רוב האירועים החריגים שנבדקים על ידי הביקורת החקירתית, מתאפיינים בפעילות חריגה  בהיבטי טוהר מידות של בעלי עניין שונים בארגון, כגון עובדים, לקוחות, ספקים ואף מנהלים. הביקורת החקירתית עוסקת גם באירועים חריגים מהסוג התהליכי, כלומר אירועים שבהם נגרם נזק לארגון או שעלול היה להיגרם נזק לארגון כתוצאה מכשל בתהליך או במערכת מידע, כדוגמת השבתה של מערכת מידע או התממשות של איום סייבר, כשל מתמשך בתחום החיתום באשראי, כשל בתחום ניהול המשאבים המביא לפגיעה בהיבטי החיסכון והיעילות בארגון, ועוד.  

בשנים האחרונות הולך ומתרחב השימוש שעושה הביקורת החקירתית בכלי תחקור ממוחשבים לצורך בדיקת אירועים חריגים, ועל מנת להציף חריגים בתחומים שונים לבדיקה ולהמשך טיפולן של יחידות הבקרה בארגון או כבסיס נתונים לשימוש בביקורות תהליכיות. 

חשיבותה של ביקורת חקירתית ראויה לארגון – עובדי הביקורת הפנימית מהווים חוליה חשובה במערך שומרי הסף של הארגון, בכלל זה גם עובדי הביקורת החקירתית. 

אין צורך להכביר במילים על חשיבותה של הביקורת החקירתית:  

• מיומנויות וכישורים – הביקורת החקירתית היא ייחודית באופי פעילותה במערך הביקורת ובארגון כולו. תחום פעילות זה מחייב העסקת אנשי מקצוע בעלי כישורים גבוהים ומיומנויות ייחודיות, ידע מקצועי וניסיון עשיר בתחומי ביקורת, תחקור ואנליזה. העיסוק בביקורת חקירתית מחייב גם ממשקים נרחבים עם כל יחידות הבנק, ורגישות אישית וארגונית גבוהה במיוחד. 

• תרומה לערכי הארגון – הביקורת החקירתית תורמת להטמעת ערכי טוהר המידות וערכי האתיקה בארגון. כמו כן, ביקורת חקירתית שמעמדה גבוה בארגון, משקפת את החשיבות שהארגון עצמו מייחס לתחום טוהר המידות והאתיקה, ועשויה גם להשליך על הערכת הרגולטור את הארגון בהיבט זה. 

הביקורת החקירתית תורמת גם לחיזוק מערך הבקרות בארגון. 

• היקפי הנזק הפוטנציאלי של סיכוני מעילות והונאות – אמנם סיכוני הונאות ומעילות נחשבים כסיכונים הנכללים בתחום סיבולת הסיכון של הארגון, אך כבר היו מקרים שבהם בנקים קרסו או ספגו נזקים כבדים כתוצאה מהתממשות סיכוני הונאות ומעילות. בהקשר הזה די להזכיר את התמוטטות "הבנק למסחר" כתוצאה ממעילה שהתגלתה בשנת 2002.  

התכונות החשובות ביותר למבקר החקירתי  

נהוג להבחין בין כישרון שהוא תכונה מולדת, לבין כישורים שהם תכונות נרכשות. להלן 10 התכונות העיקריות בעיניי (משני הסוגים) שנדרשות למבקר חקירתי. השילוב ביניהן הוא "ארגז כלים" ייחודי והכרחי להצלחתו המקצועית של המבקר החקירתי: 

• סקרנות – בעיניי זו התכונה החשובה ביותר למבקר בכלל ולמבקר חקירתי בפרט. ללא ההתעניינות המתמדת בסובב אותו, ללא הרצון לחקור במידע הגולמי המונח לפניו או בבליל הנתונים הפיננסים המצויים על שולחנו (פיזית ומטאפורית), הוא לא יוכל להצליח בתפקידו.  

התשוקה לגלות את הנסתר מהעין, לפצח את התעלומה העומדת בבסיס הבדיקה או הרצון הבסיסי להגיע למיצוי הבדיקה ולחקר האמת, הם המניע הפנימי המאפשר למבקר חקירתי להתגבר על המהמורות המובנות בבדיקה חקירתית. 

