פרצה קוראת לגנב – האם ואיך ניתן למנוע זאת?

לקחים ורשמים ממעילה בחברה מובילה בישראל

סקר הפשיעה הכלכלית הגלובלי לשנת 2018, שנערך על ידי PwC בקרב למעלה מ-7,200 חברות מ-123 מדינות ולראשונה גם מישראל, מצא כי 49% מהחברות חוו פשיעה כלכלית. אחת משלוש המעילות הנפוצות שחוו המשיבים הישראלים היא מעילה בתחום הרכש, אזור סיכון מהנפוצים ביותר בהיסטוריית המעילות בארץ ובעולם.

הניסיון מלמד כי מעילות בתחום הרכש מתרחשות במשך מספר שנים עד לחשיפתן (אם בכלל). ממחקרים שנערכו בנושא עולה כי מעילות חד פעמיות ו/או קצרות מועד הן דבר חריג, שכן הסיפוק, הריגוש והתועלת יגרמו למועל לחזור שוב ושוב על הפעולה מתוך הנחה שלא ייתפס.

משולש המעילה מתאר שלושה גורמים הנמצאים בכל מצב של מעילה או הונאה ומייצרים את הפוטנציאל להתממשותו של סיכון למעילות והונאות: מניע, הזדמנות והצדקה. 59% מהמשיבים לסקר הפשיעה הכלכלית הגלובלי דירגו את גורם ההזדמנות כגורם העיקרי שעלול להביא להתרחשות של מעילה ו/או הונאה. ההזדמנות היא למעשה המצב היחיד שעליו אנו כגורמי הבקרה בחברה יכולים להשפיע, היות שפרצה בבקרה היא פתח להתרחשות מעילה ו/או הונאה.

סקר מעילות והונאות

כמחצית מהחברות שהשתתפו בסקר הפשיעה הכלכלית עורכות מדי תקופה סקר מעילות והונאות במטרה לאתר פרצות בתהליכים העלולים להביא להתרחשות של מעילה ו/או הונאה בחברה. על הסקר לכלול את הפעולות הבאות:

  • איתור מוקדי סיכון למעילות והונאות בחברה, כאשר כל מוקד סיכון מכיל תרחישים אפשריים לביצוע מעילה או הונאה.
  • בחינת מסגרת הבקרה בכל אחד ממוקדי הסיכון שזוהו.
  • ניתוח נתונים במטרה לזהות אנומליות.
  • ניתוח והערכת הסיכון השיורי להתרחשות מעילה או הונאה במוקדי הסיכון שזוהו.
  • גיבוש המלצות לחיזוק מסגרת העבודה לניהול הסיכון.

בניית תוכנית לצמצום החשיפות שזוהו בתהליכי החברה

מעילות בעולמות הרכש

תהליכי רכש מתנהלים באופן שונה מחברה לחברה, בין אם בעקבות גודל החברה, כמות הפריטים הנרכשים, היקפי העסקאות, תיאבון החברה לסיכון ועוד.

תהליך הרכש ברובו בנוי לפי השלבים הבאים:

הסיכון כי תתרחש מעילה בכל אחד משלבי תהליך הרכש קיים ואינהרנטי, בין אם התהליך הוא שולי ואינו מוסדר ובין אם הוא מבוקר ומאורגן.

לרוב, הוצאות הרכש בחברה הן בסכומים מהותיים ומהוות את עיקר הוצאות החברה. על כן, ובהיותו אזור סיכון מהנפוצים בהיסטוריית המעילות, קיימת רגישות רבה וחשיפה לפעולות בלתי מורשות בתהליך זה יותר מכל שאר התהליכים המתקיימים בחברה. מכאן שיש חשיבות רבה למפות את החשיפות האפשריות ולהתאים את מערכי הבקרה השונים לפוטנציאל הסיכון.

דוגמה מהשנים האחרונות היא מעילת ענק שהתגלתה בחברה מובילה בתחומה בארץ, שבוצעה על ידי מנהלת חשבונות שעבדה בחברה מיום הקמתה ונחשבה לעובדת מצטיינת, מסורה ואהודה על חבריה לעבודה.
אז כיצד בוצעה המעילה בפועל, אלו גורמי בקרה היו חסרים, מהן הבקרות הדרושות ואלו מהן היו מונעות את המעילה?

