לי זה לא יקרה ...... תוכנית למניעת מעילות והונאות מרץ 2014 גיל בֶּ ר, רו"חMA ,CRISC,CIA , 1 "פגשתי אדם עם דולר ,החלפנו דולרים ועדיין לכל אחד מאתנו יש דולר אחד. פגשתי אדם עם רעיון ,החלפנו רעיונות ועכשיו לכל אחד מאתנו יש 2רעיונות". דון דייוויס 2 תודה ......... גב' עפרה ג'יבלי ,רו"ח ,רא"ג חשבונות ומרכזת תוכנית למניעת מעילות והונאות בשירותי בריאות כללית. מר ניר אבל ,מבקר פנימי ראשי ,קבוצת דיסקונט מר רון גרופל ,רו"ח ,MBA ,CIA ,מבקר פנימי ראשי ,חב' טבע מר עופר אלקלעי ,רו"ח–CIA , CFE, LLM , שותף ,אלקלעי מונרוב AIMo מר ערן מלאך ,מנהל מחלקת מניעת הונאה - לאומי קארד 3 תודה ......... מר יהודה מוטרו )המבקר הפנימי חב' פרטנר תקשורת(, גב' מלכה דרור )מבקרת עיריית ירושלים והמורשה לטיפול בתלונות הציבור(, מר בני הרשקוביץ )המבקר הפנימי מכבי שירותי בריאות(, מר גרשון לוינסקי )המבקר הפנימי חב' אלון רבוע כחול ישראל(. 4 בהרבה מאד מקרים התגובה הראשונה שמדברים עם מנהלים בארגון על מעילות והונאות ,היא ...... אצלי זה לא יקרה והתשובה לכך .......אז"ש אז זהו שלא 5 מבוא אקסיומה -כל ארגון חשוף למעילה והונאה. מה השתנה -בשנים האחרונות ,בעקבות המצב הכלכלי ,מרכזיות מערכות המידע ,החיפוש אחר צמצום עלויות וסיבות נוספות, החשיפה למעילות והונאות התגברה. הנזק -על פי סקר בינלאומי ארגונים הפסידו בשנת 2012בגלל מעילות והונאות כ 3.5 -טריליון דולר )כ 5% -מהיקף ההכנסה שלהם(. מעבר לנזק הכספי שמעילות והונאות מסבים לארגונים ,הן כרוכות גם בנזק תדמיתי משמעותי. מה עושים -התגברות החשיפה למעילות והונאות ,יחד עם התגברות דרישות רגולטוריות בנושא הביאו חברות להבנה כי יש לשנות את הגישה ,מגישה פאסיבית של "נתמודד כאשר יהיה אירוע" לגישה יותר אקטיבית של ניסיונות לצמצם ולמנוע את החשיפות למעילות והונאות או במילים אחרות תוכנית למניעת מעילות והונאות 7 הגדרות הונאה ) - (Fraudהיא הטעיה מכוונת של אדם או של קבוצת אנשים ,הגורמת נזק למי שהטעו אותו .עבירות מחשב נכללות גם כהונאות ומעילות. המניע להונאה יכול להיות תועלת חומרית למי שמבצע אותה - "קבלת דבר )חפץ או שירות( במרמה" ,או הנאה מעצם גרימת הנזק. מעילה ) - (Embezzlementהיא ביצוע מעשה הונאה תוך הפרת אמון מיוחד שניתן לאדם כגון ,גישה למידע או סמכויות שנמסרו לו מתוקף תפקידו או מעמדו .המועל ,נבדל מרמאים אחרים ,במידת האמון המיוחדת שהוא רכש .המועל לרוב מרמה את המעסיק שלו או את הלקוחות שלו )השוני בין הונאה לבין מעילה הוא שמעשה הונאה שנעשה בתוך החברה על ידי עובד ,מנהל או בעל תפקיד אחר לעומת הונאה המבוצעת על ידי גורם מחוץ לארגון(. 8 דירוג החשיפה למעילה והונאה רמת הסיכון למעילה והונאה מבוססת על שני פרמטרים: הסבירות להתממשות מעילה והונאה × עוצמת הנזק שייגרם במידה והמעילה תתממש היסטוריה נזק כספי )ישיר /עקיף ( אופי השרות/טובין מוניטין הבקרות הקיימות מצב כלכלי 9 התנאים להתקיימות הונאה ומעילה צורך/מניע הזדמנות לחץ כספי חוסר בבקרות אי עמידה ביעדים מבנה ארגוני מעילה פיטורים חוסר הערכה זה מגיע לי כולם עושים פרויקטים גדולים זה לטובת החברה זה לא משמעותי הסיכון נמוך רציונליזציה 10 תוכנית למניעת מעילות והונאות תוכנית למניעת מעילות והונאות הינה תוכנית שנועדה לצמצם )לא למנוע( את חשיפת החברה למעילות והונאות. התוכנית מורכבת מפעולות תשתיתיות חד פעמיות ומפעולות שוטפות .