FORENZNÍ SLUŽBY Jak zlepšit řízení rizik ve střední a východní Evropě Zjištění vycházející z posouzení německých a rakouských společností regionu kpmg.com/cee KPMG in Central and Eastern Europe
V uplynulých dvou letech společnost KPMG ve střední a východní Evropě posuzovala účinnost řízení rizik ve více než stovce společností, které působí v regionu CEE. Posouzení vycházelo z odpovědí získaných s pomocí nástroje Fraud Management Strategy Assessment Tool (FMSAT), který využívá dotazníkového šetření, jež vyvinuly členové celosvětové sítě poradenských společností KPMG. FMSAT umožňuje porovnat strategie řízení podvodného jednání využívané jednotlivými společnostmi s mezinárodně doporučenými postupy a zaměřuje se na celopodnikové kontrolní mechanismy, jež jsou hodnoceny v rámci následujících obecných kategorií: prevence, detekce, reakce. Výsledky získané prostřednictvím nástroje FMSAT zachycují pohled manažerů dotazovaných společností a reflektují silné a slabé stránky stávajících strategií řízení. Následující dokument analyzuje odpovědi 35 dceřiných společností německých a rakouských podniků a poukazuje na oblasti strategií řízení, které se mohou zlepšit. Shrnutí Nejčastější formy Formy, s nimiž se podle odpovědí setkávají německé a rakouské společnosti nejčastěji, zachycují grafy uvedené níže. Opatření v rámci prevence Většina společností se domnívá, že má zavedený jasný etický kodex, zaměstnanci však o něm nebývají pravidelně informováni. Pravidla týkající se detekce a prevence většina dotázaných hodnotila jako nejasná. Podobné nedostatky jako v případě obecných pravidel jednání jsme zaznamenali také u nedostatečného povědomí a proškolení zaměstnanců. Většina respondentů uvedla, že jejich společnost sice do určité míry provádí posouzení rizika před započetím vztahu se třetí stranou, tyto postupy ale nejsou standardizované či zdokumentované. Navíc se zdá, že jen některé společnosti vztahy se třetími stranami pravidelně přezkoumávají. Společnosti jen zřídka (pokud vůbec) provádějí formální posouzení rizik, která jim hrozí. Opatření v rámci detekce Většina dotázaných uvedla, že má ve společnostech zavedeny mechanismy pro oznamování, avšak povědomí respondentů o existenci a správném používání těchto mechanismů se často jeví jako nízké, což může snižovat jejich účinnost. Opatření v rámci reakce na podvodné jednání Mechanismy upravující reakci na vzniklé podvodné jednání se podle výsledků šetření jeví u řady dotazovaných společností jako slabé. Nejčastější formy : 20 % 20 % 20 % 17 % 40 % 37 % Krádež majetku společnosti Střet zájmů Nezákonné výhody Korupce Nepotismus Nedovolené užívání a úplatkářství majetku společnosti 1 I Jak zlepšit řízení rizik ve střední a východní Evropě
Detailní zjištění Společnost KPMG ve stření a východní Evropě přiřadila k odpovědím, které získala prostřednictvím nástroje FMSAT, barevná hodnocení, jež lze interpretovat následovně: Strategie řízení se ve společnosti jeví jako velmi pozitivní. Strategie řízení se ve společnosti jeví jako spíše pozitivní. Strategie řízení se ve společnosti jeví jako spíše negativní. Jasná pravidla jednání upravená v etickém kodexu Četnost školení a informačních kampaní zaměřených na pravidla jednání V porovnání s obecnými pravidly jednání se situace v oblasti pravidel detekce a prevence zdá být horší. Absence jasných pravidel stejně jako nízká informovanost zaměstnanců o jejich povinnostech v této oblasti naznačují, že společnosti při řízení rizik podvodů pravděpodobně nevyužívají svého nejvýznamnějšího aktiva, tj. ostražitosti svých zaměstnanců. Strategie společnosti pro řízení podvodného jednání se jeví jako značně negativní. Jasná pravidla týkající se detekce a prevence Přestože