בחודש יוני 2015 נחשפנו לרישום כוזב בספרי חברת הבת נגב קרמיקה, רישום שהשפיע על הצגת הסעיפים השונים בדוחות הכספיים וגרם ל"ניפוח" רווחי החברה בכ-62 מיליון שקל.

פרשיות אלו הן רק קצה הקרחון של אירועי הונאות חשבונאיות בדיווח הכספי של חברות ציבוריות שנחשפו בשנים האחרונות. אירועים אלו מעלים ספקות בנוגע למידת התאמתם של מנגנוני הבקרה האמורים לאתר ולמנוע תרחישי הונאות חשבונאיות. ייתכן שאוזלת היד בנושא נובעת מהעובדה שהחברות לא השכילו להבחין בין מנגנוני הבקרה שיש ליישם כדי למנוע מעילות עובדים לבין אלו שבאפשרותן למנוע תרחישי הונאות חשבונאיות.

המצב בעולם ובארץ

מסקרים שנערכו לאחרונה עולה תמונת מצב מדאיגה בכל הנוגע לגידול בשיעור מקרי ההונאות החשבונאיות. בסקר בינלאומי שנערך על ידי לשכת בוחני ההונאות העולמית (ACFE) ופורסם בשנת 2016, שבמסגרתו נבדקו אירועי הונאות, מעילות ומעשי שחיתות שנחקרו במדינות שונות ברחבי העולם, נמצא כי קיים גידול בשיעור ההונאות החשבונאיות מבין כלל האירועים שנחקרו.

להלן גרף המציג את הגידול בשיעור ההונאות בדיווח הכספי בשנים 2016-2010:

בארץ המצב חמור עוד יותר. בשנת 2016 נערך סקר על ידי מחלקת הביקורת החקירתית של פירמת רו"ח "פאהן קנה ניהול בקרה", שבמסגרתו נבדקו עשרות אירועי הונאות, מעילות ומעשי שחיתות בענפי פעילות שונים. מהממצאים עלה כי בכ-16% מהמקרים היו אירועי הונאות בדיווח הכספי.

נתונים אלו מצביעים על הצורך בנקיטת צעדים אקטיביים במטרה לחשוף הונאות בדיווח כספי. במאמר זה נציג מספר דרכים ושיטות להתמודדות עם הסיכון.

סוגי ההונאות הנפוצות ביותר בדיווח כספי

להלן סוגי ההונאות הנפוצות ביותר בדיווח כספי, כפי שעולה מנתוני הסקר הבינלאומי שנערך על ידי לשכת בוחני ההונאות העולמית:

• ביצוע מניפולציות בסעיפי התחייבויות והוצאות על ידי שימוש בהפרשי עיתוי, במטרה להשפיע על התוצאות הכספיות באמצעות דחיית הוצאות. לדוגמה, הפחתה מלאכותית של הוצאות החברה השוטפות על ידי היוון הוצאות שוטפות לרכוש קבוע, לרבות היוון הוצאות לנכס שכבר הופעל. בדרך זו ההשפעה של ההוצאה על הדוחות הכספיים נפרשת על פני שנים במקום על התקופה החשבונאית הרלוונטית.
• הכרה בהכנסות שלא בהתאם לתקנים חשבונאים מקובלים – ייפוי הדוחות מבוצע על ידי הכרה בהכנסה טרם זמנה, רישום פיקטיבי של מכירות וביטולן בתחילת שנת הכספים הבאה, ורישום מכירות פיקטיביות בין חברות בקבוצה (פעולות מסוג זה אינן משפיעות על הדוחות הכספיים המאוחדים של קבוצת החברות אלא על דוחות הסולו של כל אחת מהחברות).
• עדכון שווי נכסי החברה באופן מלאכותי – כך לדוגמה, אחת הדרכים הנפוצות לייפוי הדוחות הכספיים היא "ניפוח" ערך המלאי (בין אם על ידי עדכון כמות פרטי המלאי במערכות התפעוליות ובין אם על ידי התערבות מלאכותית בערכים הכספיים של פרטי המלאי), המשפיע על מאזני החברה ועל תוצאות פעילותה.

כלי הבקרה הנהוגים כיום למניעת הונאות בדיווח כספי

מרבית המבקרים הפנימיים אינם נוהגים לכלול בתוכנית העבודה נושאים הקשורים לסיכוני הונאות בדיווח הכספי, מתוך הנחה כי נושאים אלו מטופלים במסגרת עבודת ה-SOX ומבוקרים על ידי רואה החשבון המבקר. אולם שיעור הגידול באירועי הונאה מעלה ספקות בנוגע להתאמתם של מנגנוני הבקרה אשר היו נהוגים עד כה.

המתודולוגיה המסורתית ליישום ה-SOX נועדה לוודא שלא קיימות טעויות מהותיות בדוחות הכספיים, אך מתקשה בזיהוי ואיתור של הטעיות מכוונות, ולכן מתקשה בזיהוי הונאות בדיווח כספי. להלן מספר סיבות לכך:

התפתחויות כלי הבקרה

בשנים האחרונות אנו עדים להתפתחות כלי הבקרה למניעת מעילות: מנהלי סיכונים עורכים סקרי סיכוני מעילות, ומבקרים פנימיים משלבים התייחסות לנושא בתוכנית העבודה של הביקורות הפנימית, תוך הסתייעות באנשי מקצוע המתמחים בתחום הביקורת החקירתית. למרות האמור, נושא ההונאות בדיווח כספי נותר פעמים רבות מחוץ לתוכניות העבודה של המבקר, על אף שהמתודולוגיות הרלוונטיות ליישום SOX ולביקורת על דוחות כספיים מורות על כך.

בספטמבר 2016 פרסם ארגון ה-COSO מדריך בנושא מניעת הונאות ומעילות, המדגיש את מחויבות הארגון לנקוט גישה אקטיבית לצורך מניעת הונאות ומעילות. המדריך הוא חלק בלתי נפרד מעיקרון 8 ב-COSO 2013, שהוא המתודולוגיה המקובלת כיום לבחינת הממשל התאגידי במסגרת ה-SOX. להלן מספר נקודות שבהן עוסק המדריך:

1. קביעת תוכנית לניהול סיכוני הונאה במסגרת הממשל הארגוני.
2. ביצוע הערכת סיכונים מקיפה להונאות ומעילות.
3. פיתוח ויישום בקרות מונעות ומאתרות לזיהוי הונאות ומעילות.
4. קביעת מנגנון דיווח שיאפשר מסירת מידע בנוגע להונאות ומעילות שהתגלו.
5. פיקוח על תהליך ניהול סיכוני ההונאות והמעילות, שיאפשר הסקת מסקנות, הפקת לקחים ושיפור תהליכים.

במתודולוגית העבודה החדשה הנדרשת על ידי ארגון ה-COSO והמועצה לפיקוח על ביקורת דוחות כספיים בחברות ציבוריות -PCAOB (Protecting Investors through Audit Oversight), ניתן דגש בין היתר לנושאים הבאים:

• בדיקת אוכלוסיות שלמות באמצעות שימוש בכלים ממוחשבים ושיטות דגימה מורכבות המסתמכות על כריית נתונים וניתוח חריגים.
• בדיקות המבוססות על תרחישי הונאות ומעילות פוטנציאליות הרלוונטיות לאופי הארגון ולתהליכי העבודה המבוצעים בו.
• כפיפות ארגונית שאינה יוצרת ניגודי עניינים וביצוע בדיקות על מסדי נתונים שלמים באי-תלות מוחלטת בגורם העסקי.

מעיון בפרסומים החדשים עולה כי הטיפול בהונאות בדיווח כספי נופל בין הכיסאות. בעוד שארגוני ה- COSO וה- PCAOBמטילים את האחריות למניעת תרחישי הונאות ומעילות על גורמי הביקורת והבקרה השונים (כגון מבקרי הפנים, מנהלי הסיכונים וכו'), פעמים רבות שומרי הסף אינם כוללים בתוכניות העבודה למניעת מעילות בדיקת תרחישי הונאות בדיווח כספי, מתוך הנחה כי נושא זה מטופל במסגרת ה-SOX ועל ידי רואה החשבון המבקר.

ניתן לאתר ואף למנוע את תרחישי ההונאות על ידי הטמעת בקרות תהליכיות ותקופתיות בארגון. לדוגמה:

• יצירת ממשק אוטומטי בין המערכת הלוגיסטית המשמשת את החברה לצורך ניהול המלאי לבין המערכת הפיננסית, וזאת כדי לצמצם את האפשרות לביצוע פעולות ידניות העשויות להשפיע באופן מלאכותי על הרישומים החשבונאיים של החברה.
• ביצוע ביקורות תקופתיות המתמקדות בניתוח רישומים חשבונאיים חריגים, כגון פעולות המשפיעות באופן מלאכותי על סעיפי חתך.

סיכום

לנוכח התפשטות התופעה ולצורך התמודדות עם סיכוני הונאות ומעילות, נראה כי על חברות למסד מנגנוני פיקוח ובקרה שמטרתם איתור ומניעה של מעילות והונאות, לצד עריכת ביקורות תקופתיות של גורמים מקצועיים בתחום. על הארגונים לנקוט גישה אקטיבית שמטרתה לחשוף הונאות ומעילות בגוף המבוקר, גישה הכוללת בחינת תרחישי מעילות לצד תרחישי הונאות בדיווח הכספי על אף המורכבות שבכך, במסגרת תוכנית מתמשכת למניעת הונאות ומעילות.

The post הונאות בדיווח כספי – כיצד ניתן להתמודד עם הסיכון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעידן שבו המידע נדרש לנוע באופן דינמי בתוך הארגון ומחוצה לו בערוצים רבים ומגוונים, הסיכון שמידע רגיש יזלוג מתוך מערכות הארגון השונות למקורות שאינם מורשים גדל ומתעצם.

מידע רגיש עשוי לכלול מידע רפואי, מידע אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד.

אירוע אבטחת מידע שבו מבוצעת פעולה כגון העתקה, העברה או צפייה במידע רגיש או מסווג, ללא הרשאה או בשגגה, מכונה אירוע דלף מידע.

בין אירועי דלף המידע הידועים ביותר ניתן למנות את פריצת אתר Ebay במאי 2014, שכתוצאה ממנה נחשפו 145 מיליון חשבונות של משתמשי האתר (כולל שמות, כתובות, תאריכי לידה וסיסמאות). כמו כן, ביולי 2017 דלף מידע אישי של 143 מיליון צרכנים אמריקאים עקב פריצת מערכות חברת Equifax על ידי האקרים.

ישנן אינספור דוגמאות נוספות של זליגת מידע רגיש, הן מחברות ענק עוצמתיות והן מארגונים בסדר גודל בינוני, המדגישות את הצורך של כל ארגון לשמור על שלמות, סודיות וזמינות המידע שברשותו בכל זמן נתון. מידע הוא אחד הנכסים החשובים ביותר של כל ארגון, ולכן על הארגון לפעול במיטב האמצעים העומדים לרשותו על מנת למנוע אירועי דלף מידע, בין היתר כדי למזער את הסיכונים לפגיעה במוניטין ואי עמידה בהוראות החוק והרגולציה.

בהתאם לממצאים העיקריים של סקר הנערך על ידי חברת  Verizon Data Breach Investigations Report (DBIR) 2018, אירועי דלף מידע שמקורם בגורם חיצוני זדוני קטנו בשנה האחרונה (~73%) לעומת האירועים שנגרמו על ידי גורם פנים ארגוני (~28%).

מהם הגורמים העיקריים לדלף מידע?

הסיכונים להתרחשות אירוע דלף מידע מושפעים ממספר רב של גורמים שניתן לחלקם לקטגוריות הבאות:

גניבת מידע מהארגון על ידי גורם חיצוני

• גניבת מידע מהארגון ממניעים של ריגול עסקי, תוך שימוש בכלים טכנולוגיים כגון וירוסים וסוסים טרויאניים. לדוגמה פרשיית הסוס הטרויאני שהתגלתה בשנת 2004, כאשר שורה של חוקרים פרטיים שתלו תוכנת ריגול במחשבי חברות פרסום וחברות מסחריות גדולות במטרה לדלות מהם מידע לשם מכירתו למתחרים.
• גניבת מידע מהארגון תוך שימוש בגורם פנימי אנושי המופעל על ידי גורם חיצוני (כלומר הנדסה חברתית). הוצאת מידע מהארגון במקרה דנן עלולה להתבצע באמצעות קישור של מאגר המידע לרשתות חיצוניות, העתקת מידע מתחנות קצה למדיה נתיקה, ואף הוצאת מסמכים בתצורה קשיחה.
• דלף מידע מגורמים חיצוניים לגיטימיים, כגון ספקים, נותני שירות, חברות צד שלישי של הארגון, המחזיקים במידע רגיש – כתוצאה מאי יישום של אמצעי הגנה על המידע, כפי שמיושם בארגון עצמו. לדוגמה, דלף מידע מספקים כגון בתי דפוס, משרדי פרסום, עורכי דין, רואה החשבון והיועצים המשפטיים החיצוניים לארגון, שיש להם נגישות דיגיטלית למידע שבארגון.

זליגת מידע מהארגון בשוגג

• דלף מידע הנובע מתקלה או כשל טכני, טעויות אנוש או חוסר מודעות עובדים. לדוגמה, דלף מידע כתוצאה מטעויות הפצה של דואר אלקטרוני, קיום Metadata בקובצי Office, אובדן מחשבים ניידים המכילים מידע עסקי רגיש, והיעדר היכרות של עובדי הארגון עם נהלים והיבטי רגישות המידע בארגון. דוגמה נוספת – עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר בלי להיות מודע לכך שהתוכן מסווג, ולהוציא את המידע מחוץ לארגון ביודעין או בשוגג.

זליגת מידע מהארגון  בזדון – על  ידי גורם פנימי

• נוסף על כך, קיים סיכון כי עובד ממורמר, עובד שפוטר או עומד בפני פיטורים, או עובד שעתיד לעבור למתחרים, ינצל לרעה את הרשאות הגישה שלו למידע ויעביר אותו לגורמים חיצוניים.

דוגמאות לרגולציה בנושא מניעת דלף מידע

• חוק הגנת הפרטיות ותקנות אבטחת מידע המבוססות על חוק הגנת הפרטיות.
• GDPR– הרגולציה האירופית שנכנסה לתוקף ב-25 במאי 2018.
• ההנחיות רשם מאגרי המידע.
• רגולציה פיננסית (הוראות המפקח על הבנקים, רשות שוק ההון, ביטוח וחיסכון).
• רגולציה ביטחונית בארגונים ביטחוניים\צבאיים.

כיצד ניתן להוריד את רמת הסיכון לדלף מידע בארגון?

ראשית, על הארגון לענות על שורה של שאלות מהותיות, לדוגמה:

• מהו המידע הקיים בארגון?
• כיצד הארגון מגדיר מידע רגיש ומהם רמות הרגישות השונות (לקבוע נוהל סיווג ותיוג מידע)?

