Αναπτύσσοντας το Ελεγκτικό Σύστημα
Το Σύστημα Εσωτερικού Ελέγχου (ΣΕΕ) αποτελεί το δίχτυ ασφαλείας ενός Οργανισμού. Δεν είναι απλά μια συλλογή κανόνων και διαδικασιών, αλλά ένα συνεκτικό πλαίσιο προστασίας της περιουσίας, αποφυγής λαθών αλλά και ευθυγράμμισης τόσο με τους οργανωσιακούς στόχους όσο και με το κανονιστικό πλαίσιο.
Για αυτό λοιπόν η ορθή ανάπτυξή του ΣΕΕ πρέπει να μπει ψηλά στην ατζέντα όχι μόνον της Διοίκησης αλλά και ολόκληρου του προσωπικού. Η Επιτροπή COSO, ως διεθνώς αναγνωρισμένη αρχή για την παροχή του θεωρητικού πλαισίου κάθε ΣΕΕ, δηλώνει πως η λειτουργία του ΣΕΕ διεξάγεται από το Διοικητικό Συμβούλιο και τα στρώματα της Διοίκησης μέχρι και το από προσωπικό των τμημάτων έτσι ώστε να διασφαλιστούν οι στόχοι του Οργανισμού σε τρεις καίριους τομείς:
- Αποτελεσματικότητα (ικανότητα να εκπληρώνεται ο στόχος) και αποδοτικότητα (εκπλήρωση του στόχου με τους λιγότερους δυνατούς πόρους) των λειτουργιών
- Αξιοπιστία των οικονομικών και άλλων αναφορών
- Συμμόρφωση με τους νόμους και το κανονιστικό πλαίσιο.
Η ανάπτυξη του ΣΕΕ περιλαμβάνει τον σχεδιασμό και την τοποθέτηση ενός συνόλου δικλίδων ελέγχου (controls) κάτι το οποίο μπορεί να είναι μια εξαιρετικά περίπλοκη και χρονοβόρα αποστολή. Όμως είναι καθόλα απαραίτητη, αφού η Ομοσπονδία Πιστοποιημένων Ελεγκτών Απάτης (Association of Certified Fraud Examiners) στην τελευταία της Ετήσια Έκθεση (Report to the Nations, 2024) αποκάλυψε τα εξής: 51% των περιπτώσεων απάτης οφείλονται σε απουσία δικλίδων ελέγχου ή σε παράκαμψη δικλίδων ελέγχου, δηλαδή σε αναποτελεσματικές δικλίδες!
Πως όμως μπορούμε να εφαρμόσουμε ανθεκτικές δικλίδες οι οποίες θα είναι αποτελεσματικές και θα ευθυγραμμίζουν τη λειτουργία του οργανισμού με τους στρατηγικούς του στόχους; Η απάντηση δίνεται παρακάτω:
- Να εμφυτεύσουμε κουλτούρα συμμόρφωσης
Εδώ μιλάμε ουσιαστικά για την βελτίωση του Περιβάλλοντος Ελέγχου (Control Environment). Αυτό ξεκινά από την ανώτατη διοίκηση, η οποία θέτει τον «τόνο στη κορυφή», δίνοντας εξέχουσα σημασία στην ύπαρξη δικλίδων και την αυστηρή εφαρμογή τους. Ο τόνος στη κορυφή μετακυλίεται από την διοικητική αλυσίδα σε όλες τις βαθμίδες προσωπικού ώστε να γίνει αντιληπτός από όλους.
- Να αξιολογήσουμε τους κινδύνους
Δεν μπορούμε να δημιουργήσουμε ένα δίκτυ ασφαλείας αν δεν αναγνωρίσουμε, αναλύσουμε και αξιολογήσουμε τους κινδύνους στους οποίους είναι εκτεθειμένος ο οργανισμός μας. Ο σχεδιασμός μιας αποτελεσματικής δικλίδας προϋποθέτει την πλήρη κατανόηση του κινδύνου που καλείται να αντιμετωπίσει. Έτσι λοιπόν, είναι απαραίτητη η καταγραφή των επιπτώσεων πραγματοποίησης του κινδύνου καθώς και την πιθανότητα έλευσής του.
