סוף הונאה במחשבה תחילה

מאת: אסף חייק-לרנר , ירון סעדי | גיליון 08 - מעילות והונאות | ספט 2018 | אין תגובות

מהי הונאה?

להבדיל ממעילה (Embezzelment) המבוצעת לרוב על ידי גורם פנימי בארגון (עובד, מנהל, בעל מניות וכדומה), הונאה (Fraud) היא פעולת מרמה והטעיה המבוצעת על ידי גורם חיצוני לארגון (לקוח, ספק, נאמן, האקרים, גורמים עברייניים וכדומה), מתוך מטרה לקבל נכסים/כספים/זכויות במרמה תוך שימוש במצג שווא. ייתכנו גם מקרים שבהם נרקמת קנוניה בין גורם חיצוני לארגון לגורם פנימי בו כדי לבצע פשע כלכלי נגד הארגון.

לאורך שנים מתנהלת במערכת הפיננסית בישראל בכלל, ובמערכת הבנקאות בישראל בפרט, מלחמה סיזיפית נגד הונאות וניסיונות הונאה של גורמים חיצוניים. זוהי מלחמה המתנהלת ב"עצימות נמוכה" ומאחורי הקלעים.

מאמר זה מתמקד בעיקר בהונאות פיננסיות באשראי פרטי.

לכאורה, ברוב המקרים נזקי ההונאות ברמת המקרה הבודד אינם גבוהים ואין בהם כדי לאיים על יציבותם של המוסדות הפיננסיים, אך לכך יש לציין מספר סייגים:

  • ראשית, ניסיון העבר מלמד כי בוצעו הונאות/ניסיונות הונאה בהיקפים גבוהים, במקרי קיצון עד כדי איום על יציבותו הפיננסית של הארגון שנפגע מכך. לדוגמה, בשנת 2005 בוצע ניסיון הונאת סייבר בהיקף של כ-220 מיליון ליש"ט על ידי כנופיית האקרים בינלאומית נגד השלוחה הלונדונית של בנק סומיטומו היפני.

בשנת 2016  קבוצת האקרים הצליחה לפרוץ את מערכות המחשב של הבנק המרכזי של בנגלדש, ולהעביר 81 מיליון דולר מחשבונות בבנק הפדרלי של ניו יורק לחשבונות בתי קזינו בפיליפינים.

  • חלק מהמוסדות הפיננסיים מגדירים את תיאבון הסיכון שלהם להונאות (ולמעילות) כ"תיאבון סיכון אפס", כלומר מצהירים הצהרה ערכית כי הם מוכנים לבצע את כל הצעדים הנדרשים כדי לצמצם למינימום האפשרי את היקף נזקי ההונאות בארגון.
  • פרסום מידע לציבור בגין הונאות שכוונו נגד מוסדות פיננסיים, חושף את המוסדות לנזקי מוניטין, העלולים לעלות בהיקפם על הנזק הישיר שנגרם למוסדות אלו כתוצאה מההונאה.

בהקשר זה יצוין כי ניכר שבשנים האחרונות הרגולטורים (בנק ישראל, הממונה על שוק ההון, ביטוח וחיסכון) מקדישים תשומת לב פיקוחית גבוהה יותר לניהול סיכוני הונאות ומעילות בבנקים ובמוסדות פיננסיים.

המציאות העצובה היא שכפי שאנשים נורמטיביים יוצאים מדי בוקר להרוויח ביושר את מטה לחמם, ישנם אנשים/גורמים שהם "בעלי מקצוע" בתחום ההונאות. הם משקיעים את מיטב זמנם, מרצם, משאביהם ומוחם הקודח והיצירתי בניסיונות הונאה נגד בנקים ומוסדות פיננסיים. לצערנו, לא אחת הם מקדימים את המערכת הפיננסית בצעד אחד לפחות.