כך למשל, הנוהל האמור ימפה ויגדיר מהו הסיכון של מידע אישי לסוגיו; מהו הסיכון של מידע עסקי לסוגיו; מהו הסיכון של מידע פיננסי ומסחרי לסוגיו; מהו הסיכון של מידע טכנולוגי, כולל קניין רוחני, וכדומה.

• היכן המידע מאוחסן?
• מהם הערוצים שדרכם המידע עלול לדלוף?
• ולבסוף – כיצד למזער את הנזקים אם וכאשר יתרחש אירוע של דלף מידע?

במה להתמקד בעת ביצוע ביקורת בנושא מניעת דלף מידע?

• מדיניות ונהלים – יש לבחון האם הוגדרו ומיושמים בארגון מדיניות ונוהלי אבטחת מידע בנושאי סיווג מידע, הפרדת סמכויות, זיהוי עובדים שחשופים למידע רגיש, גילוי וניהול אירועי דלף מידע, הדרכות, החלפת סיסמאות, בקרה שוטפת על הרשאות גישה תוך עדכונים עקב מעבר תפקיד או פרישה, נוהל באשר לעובדים העומדים בפני פיטורין, וכן נוהל בדבר אובדן/גניבת סלולרי או מחשב נייד המאפשר גישה.
• סקר דלף מידע – מומלץ לבצע סקר דלף מידע מקיף על ידי גורם מומחה חיצוני ובלתי תלוי, במטרה לסקור את כלי אבטחת המידע שבהם הארגון עושה שימוש ולבחון את התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. הסקר יאפשר לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים לדלף מידע.
• מערך הרשאות – יש לבחון כיצד מיושם מערך הרשאות וסמכויות במערכות המידע בארגון והאם הוא עומד בעקרון "הצורך לדעת" (Need to Know), תוך הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד. כמו כן יש לבחון עמידה בעקרון הפרדת התפקידים. לדוגמה: עובדים הנחשפים למידע מסווג מתוקף תפקידם, עובדים הנחשפים למידע רגיש בסביבות "נמוכות" (כגון סביבת בדיקות, סביבת פיתוח) וגורמים חיצוניים (עובדי קבלן וכדומה). בנוסף, יש לבחון אילו בקרות מפצות יושמו על מערך ההרשאות, כגון הפצת דוחות חריגים על פעילות המשתמשים במערכות ובדיקתם.
• טכנולוגיה – יש לבחון את הכלים הטכנולוגיים שהוטמעו בארגון לשליטה ומניעת דלף מידע בכל פעילות הארגון. פתרונותDLP – Data Leakage Prevention מאפשרים לשלוט ולהגביל את הוצאת הנתונים בנקודות הקצה בארגון. כך למשל, מערכות ה-UTM (Unified Threat Management) נחשבות לדור הבא של חומות האש (Firewalls), וכוללות יכולות סינון דואר אלקטרוני, סינון תכנים ובקרת יישומים.
• מודעות עובדים – יש לבחון האם התוכנית להגברת המודעות של העובדים כוללת הסברה מספקת בנושאי אבטחת המידע הארגוני וחשיבות מניעת דלף המידע. לעובדים שמודעים לסכנות, לחוקים ולתקנות יש סיכון קטן יותר ליפול בשגגה לידי עברייני רשת.
• שילוב אבטחת מידע בתהליכי משאבי אנוש – יש לבחון האם בקרות אבטחת מידע רלוונטיות שולבו גם בתהליכי משאבי אנוש, למשל: החתמת עובד חדש על נספח שמירת סודיות והנחיות אבטחת מידע, הבהרה לעובדים כי מבוצעים תהליכי ניטור ובקרה באופן תדיר אחר אירועי אבטחת מידע ודלף מידע מהארגון.

The post מניעת דלף מידע appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

סקר הפשיעה הכלכלית הגלובלי לשנת 2018, שנערך על ידי PwC בקרב למעלה מ-7,200 חברות מ-123 מדינות ולראשונה גם מישראל, מצא כי 49% מהחברות חוו פשיעה כלכלית. אחת משלוש המעילות הנפוצות שחוו המשיבים הישראלים היא מעילה בתחום הרכש, אזור סיכון מהנפוצים ביותר בהיסטוריית המעילות בארץ ובעולם.

הניסיון מלמד כי מעילות בתחום הרכש מתרחשות במשך מספר שנים עד לחשיפתן (אם בכלל). ממחקרים שנערכו בנושא עולה כי מעילות חד פעמיות ו/או קצרות מועד הן דבר חריג, שכן הסיפוק, הריגוש והתועלת יגרמו למועל לחזור שוב ושוב על הפעולה מתוך הנחה שלא ייתפס.

משולש המעילה מתאר שלושה גורמים הנמצאים בכל מצב של מעילה או הונאה ומייצרים את הפוטנציאל להתממשותו של סיכון למעילות והונאות: מניע, הזדמנות והצדקה. 59% מהמשיבים לסקר הפשיעה הכלכלית הגלובלי דירגו את גורם ההזדמנות כגורם העיקרי שעלול להביא להתרחשות של מעילה ו/או הונאה. ההזדמנות היא למעשה המצב היחיד שעליו אנו כגורמי הבקרה בחברה יכולים להשפיע, היות שפרצה בבקרה היא פתח להתרחשות מעילה ו/או הונאה.

סקר מעילות והונאות

כמחצית מהחברות שהשתתפו בסקר הפשיעה הכלכלית עורכות מדי תקופה סקר מעילות והונאות במטרה לאתר פרצות בתהליכים העלולים להביא להתרחשות של מעילה ו/או הונאה בחברה. על הסקר לכלול את הפעולות הבאות:

• איתור מוקדי סיכון למעילות והונאות בחברה, כאשר כל מוקד סיכון מכיל תרחישים אפשריים לביצוע מעילה או הונאה.
• בחינת מסגרת הבקרה בכל אחד ממוקדי הסיכון שזוהו.
• ניתוח נתונים במטרה לזהות אנומליות.
• ניתוח והערכת הסיכון השיורי להתרחשות מעילה או הונאה במוקדי הסיכון שזוהו.
• גיבוש המלצות לחיזוק מסגרת העבודה לניהול הסיכון.

בניית תוכנית לצמצום החשיפות שזוהו בתהליכי החברה

מעילות בעולמות הרכש

תהליכי רכש מתנהלים באופן שונה מחברה לחברה, בין אם בעקבות גודל החברה, כמות הפריטים הנרכשים, היקפי העסקאות, תיאבון החברה לסיכון ועוד.

תהליך הרכש ברובו בנוי לפי השלבים הבאים:

הסיכון כי תתרחש מעילה בכל אחד משלבי תהליך הרכש קיים ואינהרנטי, בין אם התהליך הוא שולי ואינו מוסדר ובין אם הוא מבוקר ומאורגן.

לרוב, הוצאות הרכש בחברה הן בסכומים מהותיים ומהוות את עיקר הוצאות החברה. על כן, ובהיותו אזור סיכון מהנפוצים בהיסטוריית המעילות, קיימת רגישות רבה וחשיפה לפעולות בלתי מורשות בתהליך זה יותר מכל שאר התהליכים המתקיימים בחברה. מכאן שיש חשיבות רבה למפות את החשיפות האפשריות ולהתאים את מערכי הבקרה השונים לפוטנציאל הסיכון.

דוגמה מהשנים האחרונות היא מעילת ענק שהתגלתה בחברה מובילה בתחומה בארץ, שבוצעה על ידי מנהלת חשבונות שעבדה בחברה מיום הקמתה ונחשבה לעובדת מצטיינת, מסורה ואהודה על חבריה לעבודה.
אז כיצד בוצעה המעילה בפועל, אלו גורמי בקרה היו חסרים, מהן הבקרות הדרושות ואלו מהן היו מונעות את המעילה?

שיטת המעילה

על פי כתב האישום שהתפרסם, מנהלת החשבונות בחברה פתחה חשבון בנק על שם נעוריה והוסיפה לו מספר מילים המרמזות על ספק הפועל בתחום ההפקה. במשך כחמש שנים שינתה ללא ידיעת החברה את שמם של חלק מספקי החברה שאינם פעילים ובעלי יתרות זכות לשם הספק שהוסיפה לחשבונה האישי, איפסה את יתרות הזכות הכספיות של ספקים אלה והעבירה אותם לחשבונה האישי. מנהלת החשבונות הפקידה בתקופה זו המחאות של החברה לחשבונה הפרטי בסכום של מעל 10 מיליון ש"ח.

לאחר שמעילה זו צלחה במשך כחמש שנים, היא נקטה צעד נוסף והקימה במערכות החברה ספק פיקטיבי הזהה לשם החשבון הבדוי שפתחה. היא ביצעה רישום כוזב של פקודות במערכת הנהלת החשבונות של החברה, והפיקה המחאות לטובת הספק הפיקטיבי שהקימה. את חתימות שני מורשי החתימה על ההמחאות היא זייפה.

בשיטה זו הפיקה עשרות רבות של המחאות מזויפות לפקודת הספק הפיקטיבי (בסכום של מעל 14 מיליון ש"ח), את ההמחאות הפקידה בחשבון המרמה ומשכה משם כספים לשימושה האישי. את התהיות בנוגע לבגדיה היקרים ולרמת החיים הגבוהה, שהפגינה ביחס לבעלי שכר דומה בחברה, פטרה בטענה, כי בעלה העצמאי נהנה מהכנסות גבוהות. היקף המעילה הכולל הוערך במעל 24 מיליון ש"ח במשך יותר מ-10 שנים.

המעילה התגלתה במקרה על ידי חשבת החברה. כחודש לאחר חזרתה של מנהלת החשבונות מחופשת לידה, חשבת החברה איתרה רישום שנראה לה חריג ופנתה למנהלת החשבונות בבקשה לקבלת הסבר. מנהלת החשבונות הגיבה בצורה מתחמקת ולחוצה ומיהרה להסתלק מהחברה. האמור עורר את חשד החברה והוביל לחקירת המקרה.

כשלים בסביבת הבקרה

כיצד נגנב סכום עצום של כסף בלי שאנשי מערך הבקרה והכספים בחברה יחשדו בדבר? היכן היו שומרי הסף בחברה? היו כשלים רבים בסביבת הבקרה, והבולטים ביותר הם:

• לא הייתה הפרדת תפקידים נאותה בין הגורם המורשה להקמת ספק לבין הגורם המורשה להנפיק תשלום לספק.
• לא נעשתה בקרה אחר כרטיסי ספק שאינם ביתרת זכות, ולא נעשתה בקרה לבדיקת התאמה בין הרשום בכרטיסי ספק פעילים לתשלומים שהועברו בפועל לטובת הספק.
• סעיף הרכש בחברה המדוברת הוא מהותי, על כן קיים קושי באיתור חריגים באמצעות בדיקות ידניות. החברה לא עשתה שימוש בכלי ניתוח נתונים מתקדמים לצורך ניתוח פקודות יומן חריגות, איתור כפילויות, איתור פערים ברציפות שיקים, ופקודות יומן והצלבות שונות בין בסיסי נתונים. סביר שניתוח נתונים במטרה לאתר אנומליות היה מציף את הפערים בשלב מוקדם.

בקרות שיכלו למנוע את המעילה

מעילה זו הייתה יכולה להימנע על ידי קיומן של הבקרות הבאות:

• בעת הקמת ספק חדש במערכת הנהלת החשבונות יידרשו אישורים של שני גורמים לפחות. בקרה זו מיושמת כיום בחברות רבות בישראל, כאשר גורם אחד אחראי על הקמת הספק והזנת נתוניו למערכת, והגורם השני אחראי על הזנת פרטי חשבון הבנק של הספק וכן על בחינת אמיתות הנתונים שהוקלדו על ידי הגורם הראשון.
• פתיחת ספק חייבת להיות מגובה במסמך פתיחת ספק, וכן בתעודת התאגדות ו/או אישור ניכוי מס ו/או אישור ניהול ספרים של הספק. בקרה זו תפחית את האפשרות, כי יוקם במערכות החברה ספק פיקטיבי. אמנם לא כל ספק שיש לו מסמכי התאגדות הוא בהכרח ספק של החברה, אך בקרה זו תקשה על גורם בחברה להקים ספק פיקטיבי.
• בעת הקמת ספק יש לקבל מהספק מסמך רשמי מהבנק, כדוגמת דף חשבון או שיק מבוטל. בקרה זו תוכיח לחברה כי חשבון הבנק שביקש הספק להעביר אליו את התשלומים המגיעים לו הוא חשבון הבנק של הספק.
• בחינת תקינות ונכונות מספר העוסק מורשה או ח"פ של החברה. בבקרה זו נבחן כי מספר העוסק מורשה/ח"פ שסיפק הספק לחברה הוא אמיתי ותואם לשמו של הספק.
• הפרדת תפקידים בין הגורם שאחראי על הקמת ספק לבין הגורם שאחראי להעביר את התשלום לספק. בקרה זו הכרחית ומייצרת הפרדת תפקידים נאותה המונעת אפשרות כי עובד יחיד יבצע את הליך יצירת ההתקשרות עם הספק והזרמת התשלום לחשבונו ללא מעורבות גורמים נוספים.
• קיום רוטציה בתפקידים מרכזיים בתחומי רכש וכספים. החלפת בעל תפקיד מרכזי ורגיש מפחיתה את הסיכון כי תתרחש מעילה, מכיוון שהעובד מודע לכך שתקופת כהונתו בתפקיד קצובה בזמן ולאחר מכן ייכנס גורם אחר לנעליו.

