Γεφυρώνοντας το χάσμα μεταξύ εσωτερικού ελέγχου και ελέγχου απάτης

Του Θεοχάρη Χατζηγρηγορίου*

h.audit.services@gmail.com

Η σύγχυση μεταξύ του Εσωτερικού Ελέγχου και του Ελέγχου Απάτης είναι συχνή, ωστόσο πρόκειται για δύο διακριτές λειτουργίες με διαφορετική μεθοδολογία, σκοπό και φιλοσοφία. Τα νέα Global Internal Audit Standards (IIA, 2024), που τέθηκαν σε ισχύ τον Ιανουάριο 2025, αποσαφηνίζουν περαιτέρω τους ρόλους και τις ευθύνες. Oι καλύτερες δικλείδες ασφαλείας παραμένουν όσες έχουν να κάνουν με τη νοοτροπία και την κουλτούρα ενός οργανισμού ή ενός ατόμου. Επειδή οι τεχνικές ελέγχου αναγκαστικά προσαρμόζονται στο είδος της απάτης κατόπιν εορτής, η μόνη βιώσιμη λύση είναι η διαρκής εκπαίδευση και ενημέρωση.

1. Ο Κίνδυνος Εξελίσσεται

Ζούμε σε μια εποχή όπου οι επιχειρηματικοί κίνδυνοι εξελίσσονται ραγδαία. Η ψηφιοποίηση έχει αυξήσει την πολυπλοκότητα τόσο πολύ, που τα συστήματα εσωτερικού ελέγχου συχνά αγκομαχούν να προλάβουν τις εξελίξεις. Οι επίδοξοι απατεώνες βρίσκονται παραδοσιακά ένα βήμα μπροστά ακόμα και από τις πιο σύγχρονες τεχνικές ελέγχου. Σύμφωνα με την ACFE (OccupationalFraud 2024: A Reportto the Nations), οι οργανισμοί χάνουν κατ’ εκτίμηση το 5% των ετήσιων εσόδων τους λόγω απάτης, ενώ η μελέτη κατέγραψε απώλειες άνω των $3,1 δισ. σε 1.921 υποθέσεις από 138 χώρες. Η μέση διάρκεια ανίχνευσης μιας απάτης ανέρχεται σε 12 μήνες, γεγονός που υπογραμμίζει τη σημασία της πρόληψης.

Στο πλαίσιο αυτό, η ανάγκη για εξειδικευμένη εκπαίδευση μέσα από στοχευμένη εκπαίδευση και irregularity detection master classes, καθίσταται πιο επιτακτική από ποτέ. Στο επίκεντρο αυτής της συζήτησης βρίσκεται η αναγκαία αποσαφήνιση της σχέσης και των ορίων μεταξύ του τυπικού Εσωτερικού Ελέγχου (Internal Audit) και του Ελέγχου Απάτης (Fraud Audit).

2.Η Φύση του Κινδύνου και το Προφίλ του Δράστη

Για να κατανοήσουμε τον ρόλο του ελέγχου, πρέπει πρώτα να κατανοήσουμε την ανατομία της απάτης. Σύμφωνα με το κλασικό τρίγωνο της απάτης του Cressey (1953), για να συντελεστεί μια απάτη απαιτείται η συνύπαρξη τριών στοιχείων: της πίεσης (pressure), της ευκαιρίας (opportunity) και του εξορθολογισμού (rationalization). Το μοντέλο αυτό εξελίχθηκε αργότερα στον ρόμβο της απάτης των Wolf&Hermanson (2004), που πρόσθεσε έναν τέταρτο κρίσιμο παράγοντα: την ικανότητα (capability). Πρόσφατα, μοντέλα όπως το πεντάγωνο της απάτης (Marks, 2012) εισήγαγαν και πέμπτο στοιχείο: την αλαζονεία (arrogance), αναγνωρίζοντας ότι οι δράστες σε θέσεις εξουσίας συχνά πιστεύουν ότι είναι υπεράνω των κανόνων.

