المحاضرة رقم 20 : تقييم احتمالية حدوث الاحتيال (Evaluating Potential for Occurrence of Fraud)
تقييم احتمالية حدوث الاحتيال (Evaluating Potential for Occurrence of Fraud)
إجراء تحقيق في الاحتيال (Conducting a Fraud Investigation) :
إذا كان هناك يقين معقول (Reasonable certainty) بحدوث الاحتيال فانه ..
يجب على الرئيس التنفيذي للتدقيق (CAE) إخطار مستوى الإدارة المناسب (appropriate management level).
وعادة ما تكون :
1. لجنة التدقيق (Audit committee).
2. وربما أيضًا مجلس الإدارة (Board of directors).
ثم تتخذ الإدارة قرارًا ببدء التحقيق من عدمه.
ملاحظة: ليس من واجب المدقق عمومًا الإبلاغ عن الاحتيال للأفراد خارج المنظمة على الرغم من أن المدقق قد يحتاج في بعض الحالات إلى إبلاغ :
1. لجنة الأوراق المالية والبورصات (SEC).
2. أو المدقق السابق (Predecessor auditor).
3. أو المحكمة (Court).
4. أو وكالة حكومية (Governmental agency).
يجب تحديد الدور المحدد للهيئة في التحقيق في الاحتيال في الميثاق وربما أيضًا في السياسات والإجراءات المتعلقة بالاحتيال.
تشمل الأدوار المحتملة لنشاط التدقيق الداخلي (IAA) قيادة التحقيق ، أو كونها موردًا داعمًا لطرف آخر يقود التحقيق ، أو لا يوجد دور على الإطلاق إذا لم يكن لدى نشاط التدقيق الداخلي (IAA) الموارد الكافية. مهما كان الدور الذي يتخذه التدقيق الداخلي يحتاج الرئيس التنفيذي للتدقيق إلى التأكد من :
1. عدم إعاقة الاستقلالية (independence are not impaired).
2. و عدم إعاقة الموضوعية (objectivity are not impaired).
عند إجراء تحقيق في الاحتيال .. يجب على المدققين الداخليين :
• تقييم المستوى المحتمل ومدى التواطؤ في الاحتيال داخل المنظمة
(Assess the probable level and extent of complicity in the fraud within the organization).
يساعد ذلك على ضمان تجنب المدقق الداخلي :
1. تقديم معلومات مضللة (Providing misleading information).
2. أو الحصول على معلومات (Obtaining misleading information).
من أي شخص قد يكون مشاركًا.
• تحديد المعرفة والمهارات والكفاءات الأخرى اللازمة لإجراء التحقيق بشكل فعال
(Determine the knowledge, skills, and other competencies needed to effectively carry out the investigation).
يجب ألا يشارك أي شخص لديه صلات بالأفراد قيد التحقيق أو إدارة الشركة في التحقيق.
• تصميم إجراءات (Design procedures) للتعرف على :
1. الجناة / مرتكبي الجريمة (Perpetrators).
2. ومدى الاحتيال (Extent of the fraud).
3. والأساليب المستخدمة (Techniques used).
4. وسبب الاحتيال (Cause of the fraud).
• تنسيق الأنشطة (Coordinate activities) مع :
1. موظفي الإدارة (Management personnel).
2. والمستشار القانوني (Legal counsel).
3. والمتخصصين الآخرين (Other specialists).
حسب الاقتضاء طوال فترة التحقيق.
• يكون على دراية بحقوق (rights) :
1. الجناة المشتبه فيهم (alleged perpetrators).
2. والموظفين المشتبه فيهم (alleged personnel).
ضمن نطاق التحقيق وسمعة المنظمة نفسها.
سيستمر الإبلاغ عن عملية احتيال لأن :
1. مجلس الإدارة (Board).
2. والإدارة العليا (Senior management).
سيرغبان في البقاء على اطلاع.
اعتمادًا على الاستنتاج قد يلزم كتابة التقرير النهائي بطريقة توفر السرية لبعض الأشخاص المشاركين في التحقيق.
ومن المرجح أيضًا أن يشارك المستشار القانوني (Legal counsel) في كتابة التقرير النهائي.
في ختام تحقيق الاحتيال يجب على المدققين الداخليين :
• تحديد ما إذا كانت الضوابط بحاجة إلى التنفيذ أو التعزيز (Determine if controls need to be implemented or strengthened).
• تصميم اختبارات الاشتباك للمساعدة في الكشف عن عمليات الاحتيال في المستقبل (Design engagement tests to help disclose frauds in the future).
• الحفاظ على المعرفة الكافية بالاحتيال لتحديد الحوادث المستقبلية (Maintain sufficient knowledge of fraud to identify future incidents).
التوصية بضوابط لمنع الاحتيال واكتشافه (Recommend Controls to Prevent and Detect Fraud) :
يمكن للشركة حماية نفسها من الاحتيال من خلال الحفاظ على ضوابط قوية وعمليات إدارة المخاطر.
