תוכנית אקטיבית לצמצום חשיפות להונאות ומעילות
לבטים ומיטב התובנות האישיות שלי
מבוא
מיידוף, מכירים? לא מזמן קראתי מאמר שמנתח את ההונאה הגדולה בשוק ההון האמריקאי. הכותב, מבקר פנימי במקצועו, סיכם את המאמר במסקנה כי סביר שמינוי מבקר פנימי בלתי תלוי אשר מדווח לוועדת ביקורת עצמאית, היה חושף את ההונאה וחוסך אובדן כספי גדול.
אני אמנם לא מכירה את פרטי הפעולה של מיידוף ושל הארגון בבעלותו כפי שאותו כותב מכיר, אבל אני זוכרת שהסיכום שלו טרד את מנוחתי. אני עוסקת בביקורת פנימית וכיהנתי כמבקרת פנימית בארגונים שונים במשך מרבית שנותי המקצועיות. בין היתר, כיהנתי כמבקרת הפנימית של הראל פיננסים, אחרי המעילה. אני מוסיפה את התוספת הזו, "אחרי המעילה", אוטומטית מבחינתי, בכל פעם שאני מציגה את עצמי. התוספת האוטומטית הזו מקפלת בחובה משמעות גדולה – לא הייתי שם באותה תקופה, אל תחברו אותי לסיפור הזה. אבל האם התוספת האוטומטית הזו גם אומרת גם "לי זה לא היה קורה…"? אני לא בטוחה.
במהלך השנים פגשתי כל כך הרבה מנהלים שאמרו "לי זה לא יקרה". אני הפסקתי לנסות ולרמות את עצמי. ייתכן שמעילה בהיקף כל כך גדול כמו שביצע מיידוף לא היתה קורית, אבל אני לא מוכנה לשבת באותו כיסא של אותו מנהל שבטוח שלו זה לא יקרה. מבקר פנימי זה תפקיד מאתגר, ישנם דברים רבים שמאתגרים את דרכו, שטורדים את מנוחתו. כל מבקר פנימי הוא אחר, כל אחד רואה את הדברים דרך המשקפיים שלו וכל אחד מביא עימו עולם דגשים משלו. במשקפיים הפרטיים שלי, מעילה בהיקף גדול ומשמעותי בחברה בה אני מכהנת כמבקרת, אבל גם גילוי מעילה קטנה יחסית בתחום פעילות שבו בוצעה לאחרונה ביקורת פנימית, מבלי שעלתה על עקבות המעילה, זה תסריט שיכול להשאיר אותי ערה בלילה, אף כי על פי התקנים המקצועיים שיפורטו להלן אין באחריות המבקר הפנימי להיות מומחה לגילוי מעילות.
ולמי שנשאר ער בלילה, יש זמן לחשוב ולתכנן.
מידע כללי על התממשות הסיכון וכלים לניהולו
איגוד חוקרי ההונאות ACFE Association of Certified Fraud Examiners)) מפרסם אחת לתקופה סקר בינלאומי שסוקר מקרי הונאה ומעילה מרחבי העולם. נתוני הארגון מצביעים על ממוצע נזק לחברות כתוצאה ממעילות והונאות של כ – 5% מהמחזור השנתי. ממצאי הסקר מצביעים על החשיפה הרחבה ביותר (כמות מקרים) בתחומי מעילה בנכסי החברה אולם נזק מצטבר נמוך יחסית ועל הצד השני של הספקטרום יושבים מקרי הונאות בדיווח הכספי שהם מועטים במספרם יחסית אבל בעלי שהיקף הנזק הגדול ביותר.
עוד עולה מהסקר כי הדרך הרווחת ביותר לגילוי מעילה (כ- 40% ממקרי המעילה) היתה מידע שהתקבל או הלשנה. כפועל יוצא, הסבירות לאיתור מעילה קיימת גבוה יותר בארגונים בהם הוטמע קו חם מאשר באלו שלא.
