המאבק בהלבנות הון ומימון טרור מחייב מהפיכה דיגיטלית בעבודת הביקורת הפנימית
בתחבולות תעשה מלחמה
מבוא
הגלובליזציה של הפעילות הבנקאית ושל הפשע הפיננסי, מחייבת שינויים רגולטוריים ודורשת מבט מחודש על תפקידה של הביקורת הפנימית ואופן ביצועה. הרגולציה הישראלית והבינלאומית מגדירה את חובותיה של הביקורת הפנימית במאבק בהלבנת הון, מימון טרור ובשחיתות, ומטילות עליה אחריות נרחבת על קיום מערכות יעילות יותר של בקרות פנימיות.
החובות החלים על הביקורת הפנימית בגופים פיננסיים במאבק באיסור הלבנת הון ומימון טרור, מעוגנים ברגולציה הישראלית, בין היתר, במסגרת ניהול בנקאי תקין 308 ("ציות ופונקציית הציות בתאגיד בנקאי"), בתקנות הבורסה לניירות ערך, ובחוזר רשות שוק ההון, ביטוח וחיסכון לעניין ניהול סיכוני הלבנת הון ומימון טרור בגופים מוסדיים. גם הרגולציה הבינלאומית הרחיבה בשנים האחרונות את האחריות של הביקורת הפנימית במאבק זה במסגרת חוק USA Patriot Act, חוק הסודיות הבנקאית של ארה"ב BSA – ((Bank Secrecy Act, פרסומי OFAC (The Office of Foreign Assets Control) של משרד האוצר של ארה"ב. הגופים שאליהם מתייחסת הרגולציה כאמור הם בנקים, חברות ברוקראז', נותני שירותים פיננסיים, חברות ביטוח וחברות השקעה.
מאמר זה נועד לבחון את ההתפתחות בתפקידה של פונקציית הביקורת הפנימית במאבק בהלבנת הון ומימון טרור בפעילות הפיננסית הגלובלית.
כפי שעולה מהרגולציה הישראלית והבינלאומית, מצופה כי הביקורת הפנימית תמלא תפקיד מפתח במאבק בהלבנת הון.
מהי הלבנת הון?
הלבנת הון מוגדרת כתהליך שבו כסף שהושג באופן בלתי חוקי מוצג למערכת כמקור לגיטימי. הפעילות הבלתי חוקית שאליה מתייחס החוק היא פעילות המוגדרת במסגרת "עבירות מקור" (בין היתר, פעילות של שוחד ושחיתות, סחר בבני אדם, סחר בסמים, הימורים בלתי חוקיים, סחר לא חוקי בנשק, פעילות שמטרתה הימנעות מתשלומי המס ועוד). בשונה מהלבנת הון, פעילות מימון טרור יכולה להיות ממומנת גם ממקור כסף חוקי, אך לשמש לתמיכה בפעילות טרור. בהמשך המאמר הן פעילות הלבנת הון והן פעילות מימון טרור ייקראו "הלבנת הון".
ניתן לזהות בהלבנת הון שלושה שלבים:
שלב ההשמה – השלב שבו מוחדר הכסף אל תוך המערכת הפיננסית.
שלב הריבוד – השלב שבו נעשות פעולות לטשטוש מקורו של הכסף.
שלב ההטמעה – השלב שבו נמשך הכסף בצורתו החדשה, ה"מולבנת", על ידי העבריין.
הלבנת הון היא תופעה בינלאומית הולכת ומתרחבת שיש לה השפעות הרסניות על הכלכלה העולמית, ובמיוחד על כלכלות מתפתחות ופגיעות. השכיחות של הלבנת הון הטרידה ומטרידה רגולטורים, בנקים וגופים פיננסים ברחבי העולם.
על פי הפרסומים של הרשות לאיסור הלבנת הון ויחידות מודעים פיננסיות בעולם (FIU), היקפי הלבנת הון, פשיעה מאורגנת, שחיתות, הונאות מס ופשעים גדולים אחרים לא פחתו בשנים האחרונות אלא דווקא התעצמו. המטרות הבסיסיות של הלבנת הון אינן שונות כיום מאשר בעבר, אך כיום הלבנת הון מתרחשת בסביבה גלובלית של התפתחויות טכנולוגיות המקלות על ההסתרה וההסוואה של הכספים הלא חוקיים.
שימוש בכלים טכנולוגיים ובבינה מלאכותית על ידי הביקורת הפנימית
היקף הפעילות וכמות הרשומות בארגונים פיננסיים בעולם גדלה משנה לשנה.
למוסדות פיננסיים יש בדרך כלל מערכות ניטור מבוססות חוקים לזיהוי של פעילות חשודה החורגת מהחוק או מהרף המוגדר. הרף הזה מתייחס בדרך כלל לסכומים המוגדרים בחוק כסכומים לדיווח בהתייחס לאופי הפעילות, לפעילות מול מדינות מסוימות, השוואת פעילות פיננסית של לקוח לתקופות קודמות או לפעילות בהשוואה ללקוחות אחרים הפועלים באותו ענף עסקי. עם זאת, למרות השקעה של משאבים כלכליים רבים בטיוב המידע והדוחות, יותר מ-95% מההתראות המופקות על ידי המערכת נסגרות כ"תוצאות חיוביות שגויות" (false positive) ולא מובילות לדיווח על עסקאות חשודות (תוצאה חיובית שגויה – תוצאה המופקת על ידי מערכת ניטור ומצביעה על חריגות המרמזות על אפשרות של פעילות הלבנת הון, אך לאחר בדיקה מעמיקה יותר מתבררת כפעילות תקינה).
על מנת לאפשר דיוק של תוצאות הביקורת ולאפשר ניתוח רחב ומדויק שיתמוך בהגברת היכולת לזהות סיכונים ברחבי הארגון ולטפל בהם, המציאות חייבת להשתנות. הביקורת מבוססת מדגם, התהליכים הידניים, ומערכות הניטור המיושנות, חייבים להתחלף בגישות ובמערכות חדשניות כגון בינה מלאכותית. כך יהיה אפשר להגביר אפקטיביות, לכסות יותר מידע ונתונים ולבצע זאת בפחות זמן ומשאבים.
מערכות בינה מלאכותית מאפשרות זיהוי אנומליות בהתנהגות הלקוחות על ידי יכולת לזהות ולנתח את כלל הישויות המעורבות בפעילות מול הלקוח, לנתח עסקאות מורכבות עם קריטריונים רבים, תוך זיהוי דפוסי הלבנת הון פוטנציאליים בכל שלבי תהליך הלבנת הון כתהליך רציף.
עם זאת, בהטמעת טכנולוגיית מאבק בהלבנת הון בארגון המבוססת על בינה מלאכותית, התאמה אישית מינימלית להגדרות המערכת אינה מספיקה, במיוחד בעידן המתאפיין בהגברת הפיקוח הרגולטורי, בסביבה חקיקתית המשתנה קרובות ובמציאת דרכים חדשות להלבנת הון על ידי העבריינים. כדי להבטיח שמערכות ניטור הפעילות יפעלו כראוי וכמצופה מהן, על הביקורת הפנימית להעריך את מוכנות הארגון, בין היתר, לאתגרים הבאים:
- התאמה מהירה של המערכות לתקנים רגולטוריים חדשים ומחמירים יותר.
- מתן פתרון לזיהוי כשלים בשלמות הנתונים ואיכותם ובטעינת נתונים – וידוא מיפוי וזיהוי שלמות המידע הנדרש ממערכות שונות והתהליכים הרלוונטיים. מידע לא שלם או לא מדויק יערער את יכולתה של מערכת ניטור עסקאות לפעול בצורה אופטימלית.
- בחינה באופן שוטף כי ההגדרות והרפים המוגדרים במערכת תואמים את דרישות וציפיות הרגולטור, כמו גם תובנות ניתוח טופולוגיות בארגון עצמו ובארגוניים פיננסיים בישראל ומחוצה לה.
- מתן מענה לשקיפות נדרשת מתהליכים ובקרות התומכים בטכנולוגיות. תחומי מיקוד ספציפיים כוללים, בין היתר, בדיקת יעילות המערכת, הגדרת הדרישות לשחזור וגיבוי, וכן מתן מענה לדרישות אבטחת מידע ושיקולי הגנת הפרטיות.
ההתפתחות המהירה והמורכבות הטכנולוגית במאבק באיסור הלבנת הון, יוצרות פער ידע עבור המבקר הפנימי. בסביבה העסקית של היום, ביקורת פנימית צריכה להכיר מקרוב את אופן הפעולה של המערכות כאמור. בהתאם, המעבר לשימוש רחב יותר בטכנולוגיות מידע לניטור עסקאות וסנקציות ולזיהוי טופולוגיות הלבנת הון ומימון טרור, מחייב צוות משולב של מומחי רגולציה, מומחי פעילות עסקית ואנליסטים, ולא פחות חשוב – מומחי מערכות מידע.
אם ארגון מיישם טכנולוגיית מאבק חדשה באיסור הלבנת הון, תפקידו של המבקר הפנימי הוא לקבל ממדים נוספים ומורחבים כדי לפקח על אסטרטגיות בדיקת ניהול שינוי ארגוני. במהלך היישום, על הביקורת הפנימית להבטיח כי ההטמעה של המערכת עונה על הנדרש, לרבות כל התחומים המושפעים מהטכנולוגיה על פעילות הארגון מול הלקוחות, הגדרות דיווח ועוד. בין היתר, הביקורת הפנימית תבחן האם בוצעו בארגון בדיקות מקיפות מספיק כדי לוודא שהמערכת תפעל כמתוכנן; האם הנתונים מדויקים ושלמים; והאם הוגדרו מלוא הממשקים הנדרשים ממערכות מידע בארגון כדי לאפשר ניטור יעיל ואפקטיבי. על הביקורת הפנימית להעריך את המגבלות הפוטנציאליות של המערכת ולהעריך את פעולת המערכת על פני מגוון ערכי קלט על ידי בדיקות קבלת משתמשים, בניסיון לזהות ולהפחית אפשרות לקבלת תוצאות "שליליות שגויות", כאשר תנועה ו/ או רצף תנועות לא יפיקו התראה נדרשת לפעילות חריגה במערכת, ומאידך יש להפחית אפשרות להתראות "חיוביות שגויות" – על מנת להימנע מקבלת ריבוי התראות שאינן מצבעים בפועל על הפעילות החריגה.
ביקורת פרואקטיבית ויוזמת
אחד מהתפקידים של הביקורת הפנימית הוא לתמוך בתהליך אכיפת הרגולציה, בין היתר בשל הבקיאות הרבה של המבקר בפעילות הארגון. עם זאת, נדיר כי הביקורת מזהה ומדווחת על חשדות לפעילות הלבנת הון.
אינני יכולה לקבוע בוודאות אם הביקורת הפנימית תופסת את עצמה כבעלת תפקיד מונע במאבק בהלבנת הון, אך נראה שקיימת גישה מנוגדת במקצת מציפיות הרגולטורים בעולם לזהות אירועי הלבנת הון במהלך ביקורות.
תקן 2100 של IIA קובע כי "הביקורת הפנימית חייבת להעריך ולתרום לשיפור תהליכי הממשל התאגידי, ניהול הסיכונים ותהליכי הבקרה של הארגון, באמצעות שימוש בגישה שיטתית, ממוסדת, ומבוססת סיכונים. אמינות וערך הביקורת הפנימית מתגברים כאשר המבקרים פרואקטיביים, והערכותיהם מציעות תובנות חדשות ומתייחסות להשפעה עתידית".
סיכום
כמו ברוב סוגי הפשע, כאשר שיטת הלבנת כספים אחת הופכת למאתגרת יותר לביצוע, העבריינים יחפשו שיטות חדשות. ככל שהחקיקה הפכה מחמירה יותר ומוסדות פיננסיים חיזקו בהתאמה את תהליכי הניטור שלהם, גם שיטות הפעולה של פושעים השתנו. בהתאם, במציאות המשתנה לעיתים קרובות, ביקורת פנימית אינה יכולה להרשות לעצמה כי עבודתה תהיה איטית ובדיעבד, ושהיא תפיק לקחים שבועות ולעיתים אפילו חודשים לאחר זיהוי הממצא. המציאות מחייבת את הביקורת הפנימית לפעול מהר, להתאים את תוכנית הביקורת במהירות ובתדירות גבוהה, לזהות את הנולד ולבקר את מה שיהיה חשוב מחר. כל זאת יתאפשר בזכות צוות משולב של מומחים בתחומי רגולציה, עסקים, אנליסטים ומומחי מערכות מידע, ותוך שימוש במערכות מידע חכמות ובבינה מלאכותית.
