ייעוץ עסקי בקרה וניהול סיכונים

מניעת מעילות בארגון

פרשת המעילה בהראל העלתה שוב לכותרות את נושא הסיכון אליו חשוף כל גוף עסקי כתוצאה מפעולה לא מורשת של עובד בודד. הניסיון מלמד כי מרבית הארגונים פועלים לצמצום החשיפות רק לאחר שהתרחשה מעילה. הדבר דומה לסגירת השער לאחר שהסוסים ברחו מהאורווה. במסגרת מאמר זה יפורטו 13 דרכים יעילות למניעת מעילות בארגון. מניעת מעילות דורשת בראש ובראשונה שינוי תפיסה בכל הנוגע למלחמה במעילות. במקום טיפול לאחר מעשה, מומלץ לבנות תוכנית הכוללת את כל הארגון ומיועדת לצמצם באופן אקטיבי את הסיכון לביצוע מעילה. תוכנית למניעת מעילות מורכבת ממספר שלבים אשר נועדו לצמצם את הסיכון הכללי למעילות ולספק כלים לאיתור מוקדם של פרמטרים אשר יכולים להצביע על מעילה. נציין כי ביישום הוראות חוק סרביינס אוקסלי נדרשות החברות, ליישם חלק מהנושאים שיפורטו להלן לאחר שהמחוקק מצא דרכים אלו יעילות לצמצום מעילות.

מיון עובדים – אחת הדרכים לצמצום מעילות הינה באמצעות תהליך מיון קפדני אשר יאתר עובדים אשר היו מעורבים בעבר במעילות. אין כל ביטחון כי עובד שמעל בעבר ימעל שוב. עם זאת הסבירות לכך גבוהה יותר מעובד שלא מעל. בנוסף כאשר מדובר בתפקידי רגישים הדורשים רמת אמינות ויושר אין חולק כי עובד שמעל, כשל בעבר בדרישות ההכרחיות של התפקיד. נשאלת השאלה מהן הדרכים לאתר עובדים כאמור. הדרך הקלה ביותר הינה לבקש מכל עובד בתפקיד רגיש להציג במסגרת הליך המיון תעודת יושר. יש לציין כי לפי דיני העובדה בישראל קיים איסור להפלות מועמד על רקע עבר פלילי. עם זאת במרבית המקרים לעובדים שיש רישום פלילי לא יציגו את מועמדותם לחברה.

אחת הבעיות הקיימות בנושא השימוש ברישום פלילי היא שלמרבית העובדים שמעלו אין כל רישום פלילי, מאחר והארגון לא הגיש תלונה במשטרה. עם זאת גם אם אין לעובד רישום פלילי הרי שניתן לבדוק את מעורבותו במעילות בדרכים חלופיות. אחת הדרכים הינה באמצעות שיחות טלפון עם מעסיקים קודמים ועם עובדים בארגון. ארגונים רבים מתבססים על התרשמות מהמועמד ואינם מבצעים שיחות כאמור. חשוב לציין כי יש לפנות למנהלי משאבי אנוש בארגון לעמיתים ולמנהלים ולא לרשימת הממליצים של המועמד. דרך נוספת לבדיקת מעורבות במעילות הינה באמצעות בדיקת פוליגרף. במסגרת הבדיקה נשאל המועמד על מעורבותו במעילות קודמות, שימוש בסמים, בעיות הימורים חובות כספיים וכד’. חשוב לציין כי קיימת הצעה לתיקון חוק שוויון ההזדמנויות בעבודה (תיקון – איסור בדיקת פוליגרף), תשס”ג- 2003 ,הקובעת כי מעביד לא ידרוש ממועמד לקבלה לעבודה או מעובד לעבור בדיקת פוליגרף, ולא יעשה שימוש במידע, שהושג באמצעות הפוליגרף, בכל הנוגע לקבלה לעבודה, תנאי עבודה, קידום, הכשרה, פיטורים ותשלומים בגין פרישה מהעבודה.

