חמשת העקרונות לניהול סיכוני הונאות

מאת: דני פרידמן , דרור בר משה , פניני לרנר-מרלי | גיליון 08 - מעילות והונאות | ספט 2018 | אין תגובות

מבוסס על התדריך Fraud Risk Management Guide, שפורסם בשנת 2016 על ידי COSO.

מבוא

סקר להערכת הונאות שנערך בשנת  2016 שנערך על ידי- ACFE  Association of Certified Fraud Examiners וכלל מעל 110 מדינות ובחינה של כ-2,400 מקרי הונאה, העלה כי ארגונים יאבדו בממוצע כחמישה אחוזים מהכנסותיהם השנתיות כתוצאה מהונאות.

סך כל ההפסד שנוצר במקרים שנבחנו עמד על יותר מ-6.3 מיליארד דולר, כאשר הפסד ממוצע למקרה אחד עומד על 2.7 מיליון דולר. שימוש לרעה בנכסי הארגון אפיין 83% מהמקרים, אולם הביא להפסד חציוני נמוך יחסית של 125 אלף דולר בלבד. לעומת זאת, הונאות בדוחות הכספיים של הארגון מאפיינים פחות מ-10% מהמקרים, אך ההפסד החציוני שגרמו נאמד בכ-975 אלף דולר. מקרי שחיתות נצפו ב-35% לערך מהמקרים עם הפסד חציוני של 200 אלף דולר.

עוד נציין כי ככל שההונאה מתבצעת על פני תקופה ארוכה יותר, כך הנזק הפיננסי והתדמיתי גדול יותר. בעוד שמשך זמן ההונאה החציוני שנרשם בסקר עמד על 18 חודשים עם הפסד חציוני של 150 אלף דולר, כאשר בחנו את מקרי הקצה של הסקר זוהו מקרי הונאה שהתרחשו במשך יותר מ-5 שנים וגרמו להפסד חציוני של 850 אלף דולר.

אין ספק שהעולם העסקי הופך למורכב יותר מיום ליום. לפיכך נדרשת נקודת מבט רחבה בבואנו לבחון וליישם תהליכים לניהול סיכונים בארגון כחלק מהממשל התאגידי שההנהלה אחראית לו. הדברים אמורים לגבי ניהול סיכונים בכלל וסיכוני הונאה בפרט.

 

פרסומי ה-COSO

בשנת 2013 פרסם ארגון ה-COSO את מודל הבקרה הפנימית Internal Control – Integrated Framework. המודל מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: (1) יעדים תפעוליים (2) יעדי דיווח (3) יעדי ציות. לצידם קובע המודל את חמשת מרכיבי הבקרה הפנימית: (1) סביבת הבקרה (2) הערכת סיכונים (3) פעולות בקרה (4) מידע ותקשורת (5) פעולות ניטור. מודל זה זכה לאימוץ ושימוש רב לאומי והוכר כמודל מוביל לעיצוב ויישום של בקרה פנימית ולהערכת האפקטיביות של הבקרה הפנימית.

המודל קובע 17 עקרונות המקושרים אל חמשת מרכיבי הבקרה הפנימית שתוארו לעיל, ומבהיר כיצד יש להבין, להשתמש ולהטמיע את מערכות הבקרה הפנימית בצורה אפקטיבית. הארגון מדגיש שעל מנת שמערכת בקרה פנימית תהיה אפקטיבית, כל אחד מ-17 העקרונות צריכים להתקיים ולפעול יחד באופן משולב.

העיקרון השמיני מבין 17 העקרונות הנ"ל קובע שיש לבחון האם:

"הארגון מתייחס לפוטנציאל להונאה בהערכת הסיכונים להשגת יעדיו".

Fraud Risk Management Guide, שפורסם על ידי COSO בספטמבר 2016, מפרט כיצד ניתן ליישם עיקרון זה הלכה למעשה.

הונאה מוגדרת כפעולה מכוונת או השמטה/מחדל, המיועדת להטעות אחרים ומובילה לגרימת הפסד לקורבן או רווח למועל.

