generowanych z systemu ERP, wszystkie faktury zakupowe wymagały wielostopniowej weryfikacji, zanim w ogóle była możliwość „zaciągnięcia” ich do paczek przelewów.
Dodawanie kontrahentów do bazy danych systemu ERP wymagało podwójnej autoryzacji, podobnie jak modyfikowanie kluczowych danych (takich jak numer rachunku bankowego). Dodatkowo każdego miesiąca pracownik kontrolingu weryfikował próbę transakcji zmieniających dane w bazie danych dostawców z dokumentami źródłowymi, zapewniając dodatkowy element kontrolujący zasadność zmiany. Wydawało się, iż firma XYZ jest skutecznie zabezpieczona przed nieprawidłowościami w tym obszarze.
Pewnego dnia okazało się, że wszystkie kontrole można było „obejść” jednoosobowo, z wykorzystaniem aplikacji „Notatnik” systemu Windows.
Pracownik działu płatności zauważył, iż paczki przelewów generowane z systemu ERP mają format .txt. W ramach eksperymentu podwyższył o złotówkę kwotę płatności dla pojedynczej transakcji w jednej z paczek przelewów, system bankowy nie wygenerował błędu przy imporcie paczki. Zamiana danych oraz numerów rachunków bankowych kontrahentów w pliku .txt także nie spowodowała problemów.
Pojawiła się możliwość i pracownik zdecydował się zagrać all-in.
Zresztą od dawna uważał, iż obecna praca nie odpowiada jego umiejętnościom i nikt nie dostrzega jego zaangażowania.
Po krótkich przygotowaniach, na dzień przed urlopem, w dniu, w którym notowano w firmie najwięcej płatności pracownik podmienił w pliku .txt nazwę oraz numery rachunków bankowych kilku kontrahentów na łączną kwotę ponad 2 mln zł. Zastosował dane oraz numer rachunku bankowego założonych przez siebie firm, o podobnych nazwach do kluczowych kontrahentów firmy XYZ. Rachunki zostały zgłoszone do US i ujęte na białej liście. Osoba autoryzująca paczkę płatności w systemie bankowym nie wykryła modyfikacji – nie było oczywiście możliwe indywidualne sprawdzenie każdej z 120 transakcji zawartych w paczce. Ogólna kwota przelewów w systemie bankowym zgadzała się z podsumowaniem paczki płatności widocznym w systemie ERP, nic nie wskazywało na nieprawidłowości. Oszustwo zostało wykryte 5 dni później, na poziomie księgowania wyciągów bankowych – księgowa zauważyła, że nazwy firm, do których wykonano płatności nie zgadzają się w 100% z nazwami kontrahentów w bazie danych dostawców. Pracownik działu płatności nigdy nie wrócił z urlopu.
Co poszło nie tak?
W firmie XYZ stosowano zdecentralizowane podejście do systemu kontroli wewnętrznej – czynności kontrolne były wykonywane przez niezwiązanych ze sobą pracowników firmy, proces był podzielony pomiędzy różne komórki organizacyjne. Nie utworzono komórki audytu wewnętrznego. Istniało wiele rodzajów kontroli, które jednak całościowo nie ograniczyły wystarczająco możliwości wystąpienia oszustwa. Zabrakło spojrzenia całościowego audytora wewnętrznego, który monitorowałby okresowo zaprojektowanie i działanie systemu kontroli wewnętrznej w firmie i prawdopodobnie dostrzegłby lukę w procesie. W opisanym przypadku możliwe jest zastosowanie następujących rozwiązań:
- Wyeliminowanie kroku eksportu/importu paczki przelewów pomiędzy systemem bankowym i systemem ERP. Zwykle jest możliwe wdrożenie integracji systemów bankowych i systemów ERP, polegające na automatycznej transmisji paczek przelewów pomiędzy systemami, pracownik działu płatności traci możliwość edytowania raz wygenerowanej paczki
- Modyfikacja ustawień systemu ERP, w celu generowania paczek w formacie nieedytowalnym z wykorzystaniem podstawowych narzędzi systemowych. Dostawcy systemów (zwłaszcza starsze oprogramowanie kadrowo-płacowe) nie zawsze jednak oferują takie rozwiązanie. Opcją alternatywną jest wypracowanie własnego rozwiązania IT, które polegałoby na szyfrowaniu generowanych paczek płatności.
O cyklu Mroczne Historie Audytu Wewnętrznego
Association of Certified Fraud Examiners opublikowało najnowsze wydanie corocznego raportu dotyczącego oszustw w miejscach pracy. Autorzy raportu oszacowali, iż przedsiębiorstwa tracą rokrocznie około 5% przychodów w wyniku oszustw popełnianych przez własnych pracowników.
Postanowiliśmy podzielić się z Państwem informacjami, jakiego rodzaju oszustwa mogą hipotetycznie wystąpić w wyniku istnienia słabości w systemie kontroli wewnętrznej. Nie ograniczyliśmy się jedynie do opisu zdarzenia – w każdym przypadku przedstawiliśmy także rozwiązania dotyczące systemu kontroli wewnętrznej, które prawdopodobnie ograniczyłyby możliwość popełnienia oszustwa. W końcu 30% przeanalizowanych przez badaczy oszustw spowodowanych było bezpośrednio brakami w systemie kontroli wewnętrznej, a kolejne 20% przypadków wynikało z ominięcia lub nieskuteczności wdrożonych mechanizmów kontrolnych.
Mamy nadzieję, iż przedstawione informacje będą użyteczne w projektowaniu systemu kontroli wewnętrznej w Państwa organizacjach. W razie pytań jesteśmy do Państwa dyspozycji.