מיון עובדים נועד בין היתר לאתר עובדים בעלי אמינות נמוכה מתוך הנחה כי הנ”ל הינם ברמת סיכון גבוהה יותר לביצוע מעילות. בדיקת אמינות עובדים יכולה להיעשות במספר דרכים. דרך ראשונה הינה באמצעות בדיקת אמינות קורות החיים של המועמד. לאחר קבלתן מבקשים מהמועד להציג אישורים המאמתים את תוכן קורות החיים וכן עורכים שיחות ובדיקות עם מעסיקים קודמים לצורך אימות תקופת העבודה, התפקיד, הניסיון, וכד’. יש לציין כי חלק מעובדים מציינים נתונים כוזבים בקורות החיים שלהם כגון: דרגה צבאית, השכלה, תקופת עבודה ארוכה יותר, השמטת מקומות עבודה מהם פוטר העובד ועוד. ראו גם פרשת ח”כ אסתרינה טרטמן. דרך נוספת הינה באמצעות ראיונות עבודה שנערכים על ידי פסיכולוגים או אנשי ביטחון וכן על ידי מכוני בדיקה המבצעים בדיקה על בסיס שאלונים שמעריכים על בסיס פרמטרים שונים המתקבלים מהשאלות את רמת אמינות של המועמד. במסגרת הראיון נשאל סדרת שאלות שנועדה לאבחן את מידת אמינותו.

קביעת נורמות התנהגות – אחד האלמנטים החשובים ביותר למניעת מעילות הינה באמצעות קביעת נורמת ההתנהגות הנדרשת מהעובדים. מרבית העובדים פועלים לפי הנורמות הנהוגות בארגון. כאשר הנורמה המקובלת היא של דיווח מנופח של שעות עבודה לדוגמה, הרי שמרבית העובדים ינהגו בדרך זו מתוך הצדקה שזו הדרך המקובלת. ככל שיש בארגון נורמות התנהגות של יושר הרי שהסיכון לביצוע מעילה יורד. אחת הבעיות הקיימות בארגונים רבים הינה פער גדול בין הנורמות שמצפה ההנהלה מהעובדים, לבין מה שהעובדים מבינים ומיישמים בפועל. לצורך פתרון הפער נהוג היום בארץ ובעולם כתיבת קוד אתי. קוד כאמור מגדיר בצורה ברורה את המותר והאסור בארגון ומגדיר את המצופה מהעובדים בכל הקושר לאופן התנהגותם. גם המחוקק האמריקאי הבין את החשיבות של קיום קוד אתי וחייב את כל החברות הנסחרות בבורסה לניירות ערך לכתוב קוד אתי. את קוד ההתנהגות מציגים לעובדים ודורשים מהם לפעול על פיו. הצגת הדרישות מהעובדים מצמצת את האפשרות לחוסר הבנה בנושאים רגישים. במסגרת הקוד האתי קיימות שתי גישות נפוצות לכתיבת קוד אתי. הראשונה הינה כללית ומגדירה באופן עקרוני את המצופה מהעובד לדוגמא: על העובד להימנע  מכל מצב של ניגוד עניינים, על העובד לדווח על כל מצב של ניגוד עניינים, העובד לא ינצל את משאבי הארגון לתועלתו האישית, העובד לא יקבל מתנות מגורמים חיצוניים, לעובד אסור לקחת ציוד של הארגון ללא אישור בכתב וכד’. הגישה השנייה הינה כתיבת קוד פרטני המגדיר באופן ברור את המותר והאסור. לדוגמא בתחום הקניינות: קיים איסור לאכול ארוחות עם ספקים, חל איסור על קבלת מתנות מספקים, קיימת חובת דיווח על כל קשר אישי, חברי או משפחתי עם ספק וכד’. כתיבת הקוד האתי בדרך זו או אחרת הינה השלב הקל. החלק הקשה הינו הטמעת הנורמות בארגון. לצורך העברת הנורמות נהוג לערוך הדרכות במועד קליטת העובדים, להחתים אותם על הקוד לאחר שלמדו אותו וכן לערוך הדרכות לאורך תקופת העסקת העובדים בארגון. מקובל בנוסף להפיץ לעובדים באופן שוטף חריגות וסטיות מהקוד האתי שנתגלו בארגון.