• חשיבה אנליטית ויכולת ירידה לפרטים – כוחה של האמרה "אלוהים נמצא בפרטים" יפה שבעתיים לעניין העיסוק בביקורת החקירתית. מבקר חקירתי העושה את מלאכתו נאמנה אינו יכול להסתפק בראיית מאקרו. בעת ביצוע בדיקה, עליו להיות ממוקד ולגלות יכולות חשיבה אנליטית: לדעת מה הוא מחפש, "לצלול" אל הנתונים גם כשמדובר בהיקף משמעותי, להסיק את המסקנות הנכונות, לאתר אי סבירויות, ולאתר מקרים חריגים שבמבט ראשון סמויים מהעין.  

כך לדוגמה, מבקר חקירתי בעל חשיבה אנליטית, המבצע ביקורת בתחום ניהול פרטי ספקים בארגון, יבחן האם בוצעו שינויים חריגים בפרטי הספקים (חשבון לזיכוי/ שם/כתובת/מספר טלפון וכיו"ב), האם שינויים אלה מתרכזים אצל עובד אחד, האם בוצעו בשעות ובתדירות חריגות, האם הוקמו ספקים חדשים עם נתונים דומים לספקים קיימים וכיו"ב. 

• היכולת לשאול שאלות – לא לחינם הוקדש ב"הגדה של פסח" מקום של כבוד ל"זה שאינו יודע לשאול"… זו אחת היכולות החשובות הנדרשות ממבקר חקירתי. כדי למצות בדיקה חקירתית, על המבקר החקירתי לדעת לשאול את השאלות הנכונות ואל לו לראות את הדברים כפשוטם.  

בהקשר זה, על מבקר חקירתי הבוחן העברה כספית בין שני חשבונות, לשאול את עצמו האם מדובר בפעולה חריגה מבחינת: סכומה, עיתויה, התאמת מהותה לחשבון היעד ולחשבון המקור, מקור המימון להעברה, השימוש בתמורתה, העובד המבצע וכיו"ב. 

יותר מזה, מבקר חקירתי שמתשאל מבוקרים ולא שואל את השאלות הנכונות, בסדר הנכון, מהסוג הנכון (שאלות פתוחות או סגורות), בעיתוי הנכון, ומבלי להתאימן לאופיו/מבנה אישיותו של המתושאל, עלול שלא לקבל מידע חשוב, עד כדי פגיעה במיצוי הבדיקה המבוצעת. 

• "חשיבה מחוץ לקופסה" וגמישות מחשבתית – תכונה זו מבדילה בין מבקר חקירתי טוב לבין מבקר חקירתי מבריק. מדובר באותה תכונה חמקמקה שלא תמיד ניתן להגדירה במילים – זהו "הברק המחשבתי" המאפשר למבקר החקירתי לחבר ולהצליב בין מספר נתונים או ממצאים שלכאורה אין ביניהם קשר, לכדי פריצת דרך בבדיקה (בבחינת "סינרגיה מחשבתית": 1+1=3). יכולת זו גם מחייבת את המבקר לגמישות מחשבתית ולחשיבה לא קונבנציונאלית, בשילוב עם זיכרון טוב. זאת כדי שיוכל להצליב בגין פריטי מידע שונים שהקשר ביניהם אינו אינטואיטיבי, כגון ממצאים או נתונים מתקופות שונות, או בגין גורמים שונים, או בגין יחידות שונות.  

• • אוריינטציה טכנולוגית ושימוש בכלי תחקור ממוחשבים – ההתקדמות הטכנולוגית המהירה של המערכת הפיננסית בעשור האחרון, חושפת אותה מטבע הדברים גם לנזקים בהיקפים גבוהים. כיום חלק לא מבוטל מסיכוני המעילות וההונאות בארגון הוא מתחום הטכנולוגיה והסייבר, בכלל זה בערוצי הפעילות הישירים של הלקוחות מול התאגידים הפיננסיים. חשיבה קרימינלית – בבדיקת אירועים פרטניים בהיבטי טוהר המידות, על המבקר לחשוב ב"אופן קרימינלי" ו"להיכנס למוחו" של הגורם בארגון או מחוצה לו שהחליט לבצע פעילות חריגה. על המבקר החקירתי לנסות להבין את המניעים, את טכניקות הפעולה ואת טכניקות ההסוואה של גורם זה.  בהיבט התהליכי של הביקורת החקירתית, החשיבה הקרימינלית מתבטאת ביכולתו של המבקר החקירתי לזהות ולהעריך את הפרצות והחשיפות בתהליכי העבודה והבקרות בתהליכים שהוא בודק, העלולות לאפשר ביצוע מעילה או פעילות חריגה אחרת. מבקר חקירתי שניחן ביכולת חשיבה מסוג זה, יכול וצריך במסגרת בדיקתו להעלות תרחישים שונים לאופן ניצול הפרצות והחשיפות. הצורך בא לידי ביטוי, בין היתר, בעת עריכת סקרי סיכונים תפעוליים, ובפרט בעת עריכת סקרי סיכוני הונאות ומעילות, וכן בעת ביצוע הפקות לקחים מאירועים חריגים שנבדקו על ידי המבקר החקירתי.  
  • אוריינטציה טכנולוגית ושימוש בכלי תחקור ממוחשבים – ההתקדמות הטכנולוגית המהירה של המערכת הפיננסית בעשור האחרון, חושפת אותה מטבע הדברים גם לנזקים בהיקפים גבוהים. כיום חלק לא מבוטל מסיכוני המעילות וההונאות בארגון הוא מתחום הטכנולוגיה והסייבר, בכלל זה בערוצי הפעילות הישירים של הלקוחות מול התאגידים הפיננסיים. 