בקרות שיכלו לגלות את המעילה

מעילה זו יכולה הייתה להתגלות על ידי קיומן של הבקרות הבאות:

• בקרה תקופתית על שינויים בשדות רגישים של ספקים. באמצעות בקרה זו החברה עוקבת אחר שדות רגישים ששונו, כדוגמת שם ספק, מספר חשבון בנק ועוד. כל שינוי בשדות אלה צריך להיות מגובה במסמך המאמת את הנתונים ששונו. לדוגמה, שינוי שם יהיה מגובה במסמך שעליו חתום הספק ובו השם החדש הרצוי, וכן מסמך של הבנק המאמת, כי שם הספק תואם לשם חשבון הבנק.
• ביצוע ניתוח נתונים במסדי הנתונים המרכזיים של החברה, במטרה לזהות מגמות ופעולות חריגות שבוצעו בתהליכים המבוצעים בחברה, כגון רכש, שכר וכספים. חלק בלתי נפרד מהבקרות שמיישמות חברות הוא ביצוע ניתוח נתונים. לתחקור מסדי הנתונים של החברה יש ערך מוסף מפני שהוא מאפשר זיהוי פעולות חריגות (ככל שהיו כאלה), איתור דפוסי התנהגות, איתור חריגים שלא ניתן היה לזהות מביצוע סקרים ובקרות, ואיתור כשלים בבקרות הקיימות.
• מבחני מהימנות לעובדים בתפקידים רגישים בתדירות שתיקבע מראש. תפקידים בתחום הרכש והכספים מהווים משרות רגישות לאור מעורבותם בהוצאות כספי החברה. מומלץ, כי בעלי תפקידים הנוגעים באופן ישיר ועקיף לכספי החברה, יחויבו בביצוע מבחן מהימנות אחת לתקופה (בדרך כלל אחת לשלוש שנים). יש לציין, כי בקרה זו היא בנוסף על הבקרה המונעת, מפני שהידיעה של העובדים כי הם עתידים לעבור מבחן מהימנות משמשת כגורם הרתעתי.
• חיוב עובדים בתפקידים רגישים בחברה לצאת לחופשה רציפה בת שבוע לפחות, במסגרתה תיחסם לעובד הגישה לתיבת המייל ולמערכות השונות בחברה. במקרים שבהם עובד אחראי על ביצוע אותן פעולות מדי יום, עולה האפשרות כי הוא יצליח להסתיר פעולות אסורות. בעת יציאת העובד לחופשה רציפה, עובד אחר נכנס לנעליו ואחראי לבצע את אותן פעולות שמבצע העובד המקורי בכל יום. אם יהיו פעולות המבוצעות באופן תדיר ומוסתרות בכוונת תחילה, סביר להניח כי העובד המחליף יגלה זאת.

סיכום

קיים מגוון רחב של בקרות שניתן לשלב ולהטמיע הן כחלק ממערך הבקרה הרוחבי והן באזורים נקודתיים בתהליכי הרכש, כפונקציה של מאפייני הפעילות וגורמי הסיכון המבוססים על מיפוי תהליכים ייעודי, או כחלק מסקר מעילות והונאות שמומלץ לבצע אחת לתקופה. בקרות אלו אינן מחליפות את הצורך בתחקור מסדי נתונים לאיתור אנומליות, המהווה כיום כלי מרכזי באיתור חריגים.

ניתוח אירועי מעילה מעלה שברוב המקרים לא נדרש תחכום בביצוע המעילה, ומערך בקרה לקוי הוא שמאפשר את המעילה.

The post פרצה קוראת לגנב – האם ואיך ניתן למנוע זאת? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מעילה. לא אחת מתברר שכיסיו של המועל ריקים (זו הרי היתה המוטיבציה למעילה…) לא נערך ביטוח לכיסוי מעילות (הוא יקר…) והארגון פונה למעגל השלישי- הבנק או רואה החשבון.

במאמר זה נדון ברשלנות תורמת של הארגון למעילה:

האם גם לארגון שבו בוצעה המעילה קיימת אחריות לאי גילוי המעילה? מה היקף האחריות כאשר מתברר הארגון לא נקט אמצעים סבירים למניעתה?

הסוגיה כאמור נידונה בפס"ד אל שרד בע"מ נ' יובנק בע"מ מתאריך 10.02.2014.

סיפור המעילה

מעיון בכתב התביעה עולה כי חברות אל שרד ופולימוד הן חברות הפועלות כחלק מקבוצת חברות העוסקת בתחום האופנה – קבוצה בעלת מחזור שנתי של מאות מיליוני שקלים. אל שרד, פולימוד וחברות נוספות בקבוצה, פעלו במסגרת "איחוד עוסקים" לצורכי דיווח מע"מ. לפולימוד לא היו אמצעי תשלום או חשבון בנק, ולכן לצורך ביצוע תשלומים לספקי החברה נעשה שימוש בחשבון הבנק של אל שרד שנוהל ביובנק – שקיבל לידיו את טופס דוגמאות החתימה של מורשי החתימה בחברות. יש לציין כי שירותי המטה, לרבות שירותי הנהלת חשבונות וביצוע התשלומים, ניתנו לכל החברות בקבוצה ובהן פולימוד, על ידי מחלקת הכספים של הקבוצה שמנתה בין 11 ל-20 עובדים.

לפי כתב התביעה, מנהלת החשבונות של חברת פולימוד הייתה אחראית לביצוע תשלומים לספקים ולרישום פקודות יומן מתאימות בספרי החברה, ואף קיבלה לידיה את ההמחאות של אל שרד בצורה שוטפת וללא בקרה על השימוש שנעשה בהן. בשנת 2006, לאחר שפוטרה עקב אי שביעות רצון מעסיקיה, גילתה עובדת שהחליפה אותה בתפקידה כי המחאה בסך 10,572 ש"ח שנפרעה מחשבון אל שרד, לא הופיעה בספרי הנהלת החשבונות של פולימוד ונרשמה לפקודת גורם שאינו קשור לחברות. בבדיקה נוספת התגלו 345 המחאות בסך כולל של כ-5 מיליון ש"ח שנפרעו מחשבונה של אל שרד על ידי גורמים שאינם קשורים לקבוצת החברות, ונמצא כי החתימות שעל גבי ההמחאות – זויפו.

התברר כי המעילה הוסתרה באמצעות רישום כוזב של פקודות יומן בכרטיסי הנהלת החשבונות של החברות, בעיקר כנגד כרטיס "מע"מ תשומות" וכנגד כרטיסים נוספים של הוצאות, קניות והשקעות.

לאחר גילוי המעילה חתמה גברת סגל על הודאה והתחייבות לשיפוי החברות, אך מאחר שלא הצליחה להחזיר את כספי המעילה, הגישה קבוצת החברות תביעה כנגד יובנק בדרישה לקבל פיצוי.

בתביעה נטען כי על פי תנאי החוזה שבין הבנק ללקוחותיו, הבנק מתחייב לבצע פעולות בחשבון רק בכפוף להוראת מורשי החתימה. לטענת התובעים, אילו נהג הבנק בזהירות הראויה כמתחייב בחוזה, היה מגלה בנקל את הזיוף לאור ההבדלים שבין דוגמאות החתימה שנמסרו לו לבין החתימות המזויפות שהופיעו על ההמחאות, וכך היה עוצר את המעילה ומצמצם את נזקיה.

להגנתו טען הבנק כי בדק את ההמחאות כמתחייב על פי רמת סבירות ראויה ולא הפר את חובותיו,  וכי החברות שלא נקטו אמצעי בקרה בסיסיים הן הנושאות באחריות למעילה ויש לייחס להן אשם תורם בשיעור של 100 אחוזים.

שאלת האחריות – על מי?

כדי לקבוע את גבולות האשם והאשם התורם, דן בית המשפט בשאלות שלהלן:

האם קיים דמיון סביר בין הזיוף לדוגמת החתימה?

שאלה זו נועדה לקבוע את מידת אחריותו של הבנק לאיתור המעילה. אם קיים דמיון סביר בין הזיוף לדוגמת החתימה, הרי שלבנק אין יכולת למנוע את המעילה. משמעות הדבר היא שבמקרים של זיופים מתקדמים, בהם למשל נסרקות חתימות מורשים, טענות נגד הבנק יידחו על הסף.

האם בדיקת ההמחאות על ידי הבנק נעשתה באמצעים סבירים ובאופני פעולה סבירים?

כחלק מניהול הסיכונים, קבע הבנק כי המחאות ייבדקו רק מעל לסכום מסוים, ושממוצע הזמן לבדיקת המחאה אחת יעמוד על כ-30 שניות. כמו כן, החתימות של לקוחות משתנות עם הזמן, ואין לבנק אפשרות מעשית לפנות לכל הלקוחות על מנת לאמת את השינוי. בסופו של דבר הבנקים "קונים סיכון", ומעדיפים להסתכן בתביעה מאשר לשלם מיליוני שקלים על שעות עבודה של פקידים שיבדקו לעומק כל המחאה.

לאור זאת, בית המשפט קבע כי האמצעים שנקט הבנק לבדיקת ההמחאות אינם סבירים.

האם הבנק נקט אמצעי זהירות לצמצום ומניעת הנזק?

הדיון בשאלה זו נועד כדי לחלק את האחריות בין הצדדים. מחד, אמצעי הזהירות היחיד שבידי הבנק הוא בדיקת חתימות המורשים, אך מאידך מדובר באמצעי זהירות משמעותי ביותר, שכן מציאת חתימה מזויפת או אפילו תשומת לב להיעדר דמיון סביר בין החתימה שעל גבי ההמחאה לדוגמת החתימה, היו מצמצמות את היקף המעילה ואולי אף מונעים אותה.

עם זאת, קיים מספר רב של אמצעי זהירות נוספים שעל החברה לנקוט, שמכלולם היה מצמצם את היקף המעילה ברמת ודאות גבוהה. בחוות דעת שהגיש מומחה מטעם הבנק עלה כי החברות לא נקטו אמצעי זהירות שעשויים היו לצמצם את היקף המעילה.

• לא נערכה בדיקת רקע ואמינות לגברת סגל בטרם החלה לעבוד בתפקיד משמעותי ורגיש, אף שסבלה ממבנה אישיותי של מועלת סדרתית ועל אף עברה כמהמרת.
• החברות לא הקפידו על הפרדת תפקידים ואפשרו לגברת סגל הן לקבל המחאות בצורה שוטפת (וללא בקרה על השימוש שבוצע בהן) והן לרשום את פקודות היומן בספרי החברות.
• החברות לא פיקחו על הנפקת פנקסי ההמחאות.
• לא התבצע פיקוח על ספחי ההמחאות ששולמו לגורמים שונים.
• לא נערכה בדיקת רציפות להמחאות שהופקו לתשלום.
• ההמחאות שנמשכו מחשבון הבנק לא הוצלבו עם אסמכתאות מגבות לתשלום (למשל חשבוניות).
• לא מונה מבקר פנימי לחברה ולא נערך סקר חשיפה למעילות.
• לא נאכפה חובת היציאה לחופשה רציפה בת שבעה ימים לכל הפחות.
• לא בוצעו בקרות שוטפות ונקודתיות בנושאים נוספים, כגון בדיקת פקודות יומן חריגות, שימוש ב"דוחות חכמים" ועוד.
• לא הוטמעה מערכת מחשוב מתקדמת בעלת מערך הפרדת תפקידים מובנה, לא נעשה שימוש במדפסת ייעודית להדפסת המחאות על דף נייר חלק, ולמרות שבבעלות החברות הייתה מערכת להפקת המחאות ממוחשבות, גברת סגל הפיקה מאות המחאות ידניות שמטבען הן בעלות סיכון גבוה יותר למעילה.

עוד קבע המומחה, כי החברות שכאמור לא נקטו אמצעי זהירות מלבד ביקורת רו"ח והתאמות בנקים, ויכלו לגלות את המעילה בשלב מוקדם יותר אלמלא התעלמו מהדגלים האדומים שהיו לנגד עיניהם:

• זיוף מאות המחאות המהוות כ-33% מכלל ההמחאות שהופקו, כלומר כל המחאה שלישית הייתה מזויפת.
• רישום הוצאות בכרטסות הנהלת החשבונות ללא אסמכתאות מגבות.
• גידול חריג במע"מ התשומות, המשקף גידול של כ-22 מיליון ש"ח בהוצאות פולימוד – גידול שאינו משקף את מחזור ההוצאות האמיתי של החברה.
• רישום פקודות יומן חריגות, ללא כל היגיון חשבונאי.

באי כוח התובעת טענו כי האחריות נופלת בצורה מלאה על הבנק שכשל בבדיקת החתימות על ההמחאות, וכי מדובר במעילה מתוחכמת שלא ניתן היה לעלות עליה בנקל.

לאחר שמיעת טענות הצדדים, דרכי המעילה, הבקרות והכשלים שהתגלו, קבעה השופטת דניה מאיר קרת את המסקנה הבאה:

"מהדיון באמצעי הבקרה השונים – אלו שלא בוצעו בשל חוסר סבירות או חוסר רלוונטיות מזה ואלו שבוצעו אך נעקפו מזה, מצטיירת תמונה ברורה :המעילה הייתה מתוחכמת למדי ובקרות סבירות שהפעילה התובעת, נעקפו על ידי העובדת. העובדת ניצלה נקודות תורפה שהינן אינהרנטיות לאופייה החשבונאי של החברה.

עם זאת, אין ספק שלצד ניצול נקודות תורפה "לגיטימיות", הסך הגדול של בקרות שלא בוצעו, מוביל למסקנה כי החברה שגתה בניהול חשבונותיה.

מקובלת עלי גישתו של רו"ח אלקלעי, אשר חזרה על עצמה בגרסאות רבות הן בחוות דעתו והן בחקירתו, לפיה על אמצעי הבקרה הננקטים להתאים לנקודות התורפה בהתנהלותה של החברה והאחריות להתאמתם, כמו האחריות למניעת מעילות בכללותה – מוטלת על הנהלת החברה.

נוכח האמור, עולה המסקנה כי התנהלות החברה בפיקוח על העובדת ובפיקוח על השיקים שיצאו מחשבונה, לא הייתה סבירה וכי היא מקימה לה אשם תורם. העובדה כי מחשבונה נמשכו מאות שיקים במשך כשנתיים מצביעה על כך שלא יתכן שכל האשם יוטל לפתחו של הבנק."

סיכום

בסיכומו של דבר, קבעה השופטת כי לחברה אשם תורם בשיעור של 25 אחוזים מהנזק (המהווים כ – 1.2 מיליון ש"ח). פסק הדין קבע כי האחריות הראשית למניעת המעילה בזיוף חתימות על המחאות רובצת על הבנק. עם זאת, אין להתעלם מקביעת השופטת כי על הארגון להתאים את הבקרות כך שיוכלו לאתר ולמנוע מעילה מתמשכת ובהיקף כספי גדול. אין הארגון יכול להניח כי הבנק או רואה החשבון, גם אם התרשלו, יישאו בכל הנזק, כאשר בו-בזמן הוא לא פעל באופן סביר למניעת המעילה.

The post רשלנות תורמת של הארגון למעילה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לאחרונה, וכפי שהדבר משתקף בפעילות משרדנו, קיימת עלייה בהיקף תופעת המעילות וההונאות בחברות מסחריות ובעסקים בינוניים וגדולים.

מרגע שגילתה הביקורת או ההנהלה את החשד למעילה או להונאה, הדחף האינסטינקטיבי הוא קודם כל לעמת את החשוד מול החשד ולקבל את תגובתו, או לחילופין לגשת מיד ולהתלונן במשטרת ישראל. בפועל הניסיון מלמד כי שתי הפעולות יפגעו בסופו של יום בתהליך חשיפת המעילה. במאמר זה נפרט מהו הטיפול הנכון המומלץ במצב זה.

יש למתן את הדחף האינסטינקטיבי בעימות המועל מול החשד ודרישה לקבלת תגובתו

עימות המועל מול החשד?

