Niemal 15 lat po uchwaleniu amerykańskiej ustawy Sarbanesa-Oxleya (SOX) przedsiębiorstwa nadal mają problemy ze stworzeniem mechanizmów uniemożliwiających pracownikom popełnianie oszustw.
 REKLAMA 
 Wdrażasz KSeF w firmie 
 
Według raportu „Global profiles of the fraudster” („Profil korporacyjnego oszusta”) za rok 2016, opracowanego przez firmę konsultingową KPMG, wyłącznie w ubiegłym roku firmy z całego świata utraciły średnio 5% przychodów z powodu oszustw, z których 65% zostało popełnione przez pracowników, a 21% przez byłych pracowników. Zdaniem Briana Jensena, dyrektora ds. rozwiązań biznesowych w firmie KPMG, głównymi przyczynami problemów są niewystarczające mechanizmy kontrolne i wysokie koszty ich rozbudowy.

Na przykład wkrótce po wejściu w życie ustawy SOX, na zapewnienie zgodności z artykułem 404, dotyczącym wewnętrznych mechanizmów kontrolnych i procesów raportowania finansowego, przedsiębiorstwa średniej wielkości wydawały od 4,36 mln do 7,8 mln USD rocznie, a duże przedsiębiorstwa ponad 10 mln USD rocznie (według raportu „Economic Impact of SOX”).

Większość kosztów wynikała z konieczności zaprojektowania i wdrożenia nowych mechanizmów kontroli wewnętrznej i zarządzania nimi. W celu wdrożenia tych mechanizmów przedsiębiorstwa dokonały zakupu nowych pakietów oprogramowania wspomagającego nadzór, zarządzanie ryzykiem i zarządzanie zgodnością z przepisami (ang. governance, risk and compliance — GRC). Jednak to nie cena oprogramowania okazała się źródłem największych kosztów. Skonfigurowanie narzędzi GRC było bardzo pracochłonne, ponieważ takie funkcje trzeba było wbudować w lokalne aplikacje ERP. Wprowadzanie nowych mechanizmów kontrolnych do dotychczasowych złożonych procesów biznesowych wymaga rozbudowanej analizy, testów kontrolnych i przeglądów, aby zapewnić dostęp do systemów finansowych firmy odpowiednim osobom i we właściwy sposób określić zakres możliwych działań podejmowanych po uzyskaniu przez nie informacji.

Ponadto przedsiębiorstwa stawały przed koniecznością zakupu sprzętu i innych elementów infrastruktury niezbędnych do obsługi narzędzi GRC, czyli m.in. serwerów i miejsca w centrach przetwarzania danych.
Przedsiębiorstwa do tej pory tak naprawdę nie zajmowały się zarządzaniem ryzykiem. Zarządzały serwerami obsługującymi rozwiązania GRC” — powiedział Brian Jensen. „Poświęcały czas na ich instalowanie i konfigurowanie, a także wprowadzanie uaktualnień i poprawek, a w końcu wymianę, mniej więcej raz na trzy, cztery lata”. Większość ról i mechanizmów kontrolnych wprowadzonych pierwotnie w przedsiębiorstwie nie była aktualizowana przez wiele lat. Corey West, główny księgowy firmy Oracle, powiedział: „Osiągnęliśmy punkt krytyczny. Najwyższy czas, by dokonać inwentaryzacji wszystkich dostępnych mechanizmów kontroli finansowej, a następnie je zaktualizować.
I teraz pojawia się pytanie: czy firmy powinny zaktualizować mechanizmy GRC w ramach lokalnych aplikacji ERP, czy przenieść te narzędzia do chmury? Aby pomóc klientom w podjęciu tej decyzji, prezentujemy trzy argumenty przemawiające za tym drugim rozwiązaniem.

1. Większa automatyzacja

Projektowanie, odwzorowywanie i testowanie mechanizmów kontroli ryzyka jest bardzo pracochłonne — wymaga szczegółowego przeglądania zawartości różnych arkuszy kalkulacyjnych i dostępu do danych z wielu lat. Dlatego większość przedsiębiorstw czyni niezbędne kroki umożliwiające zachowanie zgodności z przepisami, ale niechętnie zajmuje się zmianą istniejących mechanizmów kontrolnych w celu dostosowania ich do wewnętrznych procedur i struktury organizacyjnej. Rozwiązanie chmurowe ma większość powyższych procesów już skonfigurowanych.

2. Niższe koszty infrastruktury, konserwacji i pracy

Oprócz serwerów, oprogramowania i przestrzeni w ośrodku obliczeniowym, niezbędnych do działania narzędzi GRC, największym źródłem kosztów są pracownicy niezbędni do obsługi takiej infrastruktury. Według firmy analitycznej SMB Group aż 50% kosztów obsługi oprogramowania ERP działającego w siedzibie przedsiębiorstwa to wynagrodzenie dla personelu informatycznego. W przypadku środowiska przetwarzania w chmurze wskaźnik ten może osiągnąć wartość 1%, a nawet mniej.

3. Skuteczniejsze mechanizmy kontroli

Ponieważ większość narzędzi do zarządzania ryzykiem znajduje się w arkuszach kalkulacyjnych zarządzanych przez wielu właścicieli z różnych działów przedsiębiorstwa, wszystkie pliki tego rodzaju muszą zostać zaktualizowane i skonsolidowane przed ich udostępnieniem kierownictwu do przeglądu. Wykonanie tego procesu może zająć wiele tygodni, dlatego firmy często rezygnują z przewidywania ryzyka i po prostu reagują na konkretne zdarzenia. Natomiast działające w chmurze narzędzia GRC są regularnie aktualizowane i zawierają najnowsze funkcje, dzięki czemu pozwalają firmom szybko identyfikować czynniki ryzyka i podejmować działania naprawcze jeszcze przed wystąpieniem problemów.

Źródło: www.oracle.com

PRZECZYTAJ RÓWNIEŻ:


Back to top