المحاضرة رقم 19 : مخاطر الاحتيال (Fraud Risks)

تقييم احتمالية حدوث الاحتيال (Evaluating Potential for Occurrence of Fraud) :

تقييم مخاطر الاحتيال على المنظمة (Assessment of Fraud Risk for the Organization) :

يجب أن يحدد التقييم العام للمخاطر مخاطر الاحتيال والتي تشمل تقييم (assessing) :

1. الفرص (Opportunities).
2. والدوافع المحتملة (Potential motivations)

للسلوك الاحتيالي (Fraudulent behavior).

الضوابط المطورة والمنفذة بشكل صحيح ستقلل من مخاطر الاحتيال ؛ لذلك يجب على المدقق فحص الضوابط المتعلقة بالاحتيال بعناية.

عند تقييم مخاطر الاحتيال ، يجب على المدققين الداخليين تحديد ما إذا كان:

• حددت المنظمة أهدافًا وغايات واقعية (The organization has set realistic goals and objectives).

• تعزز المنظمة بيئة من الوعي بالرقابة (The organization fosters an environment of control consciousness).

• هناك سياسات مكتوبة (Written policies) .. مثل مدونة الأخلاق (Code of Ethics) .. التي :

1. تصف الأنشطة المحظورة (describe prohibited activities).
2. والإجراءات التي سيتم اتخاذها للانتهاكات (actions that will be taken for violations).

• وضع المنظمة لـ :

1. سياسات (Policies).
2. وممارسات (Practices).
3. وإجراءات (Procedures).
4. وتقارير (Reports).

لمراقبة الأنشطة لحماية الأصول (Safeguard assets) لا سيما في المناطق عالية المخاطر (High-risk areas).

• قامت المنظمة بتركيب قناة الاتصال المناسبة (proper communication channel) التي ستزود الإدارة بـ :

1. معلومات كافية (Adequate information).
2. ومعلومات موثوقة (Reliable information).

• تم وضع التوصيات (Recommendations) لتعزيز هيكل الرقابة للمساعدة في ردع الاحتيال.

يحدد دليل الممارسة التدقيق الداخلي والاحتيال (Practice Guide Internal Auditing and Fraud) الخطوات الخمس الأساسية لتقييم مخاطر الاحتيال :

1) تحديد عوامل خطر الاحتيال ذات الصلة (Identify relevant fraud risk factors).
2) تحديد مخططات الاحتيال المحتملة وتحديد أولوياتها على أساس المخاطر (Identify potential fraud schemes and prioritize them based on risk).
3) تعيين الضوابط الحالية لمخططات الاحتيال المحتملة وتحديد الثغرات (Map existing controls to potential fraud schemes and identify gaps).
4) اختبار فعالية تشغيل منع الاحتيال وضوابط الكشف عنه (Test operating effectiveness of fraud prevention and detection controls).
5) توثيق والإبلاغ عن تقييم مخاطر الاحتيال (Document and report the fraud risk assessment).

1) تحديد عوامل خطر الاحتيال ذات الصلة (Identify Relevant Fraud Risk Factors) :

يجب أن يفهم المدقق الداخلي كلاً من :

1. الأنشطة التجارية للمؤسسة (organization’s business activities).
2. وكذلك شركاء الأعمال الخارجيين (external business partners).

من أجل الحصول على فهم كامل لمخاطر الاحتيال (complete understanding of the risk of fraud).

يجب على المدقق :

1. مراجعة الأعمال السابقة (review previous work).
2. ودراسة أي احتيال سابق (study any previous fraud).
3. أو احتيال مشتبه به (suspected fraud).

للتأكد من معالجة المخاطر الناجمة عن تلك الأحداث.

2) تحديد مخططات الاحتيال المحتملة وتحديد أولوياتها على أساس المخاطر (Identify Potential Fraud Schemes and Prioritize Them Based on Risk) :

يمكن إنشاء فريق لتقييم مخاطر الاحتيال لتحديد عمليات الاحتيال المحتملة التي يمكن ارتكابها.

