Ein neues Modell zur Bewertung des Betrugsrisikomanagements

Lassen Sie mich ein neues Modell zur Bewertung der Betrugsrisikominderung vorstellen. Bevor Sie meinen Weblog lesen, denken Sie daran, dass Sarkasmus intestine ist, wenn er Sie zum Nachdenken anregt. Denken Sie an unser Thema, hinter die Kulissen zu schauen. Den Vorhang bilden die aktuellen professionellen Prüfungsstandards.

Lassen Sie uns zunächst den historischen Ansatz zur Bewertung der Betrugsrisikominderung diskutieren. Ich denke, ein Bild kann mehr sagen als eine Million Worte:

Nun zu den Millionen Wörtern:

Bewerten Sie die Anfälligkeit eines Unternehmens oder Prozesses für betrügerische Aktivitäten, indem Sie nur die inhärenten Merkmale des Unternehmens und seiner Abläufe berücksichtigen, ohne interne Kontrollen zu berücksichtigen, die möglicherweise vorhanden sind, um dieses Risiko zu mindern; Im Wesentlichen handelt es sich dabei um das Potenzial für Betrug, das innerhalb eines Methods aufgrund seines Designs oder inhärenter Schwachstellen auf natürliche Weise auftreten kann.

Lassen Sie mich Ihnen sagen, was mir an dem alten Ansatz gefällt: Das Wort Schwachstellen. Ich bevorzuge natürliche Schwachstellen, aber ich nehme, was ich kriegen kann.

Lassen Sie mich Ihnen sagen, was mir an dem alten Ansatz nicht gefällt. „Ohne Berücksichtigung interner Kontrollen“. Das ist einfach dumm. Wenn interne Kontrollen der Zaun sind, der die Vermögenswerte schützt, dann gehen die Vermögenswerte logischerweise verloren, wenn es keinen Zaun gibt. Der Prozess zwingt den Prüfer quick dazu, die Wahrscheinlichkeit als hoch einzustufen.

Wenn Sie sich an die Prüfungsstandards der alten, alten Zeit (der 90er Jahre) erinnern, schätzten Prüfer die Fehlerwahrscheinlichkeit als hoch ein, ignorierten interne Kontrollen und verstärkten substanzielle Prüfungen. Irgendwann hat sich der Prozess weiterentwickelt und nun sind Prüfer verpflichtet, interne Kontrollen zu bewerten. Aber tun sie das?

Die aktuellen Prüfungsstandards zwingen Prüfer dazu, die Wirksamkeit interner Kontrollen zu prüfen und zu prüfen. Wenn die Kontrollen jedoch funktionieren, könnten wir von einem geringen Restrisiko für Betrug ausgehen. Außerdem besteht meiner Meinung nach ein inhärenter Druck, einen Weg zu finden, um zu suggerieren, dass die Wahrscheinlichkeit eines Betrugs gering ist. Schließlich ist eine hohe Wahrscheinlichkeit schlecht und eine niedrige Wahrscheinlichkeit intestine. Rechts? Eine andere Geschichte für einen anderen Tag.

Wenn das Restrisiko für Betrug hoch ist, brauchen wir dann zusätzliche Kontrollen? Oder sollte der Prüfer Prüfungstests durchführen, um Betrug aufzudecken? Die Verwirrung geht einfach weiter!

Lassen Sie mich Ihnen nun sagen, was wirklich schlecht an dem alten Prozess ist. Der Schwerpunkt liegt eher auf der Dokumentation als auf dem Verständnis des Betrugsrisikos. Der Schwerpunkt liegt auf der Einhaltung eines Requirements und nicht auf dem Verständnis des Betrugsrisikos. Soll ich weiter schimpfen? Was ist additionally die Lösung?

Die Lösung: die neue Methode zur Bewertung der Betrugsbekämpfung

Beginnen wir mit dem Satz „inhärente Merkmale des Unternehmens und seiner Abläufe“. Wenn Sie diesen Satz verstehen und das Geschäft verstehen, können Sie mir sagen, welche Angaben zum Betrugsrisiko related sind und welche nicht. Das heißt, es kann 20 verschiedene Varianten eines Geistermitarbeiters geben, aber viele davon wären für Ihr Unternehmen einfach nicht related. Bewerten wir additionally die relevanten Permutationen und nicht alle Permutationen.

Dabei beurteilen wir die Wahrscheinlichkeit eines Betrugsfalls anhand der Angemessenheit der Ausgestaltung des internen Kontrollsystems. Dann würden wir die Wirksamkeit der internen Kontrolle beurteilen, indem wir feststellen, ob die Kontrolle wie vom Administration geplant funktioniert. Es ist ein zweistufiger Prozess, aber um ehrlich zu sein, ist er so alt wie die Berge. Wenn Sie Joel Cramer kennen, können Sie ihm für diese beiden Fragen danken.

Jetzt verstehen wir, was nicht effektiv ist. Lassen Sie mich mein Modell zum Verständnis und zur Bewertung der Angemessenheit und Wirksamkeit der internen Kontrollen vorstellen.

Wenn Sie meine früheren Blogs gelesen haben, wissen Sie, dass es einen Unterschied zwischen einer Erklärung zum Betrugsrisiko und einem Betrugsszenario gibt. Um die Wahrscheinlichkeit richtig einzuschätzen, beginnen Sie mit der Angabe des Betrugsrisikos.