většina dotazovaných společností má nastaveny určité formální zásady a postupy pro řízení rizika podvodného jednání, jejich zavádění do praxe věnuje pouze malou nebo žádnou pozornost. V důsledku toho mohou být i kvalitní zásady a postupy týkající se řízení rizika podvodného jednání neúčinné. Při následných pohovorech po vyplnění dotazníku několik společností uvedlo, že hlavním důvodem nízké míry zavedení příslušných opatření je skutečnost, že většina rozhodovacích pravomocí, které se týkají klíčových procesů, se soustředí v centrále skupiny. Četnost sdělování pravidel týkajících se detekce a prevence Četnost kampaní zaměřených na zvýšení povědomí o podvodném jednání Úvodní školení zaměřené na povědomí o podvodném jednání Školení zaměřené na prevenci a detekci Posouzení opatření v rámci prevence Většina dotázaných společností sice přijala formální etický kodex, účinnost pravidel jednání, které kodex upravuje, však může být omezená. Společnosti o nich totiž účinně neinformují své zaměstnance, v některých případech jsou navíc tato pravidla nejasná. 2 I Jak zlepšit řízení rizik ve střední a východní Evropě
Podvodné jednání v oblasti nákupu Oddělení interního auditu klienta nás požádalo, abychom pomohli prošetřit oznámení externího oznamovatele. Oznámení se týkalo potenciálního nekalého jednání ze strany vedení rumunské dceřiné společnosti klienta. Naše šetření potvrdilo: falšované informace o množství odpadu produkovaného ve výrobním procesu, nadhodnocování množství nakupovaných surovin a materiálu, který nesplňoval požadavky na kvalitu, využívání fiktivních dodavatelských faktur kvůli maskování krádeže zásob, přijímání úplatků od dodavatelů zaměstnanci nákupu. Společnost mohla ztrátě v odhadované výši 300 000 eur předejít či snížit její rozsah, pokud by její zaměstnanci byli proškoleni, jak rozpoznat a oznámit podvodné jednání, a pokud by své klíčové zaměstnance a dodavatele účinně prověřovala. Řada společností může snížit riziko, pokud bude vyhodnocovat potenciální rizika související se zaměstnanci, obchodními partnery a dodavateli. Z výsledků našeho průzkumu přitom vyplývá, že většina firem riziko podvodu před vstupem do obchodního vztahu posuzuje. Většinou se však jedná o omezené a neformální posouzení, které se zaměřuje především na finanční rizika. Jen málokterá společnost uvedla, že má pro posouzení zmíněných rizik zavedeny formální či zdokumentované postupy. Mnoho firem navíc ani pravidelně nepřezkoumává své vztahy s třetími stranami, a tak nemusejí zaznamenat skutečnosti jako např. střet zájmů u nového zaměstnance. Ověřování integrity vedoucích zaměstnanců, obchodních partnerů a dodavatelů Četnost ověřování integrity vedoucích zaměstnanců, obchodních partnerů a dodavatelů Posouzení rizik před zahájením obchodního vztahu Dokumentace posouzení Předepsaná forma posouzení Každá společnost má svůj rizikový profil, jenž se může vlivem interních i externích faktorů měnit. Společnosti by proto měly rizika i související kontrolní mechanismy posuzovat pravidelně. Řada dotazovaných společností však příslušná opatření pravidelně neuplatňuje a nečiní tak ani v případech, kdy k podvodnému jednání již došlo. Četnost posuzování rizik týkajících se Dokumentace akčních plánů a harmonogramů zavádění opatření Formální monitoring kontrolních mechanismů určených ke snižování míry rizik Dokumentace případů porušení kontrolních mechanismů Střet zájmů Klient nás požádal, abychom prošetřili oznámení, podle něhož se generální ředitel dceřiné společnosti na Slovensku měl obohatit z transakcí se spřízněnými stranami. Naše šetření potvrdilo: generální ředitel jednal ve střetu zájmu, který neohlásil, smlouvy uzavírané se spřízněnými stranami obsahovaly