ממחקרים שנערכו בשנים האחרונות על ידי חברת PWC בנושא פשיעה כלכלית, עולה כי בתקופות של חוסר וודאות עסקית ומשברים כלכליים קיימת עלייה בפוטנציאל התממשותן של הונאות ומעילות. זאת, בעיקר כתוצאה מהסטת תשומת הלב הארגונית להתמודדות עם המשבר, אשר עלולה לגרום להיווצרות פרצות במנגנוני הבקרה הקיימים ובהזדמנויות לביצוע הונאות.

על פי סקר[1] שנערך על ידי PWC לשנת 2017, 49% מהמשיבים דיווחו כי הארגון שלהם נפל קורבן למעילה או לפשיעה כלכלית. זו עלייה ניכרת בהשוואה לסקר משנת 2016 שבו 36% מהמשיבים דיווחו כי נפלו קורבן לפשיעה כלכלית. בסקר של 2017 ציינו שליש מהמשיבים כי הפשע הכלכלי החמור ביותר בארגון שלהם גרם להפסד ישיר של 100-50 אלף דולר (למקרה בודד).

לאילו הונאות חשופים הבנקים ומוסדות פיננסיים?

המוסדות הפיננסיים, ובראשם הבנקים, חשופים להונאות מסוגים שונים. להלן דוגמאות:

  • הונאות סייבר/הונאות בתקשורת על סוגיהן השונים (פריצה למאגרי המידע וגניבת פרטי תעודות זהות/מספרי חשבונות/כרטיסי אשראי וכדומה, התחזויות/גניבת פרטי זיהוי לצורך העברת/משיכת כספים לזכות צד ג' שאינו מורשה, לרבות הונאות באמצעות אתר הארגון ובאמצעות מכשירים לשירות עצמי).
  • הונאות אשראי שונות (אשראי קמעונאי, אשראי עסקי, הונאות בתחום סחר החוץ).
  • התכחשויות לקוחות לביצוע פעולות בחשבונותיהם (משיכות מזומנים, העברות על סמך הוראה בדוא"ל/פקס, קבלת אשראי וכדומה).
  • התחזות וגניבת זהות (באמצעות מסמכים מזויפים) לצורך קבלת כספים במרמה מהתאגיד הבנקאי
  • הונאות בכרטיסי אשראי.
  • זיופי שיקים.
  • הונאות לקוחות בכל הקשור לפעילותם בחדרי מסחר.
  • הונאות המבוצעות על ידי ספקים/נותני שירותים בכל הקשור לתחום הרכש/לוגיסטיקה.
  • הונאות ביטוח.

מלבד נזקי הונאות העלולים להתממש לנזק ישיר כלפי הבנקים, קיימים מקרים שבהם הבנקים ומוסדות פיננסיים חשופים לתביעות משפטיות או לתשלום שיפוי נזקי הונאות שבוצעו כלפי לקוחות הבנקים או על ידי לקוחות כלפי צד ג'.

בהקשר זה בולטות הונאות מסוג "הונאת פונזי"[2] (המוכרת גם בשם הונאת "פירמידה"). בהונאה מסוג זה מובטחת למשקיעים תשואה גבוהה על כספם תוך פרק זמן קצר, בעוד בפועל הרווחים המחולקים למשקיעים הראשונים ממומנים מכספי המשקיעים שהצטרפו מאוחר יותר, עד לקריסת הפירמידה.

אין צורך להכביר במילים על ההונאה שביצע  ברנרד מיידוף – הונאה בהיקף של כ- 50מיליארד דולר שבעקבותיה נגרם נזק בסכום של  כ-1.7 מיליארד דולר ל– JPMorgan הבנק שבו ניהל ברנרד מיידוף את חשבונותיו (סכום הנזק משקף את הסכם הפשרה שהושג כפיצוי לנפגעי התרמית(.