ערוץ מידע עם העובדים – בסקר בנושא מעילות שנערך בשנת 2004 על ידי ארגון בוחני המעילות  (Association of Certified Fraud Examiners), נמצא שהדרך הזולה והטובה ביותר למניעת מעילות הינה קו חם. הקו החם הינו שכלול של תיבת התלונות הישנה שכיום הינה באמצעות המייל או באמצעות קו טלפון המאפשר לעובדים למסור מידע ללא צורך להזדהות. לאור העובדה שמרבית המעילות התגלו באמצעות מידע מעובדים ( 26.3%) הרי שיש חשיבות גדולה לשימוש בכלי זה כדי לקבל מידע על חשדות לאי סדרים. בנוסף עולה מהסקר כי ארגון אשר יישם את שיטת הקו החם לצורך קבלת מידע מעובדים, הפחית את היקף המעילות בארגון ב 50%. פתיחת ערוץ מידע מסודר הינו אחד הדרכים למנוע מעילות בארגון. בשנת 1979 הופעל בארה”ב “קו חם” ב-(GAO) The U.S. General Accounting Office , החשב הכללי הגדיר את ה”קו החם” כהצלחה מרשימה. במהלך שנות השימוש בקו טלפון ללא תשלום, התקבלו למעלה מ-100,000 שיחות. יותר מ-10,000 תלונות הופנו לחקירה, ומתוכן כ-1,100 תלונות אומתו. ה-GAO  העריך כי באמצעות הקו החם נתגלו מעילות בשווי של כ-20 מיליון דולר ונמנעו מעילות עתידיות בשווי של כ-24 מיליון דולר.

שיפור ההרתעה – אלמנט נוסף בתוכנית למניעת מעילות הינו יצירת הרתעה אצל העובדים. הנחת העבודה הינה שככל שהעובדים יהיו מודעים יותר לפעילות ההנהלה בכל הקשור למניעת מעילות הרי שהרצון שלהם להסתכן ולבצע מעילה בארגון ירד. כך לדוגמא בעקבות פרשת המעילה בבנק למסחר הוגבר מאוד הפיקוח על חשבונות בנקים של עובדים בבנקים. חשבונות אלו נמצאים תחת זכוכית מגדלת וכל חריגה מנותחת ונבדקת. כאשר העובד בבנק יודע כי קיימת בקרה על פעילותו הרי שקיימת הרתעה חזקה בפני ביצוע מעילה. הרתעה בארגון מורכבת מיצירת מודעות לכך שהארגון יטפל ביד קשה בכל מקרה של  חשד למעילה בכלל זה הגשת תלונה במשטרה ותביעה אזרחית. בנוסף חשוב להעביר לידיעת העובדים את כל הפעולות שמתקיימות בארגון למניעת מעילות כגון: ביקורות, בדיקות פתע, הקמת קו חם, מינוי אחראי, שימוש בכלי בקרה לאיתור חריגים ועוד. לעריכת ביקורת פתע בארגון, אפקט פסיכולוגי רבה משמעות. לפעולות כגון: בדיקות פתע בתיקים של עובדים ביציאה מהארגון, ביצוע ספירות קופה, בדיקה של התאמות בנקים, אפקט לזמן ארוך. יעילות בדיקות אלו נעוצה בכך שהעובדים מודעים לכך שבכל רגע נתון יתכן ותבוצע להם ביקורת אליה אין באפשרותם להתכונן.

המרכיב האחרון של ההרתעה הינו מתן פומביות לאי סדרים שהתגלו בארגון והפעולות שבוצעו לאחר מכן.

