ייעוץ עסקי, בקרה וניהול סיכונים

סוגי הונאות ומעילות

מאמר זה הינו חלק מספרו החדש של רו"ח עופר אלקלעי – פרק 3

ניתן לחלק את סוגי ההונאות והמעילות לשני סוגים עיקריים, כמפורט להלן:

מעילות תפעוליות (corporate fraud) – מעילות אשר מבוצעות על ידי עובדים בכל תחומי הפעילות של הארגון כגון: זיוף המחאות, תשלום לספקים פיקטיביים, גניבת מלאי וכד'.

הונאות תאגידיות (management fraud) – מעילות והונאות אשר מבוצעות על ידי הארגון או מנהליו כנגד גורמים חיצוניים כגון: ייפוי דוחות כספיים, הונאת משקיעים וכד'.

בפרק זה אפרט את הסוגים הנפוצים של מעילות תפעוליות.

3.1   אמצעי התשלום

במרבית המעילות המבוצעות בארגונים מעורב אמצעי תשלום, כגון: המחאות, מס"ב או העברות בנקאיות. הסיבה לכך ברורה, שכן מדובר ב"שערים" באמצעותם יוצא הכסף מהארגון. לקיחת הכסף מצד אחד והסתרת הפעולה באמצעות רישום כוזב בספרים מצד שני, מאפשרים את ביצוע המעילה. ניתן למנות את אמצעי התשלום הקיימים בארגון לפי סדר חשיפתם למעילה, מהגבוה לנמוך, כמפורט להלן:

א. מזומן;

ב.העברות בנקאיות בפקס;

ג.העברות בנקאיות במסמך מקורי עם שליח;

ד.המחאות ידניות;

ה.המחאות המופקות על המחאה מודפסת;

ו.המחאות המודפסות על נייר לבן;

ז.מס"ב;

ח.העברה באמצעות מערכת אינטרנטית.

3.1.1   מעילות נפוצות

כאמור, מועל אשר בא במגע עם אחד מאמצעי התשלום המפורטים לעיל, יכול לגנוב אותו ולהסתיר את המעילה באמצעות רישום הפעולה בצורה כוזבת בספרים. המעילות שיפורטו להלן עוסקות בשלב גניבת אמצעי התשלום, כאשר הסתרת המעילה מופיעה בפרקים הבאים. להלן סוגי המעילות הנפוצות:

א.     משלוח טופס העברה בנקאית מזויף – מעילה זו מבוצעת על ידי לקיחת טופס העברת כספים, אשר בדרך כלל הינו מסמך מודפס המוכן מראש והכולל את פרטי הגורם הזכאי לקבלת הכספים ודורש חתימה של מורשי החתימה בארגון. המועל מזייף על הטופס את חתימות מורשי החתימה ושולח את המסמך לבנק. בחלק מהמקרים מבצע המעילה הינו בעל תפקיד בהנהלת החשבונות של החברה אשר מצלצל לבנק לצורך אישור ביצוע התשלום הכוזב. המעילה תוסתר על ידי רישום פקודת יומן כוזבת כמו, למשל, זיכוי ספק פיקטיבי או רישום הוצאה בכרטיסי "פח זבל" כגון: ריבית, עמלות, הפרשי שער וכד'.

ב.     שימוש חוזר בהעברה חתומה תוך שינוי פרטי המוטב – במקרים בהם טופס העברה מופק מתוך מערכת הכספים ואין למועל גישה לטופס ריק, לוקח המועל טופס העברה החתום על ידי המורשים, שנעשה בו כבר שימוש ואשר מתויק בהנהלת החשבונות של החברה, ובאמצעות טיפקס משנה את התאריך ואת שם המוטב לקבלת הכספים. מעילה זו קשה יותר לאיתור, שכן החתימות אותנטיות לחלוטין.

ג.     הוספת אותיות לשם המוטב או הוספת מוטב – מרבית הארגונים סוגרים בכוכביות את סכום ההמחאה, מתוך מטרה שלא יבוצעו שינויים בהמחאה. עם זאת, מיעוט מהארגונים מבצעים פעולה דומה גם בשורת המוטב. במעילה נפוצה מאוד, המועל מצליח לשים יד על המחאה חתומה של הארגון ומשנה את שם המוטב באופן המאפשר לו לפדות את ההמחאה. כך לדוגמה המחאות לפקודות "מס הכנסה" משונה ל"נמס הכנסה", "ביטוח לאומי" משונה ל"ביטוח לאומי החזרים לשכיר בע"מ" ומעמ משונה ל"מעמון שמואל" וכד'. בנוסף, נתקלתי במקרים שבהם מועלים הוסיפו לשם המוטב את התוספת "ו/או" ואת שמם וכך הם פדו את ההמחאה.

