הקטנת סיכונים למעילות עובדים בארגון
מבוא
מעילה יכולה להפוך לאירוע משברי בארגון ועלולה לגרום לנזקים כבדים: הפסד כספי, פגיעה במוניטין, חשיפה בפני גורמי הרגולציה, אובדן לקוחות. במקרים מסוימים מעילה אף מסכנת את המשך קיום הארגון.
לשאלה עד כמה הביקורת הפנימית חייבת להיות מעורבת בטיפול בנושא המעילות בארגון אין, ככל הנראה, תשובה חד-משמעית. לפי תקן ביצוע A2.2120, הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה[1] וכיצד הארגון מנהל סיכוני הונאה[2]. דרישה זו מובנת מפני שלמבקר הפנימי יש נוכחות קבועה בארגון והוא סוקר באופן שיטתי את סביבת הבקרה הנהוגה בו. עם זאת, מעילה היא סיכון תפעולי, והנהלת הארגון היא זו שאמורה להתמודד איתו. לשכת המבקרים הפנימיים העולמית פרסמה לאחרונה מנחה מקצועי בשם Managing the Business Risk of Fraud שבו היא מגבירה את ערנות המבקרים הפנימיים לנושא, ומספקת כלים מתודולוגיים לזיהוי ההונאות וצמצום החולשות בבקרות שמאפשרות התרחשות מעילה.
המאמר הנוכחי מתמקד במעילות עובדים. הוא יפרט, בהתאם למתודולוגיית Fraud Risk Management Guide של COSO שפורסמה בספטמבר 2016, מספר מהלכים נבחרים שיישומם על ידי הארגון עשוי להקטין את סיכוני המעילות בו ולסייע לגילוי מוקדם שלהן. דעת כותב המאמר היא שבמסגרת עשייתו המקצועית ובנוסף על שילוב בדיקת החשיפה למעילות במטלות הביקורת הפנימית הספציפיות, המבקר הפנימי מחויב לוודא כי מהלכים אלו אכן מיושמים ותורמים לשיפור זרימת המידע ופעולות הניטור הרלוונטיות למניעת המעילות ואיתורן.
הגדרה ומרכיבים של מעילה
לפי ההגדרה של לשכת בוחני ההונאות הבינלאומית ( ,(ACFEמעילה היא "פעולה לא חוקית של ניצול התפקיד להפקת תועלת אישית באמצעות שימוש מכוון לרעה במשאבי הארגון ובנכסיו"[3]. ישנם סוגים שונים של מעילות. החל מגניבת כספים על ידי עובד באמצעות תשלומים לספקים פיקטיביים, דרך מסירת מידע פנימי רגיש ועד להעמדת אשראי ללקוח בעייתי תמורת טובות הנאה שונות למועל ולמקורביו.
לפי המדריכים המקצועיים של ה-ACFE, נהוג לזהות במעילה שלושה אלמנטים: לחץ, הזדמנות ורציונליזציה.
להתרחשות המעילה צריכים להתקיים מספר תנאים. ראשית, חייבת להימצא מטרת המעילה, כלומר, משאב או נכס שבו ניתן לעשות שימוש לרעה. למשל, כסף שאפשר לגנוב או סמכויות בתפקיד שניתן לנצל לטובת הפקת תועלת אישית.
שנית, המועל צריך שתהיה לו גישה למטרה, בדרך כלל במסגרת סמכות פורמלית או אי-פורמלית. למשל, לפקיד בנק שמוכר מידע על לקוחותיו לגורמים חיצוניים, יש גישה לגיטימית לנתוני חשבונותיהם.
שלישית, למועל צריך שתיווצר הזדמנות (סיכוי) לביצוע המעילה, בלי שהדבר יתגלה באופן מיידי. ההזדמנות נוצרת, בדרך כלל, כשקיימת חולשה בבקרות ואין הפרדת תפקידים נאותה.
