Billed Around the Clock
Hai năm trước, Future Energy Corp. (FEC), có trụ sở tại Phần Lan, quyết định rằng cần có sự linh hoạt và cắt giảm chi phí, vì vậy họ đã thay đổi hình thức thanh toán dịch vụ từ phí cố định sang phí theo giờ và triển khai một hệ thống CNTT để theo dõi giờ làm việc. Future Power, một công ty con của FEC, phụ thuộc rất nhiều vào BX Solutions OY, một công ty con của BX Ltd., để bảo trì và sửa chữa thiết bị sản xuất của mình. Sau khi FEC tiến hành đánh giá rủi ro hàng năm đối với các công ty con của mình, bộ phận kiểm toán nội bộ quyết định lên lịch đánh giá quy trình bảo trì và sửa chữa thiết bị.
Cuộc kiểm toán cho thấy Future Power phụ thuộc rất nhiều vào BX Solutions OY và thiếu cạnh tranh trong khu vực. Báo cáo kiểm toán cũng nêu rõ nguy cơ tiềm ẩn về gian lận do lập hóa đơn quá mức vì việc xác minh số giờ do nhân viên BX Solutions OY báo cáo không đầy đủ. Công ty con thuê văn phòng cho nhân viên của mình tại trụ sở của Future Power, do đó nhật ký từ hệ thống ra vào không cung cấp thông tin chi tiết về việc nhân viên của họ đang làm việc trên thiết bị của Future Power hay thực hiện các nhiệm vụ khác. Nhóm kiểm toán kết luận rằng có rủi ro về việc lập hóa đơn quá mức, nhưng không thể cung cấp bằng chứng. Ban quản lý Future Power đã chọn chấp nhận rủi ro và tuyên bố không cần các biện pháp kiểm soát bổ sung. Các kiểm toán viên nội bộ khẳng định là phải có và đã leo thang vấn đề lên hội đồng quản trị của FEC. Cuối cùng, như một sự thỏa hiệp, ban quản lý Future Power đã chỉ định một nhân viên để kiểm tra độc lập số giờ do BX Solutions OY báo cáo.
Một năm sau, Giám đốc điều hành (CEO) của Future Power đã gửi email cho Alicia Cohen, quản lý kiểm toán của FEC, sau khi ông nhận được một lá thư từ BX Ltd.: ""Tôi chuyển tiếp cho bạn một lá thư kỳ lạ từ đối tác bảo trì và sửa chữa chính của chúng ta, BX Ltd. Tôi đã nói với họ rằng bạn sẽ xử lý việc này.""
Cohen khó có thể tin những gì cô đọc được trong lá thư được chuyển tiếp. BX Ltd. báo cáo rằng công ty con địa phương của họ đang gian lận FEC:
“Do sai sót và hành vi sai trái, số giờ làm việc đã bị tính quá kể từ lần gia hạn hợp đồng gần nhất của chúng tôi. Biện pháp khắc phục đã được thực hiện và một khoản tín dụng trị giá 2,3 triệu euro (2,7 triệu đô la) sẽ được phát hành ngay lập tức cho quý vị. Chúng tôi đề xuất xem xét thường xuyên để đảm bảo quy trình ghi giờ làm việc hiệu quả trong tương lai.”
Nhóm kiểm toán cảm thấy mình đã đúng. Rủi ro gian lận tiềm ẩn mà họ đã mô tả với ban quản lý một năm trước đã xảy ra. Nhóm bắt đầu điều tra xem việc lập hóa đơn quá mức đã xảy ra như thế nào.
Ban đầu, BX Ltd. đã sẵn lòng hợp tác. Thông qua các cuộc họp trực tuyến, đại diện tuân thủ của BX Ltd., Pierre Brodeur, giải thích rằng cuộc điều tra của họ được kích hoạt bởi một khiếu nại nặc danh từ người tố giác tại BX Solutions OY. Cuộc điều tra tiết lộ rằng tiền thưởng cho ban quản lý của BX Solutions OY phụ thuộc vào lợi nhuận của hợp đồng bảo trì và sửa chữa của Future Power, vì đây là khách hàng lớn nhất và quan trọng nhất của họ trong khu vực. Sự thay đổi từ định giá cố định sang hệ thống dựa trên giờ làm việc khiến ban quản lý của BX Solutions OY lo ngại về mức lợi nhuận, vì vậy nhân viên đã được hướng dẫn tính tiền Future Power cho số giờ làm việc càng nhiều càng tốt. Sau khi kết thúc cuộc điều tra nội bộ, ban quản lý của BX Solutions OY và những nhân viên tham gia vào kế hoạch này đã bị sa thải.
