Firma XYZ jest firmą produkcyjną, która wykorzystuje w recepturach materiałowych 6 kluczowych surowców. Większość pracowników biurowych wzięła urlop na czas długiego weekendu majowego, jednak produkcja cały czas szła pełną parą. W trakcie urlopu dyrektor działu zakupów został zasypany smsami przez dyrektora produkcji – jeden z kluczowych surowców był na wyczerpaniu i w przypadku braku jego dostawy w ciągu najbliższych 2 dni produkcja uległaby zatrzymaniu.
Dostawcy firmy XYZ mają w umowach 10 dni na przetworzenie zamówienia, proces ten mogłaby przyspieszyć jedynie przedpłata.
W firmie XYZ wszystkie przedpłaty procesowane są z wykorzystaniem systemu workflow. Kwota przedpłaty była istotna, więc system workflow automatycznie przypisał 4 weryfikatorów takiego wniosku. Okazało się, że część z nich była niedostępna, proces w workflow uległ zatrzymaniu.
Po uzyskaniu telefonicznej zgody zarządu, dyrektor działu zakupów wydał specjaliście ds. płynności polecenie wykonania płatności „ manualnej” do kontrahenta – wprowadzonej ręcznie w systemie bankowym, z pominięciem procesu tworzenia paczek przelewów. Płatność ta została wykonana. Nikt jednak nie zwrócił uwagi, że dzień później przeprocesowano w pełni wniosek o przedpłatę w workflow. Autoryzowany wniosek o przedpłatę stał się widoczny w systemie ERP (występowała integracja ERP oraz workflow) dla asystenta ds. płatności, który następnie zaciągnął go do paczki płatności.
Kwota oraz ilość przelewów po przerwie urlopowej była bardzo duża, nikt nie zwrócił uwagi przy autoryzacji płatności w systemie bankowym na pojedynczą przedpłatę. Płatność została wykonana podwójnie.
Co poszło nie tak?
W większości firm co jakiś czas pojawiają się płatności „pilne” – np. konieczność wpłaty wadium przetargowego, przedpłaty na dostawę kluczowych surowców, wpłacenie opłaty administracyjnej blokującej dalsze procesowanie sprawy. W firmie XYZ zabrakło 2 podstawowych elementów w systemie kontroli wewnętrznej:
- Nie występowały skuteczne mechanizmy kontroli wewnętrznej nad poziomem stanów magazynowych kluczowych surowców – informacja trafiła do departamentu zakupów zbyt późno. Najczęstszym rozwiązaniem jest ustalenie minimalnych stanów magazynowych kluczowych surowców. Zwykle system ERP można skonfigurować w taki sposób, iż będzie wysyłał automatyczne ostrzeżenia w momencie osiągnięcia poziomów minimalnych
- Nie występowała „skrócona” ścieżka w workflow, która mogłaby mieć zastosowanie do transakcji o pilnym charakterze czasowym. W niektórych przypadkach transakcje wymagają błyskawicznego przeprocesowania i kroki autoryzacyjne mogłyby być ograniczone do osoby z zarządu. Nie wystąpiłaby konieczność „obejścia” systemu w sytuacji awaryjnej z wykorzystaniem e-maili, telefonów, ustnych zatwierdzeń. Wyeliminowałoby to u źródła powód wystąpienia podwójnej płatności w firmie XYZ
O cyklu Mroczne Historie Audytu Wewnętrznego
Association of Certified Fraud Examiners opublikowało najnowsze wydanie corocznego raportu dotyczącego oszustw w miejscach pracy. Autorzy raportu oszacowali, iż przedsiębiorstwa tracą rokrocznie około 5% przychodów w wyniku oszustw popełnianych przez własnych pracowników.
Postanowiliśmy podzielić się z Państwem informacjami, jakiego rodzaju oszustwa mogą hipotetycznie wystąpić w wyniku istnienia słabości w systemie kontroli wewnętrznej. Nie ograniczyliśmy się jedynie do opisu zdarzenia – w każdym przypadku przedstawiliśmy także rozwiązania dotyczące systemu kontroli wewnętrznej, które prawdopodobnie ograniczyłyby możliwość popełnienia oszustwa. W końcu 30% przeanalizowanych przez badaczy oszustw spowodowanych było bezpośrednio brakami w systemie kontroli wewnętrznej, a kolejne 20% przypadków wynikało z ominięcia lub nieskuteczności wdrożonych mechanizmów kontrolnych.
Mamy nadzieję, iż przedstawione informacje będą użyteczne w projektowaniu systemu kontroli wewnętrznej w Państwa organizacjach. W razie pytań jesteśmy do Państwa dyspozycji.