ארגון שרוצה להתחיל לטפל בנושא ולא יודע איפה להתחיל, צריך להתחיל באבחון אישי של מצבו. כלי אבחון כאמור נמצאים ברשת. אחד מהם, מפורסם על ידי אותו איגוד חוקרי ההונאות. באתר האינטרנט של האיגוד תוכלו למצוא שאלון שמאפשר למנהל בארגון למפות איפה הארגון שלו נמצא בהתייחס לתהליכי ניהול הסיכון להונאות ומעילות. השאלון עוסק בנושאי אחריות, מדיניות, הערכת סיכונים, תהליכי בקרה, אמצעים לצמצום חשיפה ברמת תהליכים, אמצעים ברמת חברה (קוד אתי, תרבות ארגונית, תקשורת ארגונית), זיהוי פרואקטיבי של מעשי מרמה ואופן הטיפול בהם.
סטנדרטים מקצועיים ומודלים מקובלים
הסטנדרטים המקצועיים מנחים שפעילות הביקורת הפנימית תעריך את הפוטנציאל להתרחשות של הונאה ואת האופן בו הארגון מנהל את הסיכון ( (2120.A2וכן שלמבקר פנימי יהיה ידע מספק כדי להעריך את הסיכון להונאה ואת האופן בו הסיכון מנוהל. עם זאת, אין לצפות מהם להיות בעלי ההתמחויות של מי, שתפקידו העיקרי הוא לגלות ולחקור הונאות (1210.A2). בנוסף, הוראה GTAG 13 של ה- IIA בנושא "מניעת הונאות ואיתורן בעולם הטכנולוגי" מתייחסת למתודולוגיה לאיתור הונאות והשימוש בכלים טכנולוגיים להשגת מטרה זו.
בארגונים שמיישמים SOX ישנה התייחסות לניהול סיכוני הונאות ומעילות.
כמו כן, בספטמבר 2016 פירסם ארגון COSO (Committee of Sponsoring Organizations of the Treadway Commission) את המדריך שלו לניהול סיכוני הונאות. המדריך מתייחס לאבני דרך ליישום תוכנית לניהול סיכוני הונאות וכולל מדיניות ניהול וממשל סיכוני הונאות, הערכת הסיכונים, תכנון ויישום פעילויות בקרה מונעות ומגלות, ביצוע חקירות והמשך ניטור והערכת הסיכון.
האם זו אחריותו של מבקר פנימי? אם מבקר פנימי נדרש או לא נדרש להיות אקטיבי בנושא הזה? בין אם יש אחריות ובין שלא, שהרי התקנים המקצועיים קובעים במפורש שאין, ברור ששנת מבקר פנימי נודדת בלילה וגם אנוכי מוטרדת. לפיכך, אני סבורה שאם זה מפריע לי לישון אז אני צריכה לטפל בזה.
התוכנית שיישמנו ברכבת ישראל
ניסיתי לפתוח את הטקסט בוק. לא מצאתי מודל אחד שניתן לקחת וליישם בשיטת "גזור הדבק". בשנת 2015, זכיתי להשתתף בתוכנית מנהיגות בינלאומית שבמסגרתה התדפקתי על דלתם של מבקרים פנימיים רבים ברחבי ארה"ב. גיליתי את מה שכבר ידעתי קודם, כל מבקר מטפל אחרת בנושא, כל אחד רואה את אחריותו ובהתאם את הנדרש ממנו במשקפיים הפרטיים שלו. פגשתי מבקרים (רבים) שמתייחסים לנושא מעילות והונאות כאל עוד אחד מסיכוני הארגון, ובארגונים בהם פונקציות ניהול סיכונים לא קיימות, גם הסיכונים הללו לא מנוטרים באופן שוטף אלא נלקחים בחשבון במסגרת ביקורות פנימיות בנושאים ספציפיים. על הצד האחר של הסקאלה פגשתי מבקרים פנימיים (מעטים) שהחליטו לא להמתין לפונקציית ניהול הסיכונים ולטפל אקטיבית בנושא. הטיפול הזה כלל בעיקר ביצוע סקר סיכוני הונאות ומעילות ומיסוד קו חם.
אחת הסברות המעציבות היא שמרבית הארגונים מתחילים לטפל בנושא רק לאחר שחוו אירוע של מעילה. חזרתי לארץ, חקרתי קצרות את הנושא והתחלנו לתכנן וליישם ברכבת ישראל תוכנית אקטיבית לצמצום חשיפות להונאות ומעילות. אומנם הביקורת הפנימית הובילה את הקמת התוכנית אולם המשימה לא יכולה להישאר בגבולות הביקורת. מדובר במשימה משותפת של פונקציית ניהול הסיכונים קודם כל אבל גם של שאר שומרי הסף תוך שיתוף כלל ההנהלה.