بعد تحديد المخاطر المحتملة .. يجب تحديد أولوياتها .. مع مراعاة عدد من العوامل كما اقترحها التدقيق الداخلي والاحتيال :

• التأثير النقدي (Monetary impact).
• التأثير على سمعة المنظمة (Impact to the organization’s reputation).
• فقدان الإنتاجية (Loss of productivity).
• الإجراءات الجنائية / المدنية المحتملة بما في ذلك عدم الامتثال التنظيمي المحتمل (Potential criminal/civil actions including potential regulatory noncompliance).
• النزاهة والأمان على البيانات (Integrity and security over data).
• خسارة الأصول (Loss of assets).
• موقع وحجم العمليات / الوحدات (Location and size of operations/units).
• ثقافة الشركة (Company culture).
• دوران الإدارة / الموظفين (Management/employee turnover).
• سيولة الأصول (Liquidity of assets).
• حجم و / أو كمية المعاملات (Volume and/or size of transactions).
• الاستعانة بمصادر خارجية (Outsourcing).

يجب إبلاغ مجلس الإدارة بمخاطر الاحتيال سنويًا على الأقل (at least annually) ، أو بشكل أكثر تكرارًا إذا لزم الأمر (more frequently if needed).

3) تعيين الضوابط الحالية لمخططات الاحتيال المحتملة وتحديد الثغرات (Map Existing Controls to Potential Fraud Schemes and Identify Gaps) :

لكل خطر احتيال سيقوم فريق التقييم (assessment team) بعد ذلك بـ :

1. تحديد الضوابط الوقائية الموجودة (identify the preventive controls that are in place).
2. و تحديد الضوابط الكشفية الموجودة (identify the detective controls that are in place).

سيشمل هذا التقييم ضوابط لمكافحة الاحتيال على مستوى الكيان .. مثل :

1. برنامج الإبلاغ عن المخالفات (Whistleblowing program).
2. وإشراف مجلس الإدارة (Board oversight).
3. ومدونة قواعد السلوك (Code of conduct).

بالإضافة إلى ذلك يجب النظر في مخاطر تجاوز الإدارة للضوابط (Risk of management override of controls needs to be considered).

4) اختبار فاعلية تشغيل ضوابط منع الاحتيال واكتشافه (Test Operating Effectiveness of Fraud Prevention and Detection Controls) :

بعد تحديد الضوابط ذات الصلة يجب اختبارها لتحديد ما إذا كانت تعمل بشكل صحيح وفعال.

يجب أن يشارك نشاط التدقيق الداخلي (IAA) بشكل كبير في هذا :

1. الاختبار (Testing).
2. والتقييم (Assessment).

5) توثيق والإبلاغ عن تقييم مخاطر الاحتيال (Document and Report the Fraud Risk Assessment) :

التدقيق الداخلي والاحتيال (Internal Auditing and Fraud) يسرد العناصر التي يجب أن يشملها تقييم مخاطر الاحتيال (fraud risk assessment) :

• أنواع الاحتيال التي قد تحدث بعض الاحتمالات.

• المخاطر الكامنة في الاحتيال (inherent risk of fraud) بالنظر إلى توافر :

1. الأصول السائلة والبيعية (Liquid and saleable assets).
2. والروح المعنوية التنظيمية (Organizational morale).
3. ودوران الموظفين (Employee turnover).
4. وتاريخ الاحتيال والخسائر (History of fraud and losses).

وغيرها من مؤشرات مجال العمل المحددة.

• مدى كفاية برامج مكافحة الاحتيال الحالية ، والمراقبة ، والضوابط الوقائية.
• الثغرات المحتملة في ضوابط الاحتيال في المنظمة ، بما في ذلك الفصل بين المهام (Segregation of duties). segregation of functions
• احتمال حدوث عملية احتيال كبيرة (likelihood of a significant fraud occurring).
• تأثير الاحتيال على الأعمال (business impact of fraud).

مسؤوليات التدقيق الداخلي أثناء الارتباط (Internal Audit Responsibilities During Engagement) :

لا يُتوقع أن يتمتع المدققون الداخليون بنفس المعرفة التي يتمتع بها الشخص الذي يتمثل عمله الأساسي في التحقيق في الاحتيال.

