ارزیابی بلوغ برنامه مدیریت ریسک کلاهبرداری: راهنمای جامع

مقدمه‌ای بر ارزیابی بلوغ برنامه مدیریت ریسک کلاهبرداری

مدیریت ریسک کلاهبرداری یک رویکرد پیشگیرانه و ضروری است. سازمان‌ها آن را برای کاهش قرار گرفتن در معرض فعالیت‌های متقلبانه اتخاذ می‌کنند. این رویکرد شامل سیاست‌ها، رویه‌ها و فرآیندهای مشخصی است. این موارد کارکنان را برای شناسایی، رسیدگی و مدیریت ریسک‌های کلاهبرداری راهنمایی می‌کند. هدف این حسابرسی، تعیین سطح بلوغ برنامه کلی مدیریت ریسک کلاهبرداری شهرداری بود. این ارزیابی در برابر بهترین شیوه‌های موجود انجام شد. برای جلوگیری از سوگیری‌های احتمالی، از یک کارشناس خارجی برای انجام این کار استفاده شد.

مقیاس ارزیابی بلوغ برنامه ضد کلاهبرداری

این حسابرسی، بلوغ پنج مولفه اصلی رویکرد شهرداری را ارزیابی کرد. این مولفه‌ها، رویکرد مدیریت ریسک کلاهبرداری را تشکیل می‌دهند. برای این منظور، از یک مقیاس بلوغ اقتباس شده استفاده شد. این مقیاس برنامه‌های ضد کلاهبرداری سازمانی را در پنج سطح دسته‌بندی می‌کند:

1. پایه (Basic): فرآیندهای موقتی یا پراکنده بدون نقش‌ها و مسئولیت‌های تعریف‌شده.
2. در حال توسعه (Developing): برنامه رسمی کلاهبرداری با سیاست‌ها و فرآیندهای مستند.
3. تثبیت‌شده (Established): دستورالعمل‌های کاملاً جاافتاده که به طور مرتب به‌روزرسانی می‌شوند.
4. پیشرفته (Advanced): برنامه کلاهبرداری کاملاً با استراتژی مدیریت ریسک سازمانی یکپارچه شده است.
5. پیشرو (Leading Practice): تمرکز ویژه بر دفاع و پاسخ به تهدیدات کلاهبرداری با رویکرد بهبود مستمر.

نتایج ارزیابی: شهرداری در مراحل ابتدایی مدیریت ریسک کلاهبرداری قرار دارد

یافته‌های کلی نشان می‌دهد شهرداری بخش‌هایی از یک برنامه مدیریت ریسک کلاهبرداری را پیاده کرده است. اما این برنامه فاقد مولفه‌های ضروری یک برنامه رسمی و بالغ است. در ادامه، نتایج ارزیابی هر یک از پنج مولفه اصلی تشریح می‌شود.

۱. حاکمیت ریسک کلاهبرداری: مرحله در حال توسعه

اگرچه شهرداری دارای برخی مولفه‌های رسمی است، اما فاقد یک برنامه جامع است. برای مثال «دستورالعمل اداری کلاهبرداری و افشاگری» وجود دارد. با این حال برنامه مدون و جامع مدیریت ریسک کلاهبرداری تعریف نشده. مشکلات اصلی در این حوزه عبارتند از:

• عدم وجود مالک کلی: هیچ فردی به عنوان مسئول اصلی برنامه تعیین نشده است.
• نبود اسناد راهنما: اسنادی برای تعیین ذی‌نفعان کلیدی، نقش‌ها و مسئولیت‌ها وجود ندارد.
• ریسک‌پذیری نامشخص: آستانه تحمل ریسک کلاهبرداری که شهرداری مایل به پذیرش آن است، تعریف نشده.
• آموزش ناکافی: آموزش آگاهی از کلاهبرداری برای کارکنان کافی نیست. نظرسنجی نشان داد ۶۷ درصد مدیران از شفافیت نقش‌ها مطمئن نبودند.

۲. ارزیابی ریسک کلاهبرداری: مرحله پایه

شهرداری روش‌های رسمی برای ارزیابی ریسک کلاهبرداری خود شناسایی نکرده است. ارزیابی ریسک بخشی از برنامه مدیریت ریسک سازمانی انجام می‌شود. اما کلاهبرداری تنها زیرمجموعه‌ای از ریسک مالی در نظر گرفته شده است. این ریسک به صورت مستقل تحلیل نمی‌شود. این امر باعث نادیده گرفتن انواع دیگر کلاهبرداری می‌شود. تنها ۴۱ درصد از مدیران شعب اعلام کردند که فعالانه ریسک‌های کلاهبرداری را ردیابی می‌کنند.

