Na 20-tą rocznicę opublikowania dokumentu „Kontrola wewnętrzna – zintegrowana struktura ramowa” COSO szykuje pierwszą aktualizację tego kamienia milowego w obszarze nadzoru korporacyjnego. W chwili obecnej dostępny jest publiczny draft znowelizowanego dokumentu, do którego zainteresowani mogą zgłaszać swoje uwagi – aż do końca marca 2012.

Nowa wersja dokumentu jest szczególnie interesująca dla środowiska walki z nadużyciami, ponieważ problem nieprawidłowości doczekał się wreszcie poczesnego miejsca w nowym dokumencie. Oczywiście ryzyko nadużyć było także w jakimś stopniu zaadresowane w aktualnej wersji tekstu z 1992 roku, ale było ono prezentowane przede wszystkim w kontekście fałszywej sprawozdawczości finansowej (nic w tym dziwnego biorąc pod uwagę, że COSO było komitetem specjalnym Komisji Treadwaya, powołanej do walki z tym właśnie problemem).

Zanim jednak przejdziemy do krótkiego omówienia, co znowelizowane COSO stanowi w temacie nadużyć, warto zwrócić uwagę na całkowicie nową strukturę dokumentu. Został on bowiem zorganizowany w formie bazowych 17 Zasad, adresujących atrybuty modelowego systemu kontroli wewnętrznej. Zasady te wpisane są w dotychczasowe pięć kluczowych komponentów kontroli wewnętrznej.

Ryzyko nadużyć zostało w tej edycji potraktowane wyjątkowo, ponieważ dedykowano mu odrębną Zasadę (Principle 8: Assesses Fraud Risk), podczas gdy wszystkie pozostałe ryzyka muszą zadowolić się przynależnością do jednej Zasady, dotyczącej identyfikacji i analizy ryzyk. Jak zauważono w treści dokumentu, ocena każdego innego rodzaju ryzyka jest dokonywana przy założeniu zgodności wszystkich uczestników procesów biznesowych z przyjętymi standardami etycznymi. Ryzyko nadużyć należy zaś rozpatrywać przy  założeniu przeciwnym.

Zasada 8 opisuje ryzyko nadużyć w dwóch podstawowych ujęciach: przedmiotowym i podmiotowym. Po pierwsze, prezentuje podstawowe zasady oceny ryzyka nadużyć w trzech obszarach, tożsamych z typologią nadużyć wg ACFE, tj. fałszywą sprawozdawczością, sprzeniewierzeniem aktywów (tutaj postrzeganym przez pryzmat bezpieczeństwa aktywów) oraz korupcją. Po drugie, zwraca uwagę na sprawców nadużyć, nawiązując do trójkąta Cresseya. Podstawową różnicą jest to, że zamiast trzech modelowych czynników (presji, okazji i racjonalizacji), bazuje na dwóch: okazji oraz podejściu i racjonalizacji. Model pomija zatem – bądź co bądź, ważną – kwestię motywu, jaki popycha sprawcę do popełnienia nadużycia.

Problem nadużyć jest zauważany także przy innych Zasadach, przewijając się przez całą „kostkę” COSO. Punktem wyjścia jest oczywiście środowisko kontrolne, gdzie szczególnie akcentowane są kwestie integralności i etyki (Zasada 1). Następnie adresowana jest –  pominięta w Zasadzie 8 –  presja, potencjalnie skutkująca popełnieniem nadużycia – podkreśla się bowiem, że określanie odpowiedzialności i wyznaczanie celów (Zasada 2) powinny być zorganizowane w taki sposób, aby w celu ich realizacji nie trzeba było uciekać się do nieuczciwych działań. Ryzyko nadużyć zajmuje także ważne miejsce w ustalaniu i organizacji działań kontrolnych (Zasada 10) oraz implementacji mechanizmów kontrolnych w systemach informatycznych (Zasada 11). Wreszcie podkreślana jest konieczność odpowiedniej komunikacji problemu nieprawidłowości tak wewnątrz (Zasada 14), jak i na zewnątrz organizacji (Zasada 15).

Z perspektywy problemu nadużyć należy zatem aktualizację „Zintegrowanej struktury ramowej” ocenić stosunkowo pozytywnie. Należy jednak zauważyć, że w kwestii zaadresowania tego ryzyka zabrakło w dokumencie wyraźnego odniesienia do kwestii reakcji na tego typu incydenty – zawarta bowiem w Zasadzie 7 generalna koncepcja odpowiedzi na ryzyko nie przystaje w pełny sposób do problemu celowych działań o nieetycznym charakterze (zawiera ona bowiem jedynie standardowe opcje akceptacji, unikania, redukcji oraz transferu ryzyka). O ile bowiem praktycznie wszystkie pozostałe rodzaje ryzyka da się zmitygować poprzez decyzje organizacyjne i procesowe, to w przypadku nadużyć i kwestii ich zapobiegania i wykrywania – nie da się zaadresować jej skutecznie bez wzięcia pod uwagę czynnika ludzkiego.