يجب أن يشمل هذا الجهد المستمر مراجعة دورية لعملية إدارة المخاطر وتنفيذ التوصيات للتحسين. تسمى عملية إنشاء عملية إدارة مخاطر الاحتيال وصيانتها ومراجعتها وتحسينها بحوكمة مخاطر الاحتيال (fraud risk governance).
إدارة مخاطر الاحتيال في الأعمال التجارية: دليل عملي ، برعاية :
1. معهد المدققين الداخليين (IIA). Institute of Internal Auditors
2. والمعهد الأمريكي للمحاسبين القانونين المعتمدين (AICPA). American Institute of Certified Public Accountants
3. وجمعية مدققي الاحتيال المعتمدين (ACFE). Association of Certified Fraud Examiners
يحدد خمسة مبادئ (Five principles) لتهيئة بيئة استباقية (Proactive Environment) لإدارة مخاطر الاحتيال بشكل فعال.
وتؤكد أن جميع مستويات المؤسسة لها أدوار ومسؤوليات في إدارة مخاطر الاحتيال.
المبدأ رقم 1 : كجزء من هيكل حوكمة المؤسسة (organization’s governance structure) يجب وضع برنامج لإدارة مخاطر الاحتيال بما في ذلك سياسة أو سياسات مكتوبة (written policy or policies) لنقل كلاً من :
1. توقعات مجلس الإدارة (Expectations of the board of directors).
2. وتوقعات الإدارة العليا (Expectations of the senior management).
فيما يتعلق بإدارة مخاطر الاحتيال (Managing fraud risk).
كلاً من :
1. مجلس الإدارة (Board of Directors).
2.ولجنة التدقيق (Audit Committee).
3. ونشاط التدقيق الداخلي (IAA).
هم قادة (leaders) في حوكمة مخاطر الاحتيال (fraud risk governance).
الإدارة (Management) مسؤولة عن تنفيذ سياسات برنامج إدارة مخاطر الاحتيال (implementing the fraud risk management program’s policies)
ويجب على جميع الموظفين (employees) أن يكونوا على دراية (aware) بـ :
1. الاحتيال (Fraud).
2. والعلامات الحمراء (Red flags).
3. واتباع الضوابط (Follow controls).
4. والإبلاغ عند عدم اتباع الضوابط (report when controls are not being followed).
يقوم نشاط التدقيق الداخلي (IAA) بتقييم هذا البرنامج وتقييم ما إذا كان يتم تنفيذه بشكل صحيح.
المبدأ رقم 2 : يجب تقييم التعرض لمخاطر الاحتيال (Fraud risk exposure) بشكل دوري (periodically) من قبل المنظمة لتحديد المخططات والأحداث المحتملة المحددة التي تحتاج المنظمة للتخفيف منها. ويتم ذلك في تقييم مخاطر الاحتيال (Fraud risk assessment) .. significant risk and control issues
يجب أن تراعي إدارة المخاطر المستمرة (Ongoing risk management) هذه الأسئلة الثلاثة:
• كيف يمكن لأحد أن يستغل نقطة ضعف في النظام؟ How could someone exploit a weakness in the system?
• كيف يمكن لشخص ما تجاوز أو التحايل على الضوابط؟ How could someone override or circumvent controls?
• كيف يمكن لشخص إخفاء الاحتيال؟ How could someone conceal the fraud?
من الناحية المثالية (Ideally) سيتم تضمين أشخاص من أجزاء مختلفة من العمل في فريق تقييم المخاطر من أجل الحصول على مجموعة متنوعة من وجهات النظر حول المخاطر التي يواجهها العمل. سيحتاج الفريق إلى تقييم احتمالية وتأثير المخاطر (likelihood and impact of the risks).
المبدأ رقم 3 : يجب إنشاء تقنيات المنع (Prevention techniques) .. Fraud Prevention Mechanisms .. لتجنب أحداث مخاطر الاحتيال الرئيسية المحتملة (avoid potential key fraud risk events) حيثما كان ذلك ممكنًا للتخفيف من الآثار المحتملة على المؤسسة.
يجب أن يكون جميع الموظفين على دراية ببرنامج إدارة مخاطر الاحتيال حتى يعلموا أن هناك جهدًا لمنع الاحتيال واكتشافه.
المبدأ رقم 4 : يجب إنشاء تقنيات الكشف (Detection techniques) .. Fraud Detection Mechanisms .. للكشف عن أحداث الاحتيال عندما تفشل التدابير الوقائية أو تتحقق المخاطر غير المخففة.
يجب أن تكون ضوابط الكشف:
• عادة ما تكون مخفية وتعمل في الخلفية (Usually be hidden and operate in the background).
• يتم تنفيذها واستخدامها في سياق العمل العادي (Be implemented and used in the ordinary course of business).
