Pani Ania pracowała w firmie „X” przez 30 lat, praktycznie od początku jej istnienia. Firma „X” jest spółką produkcyjną, posiada od dawna nieaktualizowany system finansowo-księgowy, nikt nie widział nigdy potrzeby jego zmiany. „X” to firma rodzinna, właściciele firmy są zżyci ze stałymi pracownikami.
Pani Ania prowadziła księgowość samodzielnie, druga księgowa odpowiadała głównie za system kadr i płac. Pani Ania cechowała się niezwykłą sprawnością działania – jednoosobowo wprowadzała i autoryzowała przelewy w systemie bankowym, oszczędzając czas wyższego kierownictwa. Z zaksięgowaniem wyciągu bankowego także nie miała nigdy żadnych problemów. Pani Ania często skarżyła się koleżankom, że jej wypłata nie odpowiada szerokiemu zakresowi jej obowiązków.
Nowa księgowa zauważyła, że ilość transakcji rejestrowanych na jednym z kont należących do „pozostałych kosztów rodzajowych” zmalała o 97% w porównaniu do lat poprzednich. Zapytanie wysłane do pozostałych osób z pionu finansowego nie przyniosło żadnych efektów – nikt nie wiedział, jaki był powód transakcji rejestrowanych na koncie „inne koszty rodzajowe – łącznie”.
Po krótkim śledztwie okazało się, że Pani Ania w ciągu ostatnich 10 lat swojej pracy zdefraudowała prawie 300 tys. zł, których nikt się nigdy nie doliczył. Pięć miesięcznych, nieautoryzowanych płatności na niskie kwoty ginęło w zestawieniu ponad 200 uzasadnionych płatności za rzeczywiste faktury. Rozchody gotówki były księgowane drugostronnie na specjalnie utworzone, kosztowe konto księgi głównej. Transakcje opiewające na podobne, kwoty nieistotne dla jednostki nie wzbudzały podejrzeń.
Co poszło nie tak?
Przebieg czynności w procesie nigdy nie powinien wyglądać tak, jak to miało miejsce w przypadku firmy „”X” – zabrakło podstawowej segregacji obowiązków. W żadnym wypadku nie jest uzasadniona sytuacja, gdy księgowa jest odpowiedzialna za wprowadzenie przelewu, jego autoryzowanie, a także księgowanie wyciągów bankowych. Dodatkowo archaiczny system finansowo-księgowy pozwalał na swobodne dodawanie nowych kont księgi głównej oraz nie narzucał ograniczeń w wyborze konta drugostronnego w transakcjach rozchodu środków pieniężnych. Podstawowym błędem Pani Ani było rejestrowanie transakcji na odrębnym koncie księgowym – transakcje najczęściej skuteczniej ukrywane są w takich przypadkach na kontach odchyleń od kosztu standardowego lub kontach usług obcych.
Podany przykład może wydawać się mało realny, ale w trakcie wykonywania procedur audytorskich ciągle spotykamy się z podstawowymi brakami w podziale obowiązków w departamentach. Liczne doniesienia medialne w tym zakresie utwierdzają nas w przekonaniu, iż braki te występują w dalszym ciągu w niektórych mniejszych firmach. Ryzyko podobnych zdarzeń pozwoliłoby ograniczyć:
- rozdzielenie obowiązków wprowadzania przelewów, autoryzacji przelewów oraz księgowania wyciągów bankowych,
- wprowadzenie niezależnej autoryzacji transakcji bankowych przez inne osoby niż te wprowadzające dane do przelewów lub te zamawiające dany zakup na podstawie dokumentacji uwierzytelniającej powód płatności,
- procesowanie przelewów z wykorzystywaniem generowanych z systemu „paczek płatności”, które następnie są importowane bezpośrednio do systemów bankowych na bazie danych wcześniej wprowadzonych do baz danych kontrahentów oraz systemów workflow.
O cyklu Mroczne Historie Audytu Wewnętrznego
Association of Certified Fraud Examiners opublikowało najnowsze wydanie corocznego raportu dotyczącego oszustw w miejscach pracy. Autorzy raportu oszacowali, iż przedsiębiorstwa tracą rokrocznie około 5% przychodów w wyniku oszustw popełnianych przez własnych pracowników.
Postanowiliśmy podzielić się z Państwem informacjami, jakiego rodzaju oszustwa mogą hipotetycznie wystąpić w wyniku istnienia słabości w systemie kontroli wewnętrznej. Nie ograniczyliśmy się jedynie do opisu zdarzenia – w każdym przypadku przedstawiliśmy także rozwiązania dotyczące systemu kontroli wewnętrznej, które prawdopodobnie ograniczyłyby możliwość popełnienia oszustwa. W końcu 30% przeanalizowanych przez badaczy oszustw spowodowanych było bezpośrednio brakami w systemie kontroli wewnętrznej, a kolejne 20% przypadków wynikało z ominięcia lub nieskuteczności wdrożonych mechanizmów kontrolnych.
Mamy nadzieję, iż przedstawione informacje będą użyteczne w projektowaniu systemu kontroli wewnętrznej w Państwa organizacjach. W razie pytań jesteśmy do Państwa dyspozycji.