   

  כמו שאר מערכי הארגון, גם הביקורת החקירתית נדרשת לבצע התאמות לשינויים אלה, ולכן הכרחי בעיניי כי למבקר החקירתי תהיה אוריינטציה והבנה טכנולוגית.  

  לטעמי, המבקר החקירתי נדרש להבנה טכנולוגית הן לצורך בדיקה פרטנית של אירועים חריגים והן לצורך ביצוע ביקורת תהליכית, וזאת במספר ממדים: הכרת עולם סיכוני ה–IT הרלוונטיים (לרבות סיכוני הונאות ומעילות בתחום זה), הכרה בסיסית של טבלאות/בסיסי הנתונים של הארגון, יכולת לאפיין שליפות חריגים ממוחשבות, הכרת כלים לתחקור בסיסי הנתונים בארגון (לדוגמה – מחסן המידע של הארגון – DWH או מערכות המקור) ואף כתיבת שאילתות פשוטות על בסיסי נתונים אלה.  

  • רגישות אישית וארגונית – מכיוון שהמבקר החקירתי עוסק בבדיקות רגישות מאוד, חלקן עד כדי "דיני נפשות", עליו לנהוג בזהירות וברגישות רבה מול הגורמים המעורבים בבדיקה, לשמור על כבודם ועל זכויותיהם, ולהתנהל מולם בהגינות ובשקיפות. זאת בד בבד עם ביצוע בדיקה יסודית, ללא משוא פנים, החותרת לחקר האמת. על המבקר החקירתי להתנהל ברגישות גם מול מעגלי בעלי התפקידים השונים בתהליך בדיקתו: מנהליו שלו, מנהלים רלוונטיים בארגון, גורמי הבקרה בזיקה לבדיקה, משאבי אנוש, ארגון העובדים, יועצים משפטיים וכיו"ב. רק כך אפשר לזכות באמון הגורמים הרלוונטיים בארגון, ולשמר דימוי ומוניטין חיוביים של הביקורת החקירתית העוסקת בתחום רגיש זה בארגון.  

   

   

  • יכולת הבנה וניתוח של תהליכים – בבסיס הביקורת החקירתית עומדת היכולת לאתר חריגה מדפוס הפעילות הרגיל, הן בהיבט של אירועי טוהר מידות והן בהיבט של תהליכי עבודה עסקיים שגרתיים. ללא היכולת להבין לעומקם את תהליכי העבודה הרלוונטיים לבדיקתו (חלקם תהליכים מורכבים), המבקר החקירתי לא יוכל לזהות את המקרים וההתנהגויות החורגים מאותו דפוס פעולה.  

  לצורך העניין, מבקר המבצע בדיקה בקשר לחשבונות מסוימים בארגון, צריך להכיר לעומק את ייעוד החשבונות, אופי היתרות, תדירות התנועות והיקפן, חשבונות נגדיים רלוונטיים, הבקרות הנהוגות בגין החשבונות וכיו"ב. 

  הבנה תהליכית, בד בבד עם היכולת להקיש מהפרט אל הכלל, יאפשרו למבקר החקירתי ללמוד מהאירוע הבודד שבדק, ולערוך הפקות לקחים כדי להניע את הארגון לשפר תהליכים, ובכך גם למנוע הישנות מקרים דומים.  