ד.     סריקה של המחאה – התקדמות מערכות ההדפסה כיום מאפשרת לגורמים שונים לסרוק ולצלם המחאות באיכות גבוהה מאוד ולבצע עליהם שינוי של שם המוטב ו/או של סכום ההמחאה.

ה.     זיוף חתימות על המחאות – השיטה הנפוצה ביותר לגניבת המחאות הינה נטילת המחאה ללא רשות, אם מתוך ארון לא נעול או מתחתית ערימה של המחאות שנמצאות במדפסת, וזיוף חתימות של מורשי החתימה בארגון. במקרים רבים מצליחים גורמים שונים לגנוב המחאות אשר ממתינות לחתימה של המורשים בצורה לא מאובטחת. העובדה, כי במרבית הארגונים מורשי החתימה לא עורכים מעקב אחר מספרי ההמחאות המועברים אליהם לחתימה, מאפשרת מעילה בדרך זאת. כאמור, הסתרת המעילה תיעשה באמצעות רישום פקודת יומן פיקטיבית במערכת הנהלת החשבונות.

ו.     שינוי שם המוטב באמצעים כימיים – שיטה נפוצה נוספת לגניבת המחאות של ארגונים הינה באמצעות שינוי שם המוטב על ההמחאה באמצעים כימיים. המועלים מקבלים המחאות חתומות המיועדות למשלוח ומוחקים באמצעים כימיים את שם המוטב ומחליפים אותו לשם של גורם אשר פודה את ההמחאה עבורם.

ז.     שינוי מספר חשבון של ספק במערכת התשלומים – לצורך ביצוע תשלומים באמצעות מערכת מס"ב (מרכז סליקה בנקאי), נדרש הספק למלא את פרטי הקשר שלו ובכלל זה את פרטי חשבון הבנק לביצוע העברת הכספים. העובדה, כי מס"ב מבצע את ההעברה על בסיס של חשבון בנק ולא לפי שם מוטב, מאפשרת מעילה באמצעות שינוי חשבון הבנק של הספק, כך שהחותם על טופס ההעברה חושב כי הכסף מועבר לספק כלשהו בעוד שפרטי החשבון במערכת שונו והם שייכים לגורם אחר. במרבית הארגונים, לעובדים בהנהלת החשבונות יש גישה חופשית לשינוי פרטי חשבון הבנק של הספקים. במצב זה יכול המועל לרשום פקודות זיכוי לספק קיים, ובמקביל לשנות את חשבון הבנק של הספק לחשבון הבנק של גורם מקורב לו. במקרים בהם מורשי החתימה עוברים רק על שמות המוטבים ולא בודקים את כל החשבוניות בצורה פרטנית, מעילה כזו לא תתגלה. ניתן לציין, כי גם במקרים בהם לעובד אין יכולת להסתיר את המעילה, קיים חשש כי הכסף יועבר לחשבון של המועל והוא ייעלם לאחר מכן. אופציה נוספת הינה העברת הכסף לחשבון הבנק של המועל במקום לספק, תוך הודעה לספק כי תנאי התשלום שונו. לאחר מכן יעביר המועל את הכסף מחשבונו הפרטי לחשבון הספק תוך שהוא מקבל הלוואה ללא ריבית לשם תשלום לבעלי חוב או ליצירת רווחים מניירות ערך, לדוגמה.

ח.     שינוי מספר חשבון בקובץ המוכן לשידור – מערכת המס"ב לא מאפשרת שינוי של שורות וסכומים ב"דוח המלצה לתשלום" לאחר שרשימת המוטבים הוכנסה. במקרים בהם רוצים לבצע שינוי, מכינים דוח חדש. עם זאת, הקובץ אשר אמור להישלח למס"ב נשמר במרבית המקרים כקובץ ASCIII בספריה ייעודית. קובץ זה ניתן לשינוי כל עוד הוא לא ננעל על ידי העברת כרטיס מגנטי של המורשים. גורמים בעלי רקע במחשוב וגישה לספריה בה נשמר הקובץ, שינו בעבר את פרטי חשבון הבנק של ספקים והעבירו את הכסף לחשבונם. יכולת לרשום פקודת יומן פיקטיבית בכרטיס ספק תהפוך את המעילה לקשה מאוד לאיתור, שכן הספק לא אמור לקבל כסף בגין הפקודה הפיקטיבית בכרטיס.

