מערכת ניהול למניעת שוחד (ISO 37001) ועבודת הביקורת הפנימית

מאת: ד"ר דביר פלג | גיליון 08 - מעילות והונאות | ספט 2018 | אין תגובות

רקע:

ארגון התקינה הבינלאומי (ISO – International Organization for Standardization) הוא גוף בינלאומי הקובע תקנים. תקני ניהול – ISO – הם כללים לאסדרה כלכלית בארגונים. בארגון חברים גופי תקינה לאומיים מרחבי העולם והוא כותב תקנים ניהוליים, תעשייתיים ומסחריים בינלאומיים. יישום התקנים הוא וולונטרי, אלא אם כן החליטה הממשלה להחילם כתקני חובה. לדוגמה, על פי החלטת ממשלה, תקן ניהול אבטחת המידע ISO 27001 הוא תקן חובה בכל משרדי הממשלה.

ועידת היסוד של הארגון, שהתכנסה תחת הסיסמה learning between equals, חיפשה שם שייצג את השוויון ומצאה אותו במילה היוונית isos, שמשמעותה היא בלנס – שוויון. בפועל, תיאוריית ראשי התיבות אינה נכונה, שכן שם הארגון הוא International Organization for Standardization ולא International Standards Organization.

תקנים אלה מהווים "רגולציה וולונטרית" (ללא כפייה חוקית), המתבצעת על ידי שימוש בכלים רכים כגון הדרכה, הגברת המודעות ושיתוף הפעולה. בכך דומים תקני הניהול לפעילות הביקורת הפנימית, שגם מטרתה היא לשפר את פעילות הארגון ואת יכולתו להשיג את מטרותיו.

בשנה האחרונה נוסף תקן ניהול חדש: "מערכת ניהול מניעת שוחד", שמספרו: ת"י ISO 37001. הצורך במערכת ניהול וולונטרית נוצר בעקבות חוסר אחידות בחוקי השוחד בעולם, וכן בגלל קושי ברגולציה ובאכיפה עולמית.

"מערכת ניהול מניעת שוחד" היא מערכת כללים ותהליכים שהארגון מתחייב לבצע וכן להיסקר על ביצועם על ידי גוף חיצוני אחת לשנה.

למה כדאי לארגון ליישם מערכת ניהול מניעת שוחד?

בארגונים רבים הנחשפים לקיומה של התקינה בנושא מערכת ניהול מניעת שוחד (ת"י 37001 ISO), נשאלת שאלת הנחיצות. על מנת לענות לשאלה זו נקביל את מניעת השוחד למניעת הטרדה מינית: עד שהפכה לחוק, מניעת הטרדה מינית הייתה רגולציה וולונטרית שארגון התחייב לה. ריבוי האירועים,  העיסוק הארגוני והעיסוק התקשורתי בנושא הביאו לחקיקת חוקים מפורשים ולרגולציה מחייבת, ויותר מכך – הביאו לשינוי הנורמה הציבורית והפרטית.

כך גם בתחום מניעת השוחד. העיסוק התקשורתי והציבורי העולה, החלת נורמות מוסר ונורמות שיפוט ציבוריות על המגזר הפרטי בארץ ובעולם (אישום בישראל בגין שוחד שניתן בחו"ל), כמו גם חוקי הכסף המזומן המשתנים והשפעת המלחמה בהון השחור ובפשע ב"מרשתת האפלה" ((Darknet, כל אלה מחייבים שימוש ברגולציה וולונטרית עד שרשויות החוק יקבעו רגולציה עולמית המותאמת למצב.

בנוסף, חוק החברות מחייב את הדירקטוריון בחובת זהירות. ניתן לראות את מערכת הניהול למניעת שוחד (ת"י ISO 37001) כחלק מחובת הזהירות של הדירקטורים לארגון ושל הארגון לדירקטורים.

מה צריכה לכלול מערכת ניהול מניעת שוחד?

המערכת כוללת את התהליכים הבאים:

  1. דרישה לכתיבת והטמעת מדיניות המעלה את נושא השוחד, קבלה ומתן של מתנות, טובות הנאה ותרומות, מהרמה הארגונית הלא פורמלית אל רמת ההנהלה.