המגלה עשוי לסבור, ואולי בצדק, שקבלת תגובה מהחשוד תקדם מבחינתו את חשיפת הפרשה, אולם ניסיוננו מלמד כי פעולה זו שגויה ועשויה להסב נזק בלתי הפיך לסיכוי לקבל מהמועל הודאה ו/או להגיע להיקף האמיתי של המעילה או ההונאה, וכן להשבת הכספים שנגנבו.

חקירה של חשוד צריכה להיעשות אך ורק בידי חוקר מקצועי, כשבאמתחתו מידע רלוונטי על האירוע.

חשוד שנחקר עשוי להגיב להאשמות שיוטחו בו באחת משתי דרכים:

• האחת – הודאה חלקית במעשים מינוריים, תוך שהוא מנסה להסתיר את ההיקף האמיתי של האירוע.
• השנייה – הסתגרות טוטאלית מיד בתחילת התשאול או החקירה ואי שיתוף פעולה לחלוטין עם הגורם החוקר.

כדי לקבל הודאה מהנחקר, לחוקר המקצועי חייב להיות מידע אמיתי ומדויק שבו יעשה שימוש בנקודת זמן ספציפית וקריטית.

ברוב המקרים הנחקר עצמו לא יודע כמה מידע יש באמת בידי החוקר, ובשלב זה מנהל החוקר סוג של משחק פוקר מול הנחקר תוך יצירת מצג שלפיו הוא יודע הכול על האירוע ותוצאותיו.

מדובר בטכניקת חקירה המחייבת מיומנות מקצועית גבוהה תוך הסתייעות בעזרים שונים במהלך החקירה, כאשר החוקר יודע "לקרוא" את הנחקר ואת שפת הגוף שלו, ומנהל את החקירה בהתאם.

שימוש מושכל ומדויק של החוקר בנתונים נכונים על נקודות רלוונטיות או קריטיות באירוע, יאפשר במרבית המקרים קבלת הודאה פרטנית מהחשוד תוך עיגון הממצאים בעדות או בהקלטה סמויה.

טכניקות חקירה כאלה יושמו על ידינו למשל בחשיפת המעילה בחברת התקשורת פרטנר, שם מצאנו שהמועל ניהל חשבונות כפולים מול ספק שבתמורה קנה בכספי השוחד נכס (משרד) לחשוד המועל.

ההודאה שגבינו מהחשוד גרמה להרשעתו בתיק הפלילי ולהכרעה חד-משמעית בתיק האזרחי (תביעת נזיקין שהוגשה בידי החברה נגד המועל לאחר מכן).

גם בפרשיית המעילה בחברת נגב, שם העלתה חקירתנו מעילות בהיקף של מיליוני שקלים מצד המנכ"ל ועובדים נוספים, נאסף טרם חקירת החשודים מידע וחומר רב. חשיפתו בזמן ובעיתוי הנכונים תוך שימוש בטכניקות האלה מול כל נחקר, גרמה לכך שהצלחנו לגבות הודאות מפורטות מכל נחקר ולקבל מידע וראיות על היקף המעילה והשותפים לה.

המשטרה איננה ערוכה לחקירות הונאה או מעילה בחברות מסחריות ובעסקים ללא ראיות משמעותיות תומכות  – והתוצאה סגירת התיק

תלונה במשטרה? מתי?

תלונה למשטרה עשויה לכאורה למצות עם החשוד את הדין. כאן עולה שאלת עיתוי התלונה למשטרה.

מתברר כי במרבית המקרים משטרת ישראל בתחנות השונות אינה ערוכה או שאין ברשותה כוח אדם מתאים לחקירות הונאה/מעילה (למעט יחידות איכותיות כמו להב 433 או יחב"ל).

המשמעות היא שברוב המקרים החקירה המשטרתית לא תנוהל בדחיפות המתבקשת, ובדרך כלל גם לא בידי כוח אדם מקצועי שיתקשה להיכנס לעובי הקורה ולהיבטים המקצועיים של העסק הספציפי שבו אירעה המעילה.

לכן ברוב המקרים שבהם לא יומצאו עם התלונה ראיות משמעותיות תומכות, התיק ייסגר מחוסר עניין לציבור או מחוסר ראיות מספיקות, ולעיתים למרבה האבסורד גם מחוסר אשמה.

לסגירת התיק המשטרתי יש היבטים משמעותיים הן באפקט ההרתעה מול עובדי  הארגון שבו אירעה המעילה או ההונאה והן בהליכים שיינקטו לאחר מכן לגביית הנזק מהמועל.

לפיכך הפנייה למשטרה צריכה להתבצע רק בשלבים מתקדמים, כאשר כבר יש דוח חקירה המגובה בראיות.

סיכום

התגלתה מעילה? ראוי ורצוי למנות משרד חקירות רציני לנהל את תהליך איסוף המידע המקדים וחקירת החשודים.

ביצוע חקירה ע"י גורמים מורשים ומוסמכים והכנת דוח חקירה שבו ראיות של ממש (שמוגש יחד עם התלונה למשטרה), מזרזים את הטיפול המשטרתי ומגדיל את סיכוי ההצלחה של ההליך הפלילי. ניתן יהיה להיעזר בדוח גם בהליך האזרחי להשבת סכום המעילה או ההונאה.

טיפול נכון ע"י גורמים מקצועיים הוא ההבדל בין הסיכוי להצלחת התהליך או לכישלונו.

The post חשד ממשי למעילה?! מה עושים? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ארגון התקינה הבינלאומי (ISO – International Organization for Standardization) הוא גוף בינלאומי הקובע תקנים. תקני ניהול – ISO – הם כללים לאסדרה כלכלית בארגונים. בארגון חברים גופי תקינה לאומיים מרחבי העולם והוא כותב תקנים ניהוליים, תעשייתיים ומסחריים בינלאומיים. יישום התקנים הוא וולונטרי, אלא אם כן החליטה הממשלה להחילם כתקני חובה. לדוגמה, על פי החלטת ממשלה, תקן ניהול אבטחת המידע ISO 27001 הוא תקן חובה בכל משרדי הממשלה.

ועידת היסוד של הארגון, שהתכנסה תחת הסיסמה learning between equals, חיפשה שם שייצג את השוויון ומצאה אותו במילה היוונית isos, שמשמעותה היא בלנס – שוויון. בפועל, תיאוריית ראשי התיבות אינה נכונה, שכן שם הארגון הוא International Organization for Standardization ולא International Standards Organization.

תקנים אלה מהווים "רגולציה וולונטרית" (ללא כפייה חוקית), המתבצעת על ידי שימוש בכלים רכים כגון הדרכה, הגברת המודעות ושיתוף הפעולה. בכך דומים תקני הניהול לפעילות הביקורת הפנימית, שגם מטרתה היא לשפר את פעילות הארגון ואת יכולתו להשיג את מטרותיו.

בשנה האחרונה נוסף תקן ניהול חדש: "מערכת ניהול מניעת שוחד", שמספרו: ת"י ISO 37001. הצורך במערכת ניהול וולונטרית נוצר בעקבות חוסר אחידות בחוקי השוחד בעולם, וכן בגלל קושי ברגולציה ובאכיפה עולמית.

"מערכת ניהול מניעת שוחד" היא מערכת כללים ותהליכים שהארגון מתחייב לבצע וכן להיסקר על ביצועם על ידי גוף חיצוני אחת לשנה.

למה כדאי לארגון ליישם מערכת ניהול מניעת שוחד?

בארגונים רבים הנחשפים לקיומה של התקינה בנושא מערכת ניהול מניעת שוחד (ת"י 37001 ISO), נשאלת שאלת הנחיצות. על מנת לענות לשאלה זו נקביל את מניעת השוחד למניעת הטרדה מינית: עד שהפכה לחוק, מניעת הטרדה מינית הייתה רגולציה וולונטרית שארגון התחייב לה. ריבוי האירועים,  העיסוק הארגוני והעיסוק התקשורתי בנושא הביאו לחקיקת חוקים מפורשים ולרגולציה מחייבת, ויותר מכך – הביאו לשינוי הנורמה הציבורית והפרטית.

כך גם בתחום מניעת השוחד. העיסוק התקשורתי והציבורי העולה, החלת נורמות מוסר ונורמות שיפוט ציבוריות על המגזר הפרטי בארץ ובעולם (אישום בישראל בגין שוחד שניתן בחו"ל), כמו גם חוקי הכסף המזומן המשתנים והשפעת המלחמה בהון השחור ובפשע ב"מרשתת האפלה" ((Darknet, כל אלה מחייבים שימוש ברגולציה וולונטרית עד שרשויות החוק יקבעו רגולציה עולמית המותאמת למצב.

בנוסף, חוק החברות מחייב את הדירקטוריון בחובת זהירות. ניתן לראות את מערכת הניהול למניעת שוחד (ת"י ISO 37001) כחלק מחובת הזהירות של הדירקטורים לארגון ושל הארגון לדירקטורים.

מה צריכה לכלול מערכת ניהול מניעת שוחד?

המערכת כוללת את התהליכים הבאים:

1. דרישה לכתיבת והטמעת מדיניות המעלה את נושא השוחד, קבלה ומתן של מתנות, טובות הנאה ותרומות, מהרמה הארגונית הלא פורמלית אל רמת ההנהלה.

נדגיש שלגבי סחיטה מובהר בפרשנות לתקן כי סחיטה היא "תשלום כאשר כסף מוצא בכוח מצוות העובדים באמצעות איומים על הבריאות, הבטיחות או החירות שלו או של אחרים". מכיוון שמערכת החוק בחוק העונשין אינה רואה בתשלום עקב סחיטה מעשה פלילי, לגבי סחיטה הארגון יכול לקבוע מדיניות המתירה ביצוע תשלום, הגדרת דרכי הפעולה, תיעוד האירוע, התשלום ודיווח למנהל ולגורם העמידה בדרישות מניעת שוחד.

2. דרישה לזיהוי כלל החוקים, הצווים והתקנות בנושא שוחד בכל אתרי פעילות החברה בארץ ובעולם, זיהוי כל בעלי הממשק העסקי, ונושאים פנימיים וחיצוניים המשפיעים על מניעת השוחד בחברה, לדוגמה:

• גודל, מבנה והיקף האצלת הסמכויות של מערכת קבלת ההחלטות בארגון.
• מיקום הפעילות של הארגון והסקטור שבו הוא פועל.
• מהות ומורכבות הפעילויות של הארגון.
• המודל העסקי של הארגון.
• הארגונים שתחת שליטתו והארגונים ששולטים עליו.
• בעלי ממשק עסקי.
• היקף ואופי יחסי הגומלין עם גורמים רשמיים.
• דרישות על פי דין, דרישות חוזיות והנחיות גופי מקצוע והנחיות ישימות שהארגון אימץ.

3. מינוי ממונה על מניעת השוחד בארגון ("גורם העמידה בדרישות מניעת שוחד") – בעל תפקיד עם קשר ישיר לדירקטוריון ולהנהלה הבכירה, האחראי על מניעת שוחד בארגון. בסמכותו להעריך את סיכוני השוחד בכל המחלקות והפרויקטים, לקבוע נהלים, ובעיקר להגביר ולאכוף את חובת הדיווח, לתחקר אירועים ולהעלות להנהלה "דגלים אדומים".

מספר העובדים במערך הציות (מערך האכיפה של מניעת השוחד) יהיה בהתאם לגודל הארגון ולרמת הסיכונים לשוחד שאליהם הארגון חשוף. בארגון קטן יכול להתמנות לתפקיד זה אדם הנושא תפקיד שגרתי בארגון, אך יש לוודא שתפקידו אינו בסיכון גבוה לקבלת שוחד (מנהל רכש למשל). גורם הציות חייב להיות בעל כישורים (השכלה, הדרכה וניסיון), מעמד בארגון (דעתו נשמעת ומיושמת) וסמכות (הרשאת האכיפה מספקת), עצמאי וחסר תלות.

4. הגדרת אחריות וסמכות לכל בעל תפקיד בנושא מניעת השוחד.
5. קביעת שיטה מתועדת לזיהוי סיכוני שוחד וניגוד עניינים:
   במסגרת השיטה ייערכו ניתוחים, הערכות ודירוג של הסיכונים שזוהו. וכן יוערכו האמצעים לבקרה ומניעת שוחד ויותאמו לארגון. אם יעלו סיכונים פוטנציאליים (דגלים אדומים), תבוצע בדיקת נאותות.הסיכון ייבחן גם בנוגע להעסקתם של עובדים ועובדי כוח אדם זמניים. לגבי האחרונים ניתן להפחית את הסיכון הן על ידי החלת הבקרות שנקבעו לגבי עובדי הארגון גם על עובדים אלו, או על ידי חיוב מעסיקם להפעיל את הבקרות.קביעת השיטה לזיהוי סיכוני שוחד מסייעת גם בקביעת גבולות ברורים בארגון בנושאים "אפורים" לכאורה כמו קבלת תשורות (לדוגמה: קבלת שוקולד או בקבוק יין מלקוח למחלקת תשלומי ספקים – לא תמיד לאנשי המחלקה יש כלים להעריך את שווי התשורה, ולעיתים לאורך השנים נוצרים גם ניגודי עניינים כאשר הספק הופך לחבר אישי המזמין ומוזמן לאירועים אישיים, והשוקולד הופך לכאורה לתשורה פרסונלית ולא תשורה בגין תפקיד), אירוח, תרומות, מוצרים ממותגים וכו'.כאשר עולה חשד לסיכון שוחד, כלומר לא זוהתה פעילות שוחד אולם הנסיבות או האירועים עלולים ליצור מראית עין או פוטנציאל לכך, תבוצע בדיקת נאותות.

   בדיקת נאותות היא למעשה המשכו של תהליך בחינת הסיכונים לגבי פרויקטים, עסקאות, פעילויות ארגוניות, שותפים עסקיים ועובדים שלגביהם נמצא כי הם מהווים סיכון בינוני או גבוה לשוחד. את בדיקת הנאותות יש לערוך אחת לתקופה בהמשך לסקר סיכוני השוחד, והיא מהווה בקרה ממוקדת על מניעת שוחד בתחומים הנבדקים.

   בקרה בנושא ניגוד עניינים ניתן לבצע על ידי מתן שאלונים לבעלי תפקידים בתחומים שהארגון זיהה כרגישים, כגון רכש, ניהול פרויקטים וכו', ובעקבות הבדיקה יש לקבוע "דגלים אדומים" – נורמות ארגוניות או אירועים המעלים חשש לניגוד עניינים או מצבים חריגים שמצריכים בדיקה בתחום מניעת השוחד.

   לדוגמה, מנהל פרויקטים שעבד אצל לקוח ועבר לעבוד בחברה – יש לבחון האם המעבר התבצע בעקבות צורך או בעקבות מערכת יחסים שהיטיבה עם החברה תחת ניהולו של המנהל, או יחסי משפחה או שכנות בין מנהל הרכש למי מהספקים.