ביצוע סקר סיכוני מעילות – אחד הכלים החשובים בתוכנית למניעת מעילות הינו ביצוע סקר סיכוני מעילות. סקר זה נועד לאתר את החשיפות של הארגון לסוגים שונים של מעילות ולדרג אותן לפי סדר מהגבוהה לנמוך. במסגרת הסקר ממפים את תהליכי העבודה של הארגון ובוחנים את האפשרות להתרחשות של מעילה בתהליך. בכל תרחיש נבחנים מספק פרמטרים בהם: טיב הבקרות למניעת המעילה, נאותות תהליכי העבודה והנזק המקסימאלי שיכול להיגרם לארגון כתוצאה מהמעילה. שקלול הפרמטרים הנ”ל ומתן ניקוד לכל תרחיש מאפשרים לארגון לזהות את התרחישים בהם הסיכון למעילה ולנזק משמעותי גדולים יותר ולהעירך לביצוע תוכנית עבודה רב שנתית לצמצום החשיפות שהתגלו. סקר הסיכונים הינו כלי עבודה רב חשיבות לצורך התמקדות בנקודות החולשה של הארגון.

חיזוק הבקרות ובדיקתן – פועל יוצא של ביצוע סקר סיכונים הינו זיהוי תהליכי עבודה בהם לא קיימות בקרות אשר מסוגלות לאתר ו/או למנוע מעילות. בכל אותם תהליכים בהם הבקרות אינן מספיקות יש לשלב בקרות אשר תפקידן מניעת מעילות טרם התרחשותן כגון: שמירת ההמחאות בכספת, ספירת מלאי של המחאות ריקות, הגבלת סחירות על ההמחאות,  הוספת הולוגרמה למניעת סריקה, וכד’. בנוסף לבקרות למניעת המעילה יש להוסיף בקרות אשר יאתרו את המעילה בשלב מוקדם ככל האפשר או ממש לפני השלמתה כגון: הודעה מהבנק על כל המחאה מעל סכום מסוים, בדיקת פודה ההמחאה (בדיקת אמות), ביצוע התאמות בנקים ברמה יומית וכד’. לאחר יישום הבקרות החסרות יש ליישם תהליך עבודה אשר תפקידו לבחון את אופן תפעול הבקרות הלכה למעשה על מנת לבחון את יעילותן באיתור מעילות והונאות. במידה ומתגלה כי הבקרה אינה מתפקדת כמצופה יש לבחון חלופות.

הפרדת תפקידים – מכל סוגי הבקרות הקיימות, הפרדת תפקידים הינה הבקרה היעילה ביותר במניעת מעילות. כחלק מהתוכנית למניעת מעילות יש לנתח את תהליכי העבודה בארגון ולזהות באילו מהם לא קיימת הפרדת תפקידים נאותה. חשוב לציין כי לעיתים לבקרה זו משמעות כספית לאור הצורך בהגדלת כוח האדם בארגון. עם זאת הפרדת תפקידים בביצוע תהליכים רגישים כגון הפקת המחאות, גביה תשלומים, תשלומים לספקים ועוד יכולה להקטין את האפשרות לביצוע מעילות. אחת הסיבות לכך שבארגונים קטנים מתרחשות יותר מעילות ובאחוזים גבוהים בהרבה ביחס למחזור הכספי, נעוצה בין היתר בהעדר הפרדת תפקידים נאותה. במסגרת שיפור הפרדת התפקידים יש למנוע מצבים של גורם אחד שאחראי על הרישום החשבונאי מחד וביצוע פעולות גביה, תשלומים או קבלה או מסירת מלאי. להלן מספר דוגמאות להפרדת תפקידים לקויה אשר יכולה להביא למצב של מעילה:

· עובד מקבל המחאות ורושם אותן בספרים

· עובד עורך התאמות בנק ומפיק המחאות

· עובד מכין תשלומים לספקים ורושם אותם בספרים

· עובד מכין תשלומי שכר ואחראי על קליטת חשבונות הבנק של העובדים

· עובד מבצע השמדות מלאי ומנפק סחורה

איתור דגלים אדומים – אחת הדרכים למניעת מעילות הינה באמצעות זיהוי דגלים אדומים אשר קשורים למעילות וטיפול בהן בזמן אמת. דגלים אדומים הקשורים לעובדים הינם יחסית קלים לזיהוי אולם במרבית המקרים גורמים בארגון שמים לב אליהם רק לאחר גילוי המעילה. בין הדגלים האדומים ניתן למנות: רמת חיים שאינה סבירה לשכר של העובד, חובות כספיים, הימורים, התמכרויות, הלוואות בשוק האפור, אי יציאה לחופש, עבודה בשעות לא סבירות ועוד.  במסגרת התוכנית למניעת מעילות יש לדאוג לאיסוף של המידע הנ”ל והעברתו לגורמים העוסקים במניעת מעילות. אחת הדרכים הינה באמצעות מילוי משוב על פעילות העובד אשר יכלול בין היתר דגלים אדומים, שיחות עם עובדים, ריכוז מידע על בקשת הלוואות ופניות למשאבי אנוש ועוד.

רוטציה – אחד ממנגנוני הבקרה בכל ארגון הינו רוטציה בין בעלי תפקידים מידי תקופה. החלפת בעל התפקיד יכולה לאתר מעילות שבוצעו על ידי העובד הקודם מחד ומצמצמת את הסיכון לביצוע מעילה מאחר והעובד מודע לכך כי הוא יוחלף בתפקיד. נציין כי בחיל האוויר לדוגמה קיים נוהל הקובע כי עובד רכש לא יהיה בתפקיד יותר מ 3 שנים וזאת כתוצאה מלקחי פרשת רמי דותן.

יציאה לחופשה – מעילות רבות מתגלות כאשר העובד יצא לחופשה ועובד אחר החליף אותו. בנוסף מועלים אחרים ממעטים לצאת לחופש מתוך חשש שמעשיהם יחשפו. לאור האמור נוהל של יציאה לחופשה רציפה של שבוע לפחות ומינוי מחליף הינו כלי חשוב בצמצום האפשרות לביצוע מעילה בארגון. אחד מהלקחים של המעילה בבנק למסחר הינו נוהל כאמור הפועל במערכת הבנקאית. נוהל זה הינו יעיל וקל ליישום ויכול לסייע באיתור ומניעת מעילות בארגון.

יישום מערך הרשאות ועיקרון הפרדת התפקידים במערכות המידע– מערך ההרשאות במערכות המידע בארגון נדרש שיעמוד בעקרון “הצורך לדעת” (Need to Know) – הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד. בנוסף נדרש ליישם את עיקרון הפרדת התפקידים אשר מטרתו הינה מניעת טעויות ומעילות.

למרות חשיבותו של נושא הפרדת התפקידים והמודעות הרבה אליו, ארגונים רבים אינם מקיימים עיקרון זה במלואו, כיוון שאינם מיישמים אותו גם במערכות הממוחשבות המותקנות בארגונם. כיום, כאשר כמעט כל ארגון מנהל את עסקיו באופן ממוחשב ופעולות כגון רכש, שכר, הנה”ח וכדומה נעשות במערכות ממוחשבות, להגדרת התפקידים השונים והפרדת הסמכויות בארגון אין כל משמעות מבלי שאלו מוטמעים במערכת המידע עצמה.

עובד בעל גישה לנתונים אשר אינם דרושים לו לביצוע תפקידו עלול לבצע מגוון פעולות אשר אינן עולות בקנה אחד עם הגדרת תפקידו ובכלל זה מעילה בכספי הארגון.