בנוסף, צריך שלמועל יהיה מניע לנצל את ההזדמנות (סיכוי) שקיימת לו או שנוצרה לניצול נכסי הארגון לתועלתו האישית. כאן האפשרויות רבות ומשתנות מארגון לארגון ומאדם לאדם. המוטיבציה לביצוע המעילה יכולה לנבוע הן מהרצון לנקום בארגון שלדעתו לא מקדם ומתגמל אותו מספיק, והן ממצוקה כלכלית ממשית עקב התמכרות להימורים למשל.
כאמור, המועל מבצע תהליך של רציונליזציה למעילה. לדוגמה, הוא אומר לעצמו שהוא לא גונב כספים, אלא לוקח הלוואה שבעתיד הוא מתכוון להחזיר, או שהוא מפצה את עצמו על היעדר תגמול מהארגון.
מעילה עלולה להתבצע על ידי עובד אחד, קבוצה של עובדים, או בתרחיש משולב של עובד הארגון עם גורם חיצוני (לקוח, ספק, מתחרה).
מהלכים שמקטינים את סיכוני המעילות לפי מודל ה-COSO
- סביבת הבקרה הארגונית
אחד התנאים החשובים לצמצום סיכוני המעילות בארגון, הוא מסר חד וברור מההנהלה הבכירה באשר לנורמות התנהגות מצופות ומתן דוגמה אישית בהתאם. פיתוח והטמעה של קוד אתי הם כלים יישומיים להעברת המסר הרצוי. נקודה חשובה לא פחות היא טיפול הולם במקרים של חריגה מהנורמה: הטרדות מיניות, עבירות משמעת, בטיחות ותנועה.
- תהליך הערכת הסיכונים הארגוני
תקן ביצוע 2120 של לשכת המבקרים הפנימיים העולמית "ניהול הסיכונים" קובע כי הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים. לפיכך, מומלץ למבקר הפנימי לוודא כי נושא הסיכון למעילות עובדים, סוגיה שהיא לרוב פחות "נוחה", מקבל ביטוי הולם בתהליכי ניהול הסיכונים הארגוניים (פורמליים ואי-פורמליים כאחד).
- על הביקורת הפנימית לבדוק כי קיימת הגדרה מוסכמת למושג מעילה בהקשר ארגוני נתון. לפעמים הגדרה זו עשויה לכלול לא רק נטילה של כספים, אלא גם ניצול לרעה של גישה למידע רגיש או הימצאות ופעולה במצב של ניגוד עניינים (דוגמת קידום מקורבים).
- נדרש לוודא כי ההנהלה מזהה, ממפה ומעריכה את סיכוני המעילות ואת התרחישים האפשריים לביצוע המעילה, וכן מתכננת ומבצעת פעולות להתמודדות עם סיכונים אלו. לעתים, עקב מומחיות ייחודית נדרשת ורגישויות של פוליטיקה פנים ארגונית, מומלץ להיעזר בגורם חיצוני שעוסק בזיהוי ובהערכת סיכוני מעילות.
אדגיש כי דווקא בארגונים קטנים ובינוניים סיכוני המעילות עלולים להיות חמורים יותר, מפני שמצבת כוח האדם אינה מאפשרת לממש הפרדת תפקידים נאותה.
- פעולות הבקרה
אחד מכלי הבקרה החשובים הוא מיסוד תהליך הדיווח והטיפול במעילה או בחשד למעילה. לפי סקרי ה-ACFE, במקרים רבים עובדים בסביבת המועל היו מודעים לפעולות הלא תקינות שהוא מבצע, אך נמנעו מלדווח על כך. הסיבה להיעדר הדיווח היא בעיקר חוסר אמון במערכת והיעדר ערוץ דיווח זמין וחסוי. לפיכך על הביקורת הפנימית לוודא כי בארגון קיים תהליך של קבלה ובדיקת דיווחים על חשדות למעילה וטיפול בתלונה. בין היתר תהליך הטיפול צריך לכלול את קביעת הגורם האחראי לטיפול בדיווח על החשד למעילה, פירוט הפעולות שניתן לנקוט בהן לצורך בדיקת הדיווח, לוחות הזמנים לטיפול באירוע, ואופן עדכון ההנהלה הבכירה, גופים מחוץ לארגון אם נדרש (משטרה, גורמי רגולציה) ומתן משוב למוסר הדיווח.