Ο σύγχρονος «ανάδοχος» της απάτης (fraudster) δεν ταιριάζει στα στερεότυπα. Σύμφωνα με τα δεδομένα της ACFE (2024), το 87% των δραστών είναι πρωτόπαρατοι χωρίς προηγούμενο ποινικό ιστορικό, ενώ το 84% εμφάνισε τουλάχιστον ένα behaviouralredflag πριν από τον εντοπισμό: η υπερβολική κατανάλωση σε σχέση με τα εισοδήματα (39%), οι οικονομικές δυσκολίες (27%) και οι στενές σχέσεις με προμηθευτές ή πελάτες (20%) αποτελούν τις πιο συχνές ενδείξεις. Συνήθως πρόκειται για ένα άτομο έξυπνο, αγαπητό, που αποκτά εύκολα την εμπιστοσύνη των γύρω του. Φαίνεται ως ένας σκληρά εργαζόμενος υπάλληλος που δεν εγκαταλείπει ποτέ τη θέση του, είναι πρόθυμος να βοηθήσει σε εργασίες που δεν τον αφορούν και σπάνια παίρνει άδειες. Παράλληλα, προσπαθεί να υψώνει «σινικά τείχη» (Chinesewalls), κάνοντας τη δουλειά του να μοιάζει με μαύρο κουτί, ώστε να πείσει ότι είναι αναντικατάστατος.

3. Η Ειδοποιός Διαφορά: Internal Audit vs. Fraud Audit

Η σύγχυση μεταξύ του Εσωτερικού Ελέγχου και του Ελέγχου Απάτης είναι συχνή, ωστόσο πρόκειται για δύο διακριτές λειτουργίες με διαφορετική μεθοδολογία, σκοπό και φιλοσοφία. Τα νέα Global Internal Audit Standards (IIA, 2024), που τέθηκαν σε ισχύ τον Ιανουάριο 2025, αποσαφηνίζουν περαιτέρω τους ρόλους και τις ευθύνες.

Ο Εσωτερικός Έλεγχος έχει επαναλαμβανόμενη συχνότητα και προγραμματισμένο χρόνο περαίωσης. Σκοπός του είναι η αξιολόγηση της επάρκειας των διαδικασιών και η έκφραση γνώμης για βελτίωση. Η έκτασή του είναι γενική, και βασίζεται σε τεχνικές εσωτερικού ελέγχου και δειγματοληψίας. Σύμφωνα με τα Global Internal Audit Standards (IIA, 2024), το Standard 9.4 (Internal Audit Plan) απαιτεί η λειτουργία εσωτερικού ελέγχου να λαμβάνει υπόψη τον κίνδυνο απάτης κατά τον σχεδιασμό του ελεγκτικού προγράμματος, ενώ το Standard 13.2 (Engagement Risk Assessment) υποχρεώνει τους εσωτερικούς ελεγκτές να εξετάζουν ειδικούς κινδύνους απάτης σε κάθε ελεγκτικό έργο. Στην παραδοσιακή αυτή μορφή ελέγχου, ο εσωτερικός ελεγκτής, ο οποίος πρέπει να είναι ηθικός και ανεξάρτητος, αναφέρεται στη διοίκηση μέσω της Ελεγκτικής Επιτροπής. Η νομική γνώση δεν θεωρείται απολύτως απαραίτητη, ενώ η τεκμηρίωση βασίζεται κυρίως σε έγγραφα (documentation) και walkthroughs.