  • שיפוט ושיקול דעת: היכולת לא להניח הנחות מראש – כדי לא ליפול למלכודת של גישה שיפוטית העלולה להוביל למסקנות שגויות, למבקר החקירתי אסור להניח הנחות מראש, ועליו לשמור על הבחנות ברורות בין הערכות ונטיית לב לבין עובדות, לחזור ולבדוק את עצמו בטרם יגיע למסקנות סופיות, ולשקף מסקנות אלו בצורה הוגנת בדוח הבדיקה שלו. העיסוק בביקורת חקירתית הוא אמוציונלי ובאופן טבעי מעורר יצרים גם אצל המבוקרים וגם אצל המבקרים החקירתיים העוסקים בבדיקה. לעיתים נחשף המבקר החקירתי לפעולות מקוממות ובעייתיות שבוצעו על ידי עובדים בארגון, עד כדי ביצוע עבירות פליליות. על המבקר החקירתי להימנע, ככל שניתן, משיפוטיות כלפי המבוקרים במקרים אלה.  

  כאשר מבקר חקירתי מזהה פעילות חשודה, עליו להעמיק בבדיקה ביסודיות וללא קיצורי דרך, ולו רק כדי לשלול את האפשרות שבוצעה פעילות חריגה. מאידך, במקרה שהתאמתו חשדותיו, אין לו להניח כי מיצה את הבדיקה, אלא להמשיך ולבדוק האם היקף הפעילות החריגה בפועל גבוה מזה שגילה.  

  • עצמאות, משימתית ומוסר עבודה גבוה – המדובר בתכונות השלובות זו בזו.   

  לרוב, ניהול החקירה או הבדיקה מבוצע על יד המבקר החקירתי באופן עצמאי, והוא זה שצריך להתגבר על הקשיים האובייקטיבים הקיימים בכל בדיקה מסוג זה. עליו לראות בכל בדיקה, מורכבת או פשוטה, אתגר. לעיתים עליו "להפוך כל אבן" כדי למצות את הבדיקה, לבחון את כל כיווני הבדיקה האפשריים, לבצע את הבדיקה כאילו היא מוטלת על כתפיו בלבד, ולהיות מוכן למצבים שבהם הבדיקה נקלעת למבוי סתום.  

  המשימתיות באה לידי ביטוי גם בהתמודדותו עם השחיקה, שהיא "אויבו המסוכן" של המבקר החקירתי. מכיוון שחלק מהעבודה היא ליזום – לנסות לאתר חריגים ואנומליות בתחומי העיסוק השונים של הארגון, עליו להיות גם בעל יכולת לביצוע עבודה סיזיפית ולא להירתע מבדיקות החוזרות על עצמן, על אף שלא הניבו ממצאים חריגים.  

  סיכומו של דבר – הביקורת החקירתית היא מקצוע העומד בפני עצמו. המבקר החקירתי אינו נדרש להיות "סופרמן", אך הוא נדרש לסטנדרטים גבוהים ולכישורים ייעודיים. זאת כדי שיוכל למלא את תפקידו החשוב: לחתור לחקר האמת ולמצות במקצועיות בדיקות חקירתיות בארגון, תוך שמירה על עקרונות של הגינות, אובייקטיביות ורגישות אישית וארגונית ותוך תרומה לשיפור תהליכים בארגון – ובכך לממש את מהותו כשומר סף, הן מול גורמי פנים בארגון והן מול גורמי חוץ.  

The post ביקורת חקירתית והמיומנויות הדרושות למבקר החקירתי   appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

להבדיל ממעילה (Embezzelment) המבוצעת לרוב על ידי גורם פנימי בארגון (עובד, מנהל, בעל מניות וכדומה), הונאה (Fraud) היא פעולת מרמה והטעיה המבוצעת על ידי גורם חיצוני לארגון (לקוח, ספק, נאמן, האקרים, גורמים עברייניים וכדומה), מתוך מטרה לקבל נכסים/כספים/זכויות במרמה תוך שימוש במצג שווא. ייתכנו גם מקרים שבהם נרקמת קנוניה בין גורם חיצוני לארגון לגורם פנימי בו כדי לבצע פשע כלכלי נגד הארגון.

לאורך שנים מתנהלת במערכת הפיננסית בישראל בכלל, ובמערכת הבנקאות בישראל בפרט, מלחמה סיזיפית נגד הונאות וניסיונות הונאה של גורמים חיצוניים. זוהי מלחמה המתנהלת ב"עצימות נמוכה" ומאחורי הקלעים.

מאמר זה מתמקד בעיקר בהונאות פיננסיות באשראי פרטי.