אדגיש כי לממונה על הטיפול בחשדות למעילה צריך להיות מעמד מספיק בכיר בארגון, שמאפשר לו הן קבלת מידע ושיתוף פעולה מיחידות הארגון השונות ומנהליהן, והן גישה בלתי אמצעית להנהלה הבכירה. על הארגון גם להגדיר כיצד הוא מתייחס לדיווחים אנונימיים, כלומר תלונות על עובדים שמגיעות ללא ציון שם המתלונן. סירוב לטפל בתלונות אנונימיות עלול להרתיע את העובדים מלדווח על חשדותיהם.
הגורם האחראי על ביצוע הבדיקה חייב להיות בעל הכשרה ואמצעים מספקים לקיומה. הוא צריך לקבל גישה לתיקים האישיים של העובדים הרלוונטיים ולמערכות המחשב הרלוונטיות. רצוי מאוד שתהיה לו יכולת עצמאית להיעזר בכלים לתחקור נתונים (לדוגמה, לצורך ניתוח התכתבויות דואר אלקטרוני, בכפוף למגבלות המשפטיות הרלוונטיות). הגורם הבודק עשוי להידרש לתשאל לקוחות וגורמים מחוץ לארגון – סוגיה שדורשת ליווי צמוד של ייעוץ משפטי.
- שיפור זרימת מידע ותקשורת בין הגורמים השונים בארגון
בארגון קיימים מקורות מידע רבים העלולים להדליק "נורות אדומות" לקיום מעילה. עם זאת, תופעה שכיחה בארגונים רבים היא שהמידע ממקורות אלו לא מועבר לגורמים הרלוונטיים, אלא נשאר ביחידה הארגונית שבה נוצר. אפרט מספר דוגמאות.
ראשית, מידע על שינוי לרעה במצבו המשפחתי של העובד, כגון מחלה קשה של בן משפחה, גירושים או מצוקה כלכלית. מובן כי מטעמי צנעת הפרט לא נכון לפרסם מידע זה ברבים. עם זאת, כשמדובר בעובד המשמש בתפקיד רגיש, ראוי שמידע כזה יועבר לידיעת הגורם האחראי על הטיפול במעילות.
שנית, תקריות אבטחת מידע. לעתים ניסיון להוציא מהארגון מידע רגיש או לחבר למערכות הארגון התקן לא מורשה, מהווה סימן לא רק למשמעת לקויה, אלא לפעילות מכוונת שמטרתה לסחור במידע או לספק לגורם זדוני גישה לתשתיות טכנולוגיות המידע הארגוניות. לפיכך, בדיקת אירוע אבטחת המידע לא צריכה להסתכם ברמה הטכנולוגית, אלא חייבת לכלול גם התייחסות למשמעויות העסקיות של המידע שזלג ולפרסונה של מבצע העבירה.
שלישית, תלונות של לקוחות וספקים. במקרים רבים פנייה של גורם חיצוני לארגון עשויה לספק מידע מקיף על פעילות לא תקינה של בעל תפקיד מסוים. ספק שמלין על כך שהמכרז שבו הפסיד היה "תפור" מראש, עשוי לספק קצה חוט שיוביל לחשיפת קנוניה של גורם ברכש שמקבל טובות הנאה תמורת העדפת ספקים.