שיטת המעילה

על פי כתב האישום שהתפרסם, מנהלת החשבונות בחברה פתחה חשבון בנק על שם נעוריה והוסיפה לו מספר מילים המרמזות על ספק הפועל בתחום ההפקה. במשך כחמש שנים שינתה ללא ידיעת החברה את שמם של חלק מספקי החברה שאינם פעילים ובעלי יתרות זכות לשם הספק שהוסיפה לחשבונה האישי, איפסה את יתרות הזכות הכספיות של ספקים אלה והעבירה אותם לחשבונה האישי. מנהלת החשבונות הפקידה בתקופה זו המחאות של החברה לחשבונה הפרטי בסכום של מעל 10 מיליון ש"ח.

לאחר שמעילה זו צלחה במשך כחמש שנים, היא נקטה צעד נוסף והקימה במערכות החברה ספק פיקטיבי הזהה לשם החשבון הבדוי שפתחה. היא ביצעה רישום כוזב של פקודות במערכת הנהלת החשבונות של החברה, והפיקה המחאות לטובת הספק הפיקטיבי שהקימה. את חתימות שני מורשי החתימה על ההמחאות היא זייפה.

בשיטה זו הפיקה עשרות רבות של המחאות מזויפות לפקודת הספק הפיקטיבי (בסכום של מעל 14 מיליון ש"ח), את ההמחאות הפקידה בחשבון המרמה ומשכה משם כספים לשימושה האישי. את התהיות בנוגע לבגדיה היקרים ולרמת החיים הגבוהה, שהפגינה ביחס לבעלי שכר דומה בחברה, פטרה בטענה, כי בעלה העצמאי נהנה מהכנסות גבוהות. היקף המעילה הכולל הוערך במעל 24 מיליון ש"ח במשך יותר מ-10 שנים.

המעילה התגלתה במקרה על ידי חשבת החברה. כחודש לאחר חזרתה של מנהלת החשבונות מחופשת לידה, חשבת החברה איתרה רישום שנראה לה חריג ופנתה למנהלת החשבונות בבקשה לקבלת הסבר. מנהלת החשבונות הגיבה בצורה מתחמקת ולחוצה ומיהרה להסתלק מהחברה. האמור עורר את חשד החברה והוביל לחקירת המקרה.

כשלים בסביבת הבקרה

כיצד נגנב סכום עצום של כסף בלי שאנשי מערך הבקרה והכספים בחברה יחשדו בדבר? היכן היו שומרי הסף בחברה? היו כשלים רבים בסביבת הבקרה, והבולטים ביותר הם:

  • לא הייתה הפרדת תפקידים נאותה בין הגורם המורשה להקמת ספק לבין הגורם המורשה להנפיק תשלום לספק.
  • לא נעשתה בקרה אחר כרטיסי ספק שאינם ביתרת זכות, ולא נעשתה בקרה לבדיקת התאמה בין הרשום בכרטיסי ספק פעילים לתשלומים שהועברו בפועל לטובת הספק.
  • סעיף הרכש בחברה המדוברת הוא מהותי, על כן קיים קושי באיתור חריגים באמצעות בדיקות ידניות. החברה לא עשתה שימוש בכלי ניתוח נתונים מתקדמים לצורך ניתוח פקודות יומן חריגות, איתור כפילויות, איתור פערים ברציפות שיקים, ופקודות יומן והצלבות שונות בין בסיסי נתונים. סביר שניתוח נתונים במטרה לאתר אנומליות היה מציף את הפערים בשלב מוקדם.

בקרות שיכלו למנוע את המעילה

מעילה זו הייתה יכולה להימנע על ידי קיומן של הבקרות הבאות:

  • בעת הקמת ספק חדש במערכת הנהלת החשבונות יידרשו אישורים של שני גורמים לפחות. בקרה זו מיושמת כיום בחברות רבות בישראל, כאשר גורם אחד אחראי על הקמת הספק והזנת נתוניו למערכת, והגורם השני אחראי על הזנת פרטי חשבון הבנק של הספק וכן על בחינת אמיתות הנתונים שהוקלדו על ידי הגורם הראשון.
  • פתיחת ספק חייבת להיות מגובה במסמך פתיחת ספק, וכן בתעודת התאגדות ו/או אישור ניכוי מס ו/או אישור ניהול ספרים של הספק. בקרה זו תפחית את האפשרות, כי יוקם במערכות החברה ספק פיקטיבי. אמנם לא כל ספק שיש לו מסמכי התאגדות הוא בהכרח ספק של החברה, אך בקרה זו תקשה על גורם בחברה להקים ספק פיקטיבי.
  • בעת הקמת ספק יש לקבל מהספק מסמך רשמי מהבנק, כדוגמת דף חשבון או שיק מבוטל. בקרה זו תוכיח לחברה כי חשבון הבנק שביקש הספק להעביר אליו את התשלומים המגיעים לו הוא חשבון הבנק של הספק.
  • בחינת תקינות ונכונות מספר העוסק מורשה או ח"פ של החברה. בבקרה זו נבחן כי מספר העוסק מורשה/ח"פ שסיפק הספק לחברה הוא אמיתי ותואם לשמו של הספק.
  • הפרדת תפקידים בין הגורם שאחראי על הקמת ספק לבין הגורם שאחראי להעביר את התשלום לספק. בקרה זו הכרחית ומייצרת הפרדת תפקידים נאותה המונעת אפשרות כי עובד יחיד יבצע את הליך יצירת ההתקשרות עם הספק והזרמת התשלום לחשבונו ללא מעורבות גורמים נוספים.
  • קיום רוטציה בתפקידים מרכזיים בתחומי רכש וכספים. החלפת בעל תפקיד מרכזי ורגיש מפחיתה את הסיכון כי תתרחש מעילה, מכיוון שהעובד מודע לכך שתקופת כהונתו בתפקיד קצובה בזמן ולאחר מכן ייכנס גורם אחר לנעליו.