- Να αποτυπώσουμε εγγράφως τις δικλίδες ελέγχου
Οι δικλίδες ελέγχου πρέπει να είναι επίσημα θεσμοθετημένες και καταγεγραμμένες ώστε να εκτελούνται από τους υπαλλήλους (1η γραμμή άμυνας) αλλά και να ελέγχονται από τους «υπεύθυνους δικλίδων» (2η γραμμή άμυνας). Έτσι διευκολύνεται και το έργο των Εσωτερικών Ελεγκτών (3η γραμμή άμυνας) όταν καλούνται να προχωρήσουν σε δοκιμές δικλίδων (control testing) ώστε να διαπιστώσουν την ορθή λειτουργία τους.
- Να επικοινωνήσουμε τις δικλίδες σε όλους του εμπλεκόμενους
Ο οργανισμός πρέπει να υιοθετήσει ένα πρόγραμμα ενημέρωσης και εκπαίδευσης των υπαλλήλων ώστε να είναι έτοιμοι να εφαρμόσουν τις υιοθετημένες δικλίδες κατά τον βέλτιστο δυνατό τρόπο.
- Να αυτοματοποιήσουμε τις δικλίδες όπου είναι δυνατόν
Η αυτοματοποίηση δικλίδων μπορεί να παρέχει πληροφόρηση σε πραγματικό χρόνο και να διευρύνει τις δοκιμές δικλίδων ακόμη και σε ολόκληρο τον πληθυσμό!
Καταγράφοντας τo Ελεγκτικό Σύμπαν
Για να διακρίνουμε τη σημασία του Ελεγκτικού Σύμπαντος στην ανάπτυξη του Ελεγκτικού Συστήματος, πρέπει πρώτα να το ορίσουμε. Έτσι λοιπόν, Ελεγκτικό Σύμπαν (Audit Universe) είναι:
«Κάθε μονάδα, περιοχή, λειτουργία, πρόγραμμα, έργο, διαδικασία που θα μπορούσε να αποτελεί αντικείμενο ελέγχου»
Το Ελεγκτικό Σύμπαν αποτελείται από «ελεγχόμενες μονάδες (auditable units), περιοχές (auditable areas) ή οντότητες (auditable entities), οι οποίες μπορούν να ελεγχθούν ανεξάρτητα από τις υπόλοιπες. Σε στατιστικούς όρους οι ελεγχόμενες μονάδες αποτελούν τον Πληθυσμό Ελέγχου.
Γίνεται λοιπό αντιληπτό ότι ο Εσωτερικός Έλεγχος, έχοντας στη διάθεσή του καταγεγραμμένο το Ελεγκτικό Σύμπαν, διαθέτει «το μενού» των ελεγχόμενων δράσεων που μπορεί να πραγματοποιήσει. Αυτό σημαίνει ότι η καταγραφή του Ελεγκτικού Σύμπαντος αποτελεί σημαντικό εργαλείο στην προετοιμασία του Ετήσιου Πλάνου Ελέγχων, όπου ο Εσωτερικός Έλεγχος καλείται να επιλέξει τις ελεγκτικές δράσεις που θα πραγματοποιήσει βάσει κινδύνων.
Είναι όμως η καταγραφή του Ελεγκτικού Σύμπαντος υποχρεωτική;
Η σύντομη απάντηση είναι ΟΧΙ!
Το Πρότυπο 2010.Α1 του Διεθνούς Πλασίου Επαγγελματικής Εφαρμογής (IPPF, 2017) δηλώνει: «Το πρόγραμμα έργων της λειτουργίας εσωτερικού ελέγχου πρέπει να βασίζεται στην εκτίμηση των κινδύνων, η οποία πρέπει να διενεργείται τουλάχιστον μια φορά τον χρόνο. Η άποψη της ανώτερης διοίκησης και του συμβουλίου πρέπει να ληφθεί υπόψη σε αυτή την διαδικασία.»