רביעית, מידע הנוצר בעקבות טיפול בטעויות ועבירות משמעת. כאמור, חלק מהמעילות מתחילות בטעות שחושפת פרצה בבקרה, ובעקבותיה נוצרת ההזדמנות לפגיעה בנכסי הארגון בלי שהדבר יתגלה. לכן אם הארגון אינו מקיים תחקיר תקלות או שהוא מקיים אותו ללא הפקת משמעויות רוחביות, המועל הפוטנציאלי עלול לנצל פרצה שהתגלתה לביצוע זממו כאשר תיווצר לו מוטיבציה מספקת.
אדגיש כי הטמעת מערכות ייעודיות שמנטרות תהליכים עסקיים ומתריעות על אנומליות בפני שורה של גורמים רלוונטיים עשויה להקטין בצורה משמעותית את הסבירות למעילה בתחומים המפוקחים, היות שהן מצמצמות את ה"הזדמנות".
- פעולות ניטור
אחד מכלי הניטור הקיימים לארגון בנושא מעילות עובדים הוא מערך משאבי האנוש. על מערך זה למנוע קליטת עובדים עם אישיות "מועלת" באמצעות ביצוע מבחני מהימנות בטרם הקליטה לארגון, התואמים את מורכבות הארגון ורגישות עיסוקו. על גורמי משאבי האנוש לבצע בדיקת רקע מעמיקה של המועמדים הפוטנציאלים לא רק לגבי אמינות הדיווח שלהם במסמכים ובתשובות שסיפקו לגורמי משאבי אנוש, אלא גם לגבי נורמות התנהגות מקובלות במקומות העבודה הקודמים שלהם.
קליטת מועמד שבמקומות העבודה הקודמים שלו היה נהוג לשלם שוחד ללקוחות בחו"ל, מהווה סיכון שיש לנהלו בהקפדה בארגון. מועמד שבא מארגון שבו היה מקובל "לטאטא מתחת לשטיח" הטרדות מיניות ו"לעגל פינות" לגבי תקריות בטיחות, עלול להמשיך עם תרבות זו ולהתעלם מנהלים או לא לדווח על פעולות חריגות שהוא או עמיתיו ביצעו, ואף "להדביק" עובדים אחרים בהרגלים אלו.
כמו כן, מכיוון שהמניע לביצוע המעילה יכול להיות סובייקטיבי וחולף, על המבקר הפנימי לוודא כי גורמי משאבי האנוש מקיימים פעולות ניטור באמצעות סקרי שביעות רצון ועוקבים אחרי מגמות בהלכי הרוח של העובדים.
תרומה נוספת שיכולה להיות לגורמי משאבי האנוש בארגון בניטור סיכוני המעילות, היא יצירת רשימת עובדים ב"קבוצות סיכון". המדובר, למשל, בעובדים ותיקים שהיו מועמדים לקידום אך לא קודמו בפועל, ולכן ייתכן כי יש להם מוטיבציה לפגוע בארגון. דוגמה אחרת היא עובדים בתפקידים רגישים. תפקיד רגיש לצורך מאמר זה הוא תפקיד שבו העובד עוסק בעיסוק ייחודי ויש לו יכולת לנהל תהליך עסקי מתחילתו ועד סופו, ללא בקרה נאותה של גורם אחר.
סיכום
המאמר מתאר מספר מהלכים, בהתאם למודל COSO מעודכן, שהקפדה על קיומם בכל ארגון עשויה להקטין בצורה ניכרת את החשיפה למעילות עובדים. עם זאת, נזכור כי על המבקר הפנימי לטפל בסיכוני המעילות גם במסגרת ביקורות שגרתיות בהתאם לתכנית העבודה שנבנתה על בסיס תהליך מקיף של הערכת הסיכונים, תהליך הכולל התייחסות לסיכוני מעילות עובדים.
[1] מעילת עובדים נכללת בתוך "הונאה".
[2] מקור: אתר איגוד מבקרים פנימיים בישראל – https://theiia.org.il/standardization/index.asp.
[3] – http://www.acfe.com/fraud-101.aspx