מעבר למידע שנדרש כדי להעריך את הסיכון להונאות, מדריך ה-COSO מספק הנחיות המורכבות מחמישה עקרונות ונקודות מיקוד הנדרשים להקמת מסגרת לניהול סיכוני הונאות. המדריך גם מתאר כיצד ארגונים בגדלים וסוגים שונים יכולים להקים תוכניות משלהם לניהול אפקטיבי של סיכונים אלה.

המודל מציע ראייה רחבה, שלפיה האחריות חלה הן על הדרג התפעולי והן על מועצת המנהלים וההנהלה. בכך יוצר המודל אחריות מערכתית כלל ארגונית.

המדריך גם מכיל אינפורמציה חשובה למשתמשים שמטמיעים תהליך לניהול הסיכון להונאות, כגון תפקידים ואחריות, שימוש בניתוח מידע ונתונים, ופיקוח על ניהול הסיכון.

כעיקרון כל ארגון חשוף להונאות. אין אפשרות למנוע לחלוטין את הסיכון, אולם הטמעה של העקרונות המוצעים בתדריך עשויה להעלות את ההסתברות שהונאות יימנעו או יזוהו תוך זמן סביר ואף ייצרו אפקט הרתעתי.

יישום מודל 2013 COSO בניהול הסיכון להונאות

המודל מציע כי יישום העיקרון השמיני יהיה בהתאמה לחמשת העקרונות המופיעים לעיל במודל 2013 COSO:

על פי המודל לעיל, חמשת העקרונות לניהול הסיכון להונאות הם:

  1. סביבת 
  2. בקרה (Control Environment)"הארגון מייסד ומתקשר תוכנית לניהול הסיכון להונאות אשר ממחישה את הציפיות של מועצת המ
  3. נהלים וההנהלה הבכירה ואת מחויבותם לרמת יושרה גבוהה וערכים אתיים בנוגע לניהול הסיכון להונאות".
  4. הערכת סיכונים (Risk Assessment)"הארגון מבצע הערכה מקיפה של הסיכון להונאות כדי לזהות תבניות וסיכוני הונאות מסוימים, מעריך את הסבירות והמהותיות שלהן, מבצע אומדן של בקרות ההונאה הקיימות ומיישם פעולות לצמצום הסיכון השיורי להונאות".
  5. פעולות בקרה (Control Activities)"הארגון בוחר, מפתח ומיישם פעילויות בקרה למניעה וזיהוי הונאות כדי לצמצם את הסיכון של התרחשות אירוע הונאה או חוסר זיהוי בזמן סביר".
  6. מידע ותקשורת (Information and Communication)"הארגון מייסד תקשורת להשגת מידע בדבר הונאות אפשריות ומאמץ גישה לתיאום לביצוע חקירה ופעולות תיקון כדי לטפל בהונאות באופן הולם ובזמן סביר".
  7. פעולות ניטור (Monitoring Activities)"הארגון בוחר, מפתח ומבצע הערכות שוטפות כדי לוודא האם כל אחד מחמשת העקרונות לניהול הסיכון להונאות קיים ופועל, ומתקשר ליקויים בתוכנית לניהול הסיכון להונאות בזמן סביר לצדדים האחראים לנקיטת פעולות לתיקון, לרבות הנהלה בכירה ומועצת המנהלים".

כאמור, לכל אחד מחמשת העקרונות קיים פירוט לגבי אופן יישומו (נקודות למיקוד). להלן דוגמה לנקודות למיקוד שיש לקחת בחשבון ביישום העיקרון הראשון (סביבת הבקרה):

  • מחויבות הארגון לניהול הסיכון להונאות.
  • תמיכה במנגנון פיקוח על הסיכון להונאות.
  • כינון מדיניות מקיפה לניהול הסיכון להונאות.
  • הגדרת תפקידים והאחריות ברחבי הארגון לפיקוח על הסיכון להונאות.
  • תיעוד מדיניות ניהול הסיכון להונאות.
  • תקשור ניהול הסיכון להונאות בכל דרגי הארגון.