يوفر التدقيق الداخلي والاحتيال (Internal Auditing and Fraud) إرشادات للمراجع الذي يقوم بالمهام :

• النظر في مخاطر الاحتيال في تقييم تصميم الرقابة الداخلية وتحديد خطوات التدقيق لأداء
(Consider fraud risks in the assessment of internal control design and determination of audit steps to perform).

لا يُتوقع من المدققين الداخليين اكتشاف الاحتيال ولكن من المتوقع أن يحصل المدققون الداخليون على تأكيد معقول بأن أهداف العمل للعملية قيد المراجعة قد تم تحقيقها وأن أوجه القصور في الرقابة المادية - سواء من خلال خطأ بسيط أو جهد متعمد - يتم اكتشافها. تم توثيق النظر في مخاطر الاحتيال في أوراق العمل وكذلك ربط مخاطر الاحتيال بأعمال تدقيق محددة.

• أن يكون لديك معرفة كافية بالاحتيال لتحديد العلامات الحمراء التي تشير إلى احتمال حدوث احتيال
(Have sufficient knowledge of fraud to identify red flags indicating fraud may have been committed).

تتضمن هذه المعرفة :

1. خصائص الاحتيال (characteristics of fraud).
2. والتقنيات المستخدمة لارتكاب الاحتيال (techniques used to commit fraud).
3. ومختلف مخططات وسيناريوهات الاحتيال المرتبطة بالأنشطة التي تمت مراجعتها
(various fraud schemes and scenarios associated with the activities reviewed).

• انتبه للفرص التي قد تسمح بالاحتيال مثل أوجه القصور في التحكم
(Be alert to opportunities that could allow fraud, such as control deficiencies).

إذا تم الكشف عن أوجه قصور كبيرة في الرقابة (significant control deficiencies) فيمكن استخدام اختبارات إضافية (additional tests) يجريها المدققون الداخليون لتحديد ما إذا كان الاحتيال قد حدث أم لا.

• تقييم ما إذا كانت الإدارة تحتفظ بنشاط بمسؤولية الإشراف على برنامج إدارة مخاطر الاحتيال
(Evaluate whether management is actively retaining responsibility for oversight of the fraud risk management program).

وأنه قد تم اتخاذ تدابير تصحيحية كافية وفي الوقت المناسب فيما يتعلق بأي أوجه قصور أو ضعف في الرقابة ، وأن خطة مراقبة البرنامج لا تزال كافية نجاح البرنامج المستمر.

• تقييم مؤشرات الاحتيال (Evaluate the indicators of fraud) وتحديد ما إذا كان أي إجراء إضافي ضروري أو ما إذا كان ينبغي التوصية بإجراء تحقيق.

• التوصية بالتحقيق عند الاقتضاء (Recommend investigation).

المعيار 1120 : تتطلب الموضوعية الفردية (Individual Objectivity) أن يكون لدى المدققين موقف محايد وغير متحيز (impartial and unbiased attitude) مما يعني أنهم لا يفترضون أي :

1. خداع (Deceit).
2. أو صدق (Truth)).

من الناس في المنطقة التي يتم تدقيقها.

من خلال التشكك عند إجراء الاختبارات من المرجح أن يلاحظ المدققون مؤشرات وخصائص الاحتيال (indicators and characteristics of fraud).

ملاحظة: يمكن أن توفر الإجراءات التحليلية (Analytical procedures) مؤشرًا مبكرًا على الاحتيال.

مؤشرات الاحتيال (الأعلام الحمراء) Fraud Indicators (Red Flags) :

لتحديد مؤشرات الاحتيال يجب أن يعرف المدققون كلاً من :

1. عوامل الخطر (Risk factors).
2. والعلامات الحمراء (Red flags).

وهي :

1. عناصر (Items).
2. أو إجراءات (Actions).

مرتبطة بالسلوك الاحتيالي (fraudulent behavior) أو توحي به بشدة.

