تُشكّل عمليات الاحتيال الداخلي جزءًا كبيرًا من المخاطر التشغيلية التي تواجهها أي مؤسسة. وينطبق هذا بشكل أكبر على الشركات متعددة الجنسيات التي لديها مصالح تجارية في مختلف دول العالم. ويرجع ذلك إلى وجود آلاف الموظفين في مناصب مهمة يتخذون قرارات تجارية نيابةً عن الشركة. لذا، يُعدّ ضمان التزام جميع هؤلاء الموظفين دائمًا بمبادئ الشركة مهمةً صعبة.

برزت هذه القضية بقوة مع مطلع القرن العشرين. كما أبرزت فضيحة إنرون، التي هزت الاقتصاد العالمي بأسره في أوائل العقد الأول من القرن الحادي والعشرين، ضرورة وجود ضوابط داخلية سليمة في أي مؤسسة. ردًا على فضيحة إنرون، أصدرت حكومة الولايات المتحدة تشريعًا تاريخيًا يُعرف بقانون ساربينز أوكسلي (SOX). وبموجب أحكام هذا القانون، تتحمل إدارة الشركة ومدققو حساباتها مسؤولية مشتركة عن توثيق عمليات الرقابة الداخلية بوضوح واعتمادها.

أشارت الأبحاث إلى أن غياب الضوابط الداخلية المحددة بدقة هو السبب وراء أكثر من 50% من عمليات الاحتيال الداخلي في العالم. وبما أن كل شركة ملزمة بتوثيق هذه العمليات، فقد وضعت لجنة المنظمات الراعية (COSO) إطار عمل يمكن لجميع المؤسسات اتباعه لتطوير وتوثيق ضوابطها الداخلية. صُمم هذا النظام من قِبل خبراء، ويمكن لأي مؤسسة استخدامه لتعزيز جهودها في إدارة المخاطر. COSO هي لجنة تتألف من خمس جمعيات رئيسية.

ما هو إطار عمل COSO؟

طُوِّر إطار عمل COSO لأول مرة عام ١٩٩٢. وعلى مر السنين، خضع لعدة عمليات تكرار ومراجعة. يتميز النموذج بثلاثة أبعاد، ولذلك يُعرض غالبًا على مكعب.

البعد الأول: الوظائف

يذكر إطار عمل COSO الإجراءات التي يجب اتخاذها ضمن ثلاث وظائف مختلفة، وهي:

1. العمليات: يقترح إطار COSO دراسة عمليات المنظمة بشكل شامل من أجل تطوير الضوابط الداخلية

2. التقرير: يقترح إطار COSO أيضًا ضرورة تدقيق أي مصدر معلومات يُغذّي التقارير الداخلية أو الخارجية للتأكد من دقته. يجب أن تُجرى عمليات التدقيق هذه على فترات دورية، ويجب أن تضمن عمل نظام معلومات الشركة في الوقت المناسب وبطريقة موثوقة وشفافة.

3. التوافق: وأخيرا، يجب أن تتوافق أهداف الرقابة الداخلية مع القوانين واللوائح المختلفة التي من المفترض أن تتبعها الشركة.

الأبعاد الثانية: المستويات

يقترح إطار COSO تقسيم المنظمة إلى مستويات مختلفة لإدارة الضوابط الداخلية. وينبغي مراقبة الضوابط الداخلية باستمرار على مختلف المستويات، مثل مستوى الشركة الفرعية، ومستوى وحدة العمل، ومستوى القسم، ومستوى الكيان.

البعد الثالث: البيئة

1. البيئة الداخلية: تشير البيئة الداخلية للشركة إلى الثقافة التي تروج لها الإدارة العليا. أحد أسباب كارثة إنرون هو تسرب القيم غير الأخلاقية التي تروج لها الإدارة العليا إلى المستويات الإدارية الأدنى. ولهذا السبب، يُفترض بمجلس الإدارة، وكذلك الأطراف الخارجية، أن يراقبوا بدقة التزام الإدارة العليا بالحفاظ على بيئة داخلية خالية من الاحتيال في الشركة.

2. تقييم المخاطر: يشير هذا إلى نظام لتحديد وتصنيف مختلف أنواع المخاطر بشكل دوري. ينبغي أن تمتلك المؤسسة نظامًا لمسح بيئتها بحثًا عن الأسباب المحتملة التي قد تؤدي إلى الفشل في المستقبل.

3. أنشطة مكافحة: إجراءات الرقابة هي أنشطة تُحددها الإدارة للحد من التهديدات المحتملة. وتشمل هذه الأنشطة الموافقات والتسويات والتحقق، والتي تُنفذ لتحديد ما إذا كان هناك أي إغفال للمخاطر. وتساعد الضوابط الداخلية في تحديد عيوب النظام.

4. المعلومات والاتصالات: تتضمن هذه الخطوة بناء نظام تواصل داخلي قوي. هذا يعني أنه يجب على جميع الأطراف الداخلية توضيح مسؤولياتها. كما يجب توضيح التوقعات للأطراف الخارجية. ويجب وضع بروتوكولات لتصعيد أي مخاطر بين الأطراف الداخلية والخارجية لضمان سرعة حلها.

5. رصد: تتضمن الخطوة الأخيرة المراقبة المستمرة لجميع الخطوات المتخذة في الخطوات السابقة. ولا تقل أهمية مراقبة نظام الرقابة الداخلية أهميةً عن إنشائه.

يُشدد نموذج COSO على أن جميع المكونات الخمسة تعمل معًا كنظام متكامل. أي خلل في أي مكون سيؤثر على جميع المكونات الأخرى. تكمن الفكرة وراء هذا الإطار في توفير مجموعة من الأدوات التي يجب على كل شركة استخدامها. بعد ذلك، يُمكن لكل مؤسسة تحديد الأساليب التي ترغب في اتباعها للضوابط أو لإدارة المعلومات. يُسهّل النموذج الموحد تطبيق إدارة المخاطر نسبيًا.