נדגיש שלגבי סחיטה מובהר בפרשנות לתקן כי סחיטה היא "תשלום כאשר כסף מוצא בכוח מצוות העובדים באמצעות איומים על הבריאות, הבטיחות או החירות שלו או של אחרים". מכיוון שמערכת החוק בחוק העונשין אינה רואה בתשלום עקב סחיטה מעשה פלילי, לגבי סחיטה הארגון יכול לקבוע מדיניות המתירה ביצוע תשלום, הגדרת דרכי הפעולה, תיעוד האירוע, התשלום ודיווח למנהל ולגורם העמידה בדרישות מניעת שוחד.

  1. דרישה לזיהוי כלל החוקים, הצווים והתקנות בנושא שוחד בכל אתרי פעילות החברה בארץ ובעולם, זיהוי כל בעלי הממשק העסקי, ונושאים פנימיים וחיצוניים המשפיעים על מניעת השוחד בחברה, לדוגמה:
  • גודל, מבנה והיקף האצלת הסמכויות של מערכת קבלת ההחלטות בארגון.
  • מיקום הפעילות של הארגון והסקטור שבו הוא פועל.
  • מהות ומורכבות הפעילויות של הארגון.
  • המודל העסקי של הארגון.
  • הארגונים שתחת שליטתו והארגונים ששולטים עליו.
  • בעלי ממשק עסקי.
  • היקף ואופי יחסי הגומלין עם גורמים רשמיים.
  • דרישות על פי דין, דרישות חוזיות והנחיות גופי מקצוע והנחיות ישימות שהארגון אימץ.
  1. מינוי ממונה על מניעת השוחד בארגון ("גורם העמידה בדרישות מניעת שוחד") – בעל תפקיד עם קשר ישיר לדירקטוריון ולהנהלה הבכירה, האחראי על מניעת שוחד בארגון. בסמכותו להעריך את סיכוני השוחד בכל המחלקות והפרויקטים, לקבוע נהלים, ובעיקר להגביר ולאכוף את חובת הדיווח, לתחקר אירועים ולהעלות להנהלה "דגלים אדומים".

מספר העובדים במערך הציות (מערך האכיפה של מניעת השוחד) יהיה בהתאם לגודל הארגון ולרמת הסיכונים לשוחד שאליהם הארגון חשוף. בארגון קטן יכול להתמנות לתפקיד זה אדם הנושא תפקיד שגרתי בארגון, אך יש לוודא שתפקידו אינו בסיכון גבוה לקבלת שוחד (מנהל רכש למשל). גורם הציות חייב להיות בעל כישורים (השכלה, הדרכה וניסיון), מעמד בארגון (דעתו נשמעת ומיושמת) וסמכות (הרשאת האכיפה מספקת), עצמאי וחסר תלות.

  1. הגדרת אחריות וסמכות לכל בעל תפקיד בנושא מניעת השוחד.
  2. קביעת שיטה מתועדת לזיהוי סיכוני שוחד וניגוד עניינים:
    במסגרת השיטה ייערכו ניתוחים, הערכות ודירוג של הסיכונים שזוהו. וכן יוערכו האמצעים לבקרה ומניעת שוחד ויותאמו לארגון. אם יעלו סיכונים פוטנציאליים (דגלים אדומים), תבוצע בדיקת נאותות.הסיכון ייבחן גם בנוגע להעסקתם של עובדים ועובדי כוח אדם זמניים. לגבי האחרונים ניתן להפחית את הסיכון הן על ידי החלת הבקרות שנקבעו לגבי עובדי הארגון גם על עובדים אלו, או על ידי חיוב מעסיקם להפעיל את הבקרות.קביעת השיטה לזיהוי סיכוני שוחד מסייעת גם בקביעת גבולות ברורים בארגון בנושאים "אפורים" לכאורה כמו קבלת תשורות (לדוגמה: קבלת שוקולד או בקבוק יין מלקוח למחלקת תשלומי ספקים – לא תמיד לאנשי המחלקה יש כלים להעריך את שווי התשורה, ולעיתים לאורך השנים נוצרים גם ניגודי עניינים כאשר הספק הופך לחבר אישי המזמין ומוזמן לאירועים אישיים, והשוקולד הופך לכאורה לתשורה פרסונלית ולא תשורה בגין תפקיד), אירוח, תרומות, מוצרים ממותגים וכו'.כאשר עולה חשד לסיכון שוחד, כלומר לא זוהתה פעילות שוחד אולם הנסיבות או האירועים עלולים ליצור מראית עין או פוטנציאל לכך, תבוצע בדיקת נאותות.