ט.     שידור של קובץ אחר – במרבית הארגונים, לפני שליחת הקובץ, מורשי החתימה מבצעים בו בדיקות ושינויים, כגון: הורדת ספקים שנמצאים בבירור או הוספת ספקים שהופיעו ברגע האחרון. במצב זה, מורשי החתימה לא תמיד בודקים את הקובץ החדש אלא מוודאים שהסכום החדש לתשלום מתאים לשינויים שביקשו לבצע. עובדה זאת מאפשרת להכין קובץ חדש במס"ב, שהסכום בו זהה לסכום לאחר התיקונים של מורשי החתימה, אבל כולל העברה לגורמים שלא היו בקובץ המקורי.

י.      משלוח הודעה מזויפת לשינוי מספר חשבון בנק – דרך נוספת לביצוע מעילה הקשורה לתשלומים במס"ב הינה באמצעות זיוף טופס בקשה לשינוי פרטי חשבון בנק של ספק ושליחתו להנהלת החשבונות של החברה. מרבית הארגונים לא יתקשרו לספק על מנת לוודא כי הוא עומד מאחורי הבקשה לשינוי אלא יסתפקו בטופס החתום על ידי הבנק ועל ידי הספק. מיותר לציין, כי לאור העובדה שהטפסים נשלחים לרוב בפקס, הרי שאין כל בעיה לזייף את המסמך.

יא.    שימוש בכרטיס מגנטי של גורם אחר – לצורך השידור למס"ב, ניתנים למורשי החתימה כרטיסים מגנטיים או אמצעי זיהוי אחר הכוללים גם סיסמה הידועה רק להם. עם זאת, לאור מצבים בהם אחד המורשים לא נמצא בארגון, מועבר הכרטיס המגנטי לגורם נוסף בארגון אשר מבצע את השידור עבור המורשה. מצב זה מהווה פתח לביצוע מעילה פשוטה, באמצעות שידור לא מורשה של אחד הגורמים בארגון. כך לדוגמה, ברשויות מקומיות רבות, הכרטיסים המגנטיים לשידור למס"ב, שניתנו לראש העיר ולגזבר, נמצאים בפועל אצל האחראי על ביצוע התשלומים, לרוב מנהל החשבונות הראשי.

דוגמאות

דוגמה 1 – עובדת בהנהלת החשבונות במוסד אקדמי הכינה מדי חודש מספר המחאות לפקודתה ולפקודת ילדיה. על ההמחאות הנ"ל היא זייפה את חתימות מורשי החתימה והשמידה את העתקי ההמחאות. בהנהלת החשבונות רשמה העובדת, כי מדובר בהחזרי שכר לימוד לסטודנטים. לאור העובדה, כי מורשי החתימה לא בדקו את רציפות ההמחאות שהועברו אליהם לתשלום, עקב העובדה שלא היה ממשק בין מערכת הנהלת החשבונות למערכת שכר לימוד ומאחר שלא נבדקו העתקי ההמחאות, התאפשרה המעילה אשר לא התגלתה במשך תקופה ארוכה. המעילה התגלתה במקרה על ידי מנהל הכספים אשר הבחין, כי קיימים מספר תשלומים אשר לא משויכים תקציבית וביקש לראות את העתקי ההמחאות, שכאמור הושמדו, דבר שהביא לפתיחת חקירה וגילוי היקף המעילה אשר הסתכמה בכ-5.5 מיליון ש"ח. על העובדת נגזר עונש של 5 שנות מאסר.