Από την άλλη πλευρά, ο Έλεγχος Απάτης (Fraud Audit) είναι μια διαδικασία μη επαναλαμβανόμενη, μη προγραμματισμένη και, πολλές φορές, μπορεί να αποδειχτεί και μακροσκελής. Η έκταση της έρευνας είναι απολύτως ειδική, χρησιμοποιώντας τεχνικές έρευνας απάτης και στοχευμένη δειγματοληψία. Ο ελεγκτής απάτης αναφέρεται απευθείας στην Ανώτατη Διοίκηση και η τεκμηρίωση του φακέλου του απαιτεί ισχυρά αποδεικτικά στοιχεία και έγγραφες παραδοχές. Ο χαρακτήρας του ελεγκτή απάτης έχει κάποια συγκεκριμένα χαρακτηριστικά: πρέπει να κερδίζει την εμπιστοσύνη, να μην έρχεται σε διένεξη, να είναι υπομονετικός και πειστικός. Συνήθως πρόκειται για άτομο με μεγάλη εμπειρία στον τομέα του, για τον οποίο καλό θα είναι να υπάρχουν βασικές νομικές γνώσεις και να έχει άμεση πρόσβαση σε νομική συμβολή και συμβουλή. Στόχος του,όμως, δεν είναι μόνο αλλά η καταγραφή της έκτασης της απάτης και των υπευθύνων. Η πραγματική του αξία είναι στο lessons learned, τι έφταιξε για να φτάσουμε μέχρι εδώ. Τι πήγε λάθος, ποιες δικλείδες ασφαλείας παρακάμφθηκαν, γιατί εν τέλει ένα «σύστημα» δεν λειτούργησε με τέτοιο προληπτικό τρόπο ώστε να μην φτάσουμε εν τέλει στο αποτέλεσμα της απάτης..

4. Η Νομοθετική Διάσταση και τα Όρια της Παρέμβασης

Ο Εσωτερικός Έλεγχος παρέχει σημαντικές υπηρεσίες για την πρόληψη και την ανίχνευση της απάτης μέσω της αξιολόγησης του συστήματος εσωτερικού ελέγχου. Όπως ορίζει η ελληνική νομοθεσία (Ν. 4795/2021 για τον δημόσιο τομέα), οι εσωτερικοί ελεγκτές εξετάζουν την επάρκεια του Συστήματος Εσωτερικού Ελέγχου και βοηθούν τον φορέα να προλαμβάνει περιπτώσεις απάτης μέσω της ανίχνευσης κινδύνων. Αντίστοιχα, σε ευρωπαϊκό επίπεδο, ο Κανονισμός (ΕΕ, Euratom) 2024/2509 για τους δημοσιονομικούς κανόνες του προϋπολογισμού της ΕΕ, καθώς και οι κατευθυντήριες γραμμές του OLAF (European Anti-Fraud Office), τονίζουν τη σημασία της πρόληψης και ανίχνευσης απάτης μέσω ισχυρών συστημάτων εσωτερικού ελέγχου.

Ωστόσο, η προτεραιότητα του Εσωτερικού Ελέγχου δεν είναι η καταπολέμηση της διαφθοράς, δεν είμαστε αστυνομικοί, αλλά η δημιουργία ενός περιβάλλοντος που δεν ευνοεί παραβατικές συμπεριφορές. Το κρίσιμο σημείο καμπής, πάντα βέβαια, είναι η στιγμή της ανακάλυψης.

Σε περίπτωση εντοπισμού ενδείξεων απάτης κατά τη διενέργεια ενός ελέγχου, η νομοθεσία είναι σαφής: η διερεύνηση της υπόθεσης δεν διενεργείται από τους εσωτερικούς ελεγκτές στο πλαίσιο του έργου τους. Αντιθέτως, οι εσωτερικοί ελεγκτές οφείλουν να θέσουν τα στοιχεία υπόψη του επικεφαλής του φορέα και του Προϊσταμένου της Μονάδας Εσωτερικού Ελέγχου, προκειμένου να αναλάβουν δράση τα αρμόδια όργανα, εάν εντοπίσουν ανάλογες ενδείξεις κατά την διάρκεια των καθηκόντων τους. Η θέση αυτή επιβεβαιώνεται πλήρως από τον IIA PracticeGuide: Internal Auditing and Fraud, 3rd Edition (2024), ο οποίος ξεκαθαρίζει ότι ο ρόλος του εσωτερικού ελέγχου εστιάζει στην παροχή διασφάλισης (assurance) σχετικά με την επάρκεια της διακυβέρνησης και της διαχείρισης του κινδύνου απάτης, και όχι στη διενέργεια διερευνήσεων (investigations).