לכאורה, ברוב המקרים נזקי ההונאות ברמת המקרה הבודד אינם גבוהים ואין בהם כדי לאיים על יציבותם של המוסדות הפיננסיים, אך לכך יש לציין מספר סייגים:

• ראשית, ניסיון העבר מלמד כי בוצעו הונאות/ניסיונות הונאה בהיקפים גבוהים, במקרי קיצון עד כדי איום על יציבותו הפיננסית של הארגון שנפגע מכך. לדוגמה, בשנת 2005 בוצע ניסיון הונאת סייבר בהיקף של כ-220 מיליון ליש"ט על ידי כנופיית האקרים בינלאומית נגד השלוחה הלונדונית של בנק סומיטומו היפני.

בשנת 2016  קבוצת האקרים הצליחה לפרוץ את מערכות המחשב של הבנק המרכזי של בנגלדש, ולהעביר 81 מיליון דולר מחשבונות בבנק הפדרלי של ניו יורק לחשבונות בתי קזינו בפיליפינים.

• חלק מהמוסדות הפיננסיים מגדירים את תיאבון הסיכון שלהם להונאות (ולמעילות) כ"תיאבון סיכון אפס", כלומר מצהירים הצהרה ערכית כי הם מוכנים לבצע את כל הצעדים הנדרשים כדי לצמצם למינימום האפשרי את היקף נזקי ההונאות בארגון.
• פרסום מידע לציבור בגין הונאות שכוונו נגד מוסדות פיננסיים, חושף את המוסדות לנזקי מוניטין, העלולים לעלות בהיקפם על הנזק הישיר שנגרם למוסדות אלו כתוצאה מההונאה.

בהקשר זה יצוין כי ניכר שבשנים האחרונות הרגולטורים (בנק ישראל, הממונה על שוק ההון, ביטוח וחיסכון) מקדישים תשומת לב פיקוחית גבוהה יותר לניהול סיכוני הונאות ומעילות בבנקים ובמוסדות פיננסיים.

המציאות העצובה היא שכפי שאנשים נורמטיביים יוצאים מדי בוקר להרוויח ביושר את מטה לחמם, ישנם אנשים/גורמים שהם "בעלי מקצוע" בתחום ההונאות. הם משקיעים את מיטב זמנם, מרצם, משאביהם ומוחם הקודח והיצירתי בניסיונות הונאה נגד בנקים ומוסדות פיננסיים. לצערנו, לא אחת הם מקדימים את המערכת הפיננסית בצעד אחד לפחות.

ממחקרים שנערכו בשנים האחרונות על ידי חברת PWC בנושא פשיעה כלכלית, עולה כי בתקופות של חוסר וודאות עסקית ומשברים כלכליים קיימת עלייה בפוטנציאל התממשותן של הונאות ומעילות. זאת, בעיקר כתוצאה מהסטת תשומת הלב הארגונית להתמודדות עם המשבר, אשר עלולה לגרום להיווצרות פרצות במנגנוני הבקרה הקיימים ובהזדמנויות לביצוע הונאות.

על פי סקר[1] שנערך על ידי PWC לשנת 2017, 49% מהמשיבים דיווחו כי הארגון שלהם נפל קורבן למעילה או לפשיעה כלכלית. זו עלייה ניכרת בהשוואה לסקר משנת 2016 שבו 36% מהמשיבים דיווחו כי נפלו קורבן לפשיעה כלכלית. בסקר של 2017 ציינו שליש מהמשיבים כי הפשע הכלכלי החמור ביותר בארגון שלהם גרם להפסד ישיר של 100-50 אלף דולר (למקרה בודד).

לאילו הונאות חשופים הבנקים ומוסדות פיננסיים?

המוסדות הפיננסיים, ובראשם הבנקים, חשופים להונאות מסוגים שונים. להלן דוגמאות:

• הונאות סייבר/הונאות בתקשורת על סוגיהן השונים (פריצה למאגרי המידע וגניבת פרטי תעודות זהות/מספרי חשבונות/כרטיסי אשראי וכדומה, התחזויות/גניבת פרטי זיהוי לצורך העברת/משיכת כספים לזכות צד ג' שאינו מורשה, לרבות הונאות באמצעות אתר הארגון ובאמצעות מכשירים לשירות עצמי).
• הונאות אשראי שונות (אשראי קמעונאי, אשראי עסקי, הונאות בתחום סחר החוץ).
• התכחשויות לקוחות לביצוע פעולות בחשבונותיהם (משיכות מזומנים, העברות על סמך הוראה בדוא"ל/פקס, קבלת אשראי וכדומה).
• התחזות וגניבת זהות (באמצעות מסמכים מזויפים) לצורך קבלת כספים במרמה מהתאגיד הבנקאי
• הונאות בכרטיסי אשראי.
• זיופי שיקים.
• הונאות לקוחות בכל הקשור לפעילותם בחדרי מסחר.
• הונאות המבוצעות על ידי ספקים/נותני שירותים בכל הקשור לתחום הרכש/לוגיסטיקה.
• הונאות ביטוח.