ברור לכולם, וגם לי, שלא ניתן למגר לחלוטין את הסיכון. אי אפשר להגיע לחסימה מלאה של האפשרות לבצע מעילה בארגון. עם זאת, תוכנית מובנית למניעת מעילות מקרינה לעובדים נחישות של ההנהלה ומעניקה תחושת בטחון להנהלה הבכירה והדירקטוריון.
להלן האלמנטים העיקריים של התוכנית:
חשוב להבין, שאת בניית המערך ברכבת ישראל עשינו עוד לפני פרסום המדריך לניהול סיכוני הונאות של ארגון COSO(ספטמבר 2016). עם זאת, ניתן בהחלט לזהות את הרכיבים שהתייחסנו אליהם ברכבת גם במדריך COSO, אשר מתייחס, כאמור לעיל, לאבני דרך ליישום תוכנית לניהול סיכוני הונאות – מדיניות ניהול וממשל סיכוני הונאות, הערכת הסיכונים, תכנון ויישום פעילויות בקרה מונעות ומגלות, ביצוע חקירות והמשך ניטור והערכת הסיכון. עם פרסום המדריך, ווידאנו שהתוכנית שלנו תואמת וכוללת את רכיבי המודל כאמור.
סיכום ביניים
האלמנטים השונים של התוכנית שלובים זה בזה ולא ניתן להעמיד אותם בסדר קשיח כלשהו (סדר כרונולוגי או סדר חשיבות). עם זאת, התוכנית שבנינו יושמה באופן מדורג.
האלמנט שמהווה את האתגר העיקרי הוא יצירת אווירה ארגונית. יש לטפל במודעות של כלל המנהלים ומנהלי הביניים לנושא וכן של גורמים רלוונטיים נוספים כדוגמת אנשי משאבי אנוש, רכש, כספים ומערכות מידע.
מיפוי הסיכונים מצריך עבודה ראשונית מאומצת של מיפוי פעילויות, זיהוי תרחישי סיכון והערכתם.
על בסיסו של מיפוי הסיכונים נדרש לעגן בקרות יעודיות שחלקן נגזרות ישירות מהמלצות הסקר וחלקן נבנות כחלק מביקורת מתמשכת.
מדריך COSO שעליו ארחיב בהמשך משמש בבחינת חליפה ליתום. כל אחד מהאלמנטים הללו מצריך חשיבה מובנית ותפירה למידותיו של הארגון הספציפי ועל כל אחד מהרכיבים הללו ניתן לפרט עוד. בחוויה האישית שלי, מצאתי שנכון יותר להתחיל בשלושת הרכיבים הראשונים (אווירה ארגונית, מיפוי סיכונים, עיגון בקרות) ולהגיע לשלב הרכיבים הנוספים רק כאשר הבסיס הזה כבר הונח.
בקרות יעודיות כאמור לעיל, יכללו, בין היתר, כלים ודוחות מובנים לזיהוי והצפת חריגים. בימים אלו אנחנו בשלבי בחינה ורכש של מערכת לביקורת מתמשכת אשר תנהל באופן מובנה את הבקרות וזיהוי החריגים שנעשה בשלב זה על ידי בקר ייעודי שגוייס לטובת העניין.
תוכנית האכיפה אליה אני מתייחסת, לוקחת את כלל מרכיבי התוכנית המוזכרים לעיל ומייצרת מדיניות, נהלים ותבניות דיווח. כל ניסיון קודם שלנו להסדיר את הנושא לפני ששלושת הרכיבים הראשונים הושלמו (אפילו חלקית) לא צלח שכן המסמכים פירטו תהליכים תיאורטיים שהיה קושי ליצוק תוכן לתוכם.
ואחרי הכל, כמו בכל תוכנית לניהול סיכונים, המבנה חייב להיות מעגלי וחוזר על עצמו – ניטור ומעקב ועדכון לפי הצורך מותירים את התוכנית הזו רלוונטית, חיה ונושמת בארגון.
בסדרת המאמרים בגיליונות הקרובים נסקור בהרחבה כל אחד מהאלמנטים השונים של התוכנית.