5. Το Πλαίσιο COSO και Διεθνείς Καλές Πρακτικές

Σε διεθνές επίπεδο, η αποτελεσματική αντιμετώπιση του κινδύνου απάτης στηρίζεται σε τρία βασικά πλαίσια αναφοράς: α) το COSO Internal Control – IntegratedFramework (2013), β) το COSO/ACFE Fraud Risk Management Guide, 2nd Edition (2023), και γ) τα Global Internal Audit Standards (IIA, 2024).

5.1 Το Πλαίσιο COSO

Το COSO Framework παρέχει τη δομή για μια ανεξάρτητη, αντικειμενική αξιολόγηση του κινδύνου απάτης μέσα από τα πέντε ολοκληρωμένα συστατικά του: Περιβάλλον Ελέγχου (Control Environment), Εκτίμηση Κινδύνων (Risk Assessment), Δραστηριότητες Ελέγχου (Control Activities), Πληροφόρηση και Επικοινωνία (Information & Communication) και Παρακολούθηση (Monitoring). Το Fraud Risk Management Guide (2nd Edition, 2023) διευρύνει το πλαίσιο αυτό με ειδική εστίαση στην ανάλυση δεδομένων (dataanalytics), τα συστήματα καταγγελιών (whistleblowingmechanisms) και τη σχέση μεταξύ εσωτερικού ελέγχου και διαχείρισης κινδύνου απάτης.

5.2 Μηχανισμοί κατά της Απάτης στην Πράξη

Σύμφωνα με τα δεδομένα της ACFE (ACFE Reportto the Nations 2024), η παρουσία δικλείδων ασφαλείας κατά της απάτης ή και περιβάλλοντος που μπορεί να ευνοεί την απάτη, συνδέεται άμεσα με χαμηλότερες απώλειες και ταχύτερο εντοπισμό. Πάνω από το 50% των υποθέσεων συνέβη λόγω έλλειψης εσωτερικών ελέγχων (32%) ή παράκαμψης υφιστάμενων ελέγχων (19%). Οι βασικές καλές πρακτικές που προκύπτουν από τη διεθνή εμπειρία περιλαμβάνουν:

Γραμμές αναφοράς και Whistleblowing: Το 43% των υποθέσεων ανιχνεύεται μέσω καταγγελιών (tips), κυρίως από εργαζομένους. Η λειτουργία ανώνυμων, εμπιστευτικών γραμμών αναφοράς (hotlines, webportals, mobileapps) αποτελεί τον αποτελεσματικότερο μηχανισμό ανίχνευσης. Στην ΕΕ, η Οδηγία 2019/1937 για την προστασία whistleblowers (μεταφερθείσα στο ελληνικό δίκαιο με τον Ν. 4990/2022) ενισχύει τη θεσμική κατοχύρωση αυτών των μηχανισμών.

Αιφνίδιοι Έλεγχοι (Surprise Audits): Μειώνουν τις απώλειες κατά 63% σε σύγκριση με οργανισμούς που δεν τους εφαρμόζουν. Αποτελούν αποτρεπτικό μέτρο πρώτης γραμμής, ιδιαίτερα σε τομείς υψηλού κινδύνου όπως οι εξερχόμενες πληρωμές και οι προμήθειες.

Υποχρεωτικές Άδειες και Εναλλαγή Θέσεων (Mandatory Vacations & Job Rotation): Μειώνουν τη δυνατότητα κάλυψης σχημάτων απάτης. Τα δεδομένα δείχνουν ότι η μακρά παραμονή σε μία θέση αυξάνει δραστικά τη ζημία: οι δράστες με μεγαλύτερη προϋπηρεσία στον ίδιο οργανισμό προκαλούν σημαντικά υψηλότερες απώλειες.

Εκπαίδευση Στελεχών και Εργαζομένων: Η εκπαίδευση διευθυντικών στελεχών μειώνει τις απώλειες κατά 50%, ενώ η εκπαίδευση εργαζομένων κατά 47%. Δεδομένου ότι το 52% των καταγγελιών προέρχεται από εργαζομένους, η ενημέρωσή τους σχετικά με τα «κόκκινα σημάδια» (redflags) αποτελεί κρίσιμη δικλείδα.