מלבד נזקי הונאות העלולים להתממש לנזק ישיר כלפי הבנקים, קיימים מקרים שבהם הבנקים ומוסדות פיננסיים חשופים לתביעות משפטיות או לתשלום שיפוי נזקי הונאות שבוצעו כלפי לקוחות הבנקים או על ידי לקוחות כלפי צד ג'.

בהקשר זה בולטות הונאות מסוג "הונאת פונזי"[2] (המוכרת גם בשם הונאת "פירמידה"). בהונאה מסוג זה מובטחת למשקיעים תשואה גבוהה על כספם תוך פרק זמן קצר, בעוד בפועל הרווחים המחולקים למשקיעים הראשונים ממומנים מכספי המשקיעים שהצטרפו מאוחר יותר, עד לקריסת הפירמידה.

אין צורך להכביר במילים על ההונאה שביצע  ברנרד מיידוף – הונאה בהיקף של כ- 50מיליארד דולר שבעקבותיה נגרם נזק בסכום של  כ-1.7 מיליארד דולר ל– JPMorgan הבנק שבו ניהל ברנרד מיידוף את חשבונותיו (סכום הנזק משקף את הסכם הפשרה שהושג כפיצוי לנפגעי התרמית(.

אגב, בחלק מפסיקות בתי המשפט בישראל בשנים האחרונות, נקבע כי מוסדות פיננסיים חבים חובת זהירות מוגברת (חובת נקיטת אמצעי זהירות סבירים למניעת הסיכון) לא רק ישירות כלפי לקוחותיהם אלא גם כלפי צד שלישי. זאת בתנאי שהמוסד הפיננסי יכול היה לצפות כי צד שלישי יינזק.

הונאות אשראי קמעונאי

• ההתקדמות הטכנולוגית שחוותה האנושות בעשורים האחרונים לא פסחה גם על המערכת הפיננסית. לפיכך "עלה קרנן" של הונאות הסייבר בתקשורת, שמטבע הדברים חושפות את המערכת הפיננסית לנזקים בהיקפים גבוהים.

עם זאת, בחרתי להתמקד במאמרי זה בהונאות אשראי קמעונאי (הניתן ללקוחות פרטיים), השייכות להונאות המוגדרות כבסיסיות יותר – "הונאות פיזיות", הנוגעות לליבת העיסוק של המערכת הבנקאית. לרוב, ברמת המקרה הבודד הונאות אלו מתבצעות בסכומים נמוכים יחסית, אולם ברמת האפקט המצטבר ניתן להניח שנזקי הונאות האשראי הקמעונאי המצטברים במערכת הפיננסית בישראל עלולים להסתכם בעשרות מיליוני ש"ח בשנה.

• מאפיינים – הונאות אשראי בתחום הקמעונאי הן הונאות שעיקרן קבלת אשראי על סמך מצג שווא של כושר ההחזר של הלקוח, המתבסס על שימוש במסמכים מזויפים. בחלק מהמקרים גורמים עברייניים עושים שימוש באנשי קש, ומציידים אותם במסמכים מזויפים כדי לקבל אשראי. קיימת גם חשיפה לחבירת גורמים עברייניים לגורמי פנים במערכת הפיננסית לצורך ביצוע ההונאה. הונאת האשראי מתאפיינת גם בפרק הזמן הקצר החולף בין מועד ביצוע האשראי לבין מועד גילוי כשל פירעון האשראי.