Brodeur đã chuyển giao các bảng chấm công nội bộ của nhân viên BX Solutions OY tham gia vào các hoạt động bảo trì và sửa chữa. Các kiểm toán viên nội bộ của FEC đã so sánh các bảng chấm công với số giờ đã lập hóa đơn, xác định số giờ bị tính quá, và nhân sự khác biệt với đơn giá theo giờ để tính giá trị của số giờ đó. Khi nhóm điều tra của FEC báo cáo một số tiền cao gấp hai lần so với 2,3 triệu euro, sự hợp tác giữa các bên đã kết thúc. BX Solutions OY đã đánh lừa nhóm tuân thủ của BX Ltd., tuyên bố rằng giá sửa chữa vẫn được tính theo mức cố định, vì vậy bộ phận tuân thủ của BX Ltd. đã tính số giờ tính quá cho các dịch vụ bảo trì và bỏ qua số giờ dành cho sửa chữa. Tuy nhiên, các kiểm toán viên nội bộ của FEC đã xem xét các điều khoản hợp đồng sửa chữa với cố vấn pháp lý và kết luận rằng việc sửa chữa cũng phải được tính theo giờ.
Việc đánh giá kiểm soát nội bộ không mất nhiều thời gian. Bộ phận kiểm toán nội bộ đã cố gắng đối chiếu bảng chấm công của nhân viên BX Solutions OY với số giờ ghi trong hệ thống, nhưng không có tên hoặc số hiệu nhân viên. Hơn nữa, nhân viên BX Solutions OY có thể ghi lại số giờ làm việc hàng tháng thay vì thường xuyên. Do đó, các giám sát viên của Future Power đã phát hành và chấp nhận các lệnh làm việc mà không biết có bao nhiêu người có mặt tại địa điểm vào bất kỳ ngày cụ thể nào.
p>Phân tích các lệnh sản xuất trong hai năm qua cho thấy hơn 40% chi phí bảo trì hàng năm là dành cho việc kiểm tra trực quan thiết bị thường xuyên. Không thể xác định liệu các cuộc kiểm tra có thực sự được thực hiện hay không vì không có giấy tờ chứng minh.Mặc dù Future Power đã chỉ định một nhân viên thực hiện kiểm tra độc lập số giờ làm việc do BX Solutions OY báo cáo vào năm trước, nhưng ban quản lý đã không liên lạc với nhân viên đó để xác định xem họ có các công cụ phù hợp để thực hiện các kiểm tra đó hay không. Nhân viên này bị quá tải với các nhiệm vụ khác và thích giữ một thái độ kín đáo, không can thiệp, kiểm soát hoặc đề xuất cải tiến.
Future Power cuối cùng đã nhận được 2,3 triệu € từ BX Ltd. và nộp đơn tranh chấp pháp lý để đòi thêm các khoản tiền còn nợ.
Lessons Learned
Khi nói đến việc mua các dịch vụ tính theo giờ—luật sư, nhà phát triển CNTT, chuyên gia tư vấn—các tổ chức thường bị tính quá giờ bao nhiêu lần? Làm thế nào một tổ chức có thể tìm thấy sự cân bằng phù hợp giữa tin tưởng và kiểm soát? Các tổ chức có nguy cơ chơi trò ""bắt cóc bỏ dĩa"" với các nhà thầu trừ khi môi trường khuyến khích báo cáo trung thực về số giờ đã làm. Vai trò của kiểm toán nội bộ là xem xét quy trình xác thực giờ và xác định xem giờ có thể được xác minh hay không, ít nhất là ở một mức độ hợp lý.
Các nhà quản lý cấp điều hành thường bị choáng ngợp bởi các vấn đề hàng ngày quan trọng, vì vậy rất khó để khiến họ quan tâm đến rủi ro gian lận tiềm ẩn. Khi họ đọc một báo cáo kiểm toán nội bộ nêu lên một dấu hiệu cảnh báo về một điều gì đó chưa xảy ra—nhưng có thể xảy ra—họ có thể không quan tâm hoặc không hiểu được mức độ nghiêm trọng của rủi ro. Thay vì chỉ ra sự thiếu quan tâm, các kiểm toán viên nội bộ nên đề xuất các biện pháp kiểm soát bổ sung hoặc nỗ lực đạt được một thỏa hiệp đáp ứng cả hai bên.
Sự hợp tác với một nhà thầu mà thừa nhận gian lận khó có khả năng xảy ra thường xuyên—nếu có. Nếu nhà thầu đã quyết định số tiền bồi hoàn, mọi lời hứa hợp tác có thể chỉ là những tuyên bố suông. Ngoài ra, kiểm toán nội bộ nên ghi nhớ rằng có khả năng có một lý do cụ thể tại sao một nhà thầu muốn thừa nhận gian lận. Trường hợp tốt nhất là nhà thầu xấu hổ về những phát hiện của mình và muốn tránh tiếng xấu. Trường hợp xấu nhất là họ đang cố gắng che đậy điều gì đó lớn hơn nhiều và muốn tự nguyện trả lại một phần nhỏ những gì đã bị đánh cắp từ công ty để tránh kiện tụng và truy tố.
Khi hoàn cảnh yêu cầu kiểm toán nội bộ cộng tác với các bên bên ngoài, nơi các điều kiện hoặc thông tin khác được trao đổi, nên có sự tham gia của cố vấn pháp lý để tránh bất kỳ thiệt hại không mong muốn nào cho công ty, chẳng hạn như tiết lộ thông tin bí mật. Điều quan trọng là kiểm toán nội bộ phải biết khi nào nên lùi lại với vai trò là một đối tác đáng tin cậy.
