COSO II ryzyka nadużyć

Standard COSO II w odniesieniu do ryzyka nadużyć – nowy temat tygodnia przygotowana przez ekspertów PBSG.

Defraudacje i korupcja w przedsiębiorstwach to przypuszczalnie najbardziej niezagospodarowane rodzaje ryzyka we współczesnej gospodarce. Wiele przyczyn wpływa na taki stan rzeczy. Po pierwsze, ryzyko wystąpienia nadużyć jest bardzo często ignorowane. Kadra zarządzająca bywa przeświadczona o jego braku lub o skuteczności stosowanych środków kontroli. Po drugie, nadużycia są z założenia związane z zachowaniem tajemnicy i dlatego bardzo trudno jest ustanowić środki mające na celu zapobieganie i wykrywanie realizacji ryzyka nadużyć. Po trzecie, tematyka i dostępność materiałów traktujących o zarządzaniu tym rodzajem ryzyka jest na polskim rynku ograniczona.

Większość publikacji dotyczących dobrych praktyk z zakresu kontroli wewnętrznej powstaje w Stanach Zjednoczonych. W styczniu 2007 trzy amerykańskie organizacje: IIA (The Institute of Internal Auditors),

AICPA (The American Institute of Certified Public Accountants) oraz ACFE (Association of Certified Fraud Examiners) wydały „Managing the Business Risk of Fraud: A Practical Guide” („Zarządzanie ryzykiem nadużyć: praktyczny przewodnik”). Przypomnijmy, że dwie pierwsze instytucje należą do COSO (The Committee of Sponsoring Organizations) – komitetu, który opracował model kontroli wewnętrznej COSO I oraz model zarządzania ryzykiem korporacyjnym COSO II.

Wspomniany dokument dotyczący zarządzania ryzykiem nadużyć opisuje wiele praktycznych kwestii, które z pewnością będą pomocne kadrze zarządzającej przy ustanowieniu skutecznego systemu kontroli wewnętrznej w zakresie nadużyć. Kwestie te zebrane zostały w następujące punkty:

Program zarządzania ryzykiem nadużyć powinien być w odpowiedni sposób zakomunikowany przez zarząd oraz najwyższe kierownictwo, łącznie ze stworzeniem polityk.

  1. Program zarządzania ryzykiem nadużyć powinien być w odpowiedni sposób zakomunikowany przez zarząd oraz najwyższe kierownictwo, łącznie ze stworzeniem polityk.
  2. Analiza i ocena ryzyka nadużyć powinna być dokonywana w określonych odstępach czasu, by zidentyfikować potencjalne schematy lub zdarzenia, co do których należy podjąć odpowiednie działania.
  3. Powinny zostać ustanowione techniki zapobiegające potencjalnej realizacji ryzyka nadużyć.
  4. Techniki wykrywające potencjalną realizację ryzyka nadużyć powinny zostać ustanowione tak, by ujawnić zdarzenia nie wykryte przez techniki zapobiegawcze lub nie objęte zakresem działań zapobiegawczych.
  5. Powinny zostać ustanowione procedury raportowania, za pomocą których możliwa będzie ocena skuteczności stosowanych środków zapobiegawczych i wykrywających oraz, w wypadku realizacji ryzyka nadużyć, przeprowadzenie skoordynowanych działań wyjaśniających oraz naprawczych w odpowiednim czasie i zakresie.