Data Analytics και Τεχνητή Νοημοσύνη: Σύμφωνα με την κοινή έρευνα ACFE/SAS (Anti-FraudTechnologyBenchmarkingReport, 2024), πάνω από το 90% των οργανισμών χρησιμοποιούν πλέον κάποια μορφή dataanalytics στα προγράμματαπου έχουν αναπτύξει κατά της απάτης. Οι εξερχόμενες πληρωμές (44%) και οι προμήθειες (41%) αποτελούν τους τομείς με τη μεγαλύτερη εφαρμογή αναλυτικών εργαλείων.

6. Η Σημασία της Εταιρικής Κουλτούρας (Toneat the Top) και άλλων στοιχείων

Οποιαδήποτε συζήτηση για τον έλεγχο είναι ατελής χωρίς την αναφορά στην κουλτούρα του οργανισμού. Το «Toneat the Top» δεν αποτελεί απλώς μια θεωρητική αρχή· τα δεδομένα της ACFE (2024) δείχνουν ότι η έλλειψη ηθικού τόνου στην κορυφή αποτελεί οργανωσιακό reflag που συνδέεται άμεσα με αυξημένη πιθανότητα απάτης με την απουσία τεκμηριωμένων πολιτικών, και το χαμηλό ηθικό εργαζομένων να ακολουθεί. Τα στατιστικά επιβεβαιώνουν ότι οι μικρές και οικογενειακές εταιρίες (αναφορικά με το management) έχουν το μερίδιο του λέοντος στις περιπτώσεις απάτης. Μάλιστα, στο 80% αυτών των περιπτώσεων, η Διοίκηση και το Διοικητικό Συμβούλιο είχαν μεταξύ τους ασύμβατες ιδιότητες ή υπερσυγκέντρωση εξουσιών, όπως για παράδειγμα όταν ο CEO είναι ταυτόχρονα και Πρόεδρος του ΔΣ.

Το πλαίσιο COSO τοποθετεί το Control Environment — που περιλαμβάνει τη δέσμευση στην ακεραιότητα, την ανεξαρτησία του ΔΣ, και τον σχεδιασμό γραμμών αναφοράς — ως θεμέλιο λίθο ολόκληρου του συστήματος εσωτερικού ελέγχου. Η 5η αρχή του COSO (Accountability) απαιτεί τον καθορισμό σαφών ευθυνών σε κάθε επίπεδο, ενώ τα νέα IIA Standards (2024) δίνουν ιδιαίτερη έμφαση στον ρόλο του Διοικητικού Συμβουλίου στην εποπτεία της λειτουργίας εσωτερικού ελέγχου, περιλαμβανομένης της διασφάλισης ποιότητας (QAIP).

7. Συμπέρασμα: Η Αναγκαιότητα της εκπαίδευση και των Masterclasses

Καταλήγουμε στο συμπέρασμα ότι οι καλύτερες δικλείδες ασφαλείας παραμένουν όσες έχουν να κάνουν με τη νοοτροπία και την κουλτούρα ενός οργανισμού ή ενός ατόμου. Επειδή οι τεχνικές ελέγχου αναγκαστικά προσαρμόζονται στο είδος της απάτης κατόπιν εορτής, η μόνη βιώσιμη λύση είναι η διαρκής εκπαίδευση και ενημέρωση.

Τα στοιχεία είναι αδιάψευστα: η εκπαίδευση μειώνει τις απώλειες κατά 47-50%, οι αιφνίδιοι έλεγχοι κατά 63% και τα αντίστοιχα προγράμματα κατά της απάτης κατά 23-63%. Ειδικά για το τελευταίο η έκταση του ποσοστού και το εύρος διακύμανσης δεν πρέπει να μας ξενίζει, και ακριβώς διαφέρει γιατί αφορούσε φάσμα 18 διαφορετικών τύπων δικλείδων και όχι ένα ενιαίο μέτρο. Συγκεκριμένα εξετάστηκαν 18 διαφορετικές δικλείδες (κώδικας δεοντολογίας, managementreview, εκπαίδευση, jobrotation, mandatoryvacation κ.λπ.) και κάθε μία έδειξε διαφορετικό ποσοστό μείωσης — ο αιφνίδιος έλεγχος στο 63% (ανώτατο) και οι πιο «ήπιες» δικλείδες στο 23% (κατώτατο).