nadhodnocené ceny, společnost účtovala o fakturách za služby od spřízněných stran, které nebyly dodány, možnou krádež peněžních prostředků. Společnost mohla ztrátě v odhadované výši 420 000 eur zabránit, pokud by sledovala vztahy mezi klíčovými zaměstnanci a dodavateli. Posouzení opatření v rámci detekce Ačkoliv většina dotázaných společností uvedla, že má zavedeny určité mechanismy pro oznamování podvodného jednání, nedostatečná informovanost o jejich existenci a využívání může mít dopad na jejich účinnost. Existuje-li ve společnosti prostředí, které zaměstnancům bez problémů umožňuje odpovědně využívat spolehlivého mechanismu pro oznamování, zvyšuje se pravděpodobnost, že společnost odhalí podvodné jednání dříve, a omezí tak vzniklé škody. Ne náhodou se o významné části podvodů a nedovoleného jednání, jež šetřila společnost KPMG ve střední a východní Evropě, naši klienti poprvé dozvěděli právě na základě upozornění od oznamovatele (tzv.whistleblowera), nikoli prostřednictvím tradičních kontrolních mechanismů 1. 1 2013, KPMG ve střední a východní Evropě, Profil podvodníka v regionu střední a východní Evropy 3 I Jak zlepšit řízení rizik ve střední a východní Evropě
Povědomí o tendenci zavádět v rámci řídicího a kontrolního systému postupy pro oznamování Zavedení formálních pravidel, která upravují oznamování Postupy pro zajišťování elektronických důkazů Odpovědnost za přijímání rozhodnutí týkajících se vyšetřování a důkazů Zavedení mechanismu pro oznamování Subjekt provádějící vyšetřování Propagování mechanismu pro oznamování Zdokumentované postupy vyšetřování Posouzení opatření v rámci reakce na podvodné jednání Respondenti měli zpravidla nízké povědomí o nastavení plánů reakce na podvodné jednání ve svých společnostech, přičemž tyto plány byly v některých případech pravděpodobně navrženy na úrovni skupiny. Odpovědi navíc poukazují na následující potenciální problémy, které by mohly nastat v případě potřeby prošetření : Vzhledem k množství obchodních informací, které se v současné době ukládají a přenášejí v elektronické podobě, by vyšetřování mohlo ztroskotat kvůli omezené schopnosti společností účinně zajišťovat elektronické důkazní materiály. Respondenti většinou uváděli, že podvodné jednání by v jejich společnostech vyšetřovalo vedení, nikoliv nezávislý útvar zajišťující soulad s právními předpisy (např. oddělení interního auditu) či externí specialista. Většina společností nemá zdokumentované postupy, které je třeba v případě vyšetřování dodržovat, což zvyšuje riziko opomenutí některých důležitých kroků. Výslovné uvedení v pracovním řádu Neohlášené prověrky zaměřené na podvodné jednání Závěr Výše uvedená zjištění vykreslují pesimistický obraz, pokud jde o připravenost dceřiných společností německých a rakouských podniků, ale i ostatních subjektů ve střední a východní Evropě řídit rizika, která se týkají jejich podnikání. Mateřským společnostem subjektů působících v regionu CEE proto doporučujeme posuzovat kriticky svůj vlastní řídicí a kontrolní systém, zejména pak to, jak účinně se uplatňuje v zahraničních dceřiných společnostech. Existence kvalitních a promyšlených pravidel na skupinové úrovni totiž nemusí vždy vést k jejich účinnému zavedení ve všech částech skupiny. 4 I Jak zlepšit řízení rizik ve střední a východní Evropě
Kontakty: Jimmy Helm Partner odpovědný za Forenzní služby ve střední a východní Evropě T: +420 222 123 430 E: jhelm@kpmg.com Dimitar Georgiev Manager Forenzní služby T: +420 222 123 640 E: dgueorguiev@kpmg.com kpmg.com/cee The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International. 2014 KPMG Central & Eastern Europe Limited, a limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. August 2014