דוגמה 2 – עובד בחברת ביטוח יצא לאכול והשאיר על שולחנו שתי המחאות חתומות המיועדות לסוכני החברה. עם חזרתו הבחין, כי המחאה אחת בסכום של כ-70,000 ש"ח חסרה. העובד, שהעריך כי ההמחאה נמצאת בין הניירות על שולחנו, לא דיווח להנהלת החשבונות על היעלמות ההמחאה. רק לאחר מספר ימים בהם לא הצליח לאתר את ההמחאה דיווח על כך להנהלת חשבונות, אשר מסרה לו כי ההמחאה כבר נפדתה. עיון בהעתק ההמחאה אשר התקבל מהבנק העלה, כי שם המוטב שונה. שיחה עם הגורם שפדה את ההמחאה, נער בן 17, העלתה, כי גורמים בכפר בו הוא מתגורר ביקשו ממנו לפדות את ההמחאה בתמורה לעמלה, בתואנה כי חשבון הבנק שלהם מוגבל. שיחה עם אותם גורמים לא הניבה דבר והם הכחישו כל קשר למעשה. הוגשה תלונה למשטרת ישראל.

דוגמה 3 – עובדת בהנהלת חשבונות בחברה לשיווק מוצרים באינטרנט ביצעה זיכויים פיקטיביים, בתאריכים רטרואקטיביים, בכרטיס של אחד הספקים הגדולים עמם עובדת החברה. לאחר הרישום הכוזב, העובדת, בעזרת בעלה, שינתה את פרטי חשבון הבנק של הספק בקובץ המס"ב אשר היה מוכן על דיסקט לצורך שידור במחשב אחר בחברה. המעילה הסתכמה בחצי מיליון ש"ח והתגלתה במקרה על ידי עובדת חדשה, אשר החליפה את המועלת בתפקיד וגילתה את הפקודות הכוזבות. העובדת החזירה את כספי המעילה באמצעות זיוף המחאות של חברה חדשה בה החלה לעבוד.

דוגמה 4 – מנהל כספים בחברה בתחום התקשורת קיבל את הסיסמה של המיני-קי השייך למנכ"ל החברה, וזאת לצורך שידור תשלומים באמצעות האינטרנט. הנ"ל ביצע, בתאריכים שונים, שידורים לא מורשים של כספים מחשבון הבנק של החברה, תוך שימוש במיני-קי שלו ושל בעל החברה ללא ידיעתו. לצורך הסתרת המעילה רשם פקודות זיכויים וחיובים בכרטיס החו"ז שלו אשר שימש כמסלקה לפעילות כספית של החברה. העובד נתפס והחזיר את כל כספי המעילה, שהסתכמו ב-300 אלף ש"ח – בפריסה לשלוש שנים. לא הוגשה תלונה כנגד העובד.

דוגמה 5 – מנהלת חשבונות בחברה נהגה לגנוב המחאות ריקות שהיו בתחתית הערימה שהונחה ליד המדפסת. העובדת הכניסה את ההמחאות למדפסת במקום העבודה שלה והפיקה המחאות לפקודת גורמים שונים, בהם בעל הבית ממנה שכרה דירה. לצורך הסתרת המעילה ביצעה התאמות בנק כוזבות של חשבונות הבנק עליהם הייתה אחראית. המעילה התגלתה לאחר פנייה של הבנק בשאלה, האם לכבד המחאה שתוקפה פג (הגבלה של 60 יום). מנהל הכספים, שלא הכיר את שם המוטב, בדק וגילה, כי אין כל חשבוניות עבור אותו שירות וכי מדובר בהמחאות מסדרות עתידיות שטרם נעשה בהן שימוש. בחקירה שנערכה התגלה, כי העובדת ביצעה בעבר שלוש מעילות בגופים אחרים בהם עבדה ואף ישבה כשנתיים בכלא על עבירות דומות. העובדת פוטרה והוגשה נגדה תלונה במשטרה.

דוגמה 6 – מנהלת חשבונות בחברה ליבוא זייפה חתימות של מורשי החתימה על למעלה מ-500 המחאות של החברה בהיקף של יותר מ-3 מיליון ש"ח. להסתרת המעילה, היא רשמה פקודות יומן פיקטיביות בכרטיס ספקים פיקטיביים ובכרטיס מע"מ תשומות. העובדה, כי מספר חברות בקבוצה היו רשומות כעוסק אחד לצורכי מע"מ, והעדר בקרה נאותה על המע"מ ועל מספר ההמחאות שנמסרו לחתימה של המורשים, אפשרו את ביצוע המעילה. המעילה התגלתה במקרה, לאחר שהעובדת פוטרה ואותר תשלום לספק שאינו מוכר במערכת.