אגב, בחלק מפסיקות בתי המשפט בישראל בשנים האחרונות, נקבע כי מוסדות פיננסיים חבים חובת זהירות מוגברת (חובת נקיטת אמצעי זהירות סבירים למניעת הסיכון) לא רק ישירות כלפי לקוחותיהם אלא גם כלפי צד שלישי. זאת בתנאי שהמוסד הפיננסי יכול היה לצפות כי צד שלישי יינזק.

הונאות אשראי קמעונאי

  • ההתקדמות הטכנולוגית שחוותה האנושות בעשורים האחרונים לא פסחה גם על המערכת הפיננסית. לפיכך "עלה קרנן" של הונאות הסייבר בתקשורת, שמטבע הדברים חושפות את המערכת הפיננסית לנזקים בהיקפים גבוהים.

עם זאת, בחרתי להתמקד במאמרי זה בהונאות אשראי קמעונאי (הניתן ללקוחות פרטיים), השייכות להונאות המוגדרות כבסיסיות יותר – "הונאות פיזיות", הנוגעות לליבת העיסוק של המערכת הבנקאית. לרוב, ברמת המקרה הבודד הונאות אלו מתבצעות בסכומים נמוכים יחסית, אולם ברמת האפקט המצטבר ניתן להניח שנזקי הונאות האשראי הקמעונאי המצטברים במערכת הפיננסית בישראל עלולים להסתכם בעשרות מיליוני ש"ח בשנה.

  • מאפיינים – הונאות אשראי בתחום הקמעונאי הן הונאות שעיקרן קבלת אשראי על סמך מצג שווא של כושר ההחזר של הלקוח, המתבסס על שימוש במסמכים מזויפים. בחלק מהמקרים גורמים עברייניים עושים שימוש באנשי קש, ומציידים אותם במסמכים מזויפים כדי לקבל אשראי. קיימת גם חשיפה לחבירת גורמים עברייניים לגורמי פנים במערכת הפיננסית לצורך ביצוע ההונאה. הונאת האשראי מתאפיינת גם בפרק הזמן הקצר החולף בין מועד ביצוע האשראי לבין מועד גילוי כשל פירעון האשראי.

להלן המאפיינים העיקריים של הונאות אשראי קמעונאי:

  • שימוש במסמכים מזויפים/מצגי שווא לצורך הוכחת כושר החזר/יכולת פירעון של הלווה (דוחות כספיים, תדפיסי חשבון, תלושי שכר, חוזי שכירות, אישורי העסקה במקומות עבודה, תשלום משכורות פיקטיביות לחשבון הלווה וכדומה).
  • הצהרה כוזבת לגבי מטרת/ייעוד האשראי או לגבי מקורות פירעון האשראי, או לגבי נאותות/אמיתות הבטחונות שהועמדו לאשראי.
  • היעדר זיקה ישירה (גאוגרפית, עסקית או אחרת) של הלווה (הלקוח) לסניף או ליחידה שבהם בוצע האשראי.
  • הפניית לקוחות לפתיחת חשבונות ולקבלת אשראי על ידי גורמים בעלי היסטוריית אשראי בעייתית, לעיתים תוך מעורבות של גורמי פשיעה (לעיתים האשראי מיועד לגורם המפנה). בחלק מהמקרים אף נעשה שימוש באנשי קש על ידי גורמים עברייניים לצורך פתיחת חשבונות חדשים שבהם יבוצע אשראי.
  • זיוף חתימת לקוחות על גבי מסמכי אשראי.
  • משיכת מלוא/רוב תמורת האשראי במזומן בסמוך למועד ביצוע האשראי, כדי להקשות על נתיב ביקורת לשימוש בתמורת האשראי.
  • העברת תשלומי משכורת "פיקטיבית" לחשבון הלווה (לעיתים באופן חד-פעמי) כבסיס לקבלת אשראי, ומאוחר יותר החזרת "המשכורת" לגורם המעביר.
  • פירעון האשראי על ידי צד ג' (שאינו הלווה).
  • נקיטת פעולות מרמה לשחרור בטחונות/שיעבודים בטרם פירעון האשראי.

