Ettevõtte sisekontrollisüsteem on vajalik selleks, et avastada ja ennetada äritegevusega seotud riske, mis võivad avalduda nii firma enda töötajate kui äripartnerite tegevuse kaudu. Riskide adekvaatne juhtimine on äriühingu juhtkonna ülesanne, kuid selles tegevuses pakub neile tuge ka ettevõtte siseaudiitor, riskijuht või muu sisekontrollifunktsiooni täitev töötaja. Juhul kui selline funktsioon äriühingus puudub, on organisatsioon avatud tegevusega seotud riskide, sh pettuseriskide realiseerumisele.
Keskmiselt kaotab ettevõte pettuseriskide realiseerumise tõttu igal aastal oma käibest 5% (ACFE uuring: Report to the Nations 2012), kusjuures suurimat kahju kannatavad tavaliselt keskmise ja väikese suurusega organisatsioonid. Peamised põhjused on just selles, et väiksemad, sh alles kiires arenguetapis olevad äriühingud on oma ressursid suunanud põhitegevuse arendamisele ning puuduvad isegi elementaarsed riskiennetuse põhimõtted või kontrollid.
Samuti on ettevõtete juhtide hulgas levinud mitmed müüdid (Ernst & Youngi uuring Fraud: Six Myths That Hold Companies Back), mis võivad potentsiaalse probleemi tõsidust nende silmis ekslikult vähendada. Allpool on lühiülevaate mainitud müütidest.
1. Müüt: meie ettevõtte töötajad on usaldusväärsed ja pikaajalise töökogemusega, mistõttu ei ole reaalne, et nad panevad toime ebaseaduslikke tegusid.
Tegelikkus: 85% pettusejuhtumitest pannakse toime firma enda töötaja poolt, kusjuures enam kui pool teo toimepanijatest omavad juhtimisfunktsiooni.
2. Müüt: meie ettevõte on stabiilse töökultuuri ja personaliga, kus pole pettusejuhtumeid varem esinenud.
Tegelikkus: ligi pooltes ettevõtetes on esinenud pettusejuhtum, kuid ükski organisatsioon pole pettuste eest kaitstud. Nii ettevõtte suurenemise, majandustegevuse laienemise kui ka tehnoloogia arenguga on seotud uued riskid, mida olemasolev kontrollisüsteem ei pruugi maandada. Seega ei näita varasem pettusejuhtumite puudumine sarnase tendentsi jätkumist tulevikus.
3. Müüt: kui pettusejuhtum peaks aset leidma, avastatakse see kiiresti.
Tegelikkus: keskmine pettusejuhtumi avastamisaeg on 18 kuud (ACFE uuring: Report to the Nations 2012), kusjuures 70% organisatsioonidest ei ole oma töötajatele korraldanud mitte mingisuguseid koolitusi, mis käsitleks pettuse ennetamist ja avastamist (Ernst & Youngi uuring: 12th Global Fraud Survey). Seega on küsitav, kas äriühingutes on ka tegelikkuses olemas võimekus lühikese ajaga pettusejuhtumeid avastada.
Seega, hoidmaks ära ebaseadusliku tegevuse tulemusena tekkivat potentsiaalset kahju, on võimalike pettusejuhtumite esinemise ja neile reageerimisega seotud teadlikkuse ja kompetentsi tõstmine iga organisatsiooni jaoks kriitilise tähtsusega. Hea sisekontrollisüsteem ei tähenda alati ulatuslikke kontrolle, sh kõige ja kõigi jälgimist, vaid eelkõige eetilise ärikultuuri edendamist ja süstemaatilist lähenemist majandustegevust ohustavate riskide maandamisele.
Kõige tavapärasemad juhtumid, mis nõrga või olematu kontrollisüsteemiga ettevõtetes, sõltumata nende tegevusvaldkonnast, esinevad, on järgmised.
1. Risk: ettevõtte raha ja muu vara omastamine (nt kütuse- ja krediitkaartide kasutamine isiklikul otstarbel, seadmete omastamine).
Kontrolli nõrkus: ainult usaldusel põhinevad suhted, puudused ülesannete või kohustuste lahususe põhimõtetes, töötajate taustakontrollide tegemata jätmine (nt tuvastamaks varasemat kriminaalset käitumist).
Kontrolli nõrkus: ülevaate puudumine töötajate majanduslikest huvidest, konkurentsi- ja muude piirangute ning sanktsioonide puudumine.
3. Risk: ettevõtte andmebaaside kopeerimine või andmete kustutamine (nt klientide andmed, hinnainfo vm konfidentsiaalne informatsioon).
Kontrolli nõrkus: sobivate IT-kontrollide puudumine.
4. Risk: fiktiivsete dokumentide koostamine ja esitamine (nt lähetusega seotud dokumendid, jooksvad kütuse-, toitlustamis-, kontoritarvete jms kulud jne)
Kontrolli nõrkus: riske maandava kulude aktsepteerimiskorra puudumine, (kuludokumente esitab ja kinnitab sama isik, väljamaksete tegemisel ei kontrollita kulude tõepärasust).
Puudused sisekontrollisüsteemis võivad organisatsioonile ulatuslikku kahju tekitada või, tuginedes Eesti kohtupraktikale, halvemal juhul põhjustada ka ettevõtte pankrotti. Kuigi pettuseriskide ennetamistegevuse kaudu ärahoitud potentsiaalset kahju ei ole võimalik üksikasjalikult hinnata, on ilmselge, et pettuse teel tekitatud nii varaline kui mainekahju võivad olla kordi suuremad kui investeeringud preventiivmeetmetesse.
Lisaks käsitleti, Eesti Siseaudiitorite Ühingu juhatuse liikme ja Eesti Energia riskijuhi Heikko Mäe, poolt antud paneeldiskussioonisteemat „Ettevõtete sisekontrollisüsteemide nõrkused".