להלן מספר דוגמאות:

· לעובד הקיימת הרשאה לשינוי פרטי חשבון הבנק של ספקים יכול לבצע שינוי בפרטי חשבונות בנק לחשבונו הפרטי לפני ביצוע התשלום לספק ומיד לאחר מכן החזרת המצב לקדמותו. סקירת מספרי חשבון הספק אחת לתקופה לאיתור מעילות אינה מספקת שכן פעולה זו ללא תתגלה. למניעת מקרים מסוג זה יש לצמצם למינימום את הגורמים המורשים לבצע פעולה זו במערכת המידע וכן לבצע סקירה של יומן המערכת (Log) בו מתועדים השינויים שבוצעו במספרי חשבון בנק ספקים.

· לעובד אשר קיימות הרשאות הן ליצירת לקוח והן ליצירת הזמנת רכש יתאפשר ליצור משלוחי מלאי ללקוח פיקטיבי.

· לעובד אשר קיימות הרשאות ליצירת ספק, הזנת חשבונית ואישורה לתשלום יאפשרו לעובד ליצור ספק פיקטיבי, להזין עבורו חשבוניות פיקטיביות ולבצע תשלומים במרמה.

יישום תהליך בקרה ממוחשב – ככלל, מיישמים הארגונים שורה של בקרות במטרה לגלות ולמנוע שגיאות מהותיות, מעילות והונאות או חוסר יעילות. למעשה, במציאות העכשווית לא ניתן למצוא מערכת בקרות יעילה אשר תאתר מעילות בזמן אמת ללא מעורבות של מערכת בקרה ממוחשבת. הבקרות ידניות אינן יעילות כאשר נפח תנועות העיבוד עולה משמעותית. כמו כן לעיתים קרובות אנו רואים ארגונים שכתוצאה מגידול במורכבות העסקית ובהיקפי עבודה נלחצים ומבצעים התאמות למערכת המידע במטרה לעקוף את הבקרות הקיימות (במידה ויישומו מלכתחילה).

כיום קיימים בשוק מערכות (כגון: CCM של חברת ACL) אשר מאפשרים להנהלת הארגון לקיים תהליך בקרה ממוכן מתמשך ובלתי תלוי לצורך בחינת אפקטיביות הבקרה הפנימית, צמצום הסיכונים התפעוליים וצמצום הסיכונים למעילה. באמצעות מערכות ממוחשבות ניתן לסקור כמות גדולה מאד של תנועות (ברוב המקרים 100% מאוכלוסיה הנבדקת) ובכך לאתר ניסיונות לביצוע מעילות והונאות, כגון: חשבוניות ספק כפולות, עובד אשר שלח הזמנה לספק בסכום החורג מהסמכות המותרת לו, תנועות אשר המבצע והמאשר הינם אותו גורם, פיצול הזמנות רכש לספק, ספק פיקטיבי, מספר חשבוניות ספק בסדר עוקב וכד’.

הארגון מגדיר חוקים במערכת הבקרה ובמהלך העבודה השוטף המערכת קוראת את התנועות ממערכות המחשב ויודעת לזהות את החריגים למול החוקים ונתוני הבקרה שהוגדרו. במקרה של נתון חריג ההנהלה והאחראיים על התהליך העסקי יקבלו התראות על פרצה בבקרה ועל ידי כך ניתן יהיה בצורה מהירה להעריך את הסיכון אליו נחשף הארגון ולהגיב בטרם החרפת הבעיה.

מינוי ממונה למניעת מעילות – מרבית הארגונים בארץ טרם הפנימו כי לצורך התמודדות עם סיכוני מעילות יש למנות גורם אחד אשר יהיה אחראי על יישום תוכנית מקיפה למניעה. תפקידו יהיה בין היתר הינה לקבוע את המדיניות בנושא ולפעול להטמעתה בארגון. במצב הקיים בארץ הטיפול במניעת מעילות מחולק בין גורמים שונים בארגון ובמרבית הארגונים אינו מטופל כלל. המפקח על הביטוח אשר הוטרד מסיכוני המעילות גורם, הוציא הנחיה המחייבת את כל חברות הביטוח למנות ממונה אשר תפקידו לטפל בסיכוני המעילות

אין במאמר זה  כדי להוות יעוץ משפטי,  חשבונאי  ו/או אחר.

יצירת קשר