3.1.2   מניעת מעילות

מניעת מעילות העושות שימוש באמצעי התשלום של ספקים, מורכבת ממספר נושאים: ראשית, הגנה פיזית על אמצעי התשלום עצמם; שנית, ביצוע בקרות חכמות לאיתור פעולות יומן חריגות או פעולות במערך המחשוב של הארגון, ובסופו של דבר – שיפור תהליכי העבודה והפרדת התפקידים בכל הקשור להכנת אמצעי התשלום השונים.

להלן נקודות אשר יכולות למנוע מעילות בתחום אמצעי התשלום:

  • ביצוע התאמות בנק ברמה יומית;
  • בדיקת פרטי הגורם שפדה את הצ'קים באמצעות עיון בדפי הבנק באינטרנט או באמצעות הזמנת גב הצ'ק מהבנק;
  • מיסוד מנגנון של CALL BACK עם הבנק בכל מקרה של תשלום סכום הגבוה מסכום מסויים שייקבע על ידי הארגון;
  • העברת רשימת המחאות הכוללות שם ומוטב לבנק לצורכי בקרה – קיימות מערכות ממוחשבות המבצעות העברה של רשימה כאמור לבנק לצורכי בקרה;
  • הכנת רשימה של מספרי ההמחאות שנחתמו על ידי המורשים לצורך מניעת משלוח המחאה ללא ידיעה של המורשים. בכל מקרה של חוסר רציפות, יש לבקש לראות את ההמחאה שבוטלה;
  • מעבר להפקת המחאות במערכת המדפיסה את ההמחאה על דף נייר לבן;
  • צמצום השימוש בהעברות בנקאיות ובהמחאות ומעבר לשימוש במס"ב;
  • אבטחה פיזית של המחאות ריקות בכספת;
  • שמירה במקום סגור של המחאות הממתינות לחתימת המורשים;
  • הימנעות מהשארת המחאות במדפסת ללא השגחה;
  • ספירה של המחאות ריקות;
  • הוספת הגנות על ההמחאות כנגד זיוף, כגון: הולוגרמות, העתק שמש וכד';
  • הוספת כיתוב המונע שינוי בהמחאה;
  • הוספת שרטוט ("קרוס"), "למוטב בלבד", הגבלת שינויים על ההמחאה, הגבלה של 60 או 90 יום להפקדת ההמחאה וכד';
  • הימנעות ממשלוח המחאות בדואר רגיל החשוף לגניבה;
  • כתיבת המחאות באמצעות טוש ולא בעט רגיל, שייתכן שנכתב בעט מחיק;
  • ביצוע העברות בנקאיות רק לחשבונות החברה, תוך עדכון הבנק על רשימה סגורה זו;
  • סימון בולט וברור של העברות בנקאיות שנשלחו, לצורך מניעת שימוש כפול;
  • ביצוע בדיקות לאיתור המחאות עם מספר סידורי עתידי;
  • בדיקת העתקי המחאות, על מנת למנוע אפשרות להשמיד העתקים שיצאו לגורמים לא מורשים;
  • הפקת טופס העברה בנקאית רק מתוך המערכת, כך שיהיה ספרור של ההעברות;
  • קבלת טופס לשינוי פרטי חשבון בנק על מסמך מקורי בלבד;
  • צירוף המחאה מבוטלת לכל בקשה לקליטה/שינוי פרטי חשבון בנק של ספק;
  • שיחה טלפונית עם מורשי החתימה אצל הספק בכל מקרה של בקשה לשינוי פרטי חשבון בנק ומשלוח הודעה לספק על שינוי פרטי הבנק שלו;
  • ביצוע של שינוי פרטי חשבון בנק של ספק על ידי שני עובדים (גורם קולט וגורם מאשר);
  • ביצוע בדיקות לאיתור שינויים בקובץ המס"ב לאחר הכנתו;
  • בדיקה של כל החשבוניות אשר מרכיבות את דוח ההמלצה לתשלום ולא להסתפק בבדיקה מדגמית;
  • שימוש בקובץ LOG אשר בודק את שינוי פרטי חשבונות הבנק של ספקים;
  • בדיקת פקודות יומן חריגות, כגון: ספקים מול ספקים, בנק מול הפרשי שער, עמלות, מע"מ ושאר כרטיסים הנבדקים בצורה פרטנית;
  • ביצוע התאמות כרטיס עם ספקים. ההתאמה צריכה להתבצע על כמות הפעולות ולא רק של היתרה.

 

יצירת קשר