• الاعتماد على المعلومات الخارجية لتأكيد المعلومات الداخلية (Draw on external information to corroborate internal information).
• إبلاغ القيادة بشكل رسمي وتلقائي بأوجه القصور والاستثناءات
(Formally and automatically communicate deficiencies and exceptions to leadership).
• استخدام النتائج لتحسين وتعديل الضوابط الأخرى (Use results to enhance and modify other controls).
المبدأ رقم 5 : يجب أن تكون عملية الإبلاغ في مكانها الصحيح للحصول على مدخلات بشأن الاحتيال المحتمل ، ويجب استخدام نهج منسق للتحقيق والإجراءات التصحيحية للمساعدة في ضمان معالجة الاحتيال المحتمل بشكل مناسب وفي الوقت المناسب.
دعم ثقافة الوعي بالاحتيال (Support a Culture of Fraud Awareness) :
فيما يتعلق بـ :
1. التوعية بالاحتيال (Fraud awareness). Fraud consciousness
2. واكتشاف الاحتيال (Fraud detection).
3. ومنع الاحتيال (Fraud prevention).
يجب على الإدارة (management) أن تكون قدوة يحتذى بها "بلهجة في القمة tone at the top". وبعبارة أخرى فإن الإدارة :
1. الصادقة (Honest).
2. والأخلاقية (Ethical).
في وضع أفضل بكثير لتوقع نفس السلوك من الموظفين.
إن منع الاحتيال أكثر فعالية من حيث التكلفة من اكتشافه (It is more cost effective to prevent fraud than to detect it) لذلك يجب أن يكون الهدف هو خلق ثقافة في الشركة للإبلاغ عندما يكون هناك شيء لا يبدو صحيحًا (create a culture in the company of reporting whenever something does not seem right).
يجب أن يتحلى جميع المدققين الداخليين بـ :
1. موقف أخلاقي (Ethical attitude).
2. والتزام ثابت (Unwavering commitment).
بمنع الاحتيال في جميع ارتباطاتهم وسلوكياتهم.
كاشف الفساد (Whistleblowing) :
لا يكتشف المدقق الداخلي دائمًا شيئًا ما ليس صحيحًا في الشركة قد يصادف :
1. موظف من المستوى المتوسط (Middle-level employee).
2. أو موظف من المستوى الأدنى (Lower-level employee).
أدلة (Evidence) على :
1. ارتكاب مخالفة (wrongdoing).
2. أو مخالفة محتملة (potential wrongdoing).
بموجب معظم الإجراءات القياسية (most standard procedures) يجب على الموظف اتباع التسلسل القيادي / الاوامر (follow the chain of command) والإبلاغ عن أي اشتباه في حدوث احتيال إلى رئيسه المباشر (report any suspicions of fraud to an immediate superior).
ومع ذلك هناك ظروف (circumstances) قد يكون لدى الموظف فيها مخاوف مشروعة (legitimate concerns) بشأن اتباع التسلسل القيادي والإبلاغ عن المخاوف إلى رئيسه المباشر. على سبيل المثال قد يكون المخالفة أو المخالفة المحتملة قد ارتكبها الرئيس أو قد يؤدي الكشف إلى إحراج الرئيس. في مثل هذه الحالات قد يخشى الموظف :
1. الانتقام / الثأر (Retaliation).
2.أو الطرد (being fired).
من المهم للشركة أن يتم التحقيق في الأفعال السيئة المحتملة وأن يشعر الناس بالأمان عند الإبلاغ عن أمور لا تبدو على ما يرام.
لذلك قد تضع الشركة سياسة الإبلاغ عن المخالفات (whistleblowing policy).
الإبلاغ عن المخالفات هو فعل مخالفة تم الإبلاغ عنه أو مخالفة مشتبه بها خارج التسلسل القيادي العادي.
لتشجيع الناس على مشاركة المشاكل (share problems) يجب أن يكون نظام الإبلاغ عن المخالفات سريًا ومجهول الهوية.
قد يتضمن رقم هاتف للاتصال به أو شخص معين للاتصال به. من الممكن أيضًا أن يتم تسهيل عملية الإبلاغ عن المخالفات بواسطة جهة خارجية (third-party entity).
بالإضافة إلى إنشاء مثل هذا النظام يجب على الإدارة التأكد من أن جميع الموظفين يعرفون ذلك وأنهم يشعرون بالثقة في حماية هوياتهم.
ملاحظة: بالإضافة إلى وجود ثقافة مؤسسية قوية لا تشجع على الاحتيال (strong corporate culture that discourages fraud) يجب على الإدارة إبلاغ هذه المعايير إلى الأطراف الخارجية التي تمارس الأعمال معها. بهذه الطريقة يمكن للشركة أن تثني شركائها التجاريين عن اقتراح أنشطة احتيالية.
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات