גיל בר

‫לי זה לא יקרה ‪......‬‬
‫תוכנית למניעת מעילות‬
‫והונאות‬
‫מרץ ‪2014‬‬
‫גיל בֶּ ר‪,‬‬
‫רו"ח‪MA ,CRISC,CIA ,‬‬
‫‪1‬‬
‫"פגשתי אדם עם דולר‪ ,‬החלפנו דולרים ועדיין לכל‬
‫אחד מאתנו יש דולר אחד‪.‬‬
‫פגשתי אדם עם רעיון‪ ,‬החלפנו רעיונות ועכשיו‬
‫לכל אחד מאתנו יש ‪ 2‬רעיונות‪".‬‬
‫דון דייוויס‬
‫‪2‬‬
‫תודה ‪.........‬‬
‫גב' עפרה ג'יבלי‪ ,‬רו"ח‪ ,‬רא"ג חשבונות‬
‫ומרכזת תוכנית למניעת מעילות והונאות‬
‫בשירותי בריאות כללית‪.‬‬
‫מר ניר אבל‪ ,‬מבקר פנימי ראשי‪ ,‬קבוצת דיסקונט‬
‫מר רון גרופל‪ ,‬רו"ח‪ ,MBA ,CIA ,‬מבקר פנימי‬
‫ראשי‪ ,‬חב' טבע‬
‫מר עופר אלקלעי‪ ,‬רו"ח‪–CIA , CFE, LLM ,‬‬
‫שותף‪ ,‬אלקלעי מונרוב ‪AIMo‬‬
‫מר ערן מלאך‪ ,‬מנהל מחלקת מניעת הונאה ‪-‬‬
‫לאומי קארד‬
‫‪3‬‬
‫תודה ‪.........‬‬
‫מר יהודה מוטרו )המבקר הפנימי חב' פרטנר‬
‫תקשורת(‪,‬‬
‫גב' מלכה דרור )מבקרת עיריית ירושלים והמורשה‬
‫לטיפול בתלונות הציבור(‪,‬‬
‫מר בני הרשקוביץ )המבקר הפנימי מכבי שירותי‬
‫בריאות(‪,‬‬
‫מר גרשון לוינסקי )המבקר הפנימי חב' אלון רבוע‬
‫כחול ישראל(‪.‬‬
‫‪4‬‬
‫בהרבה מאד מקרים התגובה הראשונה שמדברים‬
‫עם מנהלים בארגון על מעילות והונאות‪ ,‬היא ‪......‬‬
‫אצלי זה לא יקרה‬
‫והתשובה לכך ‪ .......‬אז"ש‬
‫אז‬
‫זהו‬
‫שלא‬
‫‪5‬‬
‫מבוא‬
‫‪ ‬אקסיומה ‪ -‬כל ארגון חשוף למעילה והונאה‪.‬‬
‫‪ ‬מה השתנה ‪ -‬בשנים האחרונות‪ ,‬בעקבות המצב הכלכלי‪ ,‬מרכזיות‬
‫מערכות המידע‪ ,‬החיפוש אחר צמצום עלויות וסיבות נוספות‪,‬‬
‫החשיפה למעילות והונאות התגברה‪.‬‬
‫‪ ‬הנזק ‪ -‬על פי סקר בינלאומי ארגונים הפסידו בשנת ‪ 2012‬בגלל‬
‫מעילות והונאות כ‪ 3.5 -‬טריליון דולר )כ‪ 5% -‬מהיקף ההכנסה‬
‫שלהם(‪.‬‬
‫מעבר לנזק הכספי שמעילות והונאות מסבים לארגונים‪ ,‬הן כרוכות‬
‫גם בנזק תדמיתי משמעותי‪.‬‬
‫‪ ‬מה עושים ‪ -‬התגברות החשיפה למעילות והונאות‪ ,‬יחד עם התגברות דרישות‬
‫רגולטוריות בנושא הביאו חברות להבנה כי יש לשנות את הגישה‪ ,‬מגישה‬
‫פאסיבית של "נתמודד כאשר יהיה אירוע" לגישה יותר אקטיבית של ניסיונות‬
‫לצמצם ולמנוע את החשיפות למעילות והונאות או במילים אחרות תוכנית למניעת‬
‫מעילות והונאות‬
‫‪7‬‬
‫הגדרות‬
‫הונאה )‪ - (Fraud‬היא הטעיה מכוונת של אדם או של קבוצת‬
‫אנשים‪ ,‬הגורמת נזק למי שהטעו אותו‪ .‬עבירות מחשב נכללות גם‬
‫כהונאות ומעילות‪.‬‬
‫המניע להונאה יכול להיות תועלת חומרית למי שמבצע אותה ‪-‬‬
‫"קבלת דבר )חפץ או שירות( במרמה"‪ ,‬או הנאה מעצם גרימת‬
‫הנזק‪.‬‬
‫מעילה ) ‪ - (Embezzlement‬היא ביצוע מעשה הונאה תוך הפרת‬
‫אמון מיוחד שניתן לאדם כגון‪ ,‬גישה למידע או סמכויות שנמסרו לו‬
‫מתוקף תפקידו או מעמדו‪ .‬המועל‪ ,‬נבדל מרמאים אחרים‪ ,‬במידת‬
‫האמון המיוחדת שהוא רכש‪ .‬המועל לרוב מרמה את המעסיק שלו‬
‫או את הלקוחות שלו )השוני בין הונאה לבין מעילה הוא שמעשה‬
‫הונאה שנעשה בתוך החברה על ידי עובד‪ ,‬מנהל או בעל תפקיד‬
‫אחר לעומת הונאה המבוצעת על ידי גורם מחוץ לארגון(‪.‬‬
‫‪8‬‬
‫דירוג החשיפה למעילה והונאה‬
‫רמת הסיכון למעילה והונאה מבוססת על שני פרמטרים‪:‬‬
‫הסבירות להתממשות‬
‫מעילה והונאה‬
‫×‬
‫עוצמת הנזק שייגרם במידה‬
‫והמעילה תתממש‬
‫‪ ‬היסטוריה‬
‫‪ ‬נזק כספי )ישיר ‪ /‬עקיף (‬
‫‪ ‬אופי השרות‪/‬טובין‬
‫‪ ‬מוניטין‬
‫‪ ‬הבקרות הקיימות‬
‫‪ ‬מצב כלכלי‬
‫‪9‬‬
‫התנאים להתקיימות הונאה ומעילה‬
‫צורך‪/‬מניע‬
‫הזדמנות‬
‫‪ ‬לחץ כספי‬
‫‪ ‬חוסר בבקרות‬
‫‪ ‬אי עמידה‬
‫ביעדים‬
‫‪ ‬מבנה ארגוני‬
‫מעילה‬
‫‪ ‬פיטורים‬
‫‪ ‬חוסר הערכה‬
‫‪ ‬זה מגיע לי‬
‫‪ ‬כולם עושים‬
‫‪ ‬פרויקטים‬
‫גדולים‬
‫‪ ‬זה לטובת‬
‫החברה‬
‫‪ ‬זה לא‬
‫משמעותי‬
‫‪ ‬הסיכון נמוך‬
‫רציונליזציה‬
‫‪10‬‬
‫תוכנית למניעת מעילות והונאות‬
‫‪ ‬תוכנית למניעת מעילות והונאות הינה תוכנית שנועדה לצמצם )לא למנוע( את‬
‫חשיפת החברה למעילות והונאות‪.‬‬
‫‪ ‬התוכנית מורכבת מפעולות תשתיתיות חד פעמיות ומפעולות שוטפות‪ .‬התוכנית‬
‫כוללת פעולות ישירות שבוצעו לצורך טיפול במעילות והונאות ומפעולות עקיפות‬
‫שבוצעו למטרות אחרות‪ ,‬אך יש להן השפעה עקיפה על מעילות והונאות‪.‬‬
‫‪ ‬התוכנית מתייחסת לרמת הגורם האנושי‪ ,‬למערכות המידע‪ ,‬לתהליכי העבודה‬
‫ולכללי דיווח‪.‬‬
‫‪ ‬אין הגדרה אחת‪ ,‬אבל קיימת הבנה מה המרכיבים המהותיים )האבנים הגדולות(‬
‫שתוכנית למניעת מעילות והונאות צריכה לכלול‪.‬‬
‫‪ ‬כל תוכנית צריכה להיות מותאמת ליעדי‪ ,‬אופי ותרבות הארגון‪.‬‬
‫‪11‬‬
‫מרכיבי תוכנית כוללת לטיפול במעילות‬
‫והונאות‬
‫‪12‬‬
‫מרכיבי תוכנית כוללת לטיפול במעילות‬
‫והונאות‬
‫בניית תשתית‬
‫שוטף‬
‫ניטור ודיווח‬
‫‪13‬‬
‫פורום מעילות והונאות‬
‫חברי פורום מניעת הונאות ומעילות ‪2013‬‬
‫‪ ‬חלק מתוכנית החברה בנושא מעילות‬
‫והונאות‬
‫‪ ‬פועל שנה שנייה‬
‫‪ ‬כולל ‪ 16‬נציגים מכל החטיבות‬
‫‪ ‬התכנס ‪ 10‬פעמים במהלך השנה‬
‫‪ ‬העלה כ ‪ 150 -‬תרחישי מעילות והונאות‬
‫‪ ‬מסייע בהגברת המודעות לנושא מעילות‬
‫והונאות‬
‫‪14‬‬
‫סקר סיכונים למעילות והונאות‬
‫‪ ‬כחלק מתוכנית החברה למניעת מעילות והונאות ערכנו סקר סיכונים למעילות‬
‫והונאות‪.‬‬
‫‪ ‬סקר מעילות והונאות הינו תהליך שנועד לזהות ולהעריך את האזורים הפוטנציאליים‬
‫החשופים למעילות והונאות בחברה‪.‬‬
‫‪ ‬הסקר נערך בגישה של ‪.Top Down‬‬
‫‪ ‬הסקר נערך על ידי צוות חוצה חברה הכולל נציגים מכל חטיבות החברה בהובלת‬
‫מבקר החברה‪.‬‬
‫‪ ‬דירוג פוטנציאל עוצמת הנזק‪ ,‬הסבירות ופעולות הבקרה בוצע באמצעות כלי‬
‫ממוחשב אשר אפשר את הצגת התוצאות ע"ג מסך ‪ .ONLINE‬ההצגה באופן מידי‬
‫ובלתי אמצעי אפשרה עריכת דיון בנושא והרחבת הידע של הגורמים השונים בתחום‬
‫‪15‬‬
‫סקר סיכונים למעילות והונאות‬
‫דוגמאות לתוצרי סקר הסיכונים‬
‫‪ ‬כ‪ 10% -‬מהמעילות‪/‬הונאות דורגו כבעלות‬
‫פוטנציאל חשיפה גבוה‬
‫‪ ‬כ‪ 80% -‬מהמעילות‪/‬הונאות דורגו כבעלות‬
‫פוטנציאל חשיפה נמוך‬
‫‪ ‬הסיבה לתוצאות אלו נובעת בעיקר‬
‫ממרכיב העוצמה‪ .‬על פי הניתוח למרבית‬
‫המעילות‪/‬הונאות פוטנציאל עוצמת נזק‬
‫נמוכה‪.‬‬
‫‪ ‬להלן מפת חמש עשרה‬
‫המעילות‪/‬הונאות שרמת החשיפה‬
‫שלהן היא הגבוהה ביותר )תוצאה‬
‫של שקלול של עוצמה וסבירות(‬
‫‪16‬‬
‫דוגמה להמחשה‪....‬‬
‫דוגמה‬
‫חטיבת משאבי אנוש‬
‫רכש‬
‫שוחד‬
‫קב"ט‬
‫תשלום‬
‫עבור מידע‬
‫בשלב‬
‫זיהוי הספקים‬
‫מו"מ‬
‫הפוטנציאלים‬
‫איש‬
‫רכש‬
‫גורם‬
‫מקצועי‬
‫שכר‬
‫מחסן‬
‫ספק פיקטיבי‬
‫הערכת‬
‫ההצעות‬
‫וועדת‬
‫הרכש‬
‫חטיבת כספים‬
‫חשב‬
‫חדירה למערכות‬
‫המידע‬
‫הקמת‬
‫ספק‬
‫פיקטיבי‬
‫מנהל‪/‬עובד‬
‫השארת‬
‫ספק‬
‫שעזב‬
‫איש‬
‫מערכות‬
‫מידע‬
‫‪17‬‬
‫מפת החשיפה למעילות והונאות‬
‫‪18‬‬
‫דוגמאות לאמצעים טכנולוגים‬
‫‪ ‬שימוש במערכת ‪ Anti Fraud‬למניעת עסקאות עם כרטיסי אשראי מזויפים‪.‬‬
‫‪ ‬המערכת "יושבת על מערכות החברה" ועורכת מגוון של בדיקות לזיהוי כרטיסי‬
‫אשראי מזויפים‪.‬‬
‫‪ ‬היקף ועומק הבדיקות נקבע על ידי החברה ויכול לכלול מגוון בדיקות החל‬
‫מבדיקות בסיסיות הכוללות השוואה של מספר כרטיסי האשראי אל מול רשימה‬
‫של כרטיסי אשראי גנובים‪ ,‬דרך השוואה של כתובת החיוב שצוינה בהזמנה‬
‫לכתובת המצוינת בבנק מחזיק הכרטיס‪ ,‬או שהוא מגיע משרתי ‪) PROXY‬‬
‫משתמש ב ‪ IP‬של מחשב אחר ( ועוד‪.‬‬
‫‪ ‬במסגרת זו מתכנס אחת לחודש צוות ‪ Anti Fraud‬לניתוח העסקאות שזוהו על‬
‫ידי המערכת כעסקאות באמצעות כרטיסי אשראי מזויפים‪ ,‬ניתוח עסקאות‬
‫שהמערכת לא זיהתה ולבחינת הצורך בעדכון הפרמטרים שהמערכת בודקת‪.‬‬
‫‪19‬‬
‫שיתוף פעולה‬
‫נבנו ממשקי עבודה עם גורמים בתוך החברה ומחוץ לחברה‬
‫מנב"ט‬
‫אבטחת‬
‫מידע‬
‫גושן‬
‫מבקר‬
‫החברה‬
‫משאבי‬
‫אנוש‬
‫אחרים‬
‫משטרת‬
‫ישראל‬
‫‪20‬‬
‫דיווחים בנושא מעילות והונאות‬
‫‪ ‬פרסום על אירועים‬
‫‪ ‬ריכוז ודיווח לוועדת‬
‫הביקורת‪/‬דירקטוריון‬
‫‪21‬‬
‫היבטים חוקים ומקצועיים‬
‫‪ ‬האם קיימת חובה על ארגון למסד תוכנית למניעת מעילות והונאות ?‬
‫‪ ‬מי אחראי לקיום תוכנית למניעת מעילות והונאות ?‬
‫‪ ‬מה אחריות המבקר הפנימי ?‬
‫‪ ‬מעורבות המבקר הפנימי בנושא ?‬
‫‪22‬‬
[email protected] ‫גיל בֶּ ר‬
0542466718
23