6. הצבת בקרות פיננסיות ושאינן פיננסיות: בקרות פיננסיות הן התהליכים המיושמים על ידי הארגון לניהול נכון וראוי של        העסקאות הכספיות, וכן לתיעוד מדויק, מלא, ומהיר ככל האפשר שלהן. בקרות שאינן פיננסיות הן תהליכים המיושמים על  ידי הארגון כדי לוודא כי היבטים לא כספיים של הפעילויות מנוהלים באופן נכון וראוי.
7. הדרכת כל עובדי החברה, הספקים וקבלני המשנה, משלב הקבלה לעבודה ואחת לתקופה במשך העסקת העובד בחברה.
8. עריכת מבדקים פנימיים תקופתיים הבוחנים את אפקטיביות המערכת ואת אופן ניהולה. מטרת המבדק היא לספק ביטחון סביר לדירקטוריון ולהנהלה הבכירה כי מערכת מניעת השוחד שהוקמה פועלת באופן אפקטיבי, וכן לייצר הרתעה ניהולית.
9. ביצוע סקרי הנהלה שבהם נבחנת עדכניות המדיניות והנהלים, נבחנים כלל האירועים שדווחו וכן הפעולות שבוצעו בעקבותיהם, מאושרר סקר הערכת סיכוני השוחד, וכן נקבעים יעדים ותוכניות עבודה בתחום.

מה טיב הקשר בין תקני הניהול לעבודת הביקורת הפנימית?

האם מערכת ניהול למניעת השוחד תורמת לעבודת הביקורת? ראוי לזכור כי כל מערכת ניהול הנסקרת בקביעות של אחת לשנה על ידי גוף חיצוני בלתי תלוי מחזקת את עבודת המבקר. המבקר מוגבל לעיתים על ידי תוכניות עבודה ושיקולים ארגוניים של קובעי התוכנית, בזמן שגוף חיצוני חופשי ממגבלות אלו ויכול לחזק את גבולות הארגון ולהגביר את כושרו התחרותי והשגת מטרותיו.

חוזקו ויתרונו של מבדק חיצוני עולה ככל שהפתיחות ורמת שיתוף הפעולה בין הסוקר לעורכי המבדק הפנימי (שיכולים להיות המבקרים הפנימיים) של הארגון עולה גם היא. עורך מבדק פנימי יכול לכוון את הסוקר למקומות שבהם הוא מזהה בעיה, אולם כוחו הפוליטי, הארגוני, חלש יותר, וסוקר חיצוני יכול לתמוך בשיפור תהליכי הארגון על ידי שיקוף תהליכי הארגון בעזרת עורך המבדקים הפנימי.

לסיכום, ניתן לראות קווים מקבילים בין עבודת יחידת הביקורת הפנים ארגונית לתקני הניהול – ולכן למרות השוני ניתן לראות בתקני הניהול בכלל ובמערכת ניהול למניעת שוחד בפרט כלי משלים ותומך בעבודת הביקורת.

The post מערכת ניהול למניעת שוחד (ISO 37001) ועבודת הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשותפות לקבלנות בנייה בשםBuilding Co  The (TBC), עם הכנסות שנתיות של 8 מיליון דולר, יש שני שותפים. מייק בילינגס, המנהל והבעלים, ייסד את TBC וזמן קצר אחר כך הכניס את סטיב גריי כשותף שווה, המחזיק כמוהו בשיעור של 50% בשותפות. בילינגיס הכיר את גריי מעבודתם המשותפת בעבר וצירף אותו לחברה בשל הרקע החזק שלו בתחום המכירות. על אף העובדה שאף אחד מהשותפים לא חתם על הסכמי ניהול משותף, בילינגס מילא את תפקיד נשיא החברה ומנהל רשום, וגריי החזיק בתפקיד סגן הנשיא במסמכי המיסוי של החברה.

כל אחד מהשותפים משך משכורת, ובהתאם להסכם לא פורמלי בין השותפים, כל אחד מהם היה רשאי להעביר כספים מ-TBC לטובת הוצאות אישיות. בסוף השנה, השותף שמשך פחות כספים לטובת הוצאות אישיות, היה יכול למשוך כסף במזומן להשוואת ההוצאות בין השותפים. בעוד שבילינגס התמקד בהרחבת העסק ובניהול פרויקטים ופיתח אסטרטגיה עסקית, אחריותו של גריי כללה מעקב עלויות והכנסות, ניהול יומיומי של המשרד, שיווק, פרסום וניהול הספרים. על אף שלגריי לא הייתה השכלה בתחום החשבונאות או בתחומים אחרים הקשורים  בפיננסים, בילינגס סמך עליו באופן מוחלט.

בשלב מסוים החל בילינגס לחשוש מהפעילות של שותפו העסקי. גריי לא הכין מסמכים פיננסיים פנימיים שהתבקש להכין חודשים קודם לכן, לרבות הצהרה על הוצאות שותף לשנה הנוכחית ודוחות כספיים תקופתיים. לנוכח חששותיו ערך בילינגס סקירה ראשונית, ניתח תנועות תשלומים נבחרות וזיהה עסקאות מרובות שבוצעו על ידי גריי לטובת עסקים אחרים שלו, כולל עסקה אחת בהיקף של 300,000 דולר.

לאחר הניתוח הראשוני פנה בילנגס ליועץ וחוקר בתחום החשבונאות לביצוע חקירה, במטרה לבחון האם זכויות הצדדים בשותפות נשמרו. החוקר שלף וניתח מידע מהמחשבים ומהטלפונים העסקיים של גריי, ובנוסף ניתח את כל המסמכים הפיננסיים הרלוונטיים, כולל הוצאות בכרטיס אשראי פרטי ועסקי של גריי. החקירה התמקדה בנושאים הבאים:

• שליפת כל הנתונים החשבונאיים והפיננסיים מתוכנת החשבונאות בתקופה שנבדקה.
• קבלת כל החוזים הרלוונטיים ותיעוד תומך.
• מינוף הידע שיש לבילינגס על עסקיו האחרים של גריי, היכרותו עם ספקיTBC שסביר להניח שגריי נעזר בהם בשיפוץ ביתו, והבנתו של בילינגס את חיובי כרטיס האשראי שאינם מיוחסים לעסקי TBC.
• עריכת ראיונות לעובדי TBC להבנת הבקרות הפנימיות והתמקדות בנושאים ספציפיים הרלוונטיים לחקירה.
• תקשורת שוטפת עם ההנהלה על מנת להבטיח את עדכונם של בעלי העניין בנושא ובהתפתחותו.

החקירה העלתה שבתקופה של שלוש שנים, גריי מעל בסכום של מעל 450,000 דולר, שהופנו לטובת אורח החיים הראוותני שניהל, שכלל הימורים, נסיעות יקרות לחו"ל וביקורים תדירים במועדוני חשפנות.

מתוך בושה, גריי השתמש בכרטיסי האשראי של החברה כדי לשלם על ההוצאות האישיות האלו, ללא ידיעתו של בילינגס. החיובים בכרטיס אשראי זה כללו חיובים עבור הוצאותיו של גריי ושל עובדי TBC אחרים על הימורים, מסעדות ומועדני חשפנות. גריי רשם את העסקאות הללו כ"לקוחות/ בידור לקוח" בפנקסי חשבונות ראשיים שונים. לאחר מכן לא כלל את העסקאות הללו בדוחות בעלי המניות שערך.

בנוסף, גריי הגה תוכנית על מנת לשלם מכספי החברה את החיובים בכרטיס האשראי האישי שלו: הוא יגיש ויאשר את דוח ההוצאות שלו (בחתימתו) ואז ינפיק לעצמו המחאה מ-TBC שגם עליה הוא חתם או שינפיק תשלום ישיר מ-TBC לחברת כרטיסי האשראי שלו. זיהוי ההוצאות הלא-מנוכות שלא נוצלו, חייבו לבצע פעולות חשבונאיות טכניות נוספות והתמודדות עם נושאי מס שדרשו פתרון.

גריי גם נתן הלוואת גישור לאחד מעובדי TBC לרכישת בית. בשיחה שהתקיימה עם העובד שקיבל את ההלוואה התברר שגריי חייב אותו בריבית בסך 15,000 דולר ל-30 ימי ההלוואה. את הריבית גריי השאיר לעצמו, ובנוסף החזיר ל-TBC 250,000 דולר מתוך הלוואה של 300,000 דולר.

כאשר נבחנו הבקרות הפנימיות והמידע הפיננסי הרלוונטי ב-TBC, החוקר מצא שגריי השתלט באופן מלא על כל התהליך והמידע הפיננסי של TBC, והיה מסוגל לעשות מניפולציות על המידע הפיננסי שניתן לבילינגס ולבעלי העניין. גריי שינה את דוחות הרווח של הפרויקטים על מנת שלא לכלול "הוצאות לא עסקיות". הוצאות אלה נרשמו בחשבונות הוצאות כלליות ושוייכו לפרויקטים רק לפני סיום הפרויקט או לאחר השלמתו. דוחות הפרויקטים מראים בבירור הוצאות נוספות שנוספו לדוח סמוך לסיום הפרויקט או לאחריו.

גריי גם תמרן את ספר החשבונות הראשי של TBC באמצעות אפיון לא נכון או סילוף תיאור ההוצאות האישיות, כגון שיפור מקום מגוריו הפרטי ורכישת מכשירים חדשים. לצד הרישום כהוצאות כלליות צורף תיעוד תומך אמין וכשר, ובמקרים מסיימים לא צורף תיעוד התומך בתקפות בעסקה.

בנוסף, הוא הסווה את ההוצאות הלא עסקיות באמצעות רישומם כחיובים בדוחות הרווח של הפרויקט או תשלום פרטי לספקים בהוצאות קבלני משנה. במקרים רבים הוא רשם את החיוב השקרי בקטגוריית הוצאות קבלני משנה, מכיוון שזאת הייתה ההוצאה הגבוהה ביותר בפרויקט, ובילינגס לא היה בודק הוצאה זאת לפרטיה.

מלבד היעדר הפרדת תפקידים בניהול הפיננסי, החוקר גם גילה שגריי חתם על רוב ההמחאות ופיקח על מנהל החשבונות החיצוני, במשרה חלקית, שרשם את העסקאות בהתאם להנחיות של גריי. גריי גם שלט בממשק עם חשבונאי מס, וסיפק לו את כל המידע הפיננסי הרלוונטי, ללא ידיעתו של בילינגס. למרבה הצער, בשל תשתית IT לקויה של TBC, השרת שלה לא מגבה את מערכת החשבונאות, ולכן כל המידע החשבונאי שלפני 2012 אבד.

בסופו של דבר בילינגס רכש את חלקו של גריי בעסק במחיר שמתחשב בכספי המעילה, אך בחר שלא להגיש תביעה כדי למנוע יחסי ציבור שליליים ואובדן לקוחות פוטנציאלים. TBC, בילינגס וגריי החזירו כספי מיסים עבור שלוש השנים האחרונות וכן נדרשו לשלם מיסים נוספים וקנסות.

הלקח שנלמד

• ניתן למזער את הסיכונים שמוצגים בסוג זה של שותפות במגוון דרכים, לרבות עריכת בקרות של השותף שלא עוסק בפיננסים, סקירת דוחות בנקאיים, קבלת דוחות כספיים באופן אוטומטי ממערכת החשבונאות, וסקירה חיצונית של רו"ח מעת לעת.
• הסכמים המסדירים את ההסכמות העסקיות בין השותפים, חייבים לכלול פרטים על אחריותו של כל צד. פרטים אלה יוכלו לשמש את המבקרים בעריכת ביקורת ולתיאום ציפיות.
• מבקרים פנימיים צריכים לעבוד עם יועצים משפטיים לבחינת עמידה בחוקים ועל מנת להבטיח שההשלכות החוקיות של החקירה נלקחים בחשבון.
• בעסקים קטנים ובינוניים, הביקורת הפנימית צריכה להבטיח שבעלי העניין נוטלים חלק בסביבת הבקרה הפנימית. ניתן להשיג זאת באמצעות בקרת ניטור, כגון סקירה בודדת ונפרדת של דוחות כספיים ועירובם של כל הגורמים הרלוונטיים בממשקים עם גורמים חיצוניים הקשורים בפיננסים.
• תמיד צריכה להיות בדיקה של גורם נוסף של המחאות, על מנת לוודא את אמינות התיעוד התומך, מקבל התשלום והסכום.

*המאמר “Fraud Findings” ג'יימס קארול CRMA,CPA,CFE, תורגם מגיליון אוקטובר 2017 של כתב העת INTERNAL AUDITOR .

The post הלקח הנלמד מהונאת שותף עסקי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

במגזר הציבורי והפרטי, סביר להניח שטעויות במהלך העסקים הרגיל אינן נגרמות בכוונה תחילה. הונאה מוגדרת בתקנים -כ"כל מעשה בלתי חוקי המאופיין על ידי תרמית, הסתרה או הפרת אמונים" המבוצע בכוונת תחילה . הדיכוטומיה בין טעות לא מכוונת לבין הונאה אינה תמיד ברורה.

נראה ששיטות ביקורת מסוימות מתאימות יותר לאיתור טעויות והונאות. שיטות הנסמכות על הצגת ההנהלה, או אשר  לפיהן ניתן למבקר אישור שהבקרות אכן פעלו כמתוכנן – כגון ראיונות, רשימות תיוג להערכה עצמית, מבחני הדרכה בשטח, דגימת עסקאות, ובדיקת סבירות אנליטית– עשויות להיות חשופות להטיית אישור (הנובעת מאמונתו או מדעתו הקיימת של המבקר) . אפשר שהמסקנות לא תהיינה שנויות במחלקות, אך הן עלולות לפגוע בשמה הטוב של הביקורת הפנימית כאשר מתגלות טעויות מהותיות או הונאות במועד מאוחר יותר.

ניתן אף לטשטש טעויות והונאות במידה רבה יותר אם לא התקיים עם המבוקר דיון מעמיק על פעולות מתקנות במהלך הישיבה המסכמת. מתוך ניסיון של שנים רבות עולה שלעיתים, סיום במועד של יישום המלצות מתמהמה או אף מיושם באופן פחות נחרץ ממה שהמבקר הפנימי התכוון.  מכאן עולה שהטיית אישור בעבודת השטח , בשילוב עם פעולות מתקנות שלא נדונו מספיק ולא יושמו כהלכה, יכול להסתיר את הימצאותן האפשרית של טעויות מהותיות והונאה, אשר מתרחשות בתדירות גבוהה יותר   מהמצופה.  אחת הדרכים להקטין את הסיכון של מתן הבטחה מוטעית ולחזק את מעמדו של המבקר הפנימי בעיני חברי הדירקטוריון היא לחפש את אותן טעויות שהבקרות הפנימיות  אמורות למנוע.

איתור טעויות

איתור טעויות מהותיות והונאה דורש העלאת השערות לגבי תרחישי מעילות והונאות אפשריים. באופן אידיאלי, הדבר מתאפשר על ידי שילוב ניסיון רב-תעשייתי בחשיבה יצירתית – החל מהתרחיש הגרוע ביותר שניתן לצפות לו – ובהמשך, תכנון ביקורת שטח בידיעה מוקדמת שהממצאים עשויים להיות שונים מהמשוער.