هناك بعض النقاط المهمة التي يجب ملاحظتها حول العلامات الحمراء :

• غالبًا ما لا يصادف المدقق أي علامات حمراء. ومع ذلك فإن عدم وجود علامات حمراء لا يعني بالضرورة عدم وجود نشاط احتيالي. غالبًا ما يخفي مرتكبو الاحتيال أفعالهم بمهارة.

• على الرغم من أن المدقق قد يكتشف علامة حمراء إلا أن هذا لا يعني تلقائيًا أنه تم ارتكاب عملية احتيال.

عندما يتم تحديد العلامات الحمراء يحتاج المدقق إلى تحديد ما إذا كان هناك تفسير بريء ومنطقي (innocent, rational explanation) لوجودها أو إذا كان هناك سبب مشروع للقلق.

تتطلب المنطقة التي تظهر العديد من العلامات الحمراء مزيدًا من الاهتمام.

يوفر التدقيق الداخلي والاحتيال قوائم بالأعلام الحمراء على مستوى الشركة والمستوى الشخصي :

قد تتعلق العلامات الحمراء بـ :

1. الوقت (Time).
2. أو التكرر (Frequency).
3. أو المكان (Place).
4. أو المقدار (Amount).
5. أو الشخصية (Personality).

تشمل العلامات الحمراء تجاوزات الضوابط (overrides of controls) من قبل :

1. الإدارة (management).
2. أو المسؤولين (officers).

3. وأنشطة الإدارة غير المنتظمة أو التي يتم شرحها بشكل سيئ (irregular or poorly explained management activities).

وتجاوز الأهداف طويلة الاجل / الأهداف قصيرة الاجل (goals/objectives) باستمرار بغض النظر عن :

1. تغير ظروف العمل (Changing business conditions).
2. و / أو تغيير المنافسة التجارية (Changing business competition).
3. وتفوق المعاملات غير الروتينية (Preponderance of non-routine transactions).
4. أو تفوق إدخالات دفتر اليومية (Preponderance of journal entries).
5. أو رجحان المشاكل (Preponderance of problems).
6. أو التأخير في تقديم المعلومات المطلوبة (Delays in providing requested information).
7. والتغيرات الكبيرة أو غير العادية في العملاء أو الموردين (Significant or unusual changes in customers or suppliers).

تشمل العلامات الحمراء أيضًا المعاملات (Transactions) التي تفتقر إلى :

1. الوثائق (Documentation).
2. أو الموافقة العادية (Normal approval).
3. وشيكات تسليم الموظفين أو الإدارة يدويًا (employees or management hand-delivering checks).
4. وشكاوى العملاء حول التسليم (customer complaints about delivery).
5. وضوابط الوصول إلى تكنولوجيا المعلومات الضعيفة (poor IT access controls).

مثل ضوابط كلمة المرور الضعيفة (poor password controls).

تشمل العلامات الحمراء الشخصية (Personal red flags) :

1. العيش خارج نطاق إمكانيات المرء (Living beyond one’s means).
2. نقل عدم الرضا عن الوظيفة إلى زملائه الموظفين (Conveying dissatisfaction with the job to fellow employees).
3. الارتباط الوثيق غير المعتاد بالموردين (Unusually close association with suppliers).
4. خسائر مالية شخصية جسيمة (Severe personal financial losses).
5. الإدمان على المخدرات أو الكحول أو القمار (Addiction to drugs, alcohol or gambling).
6. تغيير في الظروف الشخصية (Change in personal circumstances).
7. وتطوير المصالح التجارية الخارجية (Developing outside business interests).

بالإضافة إلى ذلك هناك محتالون يبررون باستمرار الأداء الضعيف ويرون أن التغلب على النظام يمثل تحديًا فكريًا ويقدمون اتصالات وتقارير غير موثوقة ونادرًا ما يأخذون إجازات أو إجازات مرضية (وعندما يتغيبون لا يقوم أحد بعمله).

المحاضرة 

رابط ملف الـ PDF الخاص بالمحاضرة

اضغط هنا