1. 1. Ermitteln Sie durch Brainstorming, wie und wo die Aussage zum Betrugsrisiko in Ihrem Geschäftsumfeld erfolgen könnte. Wenn es sich um eine IT-Sicherheitsüberprüfung handelte, könnte man diese IT-Penetrationsüberprüfung als „simulierten Cyberangriff auf Ihr Computersystem zur Überprüfung auf ausnutzbare Schwachstellen“ bezeichnen.
3. 2. Verstehen Sie, wie jemand die Aussage von begehen könnte Betrugsrisiko in Ihrem Geschäftsumfeld. Ich beschreibe dies als die „Wie und Wo“-Part. Eine treffendere Möglichkeit, diesen Schritt zu formulieren, besteht darin, die natürlichen Schwachstellen zu verstehen, die in Ihrer Geschäftsumgebung bestehen.
5. 3. Verstehen Sie die Verschleierungsstrategien der Täter. Lassen Sie es mich anders sagen: Wie erwecken Sie die Phantasm, dass eine Transaktion Ihren internen Kontrollen zu entsprechen scheint? Denken Sie daran, dass eine Schlüsselstrategie zur Minderung eines Betrugsrisikos darin besteht, sicherzustellen, dass Ihre internen Kontrollen den Strategien zur Verschleierung von Betrug überlegen sind.
7. 4. Erwerben Sie die notwendigen betriebswirtschaftlichen Kenntnisse. In meinem letzten Weblog haben wir die Bedeutung von Geschäftskenntnissen besprochen. Ich sagte, und ich wiederhole mich: Das Fehlen von Geschäftskenntnissen im Prozess der Betrugsrisikobewertung macht Ihre Bewertung zu einer akademischen Übung, um die Phantasm zu erwecken, dass Ihre Prüfung einem Commonplace entsprach. Hart, oder?
9. 5. Überlegen Sie, wie eine Betrugsrisikomeldung in Ihrem Unternehmen unentdeckt bleiben könnte.
10. Bewerten Sie die Wahrscheinlichkeit, dass in Ihrem Geschäftsumfeld ein Betrugsrisiko auftritt, basierend auf den internen Kontrollen, den Strategien zur Betrugsverheimlichung und Ihren Geschäftskenntnissen.

Wenn Sie diesen Prozess befolgen, verbessern Sie zumindest Ihr Verständnis darüber, wie Betrugsrisiken in Ihrem Unternehmen auftreten können. Als Wirtschaftsprüfer sind Sie besser auf das Betrugsrisiko bei Ihren Prüfungen vorbereitet.

Wissenswertes über Rudolph das rotnasige Rentier

In diesem Jahr jährt sich die Present zum 60. Mal, sie wurde auf NBC ausgestrahlt.

1. Wenn Rudolphs Nase heller wird, warum ist das ein Betrugsindikator?
2. Wer hat die Geschichte von Rudolph erfunden?
3. In welchem ​​Jahr wurde es erstellt?
4. Welches Kaufhaus warfare für die Geschichte verantwortlich?
5. Warum ist die Geschichte entstanden?
6. Wie hoch warfare das Price range für die Erstellung des Rudolph-Movies?

Antworten auf die Trivia des letzten Monats

1. In welchem ​​Jahrzehnt wurde die Betrugsrisikobewertung zum Konzept? 1980er Jahre
2. Was hat dazu geführt, dass die Verantwortung für die Betrugsprävention und -aufdeckung von den Prüfern auf das Administration verlagert wurde? Meine Antwort: Es kommt darauf an, wen Sie fragen. Ich sage das, weil in den Wirtschaftsprüfungsstandards der 80er Jahre festgelegt wurde, dass das Administration verantwortlich sei. Doch die Geschworenen gaben weiterhin den Prüfern die Schuld.
4. „Kodifizierung bewährter Company-Governance-Praktiken“ begann in welchem ​​Land? Großbritannien
5. Das „Comply or Clarify“-Prinzip hat seinen Ursprung in diesem Company-Governance-Dokument. Vereinigtes Königreich

Das „Comply or Clarify“-Prinzip ist ein Regulierungsansatz, bei dem von Unternehmen erwartet wird, dass sie sich entweder an eine Reihe von Richtlinien halten oder, falls sie sich gegen die Einhaltung entscheiden, öffentlich erklären, warum sie vom Commonplace abgewichen sind, sodass der Markt im Wesentlichen über die Gründe dafür entscheiden kann Nichteinhaltung statt direkter rechtlicher Strafen für die Nichteinhaltung der Regeln; Dieser Ansatz wird häufig in Company-Governance-Praktiken verwendet, um Unternehmen eine gewisse Flexibilität zu geben und sie dennoch für ihre Entscheidungen zur Rechenschaft zu ziehen. Ich magazine diesen Ansatz!

1. Was warfare zuerst da, das Huhn oder das Ei, oder in diesem Fall: Was warfare zuerst: Betrugsrisiko oder Betrugsrisikomanagement?

Nun, das Betrugsrisiko besteht seit Anbeginn der Welt. In den letzten Jahren veröffentlichte COSO 2016 seinen ersten Leitfaden zum Betrugsrisikomanagement, der später um weitere Schwerpunktbereiche aktualisiert und 2023 erneut veröffentlicht wurde

1. Für meine Akademiker: Unterscheidet sich das Betrugsrisiko ontologisch vom Betrugsereignis? WAHR.

Das Betrugsrisiko bezieht sich auf die Möglichkeit, dass eine betrügerische Handlung eintreten kann, was eine Möglichkeit ist, während das Betrugsereignis die tatsächliche Täuschung ist, die stattfindet, was sie zu einer konkreten Realität macht; Im Wesentlichen handelt es sich bei dem einen um eine potenzielle Bedrohung und beim anderen um ein realisiertes Ereignis.