    בדיקת נאותות היא למעשה המשכו של תהליך בחינת הסיכונים לגבי פרויקטים, עסקאות, פעילויות ארגוניות, שותפים עסקיים ועובדים שלגביהם נמצא כי הם מהווים סיכון בינוני או גבוה לשוחד. את בדיקת הנאותות יש לערוך אחת לתקופה בהמשך לסקר סיכוני השוחד, והיא מהווה בקרה ממוקדת על מניעת שוחד בתחומים הנבדקים.

    בקרה בנושא ניגוד עניינים ניתן לבצע על ידי מתן שאלונים לבעלי תפקידים בתחומים שהארגון זיהה כרגישים, כגון רכש, ניהול פרויקטים וכו', ובעקבות הבדיקה יש לקבוע "דגלים אדומים" – נורמות ארגוניות או אירועים המעלים חשש לניגוד עניינים או מצבים חריגים שמצריכים בדיקה בתחום מניעת השוחד.

    לדוגמה, מנהל פרויקטים שעבד אצל לקוח ועבר לעבוד בחברה – יש לבחון האם המעבר התבצע בעקבות צורך או בעקבות מערכת יחסים שהיטיבה עם החברה תחת ניהולו של המנהל, או יחסי משפחה או שכנות בין מנהל הרכש למי מהספקים.

  3. הצבת בקרות פיננסיות ושאינן פיננסיות: בקרות פיננסיות הן התהליכים המיושמים על ידי הארגון לניהול נכון וראוי של        העסקאות הכספיות, וכן לתיעוד מדויק, מלא, ומהיר ככל האפשר שלהן. בקרות שאינן פיננסיות הן תהליכים המיושמים על  ידי הארגון כדי לוודא כי היבטים לא כספיים של הפעילויות מנוהלים באופן נכון וראוי.
  4. הדרכת כל עובדי החברה, הספקים וקבלני המשנה, משלב הקבלה לעבודה ואחת לתקופה במשך העסקת העובד בחברה.
  5. עריכת מבדקים פנימיים תקופתיים הבוחנים את אפקטיביות המערכת ואת אופן ניהולה. מטרת המבדק היא לספק ביטחון סביר לדירקטוריון ולהנהלה הבכירה כי מערכת מניעת השוחד שהוקמה פועלת באופן אפקטיבי, וכן לייצר הרתעה ניהולית.
  6. ביצוע סקרי הנהלה שבהם נבחנת עדכניות המדיניות והנהלים, נבחנים כלל האירועים שדווחו וכן הפעולות שבוצעו בעקבותיהם, מאושרר סקר הערכת סיכוני השוחד, וכן נקבעים יעדים ותוכניות עבודה בתחום.

מה טיב הקשר בין תקני הניהול לעבודת הביקורת הפנימית?

האם מערכת ניהול למניעת השוחד תורמת לעבודת הביקורת? ראוי לזכור כי כל מערכת ניהול הנסקרת בקביעות של אחת לשנה על ידי גוף חיצוני בלתי תלוי מחזקת את עבודת המבקר. המבקר מוגבל לעיתים על ידי תוכניות עבודה ושיקולים ארגוניים של קובעי התוכנית, בזמן שגוף חיצוני חופשי ממגבלות אלו ויכול לחזק את גבולות הארגון ולהגביר את כושרו התחרותי והשגת מטרותיו.

חוזקו ויתרונו של מבדק חיצוני עולה ככל שהפתיחות ורמת שיתוף הפעולה בין הסוקר לעורכי המבדק הפנימי (שיכולים להיות המבקרים הפנימיים) של הארגון עולה גם היא. עורך מבדק פנימי יכול לכוון את הסוקר למקומות שבהם הוא מזהה בעיה, אולם כוחו הפוליטי, הארגוני, חלש יותר, וסוקר חיצוני יכול לתמוך בשיפור תהליכי הארגון על ידי שיקוף תהליכי הארגון בעזרת עורך המבדקים הפנימי.

לסיכום, ניתן לראות קווים מקבילים בין עבודת יחידת הביקורת הפנים ארגונית לתקני הניהול – ולכן למרות השוני ניתן לראות בתקני הניהול בכלל ובמערכת ניהול למניעת שוחד בפרט כלי משלים ותומך בעבודת הביקורת.

 

אודות הכותב/ת

ד"ר דביר פלג

 CISO ,CRO – סוקר תאימות לדרישות ISO