Specyfika samooceny ryzyka nadużyć
Data: 6 lutego 2012 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Skuteczne przeprowadzenie samooceny ryzyka nadużyć jest zadaniem szczególnym w porównaniu do pozostałych typów ryzyka. Jest ono na tyle specyficznym typem, że nawet samooceny ryzyka operacyjnego, którego przecież jest składową, nie adresują go w wystarczającym stopniu.
Wynika to przede wszystkim z faktu, że w przeciwieństwie do większości ryzyk, z jakimi ma na co dzień do czynienia firma, nadużycia nie są zdarzeniem całkowicie obiektywnym i nie wynikają bezpośrednio z niezależnych od organizacji okoliczności. Oczywiście sprzyjają im błędy, zaniedbania, lekkomyślność itd., ale samodzielnie nie wystarczą one do zaistnienia przypadku nadużycia. Niezbędnym “dodatkiem” do niego jest świadomy, nakierowany na konkretny cel oraz wykorzystujący okazję sprawca.
Jakie zatem cechy specyficzne ryzyka nadużyć należy bezwzględnie uwzględnić przy dokonywaniu jego analizy i oceny? Oto krótkie zestawienie najważniejszych z nich:
- zagrożenia związane z nadużyciami trzeba zawsze rozpatrywać w kontekście świadomego, celowego działania, nakierowanego na przełamanie mechanizmów kontrolnych;
- nieodłączną cechą tego rodzaju incydentów jest usiłowanie ukrycia faktu ich wystąpienia, co należy uwzględnić przy ocenie efektywności przede wszystkim kontroli detekcyjnych;
- schematy działania oparte na współdziałaniu oraz na przełamaniu / obejściu mechanizmów kontrolnych przez osoby posiadające odpowiednie uprawnienia mogą nie poddawać się standardowym kontrolom;
- ekspozycja na ryzyko jest wypadkową oceny takiej sytuacji przy niewystarczającym zadziałaniu mechanizmów kontrolnych oraz przy ich całkowitym przełamaniu;
- w przypadku nadużyć należy liczyć się z całkowitą nieskutecznością kontroli kompensacyjnych;
- analiza przypadków materializacji ryzyka wymaga uwzględnienia w niej wymogu posiadania informacji i danych niezbędnych do przeanalizowania przypadku oraz mogących służyć jako materiał dowodowy w postępowaniu sądowym;
- przypadków nadużyć nie mnożna rozpatrywać w oderwaniu od ich sprawców – istotne jest więc przeanalizowanie posiadanych o pracownikach informacji w kontekście choćby trójkąta Cresseya.
Powyższe zestawienie jest jedynie zasygnalizowaniem podstawowych elementów niezbędnych do uwzględnienia w dobrze przygotowanej i przeprowadzonej ocenie ryzyka nadużyć. Szersza charakterystyka poszczególnych elementów oraz dodatkowe wskazówki i komentarze nt. specyfiki przeprowadzania samooceny ryzyka nadużyć Czytelnicy będą mogli znaleźć w tekście mojego autorstwa, jaki ukaże się w najbliższym numerze „Business Security Magazine”.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.