۳. فعالیت‌های کنترلی کلاهبرداری: مرحله پایه

بلوغ و توزیع کنترل‌های ریسک کلاهبرداری در سطح شهرداری ناهمگون است. برخی واحدها مانند خدمات مالی، کنترل‌های متعددی دارند. اما این کنترل‌ها به ارزیابی‌های ریسک کلاهبرداری مرتبط نیستند. این توزیع نابرابر منجر به آسیب‌پذیری در بخش‌های دیگر می‌شود. مصاحبه با ۱۵ مدیر ارشد نشان داد که ۸ نفر از آن‌ها قادر به شناسایی یک کنترل خاص نبودند.

۴. تحقیقات و اقدامات اصلاحی: مرحله تثبیت‌شده

این حوزه قوی‌ترین بخش برنامه شهرداری است. وجود «دستورالعمل اداری کلاهبرداری و افشاگری» یک نقطه قوت است. «خط تلفنی ویژه گزارش کلاهبرداری» نیز به خوبی عمل می‌کند. این موارد نشان از یک فرآیند تثبیت‌شده دارد. نظرسنجی‌ها نیز این موضوع را تایید می‌کند. ۸۳ درصد مدیران معتقد بودند کانال روشنی برای گزارش نگرانی‌ها وجود دارد. با این حال، دستورالعمل موجود از سال ۲۰۱۷ بازنگری نشده و باید به‌روزرسانی شود.

۵. فعالیت‌های نظارتی مدیریت ریسک کلاهبرداری: مرحله پایه

شهرداری فاقد ابزارهای گزارش‌دهی یا داشبوردهای سازمانی است. این ابزارها برای نظارت بر اثربخشی تلاش‌های مدیریت ریسک کلاهبرداری لازم هستند. اگرچه داشبوردی برای گزارش‌دهی و تحقیقات وجود دارد، اما ابزاری جامع وجود ندارد. ابزاری برای ردیابی تکامل ریسک‌ها، اثربخشی کنترل‌ها و کارایی کلی برنامه نیاز است.

چرا مدیریت ریسک کلاهبرداری اهمیت دارد؟

بدون یک برنامه مدون مدیریت ریسک کلاهبرداری، شهرداری آسیب‌پذیرتر می‌شود. این آسیب‌پذیری در برابر فعالیت‌های متقلبانه و رفتارهای غیراخلاقی است. آموزش ناکافی می‌تواند منجر به گزارش نشدن حوادث شود. زیرا کارکنان نقش و مسئولیت خود را نمی‌دانند. عدم نظارت نیز باعث می‌شود سازمان نتواند تکامل ریسک‌ها و عملکرد برنامه خود را ارزیابی کند.

۵ توصیه کلیدی برای بهبود مدیریت ریسک کلاهبرداری

بر اساس یافته‌ها، پنج توصیه اصلی به مدیریت شهرداری ارائه شده است:

1. توصیه ۱: تدوین یک برنامه جامع مدیریت ریسک کلاهبرداری با تعیین مالک، اسناد راهنما، نقش‌ها، مسئولیت‌ها و شاخص‌های کلیدی عملکرد.
2. توصیه ۲: تعریف رسمی آستانه تحمل ریسک کلاهبرداری (Risk Appetite) شهرداری.
3. توصیه ۳: توسعه و اجرای آموزش آگاهی از کلاهبرداری برای همه کارکنان.
4. توصیه ۴: ایجاد روش‌های ارزیابی ریسک برای شناسایی، کنترل و نظارت بر ریسک‌های کلاهبرداری.
5. توصیه ۵: بازنگری و به‌روزرسانی «دستورالعمل اداری کلاهبرداری و افشاگری» با همکاری دفتر حسابرس شهر.

مدیریت شهرداری تمام توصیه‌ها را پذیرفته است. آنها متعهد به اجرای آن‌ها تا پایان سال ۲۰۲۵ شده‌اند.

منبع: این مقاله بر اساس گزارش حسابرسی داخلی یک شهرداری تهیه شده است.