Audyt wewnętrzny: kluczowy element w wykrywaniu i zapobieganiu oszustwom

Data: 05.05.2025
Daniel Rymarz<br />Konsulting
Masz pytania? Napisz do mnie!
Daniel Rymarz
Konsulting
Data publikacji
05.05.2025

 

Alert autorstwa ekspertki PKF (Anastasiia Mindrus - Analityk ds. projektów konsultingowych).

Rosnące wyzwanie oszustw gospodarczych

Oszustwa gospodarcze stanowią jedno z najpoważniejszych ryzyk dla współczesnych organizacji. Ich negatywne skutki wykraczają daleko poza straty finansowe, obejmując uszczerbek na reputacji, spadek zaufania interesariuszy, problemy prawne, a nawet destabilizację wewnętrzną firmy. W dobie globalizacji i cyfryzacji, metody popełniania oszustw stają się coraz bardziej złożone i trudniejsze do wykrycia. Dlatego rola profesjonalnego audytu wewnętrznego w ochronie organizacji przed tymi zagrożeniami jest nie do przecenienia.

Zrozumieć oszustwo: rodzaje i przyczyny

Aby skutecznie przeciwdziałać oszustwom, należy zrozumieć ich naturę. Najczęściej klasyfikuje się je według schematu zaproponowanego przez Association of Certified Fraud Examiners (ACFE), który wyróżnia trzy główne kategorie:

  1. Sprzeniewierzenie aktywów (Asset Misappropriation): Najczęstszy typ oszustwa, obejmujący kradzież lub niewłaściwe wykorzystanie zasobów firmy (np. kradzież gotówki, zapasów, danych, zawyżanie wydatków służbowych).
  2. Korupcja (Corruption): Nadużycie stanowiska dla osobistej korzyści, często z udziałem osób trzecich (np. łapówki, konflikty interesów, wymuszenia).
  3. Oszustwa w sprawozdaniach finansowych (Financial Statement Fraud): Celowe zniekształcanie sprawozdań finansowych w celu wprowadzenia w błąd inwestorów, wierzycieli lub regulatorów (np. fikcyjne przychody, ukrywanie zobowiązań, niewłaściwa wycena aktywów).

Klasycznym modelem wyjaśniającym przyczyny oszustw jest tzw. "Trójkąt Oszustw", który wskazuje na trzy czynniki zazwyczaj występujące jednocześnie:

  • Presja (Pressure): Motywacja lub bodziec skłaniający do oszustwa (np. problemy finansowe, nierealistyczne cele biznesowe, chciwość).
  • Okazja (Opportunity): Postrzegana możliwość popełnienia oszustwa bez ryzyka wykrycia (najczęściej wynikająca ze słabości kontroli wewnętrznej, braku nadzoru, złożoności procesów).
  • Racjonalizacja (Rationalization): Wewnętrzne usprawiedliwienie nieuczciwego działania przez sprawcę (np. "firma jest mi to winna", "to tylko pożyczka", "wszyscy tak robią").

Rola audytu wewnętrznego w świetle standardów

Międzynarodowe standardy, takie jak Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego (IPPF) oraz Międzynarodowy Standard Rewizji Finansowej 240 (MSRF 240), jasno określają odpowiedzialność audytorów w zakresie ryzyka oszustw. Chociaż główna odpowiedzialność za zapobieganie i wykrywanie oszustw spoczywa na zarządzie, audyt wewnętrzny odgrywa kluczową rolę w ocenie i doskonaleniu mechanizmów zarządzania tym ryzykiem. Standardy (w tym IPPF 1210.A2, 1220.A1, 2060, 2120.A2, 2210.A2) wymagają od audytorów posiadania odpowiedniej wiedzy do oceny ryzyka oszustw i identyfikacji potencjalnych sygnałów ostrzegawczych.

Proces audytu skoncentrowany na ryzyku oszustw

Audytorzy wewnętrzni podchodzą do ryzyka oszustw w sposób systematyczny:

  1. Ocena ryzyka oszustw: Na etapie planowania audytu, identyfikują obszary działalności, procesy i systemy najbardziej narażone na potencjalne nadużycia. Biorą pod uwagę specyfikę branży, wyniki wcześniejszych audytów, sygnały od sygnalistów oraz potencjalne możliwości obejścia kontroli przez kierownictwo (tzw. management override).
  2. Ocena mechanizmów kontrolnych: Audytorzy oceniają zarówno projekt, jak i efektywność działania mechanizmów kontrolnych mających zapobiegać oszustwom (kontrole prewencyjne, np. segregacja obowiązków, limity autoryzacji) oraz je wykrywać (kontrole detekcyjne, np. uzgodnienia kont, analiza wyjątków, monitoring transakcji). Celem jest identyfikacja luk i słabości, które mogą stworzyć "okazję" do nadużyć.
  3. Testowanie i techniki audytorskie: W zależności od oceny ryzyka, audytorzy stosują różnorodne techniki w celu wykrycia nieprawidłowości:
    • Analiza danych (data analytics): Wykorzystanie specjalistycznego oprogramowania do analizy dużych zbiorów danych w poszukiwaniu anomalii, nietypowych wzorców, duplikatów płatności, transakcji poza godzinami pracy itp.
    • Testowanie substantywne: Szczegółowe badanie wybranych transakcji, dokumentów źródłowych i zapisów księgowych, szczególnie w obszarach wysokiego ryzyka.
    • Audyty niezapowiedziane: Np. weryfikacja stanu gotówki w kasie, inwentaryzacja zapasów bez wcześniejszego powiadomienia.
    • Wywiady i obserwacje: Rozmowy z pracownikami na różnych szczeblach w celu zrozumienia procesów, oceny świadomości kontrolnej oraz tzw. "tonu z góry" (postawy etycznej kierownictwa).
    • Procedury analityczne: Porównywanie danych finansowych i operacyjnych, analiza wskaźników i trendów w poszukiwaniu niewyjaśnionych odchyleń.

Identyfikacja sygnałów ostrzegawczych ("czerwonych flag")

Audytorzy zachowują zawodowy sceptycyzm i zwracają uwagę na wszelkie sygnały, które mogą wskazywać na potencjalne oszustwo. "Czerwone flagi" nie są dowodem oszustwa, ale wymagają dalszego badania. Mogą one dotyczyć:

  • Zachowań: Nietypowy styl życia pracownika nieadekwatny do zarobków, niechęć do urlopu, nadmierna kontrola nad swoim obszarem pracy, problemy osobiste (finansowe, uzależnienia).
  • Transakcji: Nietypowe, złożone lub przeprowadzane w ostatniej chwili transakcje, brak dokumentacji, częste korekty zapisów.
  • Słabości kontroli: Brak segregacji obowiązków, nieefektywny nadzór, ignorowanie procedur kontrolnych przez kierownictwo.
  • Nieprawidłowości w dokumentacji: Fałszerstwa, braki w dokumentach, niewyjaśnione zmiany.

Audyt wewnętrzny jako element prewencji i kultury etycznej

Rola audytu wewnętrznego wykracza poza samo wykrywanie oszustw. Skuteczny audyt pełni również istotną funkcję prewencyjną:

  • Efekt odstraszający: Sama świadomość regularnych i dokładnych kontroli audytorskich może zniechęcać potencjalnych sprawców.
  • Wzmacnianie środowiska kontroli: Rekomendacje audytu prowadzą do usprawnienia mechanizmów kontrolnych, zmniejszając "okazje" do nadużyć.
  • Promowanie kultury etycznej: Audyt wewnętrzny może oceniać skuteczność programów etycznych i szkoleń antyfraudowych, a także wspierać zarząd w komunikowaniu "tonu z góry" promującego uczciwość i odpowiedzialność.
  • Wsparcie dla systemów sygnalistów (whistleblowing): Audyt może odgrywać rolę w ocenie efektywności kanałów zgłaszania nieprawidłowości i procesów badania tych zgłoszeń.

Współpraca i raportowanie

W przypadku podejrzenia lub wykrycia oszustwa, audyt wewnętrzny ściśle współpracuje z innymi działami (np. prawnym, compliance, bezpieczeństwa) oraz z zarządem i komitetem audytu. Procedury raportowania są jasno określone, zapewniając przekazanie informacji odpowiednim osobom w organizacji w sposób obiektywny i terminowy. Audytorzy mogą również wspierać lub koordynować dalsze dochodzenia, często prowadzone przez wyspecjalizowanych ekspertów ds. przestępstw gospodarczych.

Ograniczenia i wartość dodana

Należy pamiętać, że audyt wewnętrzny dostarcza racjonalnego zapewnienia, a nie absolutnej gwarancji wykrycia wszystkich oszustw. Dobrze zaplanowane i ukryte nadużycia, szczególnie te popełniane w zmowie lub z udziałem najwyższego kierownictwa, mogą pozostać niewykryte. Mimo to, profesjonalny i proaktywny audyt wewnętrzny jest nieocenionym narzędziem w arsenale organizacji, znacząco ograniczającym ryzyko oszustw, chroniącym jej aktywa i reputację oraz wzmacniającym ład korporacyjny.