בחלק מהמקרים עושים גורמים שונים ניסיון לאתר נקודות תורפה במערכת הפיננסית (איתור עובדים חסרי ניסיון ו/או שימוש בטכניקות של הנדסה חברתית) כדי להקל על ביצוע הונאת האשראי. במקרי קיצון אף קיימת חשיפה לביצוע קנוניה של גורם חיצוני עם עובד מוסד פיננסי לצורך ביצוע הונאת האשראי.

צעדים למניעת/צמצום הונאות אשראי

ניתן לנקוט צעדים שונים לצורך מניעה או צמצום נזקי הונאות האשראי, הן ברמת הטיפול במקרה הבודד ביחידת הקצה והן ברמה המערכתית בארגון:

בשלב חיתום האשראי

  • נקיטת משנה זהירות במתן אשראי ללקוחות חדשים, בפרט ללקוחות שאין להם זיקה ישירה (גאוגרפית, עסקית או אחרת) לסניף או ליחידה שבהם בוצע האשראי.
  • ביצוע בדיקת נאותות (על סמך מידע ציבורי הקיים ברשת האינטרנט) בגין לקוחות, מעל לסכום אשראי מינימלי שייקבע.
  • נקיטת משנה זהירות בקשר עם לקוחות שהופנו על ידי גורמים שבמהלך בדיקת נאותות זוהה מידע שלילי אודותם.
  • אימות נתוני מקום העבודה/תדפיסי חשבון של לקוח חדש המקבל אשראי.
  • גילוי ערנות לגבי אנומליות במסמכים המוגשים במסגרת בקשת האשראי (חשד למסמכים מזויפים).
  • (במקרים הרלוונטים) תשומת לב לצד ג' המתלווה ללקוח בעת תהליך פתיחת החשבון/קבלת האשראי, ובפרט תשומת לב לצד ג' המגלה דומיננטיות בעת ביצוע שיחת ליבון הצרכים עם הלקוח, מבקש האשראי. בהתאם נדרשת תשומת לב ומשנה זהירות, כאשר במקרים אלה הלקוח מגלה פסיביות ו"אינו שולט" בפרטי בקשת האשראי שהגיש.
  • (במקרים הרלוונטיים) הקפדה על תיעוד פרטי הגורם שהפנה את הלקוח לקבלת אשראי.

לאחר ביצוע האשראי

  • תשומת לב לאשראי שתמורתו/רוב תמורתו נמשכת במזומן בסמוך למועד הביצוע.
  • תשומת לב לפירעון אשראי על ידי צד ג'.

בקרות מערכתיות

  • על הארגון לוודא כי סיווג ומדידת הונאות האשראי מתבצעים באופן נאות. המטרה היא למנוע מצב של הערכת חסר של היקף נזקי הונאות האשראי של הארגון (לנוכח האפשרות שחלק מנזקי הונאות האשראי מסווגים בטעות ככשלי אשראי). מטבע הדברים, לנתוני היקף נזקי הונאות האשראי יש השלכה על היקף המשאבים שמוכן הארגון להקצות לצורך ניטור ומניעת/צמצום הונאות מסוג זה.
  • ניהול מידע אודות שיטות וגורמים בקשר עם ביצוע הונאות אשראי. קיימת חשיבות לצבירת המידע בגין אירועי הונאות אשראי ולתיעודו במאגר מידע ייעודי: סכומים, חשבונות שבהם בוצעו הונאות, פרטי מבצעי ההונאות, גורמים מפנים, סוג ההונאה, מאפייני ההונאה ועוד.

קיימת חשיבות לתיעוד כל המידע לגבי הונאות שהתגלו בארגון במאגר אחד מרכזי (בכפוף למגבלות המשפטיות הרלוונטיות לניהול מאגרי מידע).