להלן המאפיינים העיקריים של הונאות אשראי קמעונאי:

• שימוש במסמכים מזויפים/מצגי שווא לצורך הוכחת כושר החזר/יכולת פירעון של הלווה (דוחות כספיים, תדפיסי חשבון, תלושי שכר, חוזי שכירות, אישורי העסקה במקומות עבודה, תשלום משכורות פיקטיביות לחשבון הלווה וכדומה).
• הצהרה כוזבת לגבי מטרת/ייעוד האשראי או לגבי מקורות פירעון האשראי, או לגבי נאותות/אמיתות הבטחונות שהועמדו לאשראי.
• היעדר זיקה ישירה (גאוגרפית, עסקית או אחרת) של הלווה (הלקוח) לסניף או ליחידה שבהם בוצע האשראי.
• הפניית לקוחות לפתיחת חשבונות ולקבלת אשראי על ידי גורמים בעלי היסטוריית אשראי בעייתית, לעיתים תוך מעורבות של גורמי פשיעה (לעיתים האשראי מיועד לגורם המפנה). בחלק מהמקרים אף נעשה שימוש באנשי קש על ידי גורמים עברייניים לצורך פתיחת חשבונות חדשים שבהם יבוצע אשראי.
• זיוף חתימת לקוחות על גבי מסמכי אשראי.
• משיכת מלוא/רוב תמורת האשראי במזומן בסמוך למועד ביצוע האשראי, כדי להקשות על נתיב ביקורת לשימוש בתמורת האשראי.
• העברת תשלומי משכורת "פיקטיבית" לחשבון הלווה (לעיתים באופן חד-פעמי) כבסיס לקבלת אשראי, ומאוחר יותר החזרת "המשכורת" לגורם המעביר.
• פירעון האשראי על ידי צד ג' (שאינו הלווה).
• נקיטת פעולות מרמה לשחרור בטחונות/שיעבודים בטרם פירעון האשראי.

בחלק מהמקרים עושים גורמים שונים ניסיון לאתר נקודות תורפה במערכת הפיננסית (איתור עובדים חסרי ניסיון ו/או שימוש בטכניקות של הנדסה חברתית) כדי להקל על ביצוע הונאת האשראי. במקרי קיצון אף קיימת חשיפה לביצוע קנוניה של גורם חיצוני עם עובד מוסד פיננסי לצורך ביצוע הונאת האשראי.

צעדים למניעת/צמצום הונאות אשראי

ניתן לנקוט צעדים שונים לצורך מניעה או צמצום נזקי הונאות האשראי, הן ברמת הטיפול במקרה הבודד ביחידת הקצה והן ברמה המערכתית בארגון:

בשלב חיתום האשראי

• נקיטת משנה זהירות במתן אשראי ללקוחות חדשים, בפרט ללקוחות שאין להם זיקה ישירה (גאוגרפית, עסקית או אחרת) לסניף או ליחידה שבהם בוצע האשראי.
• ביצוע בדיקת נאותות (על סמך מידע ציבורי הקיים ברשת האינטרנט) בגין לקוחות, מעל לסכום אשראי מינימלי שייקבע.
• נקיטת משנה זהירות בקשר עם לקוחות שהופנו על ידי גורמים שבמהלך בדיקת נאותות זוהה מידע שלילי אודותם.
• אימות נתוני מקום העבודה/תדפיסי חשבון של לקוח חדש המקבל אשראי.
• גילוי ערנות לגבי אנומליות במסמכים המוגשים במסגרת בקשת האשראי (חשד למסמכים מזויפים).
• (במקרים הרלוונטים) תשומת לב לצד ג' המתלווה ללקוח בעת תהליך פתיחת החשבון/קבלת האשראי, ובפרט תשומת לב לצד ג' המגלה דומיננטיות בעת ביצוע שיחת ליבון הצרכים עם הלקוח, מבקש האשראי. בהתאם נדרשת תשומת לב ומשנה זהירות, כאשר במקרים אלה הלקוח מגלה פסיביות ו"אינו שולט" בפרטי בקשת האשראי שהגיש.
• (במקרים הרלוונטיים) הקפדה על תיעוד פרטי הגורם שהפנה את הלקוח לקבלת אשראי.

לאחר ביצוע האשראי

• תשומת לב לאשראי שתמורתו/רוב תמורתו נמשכת במזומן בסמוך למועד הביצוע.
• תשומת לב לפירעון אשראי על ידי צד ג'.

בקרות מערכתיות

• על הארגון לוודא כי סיווג ומדידת הונאות האשראי מתבצעים באופן נאות. המטרה היא למנוע מצב של הערכת חסר של היקף נזקי הונאות האשראי של הארגון (לנוכח האפשרות שחלק מנזקי הונאות האשראי מסווגים בטעות ככשלי אשראי). מטבע הדברים, לנתוני היקף נזקי הונאות האשראי יש השלכה על היקף המשאבים שמוכן הארגון להקצות לצורך ניטור ומניעת/צמצום הונאות מסוג זה.