שיטות לאיתור טעויות כוללות:

• הצלבת מקורות מידע אשר בדרך כלל לא תואמים , כגון מטא-דאטה לטלפונים ניידים ונתוני הנכנסים למבנה.
• שימוש בכריית מידע
• שימוש בחוק Benford להדגשת טרנזקציות יוצאות דופן.
• בירור תכולת דאר אלקטרוני.
• הקשבה לעובדים שעשויים להסכים לחשוף מידע על בקרות שנעקפו.

לביקורת הפנימית קיים יתרון בכך שבד"כ עומדים לרשותה כלים לכריית מידע; רשת של קשרים מהימנים בארגון שיכולים להוות מקור למידע בעל ערך רב; ותמונה רחבה של תהליכים מקצה-לקצה; בו בזמן שעובדים רבים מוגבלים לפרספקטיבה הצרה של מחלקתם.  המבקר הפנימי, על ידי מינוף היתרונות הללו, יכול לזהות את מה שלא ברור לאחרים.

קל יותר לשכנע את ההנהלה לגבי השפעת הבקרה החלשה, אם מאתרים טעות ממשית בעלת השפעה ברת-כימות, וזאת לעומת השערה על כשלים בפיקוח ובבקרה שטרם הוכחו והפוטנציאל ליצירת השפעה פיננסית שלילית. לביקורת הפנימית קיים טיעון חזק לשיפור תהליכים, והתנגדות  ההנהלה לכך   תיחלש כאשר טעות או טעויות רבות מובאות לדיון בפגישת הסיכום.

העלאת השערות על תרחישים של טעויות והונאה בתכנון הביקורות שלנו עבור ארגונים שונים, איפשר לצוות הביקורת הפנימית לחזק את המוניטין שלו לגבי הממצאים.  צעד זה זכה  לתגובות מהירות מצד ההנהלה, להשבת דולרים בסכומים משמעותיים, ובמקרים רבים אף הוביל להחלפת עובדים.

מקרה מס. 1:, על ידי זיהוי חריגות מתקרות הפקדה, איתרה הביקורת הפנימית 75 מיליון לירות סטרלינג (99 מיליון $ ארה"ב) בפיקדונות של חברה בריטית לשירותי תשתית שיועדו למקסום ריבית בנקאית, אך חרגו בהרבה מתקרת ההפקדות שאושרה על ידי מועצת המנהלים באותם מוסדות פיננסיים.  ההנהלה העלתה את האינטרס-העצמי שלה בכך שהיא מקסמה בונוסים אישיים מבוססי הכנסות, תוך עקיפת "התיאבון לסיכון" של מועצת המנהלים. האינטרס האישי של ההנהלות נצפה לעתים קרובות כהעדפה שהתגלתה בביקורות לזיהוי טעויות.

מקרה מס. 2: המבקרים הפנימיים גילו פיקדון של 60$ מיליון דולר אוסטרלי  (47 מיליון $ ארה"ב) בחשבון בנק יחיד של חברת תחבורה אוסטרלית.  הפיקדון נשא ריבית אפסית, בשל חוסר התייחסות מצד ההנהלה להשגת תשואה על כספי החברה. מועצת המנהלים הסכימה שמוטב היה להשקיע את הכסף במספר מוסדות וברמת סיכון נמוכה, על מנת להשיג תשואה שנתית של 900,000 דולר אוסטרלי (705,000 $ ארה"ב) לפחות.

בשני המקרים הללו, העדר דו"ח ההשקעות  הסתיר ממועצת המנהלים כיצד נותבו הכספים, והתוצאה הייתה שכסף רב הוחזק  במקומות הלא נכונים.

מקרה 3:  על ידי העלאת רבות תרחישים  לטעויות לפני ביצוע ביקורות שטח ובמהלכה, זיהתה הביקורת הפנימית 8 מיליון לירות סטרלינג (10.5 מיליון $ ארה"ב) בחיובי יתר שגויים מצד קבלני תחזוקה של חברת הנדסה בריטית.  נמצאו כ-50 מקרים נפרדים של טעויות והונאה, מוסתרים בתביעות לסכומי כסף חד פעמיים, וחתומים על ידי מח' ניהול לקוחות לאחר בדיקות נאותות לקויות טרם אישורם לתשלום.  חרף חתימות רבות של מנהלי בחברה עד למנכ"ל, כל מנהל הניח שהמנהל מתחתיו ביצע את הבדיקות המפורטות לחיובי הקבלן.  ברגע שחיובי היתר כומתו על ידי הביקורת הפנימית, הושבו מרבית הסכומים ללא צורך בעורכי דין.  התפתחות  מפתיעה שנבעה מאותה ביקורת היה שכאשר המנכ"ל של אותה חברה הנדסית קודם לתפקיד בכיר יותר בחברה גדולה, הוא גייס את המבקר הפנימי הראשי לשורותיו.

מקרה 4:  בבדיקת בספרי החשבונות  של נכסים בלתי מנוהלים, אותרה יתרת חוב בסך 4 מיליון לירות סטרלינג (5.3 מיליון $ ארה"ב) של חברה בת בריטית של חברה אמריקאית. החוב חמק מעיניה של מח' בקרת אשראי משום שהוא נוצר על ידי לקוחות חריגים מחוץ למהלך העסקים הרגיל, ולפיכך עקף את דוח הגבייה השגרתי.  הסתבר ש50% מהחוב היה ניתן לגבייה, דבר שהוביל לגביה של כ 2 מיליון לירות סטרלינג (2.6 מיליון $ ארה"ב) מזומנים ומאזן "נקי" יותר.

מקרה מס. 5: מחלקת התשלומים לספקים לא הצליחה לאתר 2 מיליון דולר אוסטרלי (1.6 מיליון $ ארה"ב) בתשלומים כפולים לספקים, בקרב לקוחות קמעונאיים, תחבורה, משרדי ממשלה וחברות הנדסה.  על אף שניתן היה לגלות את הכפילות במערכת לניהול חשבונות ספקים עוד לפני התשלום, התראות המערכת בוטלו או שהממונים המקומיים התעלמו מהן. הביקורת הפנימית עשתה שימוש במידע שברשותה כדי לבצע בדיקות עצמאיות לכריית מידע, אשר התמקדו במיוחד לגילוי כפילויות. להפתעתנו, נמצאו עשרות כאלה.  התשלומים המיותרים הושבו להנהלה על ידי הספקים והוחזרה הבקרה לאיתור ומניעת תשלומים כפולים.

מקרה מס. 6:  מבקרים פנימיים חשפו 1 מיליון דולר אוסטרלי (788,00$  ארה"ב) בדיווחי מחלות וחופשות כוזבים שלא דווחו  כנדרש על ידי עובדים בחברת תחבורה אוסטרלית. ההונאה התגלתה תוך העלאת השערה שהונאות מסוג זה  אפשריות וכן איתור טעויות על ידי הצלבת נתוני שכר כנגד שימוש בטלפון סלולארי, שימוש ברכב, נתונים ונתוני הנכנסים למבנה החברה. תחילה, ניסתה ההנהלה לטעון שהביקורת הפנימית הפרה את תקנות הפרטיות בכך שהיא חקרה את מקום הימצאותם של העובדים.  אך המבקר הפנימי הראשי הוכיח שעל פי תקנות הפרטיות, שימוש במטא-דאטה של הארגון עצמו מותר לצורך בירור הימצאותם של עובדים בשעות העבודה. מסקנת הביקורת הייתה שלא זו בלבד שתרבות העובדים הייתה לקויה והיה צורך לתקנה אלא שגם תרבות הפיקוח הייתה לקויה , דבר שהוביל לשינויים רבים בצוות ההנהלה.  למהלך זה הייתה השפעה חיובית על פריון העבודה, על התחייבויות לחופשות במאזן וכן על עלויות שעות נוספות, שנגרמו כתוצאה ישירה מדיווחים כוזבים של י העובדים לגבי היעדרותם במשך שנים רבות.

מקרה מס. 7:  במקרה שמשקף טעויות והונאה מהותיות, זיהתה הביקורת הפנימית נהלים לשימוש ברכב שנוסחו באופן גרוע ולא יושמו באופן תקני בשתי חברות נפרדות. בנוסף, חברות ליסינג חיצוניות הוסיפו חיובים לא נחוצים לטובתן.  כתוצאה מכך, נעשה שימוש במרמה ברכב החברה למטרות שונות שאינן עסקיות.  חברות האם לא היו מודעות לביטול רישיונות נהיגה בשל העדר הצהרות של נהגים, וחלה עליה בשיעורי תאונות רכב, שגרמה לעליה בפרמיות הביטוח. חברות הליסינג הטילו קנסות לא מוצדקים בעת סיום השכירויות.  על אף שלא הצליחו להשיב את מלוא העלויות הקודמות, נמנעו החברות מלשלם 1 מיליון דולר אוסטרלי (780,000 $ ארה"ב) בעלויות שנתיות עתידיות על ידי שיפור הנהלים והבקרות כתוצאה מהביקורת.

מקרה מס. 8:  לעתים, מתגלות טעויות והונאות באמצעות רשת הקשרים של הביקורת.  אזהרה מעורפלת אך קריטית מטעם אחד העובדים גילתה שמנהל הכספים העביר מידע קנייני ממועצת המנהלים לחברת למערכות מידע. חברה זו הגישה הצעות מחיר לחוזים בעשרות מיליוני דולרים, כאשר מנהל הכספים היה דירקטור ובעל מניות באותה חברת IT.  הביקורת הפנימית אימתה את  מעורבות מנהל הכספים בחברה השנייה עם הרגולטור של ניירות ערך, ובהמשך ניצלה את זכויות הגישה המוקנות לה מתוקף כתב האמנה שלה לצורך בדיקת הדואר האלקטרוני ורישומי הטלפון הסלולרי של מנהל הכספים,  כדי לאמת את העברת המידע הקנייני.  החברה סיימה את עבודתו של אותו מנהל הספים, הסדירה את נוהל ניגוד האינטרסים, השיבה חלק מהעלויות ההיסטוריות ושמה קץ להוצאות עתידיות לא נחוצות   הנאמדות במיליוני דולרים.

המקרים הנ"ל ממחישים את מגוון הכשלים במדיניות, בניהול סיכונים, בשיטות, וניסוח החוזים שניתן לגלות באמצעות איתור טעויות והונאות מהותיות במהלך תכנון וביצוע ביקורות.

ראיות חותכות

חל שיפור ניכר בקרב ארגונים בהערכת המוניטין של המבקר הפנימי כאשר ראויות לטעויות מהותיות שקשה לחלוק עליהן הובאו לדיון במועצת המנהלים. לעתים קרובות, טרם הפצת דוח הביקורת, חלו שיפורים בבקרות, הושבו הוצאות, נמנעו עלויות פוטנציאליות ובמקרים גרועים החמורים ביותר – העובדים העבריינים סיימו את תפקידם.

מועצות מנהלים מעדיפות  שזיהוי הטעויות ייעשה בשלב מוקדם על ידי המבקר הפנימי, מאשר לאחר האירוע על ידי ביקרות חיצונית, רגולטורים, או פרסום באמצעי התקשורת.  גם אם לא יימצאו כשלים במתודולוגיה לזיהוי טעויות, הרי שזו כשלעצמה מהווה סוג של הבטחה אם כי לא מוחלטת באשר  ליעילות הבקרות.

המאמר תורגם מגיליון דצמבר 2017 של כתב העת INTERNAL AUDITOR

The dollar value of error seeking audits by Christopher Kelly

The post הערך הכספי של ביקורות לזיהוי טעויות ומעילות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

להבדיל ממעילה (Embezzelment) המבוצעת לרוב על ידי גורם פנימי בארגון (עובד, מנהל, בעל מניות וכדומה), הונאה (Fraud) היא פעולת מרמה והטעיה המבוצעת על ידי גורם חיצוני לארגון (לקוח, ספק, נאמן, האקרים, גורמים עברייניים וכדומה), מתוך מטרה לקבל נכסים/כספים/זכויות במרמה תוך שימוש במצג שווא. ייתכנו גם מקרים שבהם נרקמת קנוניה בין גורם חיצוני לארגון לגורם פנימי בו כדי לבצע פשע כלכלי נגד הארגון.

לאורך שנים מתנהלת במערכת הפיננסית בישראל בכלל, ובמערכת הבנקאות בישראל בפרט, מלחמה סיזיפית נגד הונאות וניסיונות הונאה של גורמים חיצוניים. זוהי מלחמה המתנהלת ב"עצימות נמוכה" ומאחורי הקלעים.

מאמר זה מתמקד בעיקר בהונאות פיננסיות באשראי פרטי.

לכאורה, ברוב המקרים נזקי ההונאות ברמת המקרה הבודד אינם גבוהים ואין בהם כדי לאיים על יציבותם של המוסדות הפיננסיים, אך לכך יש לציין מספר סייגים:

• ראשית, ניסיון העבר מלמד כי בוצעו הונאות/ניסיונות הונאה בהיקפים גבוהים, במקרי קיצון עד כדי איום על יציבותו הפיננסית של הארגון שנפגע מכך. לדוגמה, בשנת 2005 בוצע ניסיון הונאת סייבר בהיקף של כ-220 מיליון ליש"ט על ידי כנופיית האקרים בינלאומית נגד השלוחה הלונדונית של בנק סומיטומו היפני.

בשנת 2016  קבוצת האקרים הצליחה לפרוץ את מערכות המחשב של הבנק המרכזי של בנגלדש, ולהעביר 81 מיליון דולר מחשבונות בבנק הפדרלי של ניו יורק לחשבונות בתי קזינו בפיליפינים.

• חלק מהמוסדות הפיננסיים מגדירים את תיאבון הסיכון שלהם להונאות (ולמעילות) כ"תיאבון סיכון אפס", כלומר מצהירים הצהרה ערכית כי הם מוכנים לבצע את כל הצעדים הנדרשים כדי לצמצם למינימום האפשרי את היקף נזקי ההונאות בארגון.
• פרסום מידע לציבור בגין הונאות שכוונו נגד מוסדות פיננסיים, חושף את המוסדות לנזקי מוניטין, העלולים לעלות בהיקפם על הנזק הישיר שנגרם למוסדות אלו כתוצאה מההונאה.

בהקשר זה יצוין כי ניכר שבשנים האחרונות הרגולטורים (בנק ישראל, הממונה על שוק ההון, ביטוח וחיסכון) מקדישים תשומת לב פיקוחית גבוהה יותר לניהול סיכוני הונאות ומעילות בבנקים ובמוסדות פיננסיים.

