Niemal 15 lat po uchwaleniu amerykańskiej ustawy Sarbanesa-Oxleya (SOX) przedsiębiorstwa nadal mają problemy ze stworzeniem mechanizmów uniemożliwiających pracownikom popełnianie oszustw.
Według raportu „Global profiles of the fraudster” („Profil korporacyjnego oszusta”) za rok 2016, opracowanego przez firmę konsultingową KPMG, wyłącznie w ubiegłym roku firmy z całego świata utraciły średnio 5% przychodów z powodu oszustw, z których 65% zostało popełnione przez pracowników, a 21% przez byłych pracowników. Zdaniem Briana Jensena, dyrektora ds. rozwiązań biznesowych w firmie KPMG, głównymi przyczynami problemów są niewystarczające mechanizmy kontrolne i wysokie koszty ich rozbudowy.
Na przykład wkrótce po wejściu w życie ustawy SOX, na zapewnienie zgodności z artykułem 404, dotyczącym wewnętrznych mechanizmów kontrolnych i procesów raportowania finansowego, przedsiębiorstwa średniej wielkości wydawały od 4,36 mln do 7,8 mln USD rocznie, a duże przedsiębiorstwa ponad 10 mln USD rocznie (według raportu „Economic Impact of SOX”).
Większość kosztów wynikała z konieczności zaprojektowania i wdrożenia nowych mechanizmów kontroli wewnętrznej i zarządzania nimi. W celu wdrożenia tych mechanizmów przedsiębiorstwa dokonały zakupu nowych pakietów oprogramowania wspomagającego nadzór, zarządzanie ryzykiem i zarządzanie zgodnością z przepisami (ang. governance, risk and compliance — GRC). Jednak to nie cena oprogramowania okazała się źródłem największych kosztów. Skonfigurowanie narzędzi GRC było bardzo pracochłonne, ponieważ takie funkcje trzeba było wbudować w lokalne aplikacje ERP. Wprowadzanie nowych mechanizmów kontrolnych do dotychczasowych złożonych procesów biznesowych wymaga rozbudowanej analizy, testów kontrolnych i przeglądów, aby zapewnić dostęp do systemów finansowych firmy odpowiednim osobom i we właściwy sposób określić zakres możliwych działań podejmowanych po uzyskaniu przez nie informacji.
Ponadto przedsiębiorstwa stawały przed koniecznością zakupu sprzętu i innych elementów infrastruktury niezbędnych do obsługi narzędzi GRC, czyli m.in. serwerów i miejsca w centrach przetwarzania danych.
„Przedsiębiorstwa do tej pory tak naprawdę nie zajmowały się zarządzaniem ryzykiem. Zarządzały serwerami obsługującymi rozwiązania GRC” — powiedział Brian Jensen. „Poświęcały czas na ich instalowanie i konfigurowanie, a także wprowadzanie uaktualnień i poprawek, a w końcu wymianę, mniej więcej raz na trzy, cztery lata”. Większość ról i mechanizmów kontrolnych wprowadzonych pierwotnie w przedsiębiorstwie nie była aktualizowana przez wiele lat. Corey West, główny księgowy firmy Oracle, powiedział: „Osiągnęliśmy punkt krytyczny. Najwyższy czas, by dokonać inwentaryzacji wszystkich dostępnych mechanizmów kontroli finansowej, a następnie je zaktualizować”.
I teraz pojawia się pytanie: czy firmy powinny zaktualizować mechanizmy GRC w ramach lokalnych aplikacji ERP, czy przenieść te narzędzia do chmury? Aby pomóc klientom w podjęciu tej decyzji, prezentujemy trzy argumenty przemawiające za tym drugim rozwiązaniem.
1. Większa automatyzacja
Projektowanie, odwzorowywanie i testowanie mechanizmów kontroli ryzyka jest bardzo pracochłonne — wymaga szczegółowego przeglądania zawartości różnych arkuszy kalkulacyjnych i dostępu do danych z wielu lat. Dlatego większość przedsiębiorstw czyni niezbędne kroki umożliwiające zachowanie zgodności z przepisami, ale niechętnie zajmuje się zmianą istniejących mechanizmów kontrolnych w celu dostosowania ich do wewnętrznych procedur i struktury organizacyjnej. Rozwiązanie chmurowe ma większość powyższych procesów już skonfigurowanych.
2. Niższe koszty infrastruktury, konserwacji i pracy
Oprócz serwerów, oprogramowania i przestrzeni w ośrodku obliczeniowym, niezbędnych do działania narzędzi GRC, największym źródłem kosztów są pracownicy niezbędni do obsługi takiej infrastruktury. Według firmy analitycznej SMB Group aż 50% kosztów obsługi oprogramowania ERP działającego w siedzibie przedsiębiorstwa to wynagrodzenie dla personelu informatycznego. W przypadku środowiska przetwarzania w chmurze wskaźnik ten może osiągnąć wartość 1%, a nawet mniej.
3. Skuteczniejsze mechanizmy kontroli
Ponieważ większość narzędzi do zarządzania ryzykiem znajduje się w arkuszach kalkulacyjnych zarządzanych przez wielu właścicieli z różnych działów przedsiębiorstwa, wszystkie pliki tego rodzaju muszą zostać zaktualizowane i skonsolidowane przed ich udostępnieniem kierownictwu do przeglądu. Wykonanie tego procesu może zająć wiele tygodni, dlatego firmy często rezygnują z przewidywania ryzyka i po prostu reagują na konkretne zdarzenia. Natomiast działające w chmurze narzędzia GRC są regularnie aktualizowane i zawierają najnowsze funkcje, dzięki czemu pozwalają firmom szybko identyfikować czynniki ryzyka i podejmować działania naprawcze jeszcze przed wystąpieniem problemów.
Autorką artykułu jest Sasha Banks-Louie z Oracle
Ilustracja: iStockphoto
Przeczytaj artykuł na Forbes Brand Voice
Udostępnij na LinkedIn
Subskrybuj:
Komentarze do posta (Atom)
Brak komentarzy:
Prześlij komentarz