Το Ετήσιο Πλάνο Ελέγχων πρέπει να βασίζεται στην αξιολόγηση των κινδύνων, όμως δεν αναφέρεται πουθενά ότι η αξιολόγηση αυτή πρέπει να πηγάζει στο Ελεγκτικό Σύμπαν. Το Ινστιτούτο Εσωτερικών Ελεγκτών (Audit Universe-IIA, 2023) το επιβεβαιώνει: «Τα Διεθνή Πρότυπα δεν απαιτούν δράσεις καταγραφής του Ελεγκτικού Σύμπαντος. Ο Επικεφαλής Εσωτερικού Ελέγχου (ΕΕΕ) μπορεί να επιλέξει αν θα προχωρήσει σε καταγραφή του Ελεγκτικού Σύμπαντος…».
Ποιοι όμως είναι οι παράγοντες που θα επηρεάσουν την απόφαση του ΕΕΕ για την καταγραφή του Ελεγκτικού Σύμπαντος;
Σύμφωνα με το Ινστιτούτο Εσωτερικών Ελεγκτών (ΙΕΕ) είναι οι εξής:
- Γεωγραφική επέκταση του οργανισμού
- Αστάθεια του κλάδου δραστηριοποίησης
- Φύση της εμπορικής δραστηριότητας
- Μέγεθος της οργανωσιακής αλλαγής
Οι ανωτέρω παράγοντες απαιτούν την καταγραφή και τη διαρκή ενημέρωση του Ελεγκτικού Σύμπαντος. Ένας οργανισμός που υπόκειται σε σημαντικές αλλαγές σε βάθος χρόνου, χρειάζεται χαρτογράφηση αλλά και συνεχή ενημέρωση του Ελεγκτικού Σύμπαντος καθιστώντας την μία δυναμική διαδικασία.
- Απαιτήσεις διαβεβαίωσης (assurance) από την Επιτροπή Ελέγχου, το Διοικητικό Συμβούλιο και εξωτερικούς Ρυθμιστικούς Φορείς
Για παράδειγμα, οι κεντρικές τράπεζες πολλών χωρών, ως ρυθμιστικές αρχές του τραπεζικού τομέα, επιβάλλουν υποχρεωτική καταγραφή του Ελεγκτικού Σύμπαντος. Άλλοι οργανισμοί αναπτύσσουν Μητρώο Κινδύνων προσπερνώντας την καταγραφή του Ελεγκτικού Σύμπαντος.
- Ωριμότητα Συστήματος Εσωτερικού Ελέγχου
Η καταγραφή του Ελεγκτικού Σύμπαντος προσδίδει αξία στις περιπτώσεις όπου το ΣΕΕ είναι αδύναμο, λειτουργεί άτυπα και αποσπασματικά. Ένα ισχυρό ΣΕΕ με αυτοματοποιημένες δικλίδες, συνεκτική διαχείριση κινδύνων και αποτελεσματική εποπτεία δεν χρειάζεται την καταγραφή του Ελεγκτικού Σύμπαντος. Στη δεύτερη περίπτωση, ο Εσωτερικός Έλεγχος μπορεί να βασίζεται στις αναφορές των διοικητικών στελεχών, του διαχειριστή κινδύνων και των πληροφοριακών συστημάτων.
Συμπέρασμα
Λαμβάνοντας υπόψιν τα ανωτέρω, ο Επικεφαλής Εσωτερικού Ελέγχου θα κρίνει αν η καταγραφή του Ελεγκτικού Σύμπαντος παράγει αξία στην ελεγκτική του αποστολή. Σε κάθε περίπτωση, το Ελεγκτικό Σύμπαν μπορεί να αποτελέσει ένα εργαλείο καταγραφής, πληροφόρησης αλλά και ενδυνάμωσης του Ελεγκτικού μας Συστήματος.