הערך הכספי של ביקורות לזיהוי טעויות ומעילות

גיליון 08 - מעילות והונאות | ספט 2018 | אין תגובות

מתן מירב תשומת הלב לסיכונים של טעויות והונאות מהותיות הוא נושא שחוזר על עצמו במסגרת התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA's International Professional Practices Framework, IPPF)).  לדוגמא, על פי תקן תכונות מס 1220 חובה על מבקרים פנימיים להפעיל זהירות מקצועית ראויה ולהתחשב ב"הסתברות של טעויות משמעותיות, הונאה, או אי-ציות ".

במגזר הציבורי והפרטי, סביר להניח שטעויות במהלך העסקים הרגיל אינן נגרמות בכוונה תחילה. הונאה מוגדרת בתקנים -כ"כל מעשה בלתי חוקי המאופיין על ידי תרמית, הסתרה או הפרת אמונים" המבוצע בכוונת תחילה . הדיכוטומיה בין טעות לא מכוונת לבין הונאה אינה תמיד ברורה.

נראה ששיטות ביקורת מסוימות מתאימות יותר לאיתור טעויות והונאות. שיטות הנסמכות על הצגת ההנהלה, או אשר  לפיהן ניתן למבקר אישור שהבקרות אכן פעלו כמתוכנן – כגון ראיונות, רשימות תיוג להערכה עצמית, מבחני הדרכה בשטח, דגימת עסקאות, ובדיקת סבירות אנליטית– עשויות להיות חשופות להטיית אישור (הנובעת מאמונתו או מדעתו הקיימת של המבקר) . אפשר שהמסקנות לא תהיינה שנויות במחלקות, אך הן עלולות לפגוע בשמה הטוב של הביקורת הפנימית כאשר מתגלות טעויות מהותיות או הונאות במועד מאוחר יותר.

ניתן אף לטשטש טעויות והונאות במידה רבה יותר אם לא התקיים עם המבוקר דיון מעמיק על פעולות מתקנות במהלך הישיבה המסכמת. מתוך ניסיון של שנים רבות עולה שלעיתים, סיום במועד של יישום המלצות מתמהמה או אף מיושם באופן פחות נחרץ ממה שהמבקר הפנימי התכוון.  מכאן עולה שהטיית אישור בעבודת השטח , בשילוב עם פעולות מתקנות שלא נדונו מספיק ולא יושמו כהלכה, יכול להסתיר את הימצאותן האפשרית של טעויות מהותיות והונאה, אשר מתרחשות בתדירות גבוהה יותר   מהמצופה.  אחת הדרכים להקטין את הסיכון של מתן הבטחה מוטעית ולחזק את מעמדו של המבקר הפנימי בעיני חברי הדירקטוריון היא לחפש את אותן טעויות שהבקרות הפנימיות  אמורות למנוע.

איתור טעויות

איתור טעויות מהותיות והונאה דורש העלאת השערות לגבי תרחישי מעילות והונאות אפשריים. באופן אידיאלי, הדבר מתאפשר על ידי שילוב ניסיון רב-תעשייתי בחשיבה יצירתית – החל מהתרחיש הגרוע ביותר שניתן לצפות לו – ובהמשך, תכנון ביקורת שטח בידיעה מוקדמת שהממצאים עשויים להיות שונים מהמשוער.

שיטות לאיתור טעויות כוללות:

  • הצלבת מקורות מידע אשר בדרך כלל לא תואמים , כגון מטא-דאטה לטלפונים ניידים ונתוני הנכנסים למבנה.
  • שימוש בכריית מידע
  • שימוש בחוק Benford להדגשת טרנזקציות יוצאות דופן.
  • בירור תכולת דאר אלקטרוני.
  • הקשבה לעובדים שעשויים להסכים לחשוף מידע על בקרות שנעקפו.

לביקורת הפנימית קיים יתרון בכך שבד"כ עומדים לרשותה כלים לכריית מידע; רשת של קשרים מהימנים בארגון שיכולים להוות מקור למידע בעל ערך רב; ותמונה רחבה של תהליכים מקצה-לקצה; בו בזמן שעובדים רבים מוגבלים לפרספקטיבה הצרה של מחלקתם.  המבקר הפנימי, על ידי מינוף היתרונות הללו, יכול לזהות את מה שלא ברור לאחרים.

קל יותר לשכנע את ההנהלה לגבי השפעת הבקרה החלשה, אם מאתרים טעות ממשית בעלת השפעה ברת-כימות, וזאת לעומת השערה על כשלים בפיקוח ובבקרה שטרם הוכחו והפוטנציאל ליצירת השפעה פיננסית שלילית. לביקורת הפנימית קיים טיעון חזק לשיפור תהליכים, והתנגדות  ההנהלה לכך   תיחלש כאשר טעות או טעויות רבות מובאות לדיון בפגישת הסיכום.

העלאת השערות על תרחישים של טעויות והונאה בתכנון הביקורות שלנו עבור ארגונים שונים, איפשר לצוות הביקורת הפנימית לחזק את המוניטין שלו לגבי הממצאים.  צעד זה זכה  לתגובות מהירות מצד ההנהלה, להשבת דולרים בסכומים משמעותיים, ובמקרים רבים אף הוביל להחלפת עובדים.

מקרה מס. 1:, על ידי זיהוי חריגות מתקרות הפקדה, איתרה הביקורת הפנימית 75 מיליון לירות סטרלינג (99 מיליון $ ארה"ב) בפיקדונות של חברה בריטית לשירותי תשתית שיועדו למקסום ריבית בנקאית, אך חרגו בהרבה מתקרת ההפקדות שאושרה על ידי מועצת המנהלים באותם מוסדות פיננסיים.  ההנהלה העלתה את האינטרס-העצמי שלה בכך שהיא מקסמה בונוסים אישיים מבוססי הכנסות, תוך עקיפת "התיאבון לסיכון" של מועצת המנהלים. האינטרס האישי של ההנהלות נצפה לעתים קרובות כהעדפה שהתגלתה בביקורות לזיהוי טעויות.

מקרה מס. 2: המבקרים הפנימיים גילו פיקדון של 60$ מיליון דולר אוסטרלי  (47 מיליון $ ארה"ב) בחשבון בנק יחיד של חברת תחבורה אוסטרלית.  הפיקדון נשא ריבית אפסית, בשל חוסר התייחסות מצד ההנהלה להשגת תשואה על כספי החברה. מועצת המנהלים הסכימה שמוטב היה להשקיע את הכסף במספר מוסדות וברמת סיכון נמוכה, על מנת להשיג תשואה שנתית של 900,000 דולר אוסטרלי (705,000 $ ארה"ב) לפחות.

בשני המקרים הללו, העדר דו"ח ההשקעות  הסתיר ממועצת המנהלים כיצד נותבו הכספים, והתוצאה הייתה שכסף רב הוחזק  במקומות הלא נכונים.

מקרה 3:  על ידי העלאת רבות תרחישים  לטעויות לפני ביצוע ביקורות שטח ובמהלכה, זיהתה הביקורת הפנימית 8 מיליון לירות סטרלינג (10.5 מיליון $ ארה"ב) בחיובי יתר שגויים מצד קבלני תחזוקה של חברת הנדסה בריטית.  נמצאו כ-50 מקרים נפרדים של טעויות והונאה, מוסתרים בתביעות לסכומי כסף חד פעמיים, וחתומים על ידי מח' ניהול לקוחות לאחר בדיקות נאותות לקויות טרם אישורם לתשלום.  חרף חתימות רבות של מנהלי בחברה עד למנכ"ל, כל מנהל הניח שהמנהל מתחתיו ביצע את הבדיקות המפורטות לחיובי הקבלן.  ברגע שחיובי היתר כומתו על ידי הביקורת הפנימית, הושבו מרבית הסכומים ללא צורך בעורכי דין.  התפתחות  מפתיעה שנבעה מאותה ביקורת היה שכאשר המנכ"ל של אותה חברה הנדסית קודם לתפקיד בכיר יותר בחברה גדולה, הוא גייס את המבקר הפנימי הראשי לשורותיו.

מקרה 4:  בבדיקת בספרי החשבונות  של נכסים בלתי מנוהלים, אותרה יתרת חוב בסך 4 מיליון לירות סטרלינג (5.3 מיליון $ ארה"ב) של חברה בת בריטית של חברה אמריקאית. החוב חמק מעיניה של מח' בקרת אשראי משום שהוא נוצר על ידי לקוחות חריגים מחוץ למהלך העסקים הרגיל, ולפיכך עקף את דוח הגבייה השגרתי.  הסתבר ש50% מהחוב היה ניתן לגבייה, דבר שהוביל לגביה של כ 2 מיליון לירות סטרלינג (2.6 מיליון $ ארה"ב) מזומנים ומאזן "נקי" יותר.

מקרה מס. 5: מחלקת התשלומים לספקים לא הצליחה לאתר 2 מיליון דולר אוסטרלי (1.6 מיליון $ ארה"ב) בתשלומים כפולים לספקים, בקרב לקוחות קמעונאיים, תחבורה, משרדי ממשלה וחברות הנדסה.  על אף שניתן היה לגלות את הכפילות במערכת לניהול חשבונות ספקים עוד לפני התשלום, התראות המערכת בוטלו או שהממונים המקומיים התעלמו מהן. הביקורת הפנימית עשתה שימוש במידע שברשותה כדי לבצע בדיקות עצמאיות לכריית מידע, אשר התמקדו במיוחד לגילוי כפילויות. להפתעתנו, נמצאו עשרות כאלה.  התשלומים המיותרים הושבו להנהלה על ידי הספקים והוחזרה הבקרה לאיתור ומניעת תשלומים כפולים.

מקרה מס. 6:  מבקרים פנימיים חשפו 1 מיליון דולר אוסטרלי (788,00$  ארה"ב) בדיווחי מחלות וחופשות כוזבים שלא דווחו  כנדרש על ידי עובדים בחברת תחבורה אוסטרלית. ההונאה התגלתה תוך העלאת השערה שהונאות מסוג זה  אפשריות וכן איתור טעויות על ידי הצלבת נתוני שכר כנגד שימוש בטלפון סלולארי, שימוש ברכב, נתונים ונתוני הנכנסים למבנה החברה. תחילה, ניסתה ההנהלה לטעון שהביקורת הפנימית הפרה את תקנות הפרטיות בכך שהיא חקרה את מקום הימצאותם של העובדים.  אך המבקר הפנימי הראשי הוכיח שעל פי תקנות הפרטיות, שימוש במטא-דאטה של הארגון עצמו מותר לצורך בירור הימצאותם של עובדים בשעות העבודה. מסקנת הביקורת הייתה שלא זו בלבד שתרבות העובדים הייתה לקויה והיה צורך לתקנה אלא שגם תרבות הפיקוח הייתה לקויה , דבר שהוביל לשינויים רבים בצוות ההנהלה.  למהלך זה הייתה השפעה חיובית על פריון העבודה, על התחייבויות לחופשות במאזן וכן על עלויות שעות נוספות, שנגרמו כתוצאה ישירה מדיווחים כוזבים של י העובדים לגבי היעדרותם במשך שנים רבות.

מקרה מס. 7:  במקרה שמשקף טעויות והונאה מהותיות, זיהתה הביקורת הפנימית נהלים לשימוש ברכב שנוסחו באופן גרוע ולא יושמו באופן תקני בשתי חברות נפרדות. בנוסף, חברות ליסינג חיצוניות הוסיפו חיובים לא נחוצים לטובתן.  כתוצאה מכך, נעשה שימוש במרמה ברכב החברה למטרות שונות שאינן עסקיות.  חברות האם לא היו מודעות לביטול רישיונות נהיגה בשל העדר הצהרות של נהגים, וחלה עליה בשיעורי תאונות רכב, שגרמה לעליה בפרמיות הביטוח. חברות הליסינג הטילו קנסות לא מוצדקים בעת סיום השכירויות.  על אף שלא הצליחו להשיב את מלוא העלויות הקודמות, נמנעו החברות מלשלם 1 מיליון דולר אוסטרלי (780,000 $ ארה"ב) בעלויות שנתיות עתידיות על ידי שיפור הנהלים והבקרות כתוצאה מהביקורת.

מקרה מס. 8:  לעתים, מתגלות טעויות והונאות באמצעות רשת הקשרים של הביקורת.  אזהרה מעורפלת אך קריטית מטעם אחד העובדים גילתה שמנהל הכספים העביר מידע קנייני ממועצת המנהלים לחברת למערכות מידע. חברה זו הגישה הצעות מחיר לחוזים בעשרות מיליוני דולרים, כאשר מנהל הכספים היה דירקטור ובעל מניות באותה חברת IT.  הביקורת הפנימית אימתה את  מעורבות מנהל הכספים בחברה השנייה עם הרגולטור של ניירות ערך, ובהמשך ניצלה את זכויות הגישה המוקנות לה מתוקף כתב האמנה שלה לצורך בדיקת הדואר האלקטרוני ורישומי הטלפון הסלולרי של מנהל הכספים,  כדי לאמת את העברת המידע הקנייני.  החברה סיימה את עבודתו של אותו מנהל הספים, הסדירה את נוהל ניגוד האינטרסים, השיבה חלק מהעלויות ההיסטוריות ושמה קץ להוצאות עתידיות לא נחוצות   הנאמדות במיליוני דולרים.

המקרים הנ"ל ממחישים את מגוון הכשלים במדיניות, בניהול סיכונים, בשיטות, וניסוח החוזים שניתן לגלות באמצעות איתור טעויות והונאות מהותיות במהלך תכנון וביצוע ביקורות.

ראיות חותכות

חל שיפור ניכר בקרב ארגונים בהערכת המוניטין של המבקר הפנימי כאשר ראויות לטעויות מהותיות שקשה לחלוק עליהן הובאו לדיון במועצת המנהלים. לעתים קרובות, טרם הפצת דוח הביקורת, חלו שיפורים בבקרות, הושבו הוצאות, נמנעו עלויות פוטנציאליות ובמקרים גרועים החמורים ביותר – העובדים העבריינים סיימו את תפקידם.

מועצות מנהלים מעדיפות  שזיהוי הטעויות ייעשה בשלב מוקדם על ידי המבקר הפנימי, מאשר לאחר האירוע על ידי ביקרות חיצונית, רגולטורים, או פרסום באמצעי התקשורת.  גם אם לא יימצאו כשלים במתודולוגיה לזיהוי טעויות, הרי שזו כשלעצמה מהווה סוג של הבטחה אם כי לא מוחלטת באשר  ליעילות הבקרות.

 

המאמר תורגם מגיליון דצמבר 2017 של כתב העת INTERNAL AUDITOR

The dollar value of error seeking audits by Christopher Kelly