Dla firm z sektora technologii i przemysłu IT nadużycia wewnętrzne nie są już jedynie zagrożeniem w tle – coraz częściej stają się realnym ryzykiem operacyjnym, które trudno wykryć i jeszcze trudniej przewidzieć. Najnowszy raport KPMG „Global profiles of the fraudster” nie pozostawia złudzeń: to nie outsiderzy, lecz doświadczeni, dobrze oceniani pracownicy z dostępem do wrażliwych danych i procesów odpowiadają za większość nieprawidłowości w organizacjach.
Schemat się powtarza. Statystyczny sprawca to mężczyzna w wieku 36–55 lat, z co najmniej sześcioletnim stażem w firmie, często na stanowisku operacyjnym lub kierowniczym. Zna procedury, ma dostęp do środków, a co najważniejsze – cieszy się zaufaniem, które skutecznie chroni go przed podejrzeniami. To pozwala mu przez długi czas działać bez ryzyka wykrycia.
Najczęstszym rodzajem oszustw pozostaje sprzeniewierzenie majątku – obejmujące defraudacje finansowe i manipulacje w obszarze zakupów. Aż 52% przypadków analizowanych przez KPMG mieści się w tej kategorii. Kolejne pozycje to fałszowanie dokumentacji (29%) oraz kradzież aktywów (24%). Dane te nie zaskakują – wskazują jednak na strukturalne problemy z kontrolą wewnętrzną i mechanizmami weryfikacji.
Co więcej, oszuści rzadko działają samotnie. W ponad połowie przypadków nadużycia były efektem działań grupowych – najczęściej 2–5 osób – a do współpracy w coraz większym stopniu angażowani są także partnerzy zewnętrzni, dostawcy czy usługodawcy. Oznacza to, że zagrożenia nie kończą się na granicach samej organizacji.
Szczególnie narażone na nadużycia są działy finansowe, operacyjne, zakupowe oraz biura zarządów – miejsca, gdzie łączą się dostęp do funduszy, uprawnienia decyzyjne i dogłębna znajomość procedur. Często to właśnie brak odpowiedniego nadzoru nad tymi obszarami sprawia, że pierwsze sygnały ostrzegawcze są ignorowane lub niezauważane.
Co istotne, niemal połowa sprawców nie miała w przeszłości żadnych wykroczeń ani sygnałów alarmowych w historii zatrudnienia. To podważa skuteczność klasycznych metod oceny ryzyka i wskazuje na konieczność ciągłej obserwacji zachowań i działań, niezależnie od dotychczasowej reputacji danej osoby.
Firmy coraz częściej sięgają po technologie wspierające compliance – od analizy danych po automatyzację audytów – ale to wciąż ludzie i kultura organizacyjna pozostają decydujące. Większość wykrytych przypadków nadużyć została zgłoszona przez sygnalistów lub inne nieformalne źródła, co dowodzi, jak ważne jest wspieranie środowiska sprzyjającego otwartości i odpowiedzialności.
Ograniczanie ryzyka nadużyć nie może być jednorazowym projektem – wymaga systematycznego podejścia, obejmującego nie tylko wdrożenie mechanizmów kontrolnych, ale też ich stałą ewaluację i dostosowanie do zmieniającego się otoczenia biznesowego. W erze cyfrowej odporność organizacji na nadużycia to nie tylko kwestia zabezpieczeń technologicznych, ale też inteligentnego zarządzania ludzkimi słabościami.