ניהול מאגר מידע יאפשר איתור וזיהוי של טכניקות ודרכי הונאות אשראי, מגמות חריגות בנושא זה, וגורמים חיצוניים בולטים בתחום הונאות האשראי, ויסייע בהטמעת דרכי פעולה מתאימות לצמצום או למניעת הישנות המקרים.

  • פיתוח כלי בקרה בגין הונאות אשראי (בכפוף לשיקולי עלות-תועלת) שיציפו התראות/"אורות אדומים". לדוגמה: מתן אשראי ללקוחות שהופנו על ידי גורמים שעל פי מידע ציבורי היו מעורבים בביצוע הונאות, חשבונות שבהם בוצע אשראי (שאינם שייכים לאותה קבוצת סיכון) והוזרמו אליהם פרטים מינהליים זהים (כתובות, כתובות דוא"ל, מספרי טלפון וכדומה), פירעונות אשראי בחשבונות לקוחות על ידי צד ג', וכדומה.

הכשרות עובדים בנושא טכניקות הונאה וזיהוי חשד או סממנים לזיוף מסמכים, לדוגמה:

  • תדפיסי חשבון בנק עם יתרות לא נכונות, סכומי פעולות עגולים בלבד, שדות מידע חסרים, סוגי/תיאור פעולה שאינם אחידים/עקביים.
  • תלושי שכר עם סכומי משכורת (נטו) עגולים החוזרים על עצמם כל חודש, יתרת מחלה/חופשה מאופסת, גובה משכורת (נטו) שאינו תואם את סכום זיכוי המשכורת בתדפיס החשבון, מספר תעודת זהות שאינו זהה למספר תעודת הזהות של הלקוח, היעדר מספר חשבון בנק לזיכוי בתלוש השכר.
  • תעודת זהות שתאריך הנפקתה שונה מתאריך ההנפקה על פי נתוני מרשם האוכלוסין או שמודפסת בסוגי גופן שונים, או שהגיל על פי תעודת הזהות אינו תואם את גילו של מבקש האשראי.
  • דוחות כספיים או מסמכים אחרים החתומים לכאורה בחותמת רו"ח ללא פרטים, או על גבי נייר לבן ללא כותרת, או מסירת דוחות כספיים זהים עבור מספר חברות/תאגידים שונים וכדומה.

ביצוע הפקות לקחים מאירועי הונאות – חשוב להפיק לקחים מאירועי הונאה בולטים שהתגלו, על מנת לנסות ולאתר חשיפות הקיימות לבנק/מוסד פיננסי ולמנוע הישנות מקרים דומים בעתיד.

סיכום

בסיכומו של דבר, על דרך המליצה ניתן לומר ש"סוף הונאות במחשבה תחילה" – ניהול לא נאות של סיכוני ההונאה עלול במקרי קיצון לחשוף מוסדות פיננסיים עד כדי איום על יציבותם. אמנם לא ניתן לחסום הרמטית את ניסיונות ההונאה של גורמים עברייניים, אך היערכות נכונה ברמה המערכתית וברמת יחידות הקצה, ניטור יזום של ניסיונות הונאה על בסיס המידע והניסיון שנצבר בארגון, בד בבד עם הטמעת כללי הזהירות בכל רובדי הארגון והפקות לקחים אפקטיביות בעת הצורך, עשויים בהחלט לצמצם למינימום את נזקי ההונאה לארגון.

 

[1]   'Pulling fraud out of the shadows'

PwC’s Global Economic Crime and Fraud Survey 2018

[2] ההונאה נקראת ע"ש צ'ארלס פונזי שהיה הראשון שנתפס (בארה"ב, במחצית הראשונה של המאה הקודמת) בביצוע הונאה מסוג זה.

אודות הכותב/ת

אסף חייק-לרנר

רו"ח, ביקורת חקירתית, חטיבת הביקורת הפנימית, בנק הפועלים

אודות הכותב/ת

ירון סעדי

רו"ח, ביקורת חקירתית, חטיבת הביקורת הפנימית, בנק הפועלים