• ניהול מידע אודות שיטות וגורמים בקשר עם ביצוע הונאות אשראי. קיימת חשיבות לצבירת המידע בגין אירועי הונאות אשראי ולתיעודו במאגר מידע ייעודי: סכומים, חשבונות שבהם בוצעו הונאות, פרטי מבצעי ההונאות, גורמים מפנים, סוג ההונאה, מאפייני ההונאה ועוד.

קיימת חשיבות לתיעוד כל המידע לגבי הונאות שהתגלו בארגון במאגר אחד מרכזי (בכפוף למגבלות המשפטיות הרלוונטיות לניהול מאגרי מידע).

ניהול מאגר מידע יאפשר איתור וזיהוי של טכניקות ודרכי הונאות אשראי, מגמות חריגות בנושא זה, וגורמים חיצוניים בולטים בתחום הונאות האשראי, ויסייע בהטמעת דרכי פעולה מתאימות לצמצום או למניעת הישנות המקרים.

• פיתוח כלי בקרה בגין הונאות אשראי (בכפוף לשיקולי עלות-תועלת) שיציפו התראות/"אורות אדומים". לדוגמה: מתן אשראי ללקוחות שהופנו על ידי גורמים שעל פי מידע ציבורי היו מעורבים בביצוע הונאות, חשבונות שבהם בוצע אשראי (שאינם שייכים לאותה קבוצת סיכון) והוזרמו אליהם פרטים מינהליים זהים (כתובות, כתובות דוא"ל, מספרי טלפון וכדומה), פירעונות אשראי בחשבונות לקוחות על ידי צד ג', וכדומה.

הכשרות עובדים בנושא טכניקות הונאה וזיהוי חשד או סממנים לזיוף מסמכים, לדוגמה:

• תדפיסי חשבון בנק עם יתרות לא נכונות, סכומי פעולות עגולים בלבד, שדות מידע חסרים, סוגי/תיאור פעולה שאינם אחידים/עקביים.
• תלושי שכר עם סכומי משכורת (נטו) עגולים החוזרים על עצמם כל חודש, יתרת מחלה/חופשה מאופסת, גובה משכורת (נטו) שאינו תואם את סכום זיכוי המשכורת בתדפיס החשבון, מספר תעודת זהות שאינו זהה למספר תעודת הזהות של הלקוח, היעדר מספר חשבון בנק לזיכוי בתלוש השכר.
• תעודת זהות שתאריך הנפקתה שונה מתאריך ההנפקה על פי נתוני מרשם האוכלוסין או שמודפסת בסוגי גופן שונים, או שהגיל על פי תעודת הזהות אינו תואם את גילו של מבקש האשראי.
• דוחות כספיים או מסמכים אחרים החתומים לכאורה בחותמת רו"ח ללא פרטים, או על גבי נייר לבן ללא כותרת, או מסירת דוחות כספיים זהים עבור מספר חברות/תאגידים שונים וכדומה.

ביצוע הפקות לקחים מאירועי הונאות – חשוב להפיק לקחים מאירועי הונאה בולטים שהתגלו, על מנת לנסות ולאתר חשיפות הקיימות לבנק/מוסד פיננסי ולמנוע הישנות מקרים דומים בעתיד.

סיכום

בסיכומו של דבר, על דרך המליצה ניתן לומר ש"סוף הונאות במחשבה תחילה" – ניהול לא נאות של סיכוני ההונאה עלול במקרי קיצון לחשוף מוסדות פיננסיים עד כדי איום על יציבותם. אמנם לא ניתן לחסום הרמטית את ניסיונות ההונאה של גורמים עברייניים, אך היערכות נכונה ברמה המערכתית וברמת יחידות הקצה, ניטור יזום של ניסיונות הונאה על בסיס המידע והניסיון שנצבר בארגון, בד בבד עם הטמעת כללי הזהירות בכל רובדי הארגון והפקות לקחים אפקטיביות בעת הצורך, עשויים בהחלט לצמצם למינימום את נזקי ההונאה לארגון.

[1]   'Pulling fraud out of the shadows'

PwC’s Global Economic Crime and Fraud Survey 2018

[2] ההונאה נקראת ע"ש צ'ארלס פונזי שהיה הראשון שנתפס (בארה"ב, במחצית הראשונה של המאה הקודמת) בביצוע הונאה מסוג זה.

The post סוף הונאה במחשבה תחילה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.