בקרות שיכלו לגלות את המעילה

מעילה זו יכולה הייתה להתגלות על ידי קיומן של הבקרות הבאות:

  • בקרה תקופתית על שינויים בשדות רגישים של ספקים. באמצעות בקרה זו החברה עוקבת אחר שדות רגישים ששונו, כדוגמת שם ספק, מספר חשבון בנק ועוד. כל שינוי בשדות אלה צריך להיות מגובה במסמך המאמת את הנתונים ששונו. לדוגמה, שינוי שם יהיה מגובה במסמך שעליו חתום הספק ובו השם החדש הרצוי, וכן מסמך של הבנק המאמת, כי שם הספק תואם לשם חשבון הבנק.
  • ביצוע ניתוח נתונים במסדי הנתונים המרכזיים של החברה, במטרה לזהות מגמות ופעולות חריגות שבוצעו בתהליכים המבוצעים בחברה, כגון רכש, שכר וכספים. חלק בלתי נפרד מהבקרות שמיישמות חברות הוא ביצוע ניתוח נתונים. לתחקור מסדי הנתונים של החברה יש ערך מוסף מפני שהוא מאפשר זיהוי פעולות חריגות (ככל שהיו כאלה), איתור דפוסי התנהגות, איתור חריגים שלא ניתן היה לזהות מביצוע סקרים ובקרות, ואיתור כשלים בבקרות הקיימות.
  • מבחני מהימנות לעובדים בתפקידים רגישים בתדירות שתיקבע מראש. תפקידים בתחום הרכש והכספים מהווים משרות רגישות לאור מעורבותם בהוצאות כספי החברה. מומלץ, כי בעלי תפקידים הנוגעים באופן ישיר ועקיף לכספי החברה, יחויבו בביצוע מבחן מהימנות אחת לתקופה (בדרך כלל אחת לשלוש שנים). יש לציין, כי בקרה זו היא בנוסף על הבקרה המונעת, מפני שהידיעה של העובדים כי הם עתידים לעבור מבחן מהימנות משמשת כגורם הרתעתי.
  • חיוב עובדים בתפקידים רגישים בחברה לצאת לחופשה רציפה בת שבוע לפחות, במסגרתה תיחסם לעובד הגישה לתיבת המייל ולמערכות השונות בחברה. במקרים שבהם עובד אחראי על ביצוע אותן פעולות מדי יום, עולה האפשרות כי הוא יצליח להסתיר פעולות אסורות. בעת יציאת העובד לחופשה רציפה, עובד אחר נכנס לנעליו ואחראי לבצע את אותן פעולות שמבצע העובד המקורי בכל יום. אם יהיו פעולות המבוצעות באופן תדיר ומוסתרות בכוונת תחילה, סביר להניח כי העובד המחליף יגלה זאת.

סיכום

קיים מגוון רחב של בקרות שניתן לשלב ולהטמיע הן כחלק ממערך הבקרה הרוחבי והן באזורים נקודתיים בתהליכי הרכש, כפונקציה של מאפייני הפעילות וגורמי הסיכון המבוססים על מיפוי תהליכים ייעודי, או כחלק מסקר מעילות והונאות שמומלץ לבצע אחת לתקופה. בקרות אלו אינן מחליפות את הצורך בתחקור מסדי נתונים לאיתור אנומליות, המהווה כיום כלי מרכזי באיתור חריגים.

ניתוח אירועי מעילה מעלה שברוב המקרים לא נדרש תחכום בביצוע המעילה, ומערך בקרה לקוי הוא שמאפשר את המעילה.