Μέσα από εξειδικευμένα σεμινάρια και εκπαιδευτικά προγράμματα, στο πνεύμα των αντίστοιχων τεχνικών για διερεύνηση Irregularity Detectionκαι τα αντίστοιχα Masterclasses, οι επαγγελματίες του κλάδου μπορούν να εξοπλιστούν με τα κατάλληλα νοητικά και τεχνικά εργαλεία. Μόνο κατανοώντας σε βάθος τα όρια, τις διαφορές και τις συνέργειες μεταξύ Internal Audit και Fraud Audit, στο πλαίσιο που χαράσσουν τα νέα IIA Standards, το COSO Framework αλλά και το RiskManagement, μπορούμε να θωρακίσουμε ουσιαστικά το επιχειρηματικό οικοσύστημα απέναντι σε ολοένα και πιο περίπλοκες απειλές.

* Θεοχάρης Χατζηγρηγορίου BSc, MSc, CRMA. COSO-IC, QAC,CICA,CFE, Fraud Expert, Υποψήφιος Διδάκτωρ ΕΚΠΑ, Σύμβουλος Εσωτερικού Ελέγχου & Διαχείρισης Κινδύνων, Fraud Expert- Δικαστικός Πραγματογνώμονας. Είναι πιστοποιημένος εσωτερικός ελεγκτής, σύμβουλος σε θέματα διαχείρισης κινδύνων και διαχείρισης κινδύνων απάτης με 28 χρόνια εμπειρία, τόσο στον ιδιωτικό όσο και στον κρατικό τομέα, ενώ παράλληλα είναι εισηγητής των αντίστοιχων εκπαιδευτικών ενοτήτων στο ΟΕΕ, την Εθνική Σχολή Δημόσιας Διοίκησης και στο Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών (ΕΙΕΕ) . Είναι λογιστής Α Τάξης και μέλος του Μητρώου Εσωτερικών Ελεγκτών του Υπουργείου Οικονομικών (ΜΑΔΚΑΕΣ) και του Οικονομικού Επιμελητηρίου Ελλάδος.

Βιβλιογραφικές Αναφορές

ACFE (2024). Occupational Fraud 2024: A Report to the Nations. Association of Certified Fraud Examiners.

ACFE & SAS (2024). Anti-Fraud Technology Benchmarking Report 2024. Association of Certified Fraud Examiners / SAS Institute.

COSO (2013). Internal Control — Integrated Framework. Committee of Sponsoring Organizations of the Treadway Commission.

COSO & ACFE (2023). Fraud Risk Management Guide, 2nd Edition. Committee of Sponsoring Organizations / Association of Certified Fraud Examiners.

Cressey, D.R. (1953). Other People’s Money: A Study in the Social Psychology of Embezzlement. Free Press.

IIA (2024). Global Internal Audit Standards. The Institute of Internal Auditors.

IIA (2024). Practice Guide: Internal Auditing and Fraud, 3rd Edition. The Institute of Internal Auditors.

Marks, J. (2012). The Mind Behind the Fraudsters Crime: Key Behavioral and Environmental Elements. Crowe Horwath LLP.

Wolf, D. & Hermanson, D. (2004). The Fraud Diamond: Considering the Four Elements of Fraud. The CPA Journal, 74(12), 38-42.

Ν. 4795/2021 (ΦΕΚ Α’ 62/17.4.2021). Σύστημα Εσωτερικού Ελέγχου του Δημόσιου Τομέα — Ελληνική Δημοκρατία.

Ν. 4990/2022 (ΦΕΚ Α’ 210/11.11.2022). Προστασία προσώπων που αναφέρουν παραβιάσεις ενωσιακού δικαίου (Ενσωμάτωση Οδηγίας 2019/1937/ΕΕ).

Οδηγία (ΕΕ) 2019/1937 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την προστασία των προσώπων που αναφέρουν παραβιάσεις.