Mýty o podvodoch vo firmách (a čo na to realita)

Podvody v organizáciách sa málokedy začínajú veľkolepo. Častejšie sú výsledkom drobných pokusov, ktoré „vďaka“ slepým miestam v procesoch prejdú bez povšimnutia. 

Údaje z posledných rokov sú pritom konzistentné: typická organizácia stratí v dôsledku podvodov približne 5 percent ročných tržieb, mediánová strata jedného prípadu je 145 000 USD a schémy podvodov sa odhaľujú s mediánom 12 mesiacov od ich začatia.

(Zdroj: ACFE 2024: Occupational Fraud 2024 – Report to the Nations)

Štatistiky sú neúprosné a praktické skúsenosti potvrdzujú, že otázka nie je „či“, ale „kedy“ sa ľubovoľná organizácia stane cieľom pokusu o podvod – či už vedený z externého prostredia, alebo páchaný interne, vlastnými zamestnancami alebo manažmentom. Napriek tomu sa v praxi traduje celý rad mýtov, ktoré firmám bránia nastaviť účinnú prevenciu. 

Dôvera je základ tímu, ale bez kontrol sa z nej stáva otvorená brána. Podvod spravidla nevznikne tam, kde vládne nedôvera, ale tam, kde chýba jednoduché pravidlo „dôveruj, ale preveruj“. Keď sa spoliehame na dobré úmysly namiesto funkčných kontrol, vytvárame tak príležitosti, ktoré nik nemusí dlho hľadať.

Páchateľ nebýva karikatúra „zlého človeka“. Najčastejšie je to bežný zamestnanec, na ktorého je vyvíjaný nezvyčajný tlak a ktorý vidí dieru v procese, a tak si nájde ospravedlnenie, že ak je taká možnosť, prečo ju nevyužiť. Stačí, ak sa stretnú tri faktory – tlak, príležitosť a racionalizácia – a systém bez bŕzd zlyhá.

Tabuľky a reporty samy osebe podvod neodhalia. Čísla zachytia len to, čo do nich niekto vpísal. Rozhodujú prístupy, výnimky a správanie – drobné signály, ktoré sa do excelov často nedostanú. Preto funguje kombinácia dátových testov s kontrolou prístupových práv a obyčajnými, no poctivými „dvoma pármi očí“. Ani vedenie nie je automaticky najpevnejšia hrádza. Tam, kde je najviac právomocí, je aj najľahšie obísť pravidlá. Silné mechanizmy musia platiť rovnako pre manažérov, ako pre zvyšok firmy – vrátane nezávislých kontrol, deklarácií konfliktu záujmov a auditu všetkých výnimiek.

Pokiaľ ide o vzťahy s tretími stranami – spoliehať sa len na zbežnú znalosť dodávateľa zo strany nákupcu alebo na „dobré slovo“ klienta je pohodlné, no je to ilúzia kontroly. Realita si vyžaduje pár jednoduchých návykov: poznať skutočných vlastníkov, overovať sankcie, pri každej zmene (IBAN-u, kontaktných osôb, vlastníckej štruktúry či pri skokových zmenách objemu) vykonať rýchlu previerku, vyžadovať (a reálne vyhodnocovať) deklarácie konfliktu záujmov, viesť register darov a mať pravidlo „recuse & rotate“ (vylúčenie z danej transakcie, striedanie rolí).

Tak isto ani najlepšie nastavené zmluvy s tretími stranami nechránia pred imitáciou identity ani pred sociálnym inžinierstvom. Zmena IBAN-u v „urgentnom“ e‑maile, presvedčivý telefonát či dokonca umelou inteligenciou zmanipulovaný videocall dokážu prejsť aj cez rozsiahle kontroly, ak chýba disciplína v jednoduchých krokoch: vždy treba overiť zmenu iným kanálom, nikdy neplatiť len na základe e‑mailu a bez výnimiek sa držať schvaľovacích pravidiel.

A v neposlednom rade – smernice a kódexy majú hodnotu iba vtedy, keď sa využívajú v každodennej praxi.

Kľúčom je kombinácia praktických kontrol, kultúry a práce s údajmi. Začnite tam, kde je návratnosť najvyššia: segregácia a rotácia v kritických procesoch, dôveryhodná speak‑up kultúra, overovanie zmien platobných údajov, štandardy IT bezpečnosti a krátke scenárové tréningy. Realita je náročnejšia než mýty – ale dôslednosťou a systematickým prístupom sa dá zvládnuť aj bez obrovských nákladov a zbytočnej byrokracie.