המציאות העצובה היא שכפי שאנשים נורמטיביים יוצאים מדי בוקר להרוויח ביושר את מטה לחמם, ישנם אנשים/גורמים שהם "בעלי מקצוע" בתחום ההונאות. הם משקיעים את מיטב זמנם, מרצם, משאביהם ומוחם הקודח והיצירתי בניסיונות הונאה נגד בנקים ומוסדות פיננסיים. לצערנו, לא אחת הם מקדימים את המערכת הפיננסית בצעד אחד לפחות.

ממחקרים שנערכו בשנים האחרונות על ידי חברת PWC בנושא פשיעה כלכלית, עולה כי בתקופות של חוסר וודאות עסקית ומשברים כלכליים קיימת עלייה בפוטנציאל התממשותן של הונאות ומעילות. זאת, בעיקר כתוצאה מהסטת תשומת הלב הארגונית להתמודדות עם המשבר, אשר עלולה לגרום להיווצרות פרצות במנגנוני הבקרה הקיימים ובהזדמנויות לביצוע הונאות.

על פי סקר[1] שנערך על ידי PWC לשנת 2017, 49% מהמשיבים דיווחו כי הארגון שלהם נפל קורבן למעילה או לפשיעה כלכלית. זו עלייה ניכרת בהשוואה לסקר משנת 2016 שבו 36% מהמשיבים דיווחו כי נפלו קורבן לפשיעה כלכלית. בסקר של 2017 ציינו שליש מהמשיבים כי הפשע הכלכלי החמור ביותר בארגון שלהם גרם להפסד ישיר של 100-50 אלף דולר (למקרה בודד).

לאילו הונאות חשופים הבנקים ומוסדות פיננסיים?

המוסדות הפיננסיים, ובראשם הבנקים, חשופים להונאות מסוגים שונים. להלן דוגמאות:

• הונאות סייבר/הונאות בתקשורת על סוגיהן השונים (פריצה למאגרי המידע וגניבת פרטי תעודות זהות/מספרי חשבונות/כרטיסי אשראי וכדומה, התחזויות/גניבת פרטי זיהוי לצורך העברת/משיכת כספים לזכות צד ג' שאינו מורשה, לרבות הונאות באמצעות אתר הארגון ובאמצעות מכשירים לשירות עצמי).
• הונאות אשראי שונות (אשראי קמעונאי, אשראי עסקי, הונאות בתחום סחר החוץ).
• התכחשויות לקוחות לביצוע פעולות בחשבונותיהם (משיכות מזומנים, העברות על סמך הוראה בדוא"ל/פקס, קבלת אשראי וכדומה).
• התחזות וגניבת זהות (באמצעות מסמכים מזויפים) לצורך קבלת כספים במרמה מהתאגיד הבנקאי
• הונאות בכרטיסי אשראי.
• זיופי שיקים.
• הונאות לקוחות בכל הקשור לפעילותם בחדרי מסחר.
• הונאות המבוצעות על ידי ספקים/נותני שירותים בכל הקשור לתחום הרכש/לוגיסטיקה.
• הונאות ביטוח.

מלבד נזקי הונאות העלולים להתממש לנזק ישיר כלפי הבנקים, קיימים מקרים שבהם הבנקים ומוסדות פיננסיים חשופים לתביעות משפטיות או לתשלום שיפוי נזקי הונאות שבוצעו כלפי לקוחות הבנקים או על ידי לקוחות כלפי צד ג'.

בהקשר זה בולטות הונאות מסוג "הונאת פונזי"[2] (המוכרת גם בשם הונאת "פירמידה"). בהונאה מסוג זה מובטחת למשקיעים תשואה גבוהה על כספם תוך פרק זמן קצר, בעוד בפועל הרווחים המחולקים למשקיעים הראשונים ממומנים מכספי המשקיעים שהצטרפו מאוחר יותר, עד לקריסת הפירמידה.

אין צורך להכביר במילים על ההונאה שביצע  ברנרד מיידוף – הונאה בהיקף של כ- 50מיליארד דולר שבעקבותיה נגרם נזק בסכום של  כ-1.7 מיליארד דולר ל– JPMorgan הבנק שבו ניהל ברנרד מיידוף את חשבונותיו (סכום הנזק משקף את הסכם הפשרה שהושג כפיצוי לנפגעי התרמית(.

אגב, בחלק מפסיקות בתי המשפט בישראל בשנים האחרונות, נקבע כי מוסדות פיננסיים חבים חובת זהירות מוגברת (חובת נקיטת אמצעי זהירות סבירים למניעת הסיכון) לא רק ישירות כלפי לקוחותיהם אלא גם כלפי צד שלישי. זאת בתנאי שהמוסד הפיננסי יכול היה לצפות כי צד שלישי יינזק.

הונאות אשראי קמעונאי

• ההתקדמות הטכנולוגית שחוותה האנושות בעשורים האחרונים לא פסחה גם על המערכת הפיננסית. לפיכך "עלה קרנן" של הונאות הסייבר בתקשורת, שמטבע הדברים חושפות את המערכת הפיננסית לנזקים בהיקפים גבוהים.

עם זאת, בחרתי להתמקד במאמרי זה בהונאות אשראי קמעונאי (הניתן ללקוחות פרטיים), השייכות להונאות המוגדרות כבסיסיות יותר – "הונאות פיזיות", הנוגעות לליבת העיסוק של המערכת הבנקאית. לרוב, ברמת המקרה הבודד הונאות אלו מתבצעות בסכומים נמוכים יחסית, אולם ברמת האפקט המצטבר ניתן להניח שנזקי הונאות האשראי הקמעונאי המצטברים במערכת הפיננסית בישראל עלולים להסתכם בעשרות מיליוני ש"ח בשנה.

• מאפיינים – הונאות אשראי בתחום הקמעונאי הן הונאות שעיקרן קבלת אשראי על סמך מצג שווא של כושר ההחזר של הלקוח, המתבסס על שימוש במסמכים מזויפים. בחלק מהמקרים גורמים עברייניים עושים שימוש באנשי קש, ומציידים אותם במסמכים מזויפים כדי לקבל אשראי. קיימת גם חשיפה לחבירת גורמים עברייניים לגורמי פנים במערכת הפיננסית לצורך ביצוע ההונאה. הונאת האשראי מתאפיינת גם בפרק הזמן הקצר החולף בין מועד ביצוע האשראי לבין מועד גילוי כשל פירעון האשראי.

להלן המאפיינים העיקריים של הונאות אשראי קמעונאי:

• שימוש במסמכים מזויפים/מצגי שווא לצורך הוכחת כושר החזר/יכולת פירעון של הלווה (דוחות כספיים, תדפיסי חשבון, תלושי שכר, חוזי שכירות, אישורי העסקה במקומות עבודה, תשלום משכורות פיקטיביות לחשבון הלווה וכדומה).
• הצהרה כוזבת לגבי מטרת/ייעוד האשראי או לגבי מקורות פירעון האשראי, או לגבי נאותות/אמיתות הבטחונות שהועמדו לאשראי.
• היעדר זיקה ישירה (גאוגרפית, עסקית או אחרת) של הלווה (הלקוח) לסניף או ליחידה שבהם בוצע האשראי.
• הפניית לקוחות לפתיחת חשבונות ולקבלת אשראי על ידי גורמים בעלי היסטוריית אשראי בעייתית, לעיתים תוך מעורבות של גורמי פשיעה (לעיתים האשראי מיועד לגורם המפנה). בחלק מהמקרים אף נעשה שימוש באנשי קש על ידי גורמים עברייניים לצורך פתיחת חשבונות חדשים שבהם יבוצע אשראי.
• זיוף חתימת לקוחות על גבי מסמכי אשראי.
• משיכת מלוא/רוב תמורת האשראי במזומן בסמוך למועד ביצוע האשראי, כדי להקשות על נתיב ביקורת לשימוש בתמורת האשראי.
• העברת תשלומי משכורת "פיקטיבית" לחשבון הלווה (לעיתים באופן חד-פעמי) כבסיס לקבלת אשראי, ומאוחר יותר החזרת "המשכורת" לגורם המעביר.
• פירעון האשראי על ידי צד ג' (שאינו הלווה).
• נקיטת פעולות מרמה לשחרור בטחונות/שיעבודים בטרם פירעון האשראי.

בחלק מהמקרים עושים גורמים שונים ניסיון לאתר נקודות תורפה במערכת הפיננסית (איתור עובדים חסרי ניסיון ו/או שימוש בטכניקות של הנדסה חברתית) כדי להקל על ביצוע הונאת האשראי. במקרי קיצון אף קיימת חשיפה לביצוע קנוניה של גורם חיצוני עם עובד מוסד פיננסי לצורך ביצוע הונאת האשראי.

צעדים למניעת/צמצום הונאות אשראי

ניתן לנקוט צעדים שונים לצורך מניעה או צמצום נזקי הונאות האשראי, הן ברמת הטיפול במקרה הבודד ביחידת הקצה והן ברמה המערכתית בארגון:

בשלב חיתום האשראי

• נקיטת משנה זהירות במתן אשראי ללקוחות חדשים, בפרט ללקוחות שאין להם זיקה ישירה (גאוגרפית, עסקית או אחרת) לסניף או ליחידה שבהם בוצע האשראי.
• ביצוע בדיקת נאותות (על סמך מידע ציבורי הקיים ברשת האינטרנט) בגין לקוחות, מעל לסכום אשראי מינימלי שייקבע.
• נקיטת משנה זהירות בקשר עם לקוחות שהופנו על ידי גורמים שבמהלך בדיקת נאותות זוהה מידע שלילי אודותם.
• אימות נתוני מקום העבודה/תדפיסי חשבון של לקוח חדש המקבל אשראי.
• גילוי ערנות לגבי אנומליות במסמכים המוגשים במסגרת בקשת האשראי (חשד למסמכים מזויפים).
• (במקרים הרלוונטים) תשומת לב לצד ג' המתלווה ללקוח בעת תהליך פתיחת החשבון/קבלת האשראי, ובפרט תשומת לב לצד ג' המגלה דומיננטיות בעת ביצוע שיחת ליבון הצרכים עם הלקוח, מבקש האשראי. בהתאם נדרשת תשומת לב ומשנה זהירות, כאשר במקרים אלה הלקוח מגלה פסיביות ו"אינו שולט" בפרטי בקשת האשראי שהגיש.
• (במקרים הרלוונטיים) הקפדה על תיעוד פרטי הגורם שהפנה את הלקוח לקבלת אשראי.

לאחר ביצוע האשראי

• תשומת לב לאשראי שתמורתו/רוב תמורתו נמשכת במזומן בסמוך למועד הביצוע.
• תשומת לב לפירעון אשראי על ידי צד ג'.

בקרות מערכתיות

• על הארגון לוודא כי סיווג ומדידת הונאות האשראי מתבצעים באופן נאות. המטרה היא למנוע מצב של הערכת חסר של היקף נזקי הונאות האשראי של הארגון (לנוכח האפשרות שחלק מנזקי הונאות האשראי מסווגים בטעות ככשלי אשראי). מטבע הדברים, לנתוני היקף נזקי הונאות האשראי יש השלכה על היקף המשאבים שמוכן הארגון להקצות לצורך ניטור ומניעת/צמצום הונאות מסוג זה.

• ניהול מידע אודות שיטות וגורמים בקשר עם ביצוע הונאות אשראי. קיימת חשיבות לצבירת המידע בגין אירועי הונאות אשראי ולתיעודו במאגר מידע ייעודי: סכומים, חשבונות שבהם בוצעו הונאות, פרטי מבצעי ההונאות, גורמים מפנים, סוג ההונאה, מאפייני ההונאה ועוד.

קיימת חשיבות לתיעוד כל המידע לגבי הונאות שהתגלו בארגון במאגר אחד מרכזי (בכפוף למגבלות המשפטיות הרלוונטיות לניהול מאגרי מידע).

ניהול מאגר מידע יאפשר איתור וזיהוי של טכניקות ודרכי הונאות אשראי, מגמות חריגות בנושא זה, וגורמים חיצוניים בולטים בתחום הונאות האשראי, ויסייע בהטמעת דרכי פעולה מתאימות לצמצום או למניעת הישנות המקרים.

• פיתוח כלי בקרה בגין הונאות אשראי (בכפוף לשיקולי עלות-תועלת) שיציפו התראות/"אורות אדומים". לדוגמה: מתן אשראי ללקוחות שהופנו על ידי גורמים שעל פי מידע ציבורי היו מעורבים בביצוע הונאות, חשבונות שבהם בוצע אשראי (שאינם שייכים לאותה קבוצת סיכון) והוזרמו אליהם פרטים מינהליים זהים (כתובות, כתובות דוא"ל, מספרי טלפון וכדומה), פירעונות אשראי בחשבונות לקוחות על ידי צד ג', וכדומה.

הכשרות עובדים בנושא טכניקות הונאה וזיהוי חשד או סממנים לזיוף מסמכים, לדוגמה:

• תדפיסי חשבון בנק עם יתרות לא נכונות, סכומי פעולות עגולים בלבד, שדות מידע חסרים, סוגי/תיאור פעולה שאינם אחידים/עקביים.
• תלושי שכר עם סכומי משכורת (נטו) עגולים החוזרים על עצמם כל חודש, יתרת מחלה/חופשה מאופסת, גובה משכורת (נטו) שאינו תואם את סכום זיכוי המשכורת בתדפיס החשבון, מספר תעודת זהות שאינו זהה למספר תעודת הזהות של הלקוח, היעדר מספר חשבון בנק לזיכוי בתלוש השכר.
• תעודת זהות שתאריך הנפקתה שונה מתאריך ההנפקה על פי נתוני מרשם האוכלוסין או שמודפסת בסוגי גופן שונים, או שהגיל על פי תעודת הזהות אינו תואם את גילו של מבקש האשראי.
• דוחות כספיים או מסמכים אחרים החתומים לכאורה בחותמת רו"ח ללא פרטים, או על גבי נייר לבן ללא כותרת, או מסירת דוחות כספיים זהים עבור מספר חברות/תאגידים שונים וכדומה.

ביצוע הפקות לקחים מאירועי הונאות – חשוב להפיק לקחים מאירועי הונאה בולטים שהתגלו, על מנת לנסות ולאתר חשיפות הקיימות לבנק/מוסד פיננסי ולמנוע הישנות מקרים דומים בעתיד.

סיכום

בסיכומו של דבר, על דרך המליצה ניתן לומר ש"סוף הונאות במחשבה תחילה" – ניהול לא נאות של סיכוני ההונאה עלול במקרי קיצון לחשוף מוסדות פיננסיים עד כדי איום על יציבותם. אמנם לא ניתן לחסום הרמטית את ניסיונות ההונאה של גורמים עברייניים, אך היערכות נכונה ברמה המערכתית וברמת יחידות הקצה, ניטור יזום של ניסיונות הונאה על בסיס המידע והניסיון שנצבר בארגון, בד בבד עם הטמעת כללי הזהירות בכל רובדי הארגון והפקות לקחים אפקטיביות בעת הצורך, עשויים בהחלט לצמצם למינימום את נזקי ההונאה לארגון.

