Mezinárodní Asociace certifikovaných vyšetřovatelů podvodů (Association of Certified Fraud Examiners), celosvětově největší profesní organizace svého druhu, vydala zprávu o globálních trendech v oblasti interních podvodů. Asociace vychází z téměř dvou tisíc zmapovaných případů interních podvodů z let 2022 až 2023. Zpráva obsahuje řadu zajímavých čísel a poznatků, a to i z našeho regionu.
Na jaké otázky report odpovídá?
-
Kdo nejčastěji páchá interní podvody?
-
Které sektory čelí největšímu riziku útoku zevnitř?
-
Jaké kontroly jsou v praxi pro předcházením fraudu nejčastěji zaváděny?
-
Jak bývá interní podvod nejčastěji odhalen?
-
A jak se podvodníkům z vlastních řad nejlépe bránit a ochránit majetek firmy?
Pojďme probrat jedno po druhém.
Kradou všichni
No dobrá, úplně všichni samozřejmě nekradou. Ani zdaleka ne. Pokud se ale podíváme na pracovní zařazení či vztah k organizaci, která interní podvod řešila, tak zjistíme, že útoky přicházejí opravdu odevšud.
-
41 % interních podvodů spáchali vedoucí pracovníci na manažerských pozicích
-
37 % „řadoví“ zaměstnanci
-
19 % vlastníci nebo členové vrcholného vedení
O čem to vypovídá? O tom, že věřit nelze opravdu nikomu. A že kontrolní systém musí pokrývat všechny úrovně a složky v organizaci. Jinak je nutně neúplný.
Zdravotnictví, bankovnictví, státní správa…
Interní fraudy se vyskytují prakticky ve všech sektorech a oblastech. Report na základě dvou tisíc zmapovaných kauz indikuje ty sektory, které riziku podvodu ze strany zaměstnanců či vlastního managementu čelí nejčastěji.
Které to jsou?
-
Bankovnictví a finanční sektor
-
Veřejná administrativa
-
Zdravotnictví
-
Výrobní podniky
-
Výroba a distribuce energií
-
Retailový prodej
Interní podvody se však dějí samozřejmě dějí i v dalších sektorech, jako je doprava, zemědělství, služby či třeba oblast technologií.
Jak se firmy podvodníkům brání?
Organizace se snaží interním podvodům čelit různými způsoby, ať už preventivními opatřeními, nebo následnými kontrolami.
Jaké jsou v praxi nejčastěji zaváděna opatření?
-
Přijetí etického kodexu
-
Externí audit finančních výkazů
-
Zavedení kontrol finanční toků
-
Etická linka pro možné oznámení podezření na podvod (whistleblowing kanál)
-
Školení zaměstnanců
Report se zabývá také ověřováním nových zaměstnanců, tzv. background checkem. Toto preventivní opatření nabývá důležitosti zejména se snadnou dostupností technologií na falšování informací a dokumentů o vzdělání a praxi, stejně jako s rozšiřujícím se trendem zcela online výběrových řízení. Zajímavé je, že 57 % organizací, které byly obětí interního podvodu, nějakou formu background checku zavedlo. Jejich postupy evidentně mají jisté mezery…
Skoro na polovinu podvodů upozorní whistleblower
Zjistit, že firmu okrádá vlastní zaměstnanec, navíc často dlouholetý, zkušený a oblíbený, nebývá úplně jednoduché. Právě takovýto útočník totiž často zná všechny interní kontroly a postupy a dokáže je obejít. I proto asi není úplně překvapením, že na 43 % interních podvodů upozorní jeho kolega. Něco mu prostě není jasné, nelíbí se mu účtování, nechápe, kam se ztrácejí firemní peníze, kam míří finanční toky, a nenechá si to pro sebe.
Jaké jsou další časté zdroje informací o možném interním podvodu?
Whistleblowery následují zjištění interního auditu se 14 % a po nich s 13 % manažerské kontroly. Ostatní zdroje informací o možném interním podvodu se za nimi drží už s docela velkým odstupem.
O čem to svědčí?
Funkční whistleblowing proces, důvěra zaměstnanců v to, že jejich oznámení bude nestranně a důvěrně prošetřeno a dostatečně silné postavení a kapacity whistleblowing officera mohou organizace uchránit od velkých finančních a reputačních škod.
Chraňte svůj majetek s uceleným antikorupčním systémem
Rizika interního fraudu a s ním spojených finančních a dalších škod se týkají prakticky každého. Bez ohledu na velikost organizace či sektor, ve kterém působí. Vnitřní útočník není v každé organizaci. Ale pokud už se vás vlastní zaměstnanec rozhodne podvést, bývá statisticky vzato poměrně často úspěšný.
Jak se tomu bránit?
Řešením může být ucelený systém na předcházení rizika korupce ISO/IEC 37001. Tato norma popisuje Systémy protikorupčního managementu (Anti-bribery Management Systems) a pomáhá organizacím v soukromém i veřejném sektoru snížit rizika spojená s korupcí. A také demonstrovat svoji vůli úplatkářství nepodporovat a netolerovat.
Norma ISO/IEC 37001, podobně jako další standardy pro interní řízení, popisuje nezbytné součásti skutečně komplexního a funkčního procesu pro snížení rizik korupčního jednání.
Jeho základními prvky jsou:
-
Znalost vlastní organizace, jejích potřeb a očekávání
-
Identifikace korupčních rizik, kterým organizace čelí
-
Jasná deklarace vedení, že korupci nepodporuje ani netoleruje
-
Nastavení postupů a pravidel v protikorupční strategii
-
Opatření a kontroly ke snížení korupčních rizik, ve vztahu k jednotlivým oblastem činnosti, geografickým aktivitám, členství v podnikatelských sdruženích atd.
-
Určení, kdo bude kontrolovat a vymáhat soulad s protikorupčními postupy (compliance funkce)
-
Opatření v personální bezpečnosti, včetně background checku u rizikových pozic
-
Informace a školení pro zaměstnance
-
Možnost zaměstnanců důvěrně informovat o podezření na úplatkářské jednání
-
Definovaný proces pro vyšetřování podezření na korupci
-
Pravidelné přezkoumání celého procesu a jeho aktualizace či doplnění
Protikorupční systém dle normy ISO 37001 je procesně velmi podobné dalším standardům pro interní řízení. Ať už v oblasti ochrany informací, včetně osobních údajů, compliance nebo třeba whistleblowingu. Pokud chcete organizaci, její vedení, majitele i klienty chránit před interními podvody, korupcí a dalším neetickým a protiprávním jednáním, je zavedení a certifikace postupů podle normy ISO 37001 nezbytným krokem!
O GDPR.cz
Portál GDPR.cz informuje a vzdělává v oblasti ochrany osobních údajů, kybernetické bezpečnosti, compliance a souvisejících tématech.
V digitálním světě je zásadní efektivně uplatňovat pravidla pro ochranu soukromí jednotlivců a kybernetickou bezpečnost. Na platformě GDPR.cz naleznete články pokrývající různé aspekty GDPR a přesahy do dalších oblastí práva, technologie či marketingu.
Provozovatelem gdpr.cz je TAYLLORCOX s.r.o., specialista na mezinárodně oznávané metodiky a certifikace, dodavatel špičkového vzdělávání v tomto odvětví a poskytovatel profesionálních auditorských služeb.