תיאור תהליך שוטף ומקיף של ניהול הסיכון ההונאה:

גישה מקיפה זאת מזהה ומדגישה את ההבדל המהותי בין חולשות בבקרה הפנימית שעלולות להוביל ל"טעות" לבין החולשות שעלולות לאפשר "הונאות". ההבדל המהותי הוא הכוונה (פעולות מכוונות/עם כוונת זדון). ארגון שמסתפק בהוספת הערכת הסיכון להונאות להערכת הבקרה הפנימית הקיימת, עלול שלא לבחון באופן יסודי ולזהות אפשרויות לפעולות מכוונות המיועדות ל:

  • הצגה מוטעית של המידע הפיננסי.
  • הצגת מוטעית של מידע לא פיננסי.
  • מעילה בנכסים.
  • מבצעי פעולות לא חוקיות או מושחתות.

סביר שגישה מקיפה זו תניב הערכה יעילה ומקיפה יותר של הסיכון להונאות.

נספחים הכלולים במדריך

במדריך ישנם נספחים רבים בעלי ערך רב, הכוללים בין היתר תבניות, כלים פרקטיים, מודלים ונהלים לדוגמה שיכולים לסייע רבות ביישום המודל הלכה למעשה. המדריך כולל: סקר לדוגמה לניהול הסיכון להונאות שתוצאותיו עשויות להדגיש את הנושאים שבהם כדאי להתמקד ביישום ניהול הסיכון; דוגמה לנוהל ניהול הסיכון להונאות; כלי מפורט (מבוסס אקסל) למיפוי והערכת הסיכון להונאות, ושלל כלים נוספים ותבניות אחרות.

הביקורת הפנימית וניהול הסיכון להונאות

מעורבות המבקרים הפנימיים בתהליכי העיצוב והיישום של ניהול הסיכונים בארגון עשויה להיות מאתגרת ביותר. מבקרים בעלי המיומנות והניסיון המתאימים, יכולים להוסיף ערך ולסייע להנהלה בעצם העלאת המודעות והדגשת החשיבות של ניהול הסיכונים להצלחת הארגון. בכך ממלא המבקר הפנימי תפקיד מפתח כייעוץ מהימן (Trusted Advisor) המסייע להנהלה בשיפור ביצועיה בכלל ובשיפור הממשל התאגידי בפרט.

סיכום

בעשורים האחרונים גובר הדיון בסיכונים העלולים לפגוע ביעדי הארגון ולפגום בפעילותו. על הרקע הזה גוברת חשיבות ניהול הסיכונים בכלל וניהול הסיכון להונאות בפרט.

תרומתה של הביקורת הפנימית היא בהוספת הערך ושיפור הבקרה הפנימית. המודל המוצע כאן ליישום מערך לניהול סיכוני הונאות, מאפשר למבקרים הפנימיים להביא להנהלות ולדירקטוריונים גישה שיטתית ומעשית שניתן להסבירה וליישמה בפשטות. כמו כן, המבקר הפנימי יכול לנצל את הידע הרב שצבר על התהליכים בארגון כדי לסייע בניהול הסיכון להונאות.

מבקרים פנימיים שיבחרו שלא להיות מעורבים בתהליך ניהול הסיכונים הארגוני, עלולים להחמיץ הזדמנות להוסיף ערך לארגון ולפתח קשר חזק יותר עם הדירקטוריון.

ביבליוגרפיה

  • Fraud Risk Management Guide, September 2016 by COSO
  • Fraud- Risk Management Guide, Executive Summary, September 2016 by COSO
  • COSO’s Internal Control- Integrated Framework (May 2013) (2013 COSO Framework)

אודות הכותב/ת

דני פרידמן

אודות הכותב/ת

דרור בר משה

רו"ח, CRISC ,CISA ,CRMA ,LLM ,CIA
סגן מבקר ראשי, אמדוקס

[email protected]

אודות הכותב/ת

פניני לרנר-מרלי