[1]   'Pulling fraud out of the shadows'

PwC’s Global Economic Crime and Fraud Survey 2018

[2] ההונאה נקראת ע"ש צ'ארלס פונזי שהיה הראשון שנתפס (בארה"ב, במחצית הראשונה של המאה הקודמת) בביצוע הונאה מסוג זה.

The post סוף הונאה במחשבה תחילה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשל תרומתו הרבה של המגזר השלישי לחברה בישראל, הוא זוכה לאמון רב מצד הציבור, ומכאן החשיבות בכינון תרבות ניהול סיכונים מפותחת במגזר.

במאמר זה אסקור סיכונים מרכזיים הרלוונטיים עבור עמותות וארגונים אחרים ללא כוונת רווח בישראל, בדגש על אלו בסדרי גודל קטן עד בינוני (בעלי מחזור כספי שנתי של עד 10 מיליון ש"ח, המהווים את הרוב המוחלט של האלכ"רים בישראל), מתוך ההנחה הסבירה שבארגונים כאלה המשאבים המוקצים לבקרה ולניהול סיכונים נמוכים יותר.

1. רגולציה מתגברת

בעשור האחרון חלה התפתחות משמעותית ברגולציה החלה על האלכ"רים, הן מבחינה מהותית (ההוראות הוחמרו) והן מבחינה כמותית (תדירות וכמות העדכונים עלו בצורה משמעותית). מגמה זו עשויה להימשך וסביר להניח כי שינויים רגולטוריים נוספים עוד לפנינו.

ריבוי ההוראות והרגולטורים, אי ידיעה או חוסר הבנה של ההנהלה המתנדבת את המסגרת הנורמטיבית, היעדר מערכי ציות ואכיפה בקו ההגנה השני וסיבות נוספות, מעצימים את הסיכון להפרות רגולציה באלכ"ר. בנוסף, רגולציה זו מהווה נטל על האלכ"רים, במיוחד עבור אלו הניצבים בפני מספר רגולטורים (החשב הכללי, רשויות המס, משרדי ממשלה שונים, וזאת לצד רשם העמותות כרגולטור המרכזי), ועולה החשש שהאלכ"ר לא יעמוד בקצב הדינמי של הרגולציה ולא יספיק להפנים את הדרישות החדשות.

דרכי התמודדות אפשריות:

• למפות היטב את הרגולציה החלה על הארגון ואת מעמדו מול כל רגולטור ולבנות את 'המפה הרגולטורית' של הארגון.
• לערוך סקר ציות כחלק מתוכנית הביקורת הפנימית.
• לכלול מתן הדרכות ומסירת מידע מהיועצים והמבקרים השונים במסגרת השירותים השוטפים המתקבלים מהם.

2. הנהלה מתנדבת

חברי הוועד המנהל וועדת הביקורת, חברי העמותה (האספה הכללית) ואורגנים חשובים אחרים הם מתנדבים בלבד, כלומר לא מדובר ב-“Day Job” שלהם.

הרגולציה המתגברת והיעדר דרישות רגולטוריות בעניין ההכשרה, ההרכב והכישורים של ההנהלה המתנדבת מעלים את הסיכון לחוסר בקיאות ומקצועיות של אורגנים חשובים. כפועל יוצא, עולה החשש שמוסדות ההנהלה והביקורת לא יבינו היטב את מסגרת אחריותם ואת הנדרש על מנת לממש אותה כראוי. חוסר הבנה של התפקיד ושל האמצעים שנדרשים על מנת למלא אותו בצורה אפקטיבית משליכים על רמת הממשל התאגידי בארגון, ועלולים להביא לכך שהאורגן שינהל את הארגון בפועל ויתווה את המדיניות יהיה המנכ"ל והכפופים לו ולא הגופים האמונים על כך (כלומר הוועד המנהל).

דרכי התמודדות אפשריות:

• למפות את המבנה הארגוני של האלכ"ר (העמותה/החל"צ) ולבחון אם אכן מתקיימים כל האורגנים כנדרש, תוך שמירה על יחסי הכפיפות והיעדר ניגוד העניינים הרלוונטיים.
• לבחון את תפקוד האורגנים השונים ולזהות נקודות חוזקה וחולשה בתפקודם.
• לערוך מדריך בסגנון 'ערכת כניסה לתפקיד' לחבר ועד מנהל או ועדת ביקורת חדשים, ולבנות תוכנית הדרכות והעשרה מסודרת לחברים.

3. סיכוני (היעדר) בעלות

בעמותה אין בעלי מניות, אלא מייסדים שהקימו את האלכ"ר לטובת מטרה מוגדרת, שכמובן אינה עשיית רווחים. בעמותות שבהן דור המייסדים כבר אינו פעיל והוועד המנהל מתחלף מדי תקופה, יוצא כי אין 'בעל בית' בצורה מובהקת ועולה החשש של היעדר 'רציפות שלטונית'. סיכון בעלות זה עלול להביא לחוסר יכולת להוביל מהלכים משמעותיים ארוכי טווח ולהיעדר גורם מרכזי המודד את התנהלות וביצועי האלכ"ר ביחס לחזונו וייעודו מקורי.

בנוסף, חשוב לזכור כי לעיתים ציבור מקבלי שירותי האלכ"ר פחות מגובש ומודע לזכויותיו, או שהוא עוקב במידה פחותה אחר ניהול ענייני האלכ"ר, שכן הוא אינו נהנה מרווחיו, ולכן אינו מתנהג כ'בעל עניין רגיל' ויתקשה לזהות פגיעה שמקורה בירידה באיכות השירות או המוצר.

בעמותות שבהן יש מספר חברים רב, הבעיה מחריפה עוד יותר. כמות גדולה של חברים והטרוגניות גבוהה ביניהם עלולות להביא לתופעה של חוסר מעורבות בנעשה בעמותה ("כי בטוח יש מישהו אחר שעושה את זה") ואף לחוסר אכפתיות.

דרכי התמודדות אפשריות:

• לקיים דיונים באורגנים המנהלים של האלכ"ר, במטרה לגבש את התמונה המלאה ולנסות לגבש 'מידע צופה פני עתיד' ולזהות את הסכנות הפוטנציאליות ולהיערך לקראתן.
• לזהות את 'הבעלים האמיתיים' של הארגון ולנסות לרתום שותפים איכותיים נוספים לדרך.

4. חוסר יציבות כלכלית

היקף פוחת של תרומות ומענקים, כפילות רבה בארגוני המגזר השלישי שמביאה לתחרות על קהל היעד, הפרטת שירותי הרווחה של המדינה (מכרזים), התייקרות המחיה, חוסר היכולת לגבות מחיר כלכלי מלא בעד השירותים ועוד, כל אלו מערערים את כרית הביטחון הפיננסית של הארגון. הארגון מחויב לאתר מקורות הכנסה נוספים ולנקוט שיטות יצירתיות להגדלת ההכנסה, לגבש תוכנית אסטרטגית לטווח הקצר והארוך, ולעיתים אף לקבל החלטות קשות אודות סגירת תוכניות ומתקנים. המצב מסוכן עוד יותר בעבור האלכ"רים הפועלים על פי חוזים ממשלתיים  והופכים למעשה לסוכני הרווחה של המדינה, מפני שהם מאבדים את היכולת לגמישות ועצמאות כלכלית בהיותם תלויים במשרד שעמו הם התקשרו ובתקופת ההתקשרות.

זאת ועוד, תנאי אי הוודאות והלחץ שנוצר בעקבות זאת עלולים לייצר תמריץ לסטייה ולניצול לרעה של משאבי האלכ"ר (המוגבלים ממילא) כחלק מגיבוש דרכים יצירתיות לחולל שינוי.

במאמר מוסגר – פועל יוצא של חוסר היציבות יכול להיות תגמול נמוך של המנהלים באלכ"ר, דבר העלול לפגוע באיכות הניהול או במוטיבציה הארגונית.

דרכי התמודדות אפשריות:

• בדיקה שנתית ממוקדת של היחסים הפיננסיים של הארגון, זיהוי החסמים הכלכליים המהותיים, ובחינת הזדמנויות להתייעלות וחיסכון.
• קיום 'שולחן עגול' למנהלים בנושא הבטחת יציבות כלכלית ובניית תוכנית אסטרטגית לטווח הקצר והארוך.

5. סיכוני הלבנת הון

פריסה על פני אזורים גאוגרפיים שונים בארץ ו/או בעולם, הסתמכות על מתנדבים שלא עוברים בהכרח סינון/בדיקות רקע, קבלת כספי מזומן כתרומה מגורמים שאין איתם היכרות מוקדמת או ממקור לא שגרתי, גישה למקורות מימון שונים (מקומיים ובינלאומיים), אנונימיות התורמים ועוד, כל אלו עלולים להוות קרקע פורייה עבור גורמים עברייניים שרוצים לנצל את התשתית האלכ"רית על מנת להלבין את מקור הכספים או אפילו לכוון את משאבי האלכ"ר לטובת מימון טרור.

הרשות לאיסור הלבנת הון ומימון טרור פרסמה באוקטובר 2017 "דגלים אדומים" – אירועים העלולים להצביע על ניצול לרעה של האלכ"ר. כיום אין עוררין על כך שהעמותות והחל"צים בישראל צריכים לפתח מודעות לתרחישים ולסיכוני הלבנת הון/מימון טרור ולפעול בצורה אקטיבית על מנת לאתר פעילות מחשידה שעלולה לסכן את האלכ"ר כולו, לרבות בהיבטי תדמית ומוניטין.

דרכי התמודדות אפשריות:

• בדיקה לעומק של הליכי קבלת הכספים באלכ"ר והבקרות השלובות בהם, וניתוח הפוטנציאל לניצול לרעה של האלכ"ר לצורכי הלבנת הון/מימון טרור.
• פיתוח מודעות ארגונית (כולל הדרכות) לתרחישי ניצול לרעה ול"דגלים האדומים", והבניית דרכי הפעולה המצופות מבעלי התפקידים השונים בעת חשש לאחד מאלו.

6. סיכונים תפעוליים

למרות החשיבות שבהטמעת שיטות וכלי ניהול ובקרה מתקדמים, לא אחת קורה שאלו נדחקים לתחתית סדר העדיפויות באלכ"ר בשל הקושי בגיוס משאבים. שימוש בכלים ידניים או במערכות ממוחשבות מיושנות, הסתמכות רבה על ההון האנושי, וייתכן שאף פחדים מהטמעת מערכות מידע לתפעול ולניתוח נתונים, כל אלו יוצרים פתח גדול לטעויות בתכנון ובביצוע, ואף יותר מכך, פתח למעילות.

כמו כן, עמותות וחל"צים רבים משרתות אוכלוסיות פגיעות (ילדים, קשישים, בעלי מוגבלויות וכו'), והמתקנים של הארגון יכולים להיות ישנים או שלא בשליטתם (כגון מבנה המתקבל מהעירייה, פעילות בבתי ספר וכו'). תנאים אלו יוצרים סביבה בעלת פוטנציאל סיכון מיוחד, ודורשים הקפדה יתרה על כללי בטיחות וביטחון.

לצד אלו יש לקחת בחשבון גם את המידע הרגיש שייתכן שהאלכ"ר מחזיק אודות מקבלי השירותים – כתובות רגישות של דירות נערים בסיכון/מקלטים לנשים מוכות, מידע אודות סיוע משפטי שניתן על ידי העמותה וכו'. הארגון מחויב ליישם נוהלי אבטחה הולמים על מנת להבטיח שהמידע (הפיזי או הממוחשב) לא יזלוג החוצה, ועל מנת להבטיח שלא ייעשה בו שימוש לא ראוי בקרב גורמי העמותה הפנימיים.

דרכי התמודדות אפשריות:

• למפות את השירותים והתהליכים הקריטיים בארגון ואת מידת ההתאמה של מערכות המידע והכלים הניהוליים שבשימוש לתהליכים ולרמת ההגנה הנדרשת על המידע הרגיש.
• לזהות את נקודות התורפה העיקריות ולאפיין בקרות מפצות מתאימות.
• לבנות תוכנית מחשוב רב-שנתית (לרבות סדר עדיפויות ותקציב).
• לערוך סקר בטיחות וביטחון, לדרג את המפגעים, ולבנות תוכנית טיפול שתנוטר ותנוהל על ידי פורום בטיחות וביטחון ארגוני.
• לערוך ביקורות בנושאי בטיחות וביטחון, ואבטחת מידע פיזי ולוגי.

7. אמון רב בנושאי משרה מעטים

בארגוני מגזר שלישי רבים רווחת 'תופעה' של איוש משרות על ידי בעלי תפקידים קבועים לאורך זמן רב, במיוחד בתפקידי חשבות, כספים, רכש וכו', שלהנהלה יש בהם אמון רב, וזאת לצד מטה מצומצם.

הסיבות לכך הן רבות ונובעות מטעמים היסטוריים, פיננסיים, תפעוליים ועוד. בנוסף, היות שהאלכ"רים עוסקים לרוב במטרות בודדות ותחומות, הרי שנדרשים פחות בעלי תפקידים או שנדרש פחות גיוון בתפקידים השונים, כלומר אמון רב וסמכות רבה מופקדים בידי בעלי תפקידים מעטים. מצב ארגוני זה עלול לייצר הזדמנויות רבות יותר, ולו תיאורטית, לניצול לרעה של משאבי האלכ"ר על ידי בעלי התפקידים בארגון מכוח מעמדם ותפקידם בארגון ומכוח הוותק והניסיון שצברו.

דרכי התמודדות אפשריות:

• לערוך סקר סיכונים, לרבות איתור סיכוני מעילות והונאות.
• להעריך בביקורות הפנימיות את מרכיב סיכוני מעילות והונאות.
• לייחד בדוחות הביקורת פרק ייעודי בדבר הפרדת תפקידים וסיכונים שונים הנובעים מהמבנה הארגוני.
• שימוש במערך הקיים של טיפול בתלונות עובדים וציבור לניטור מידע מחשיד.

סיכום:

המאמר סוקר סיכונים מרכזיים באלכ"רים קטנים ובינוניים.

הסיכונים אינם מדורגים לפי חשיבותם או שכיחותם, ועל כל ארגון למפות היטב את הסיכונים הרלוונטיים אליו ואת עצימותם.

בארגונים אלו רצוי שהמבקר הפנימי באלכ"ר יראה את תפקידו גם כ'סוכן שינוי תרבות'. חשוב מאוד שיפעל גם למען עידוד חשיבה ותרבות של ניהול סיכונים, למען הגברת המודעות לאירועי מעילות והונאות אפשריים, למען הגברת האפקטיביות הניהולית מצד ההנהלה המתנדבת, ולמען קידום תרבות ממשל תאגידי הולמת באלכ"ר.

The post עמותה וקוץ בה? סיכונים מרכזיים בארגוני המגזר השלישי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.