התוכנית כוללת פעולות ישירות שבוצעו לצורך טיפול במעילות והונאות ומפעולות עקיפות שבוצעו למטרות אחרות ,אך יש להן השפעה עקיפה על מעילות והונאות. התוכנית מתייחסת לרמת הגורם האנושי ,למערכות המידע ,לתהליכי העבודה ולכללי דיווח. אין הגדרה אחת ,אבל קיימת הבנה מה המרכיבים המהותיים )האבנים הגדולות( שתוכנית למניעת מעילות והונאות צריכה לכלול. כל תוכנית צריכה להיות מותאמת ליעדי ,אופי ותרבות הארגון. 11 מרכיבי תוכנית כוללת לטיפול במעילות והונאות 12 מרכיבי תוכנית כוללת לטיפול במעילות והונאות בניית תשתית שוטף ניטור ודיווח 13 פורום מעילות והונאות חברי פורום מניעת הונאות ומעילות 2013 חלק מתוכנית החברה בנושא מעילות והונאות פועל שנה שנייה כולל 16נציגים מכל החטיבות התכנס 10פעמים במהלך השנה העלה כ 150 -תרחישי מעילות והונאות מסייע בהגברת המודעות לנושא מעילות והונאות 14 סקר סיכונים למעילות והונאות כחלק מתוכנית החברה למניעת מעילות והונאות ערכנו סקר סיכונים למעילות והונאות. סקר מעילות והונאות הינו תהליך שנועד לזהות ולהעריך את האזורים הפוטנציאליים החשופים למעילות והונאות בחברה. הסקר נערך בגישה של .Top Down הסקר נערך על ידי צוות חוצה חברה הכולל נציגים מכל חטיבות החברה בהובלת מבקר החברה. דירוג פוטנציאל עוצמת הנזק ,הסבירות ופעולות הבקרה בוצע באמצעות כלי ממוחשב אשר אפשר את הצגת התוצאות ע"ג מסך .ONLINEההצגה באופן מידי ובלתי אמצעי אפשרה עריכת דיון בנושא והרחבת הידע של הגורמים השונים בתחום 15 סקר סיכונים למעילות והונאות דוגמאות לתוצרי סקר הסיכונים כ 10% -מהמעילות/הונאות דורגו כבעלות פוטנציאל חשיפה גבוה כ 80% -מהמעילות/הונאות דורגו כבעלות פוטנציאל חשיפה נמוך הסיבה לתוצאות אלו נובעת בעיקר ממרכיב העוצמה .על פי הניתוח למרבית המעילות/הונאות פוטנציאל עוצמת נזק נמוכה. להלן מפת חמש עשרה המעילות/הונאות שרמת החשיפה שלהן היא הגבוהה ביותר )תוצאה של שקלול של עוצמה וסבירות( 16 דוגמה להמחשה.... דוגמה חטיבת משאבי אנוש רכש שוחד קב"ט תשלום עבור מידע בשלב זיהוי הספקים מו"מ הפוטנציאלים איש רכש גורם מקצועי שכר מחסן ספק פיקטיבי הערכת ההצעות וועדת הרכש חטיבת כספים חשב חדירה למערכות המידע הקמת ספק פיקטיבי מנהל/עובד השארת ספק שעזב איש מערכות מידע 17 מפת החשיפה למעילות והונאות 18 דוגמאות לאמצעים טכנולוגים שימוש במערכת Anti Fraudלמניעת עסקאות עם כרטיסי אשראי מזויפים. המערכת "יושבת על מערכות החברה" ועורכת מגוון של בדיקות לזיהוי כרטיסי אשראי מזויפים. היקף ועומק הבדיקות נקבע על ידי החברה ויכול לכלול מגוון בדיקות החל מבדיקות בסיסיות הכוללות השוואה של מספר כרטיסי האשראי אל מול רשימה של כרטיסי אשראי גנובים ,דרך השוואה של כתובת החיוב שצוינה בהזמנה לכתובת המצוינת בבנק מחזיק הכרטיס ,או שהוא מגיע משרתי ) PROXY משתמש ב IPשל מחשב אחר ( ועוד. במסגרת זו מתכנס אחת לחודש צוות Anti Fraudלניתוח העסקאות שזוהו על ידי המערכת כעסקאות באמצעות כרטיסי אשראי מזויפים ,ניתוח עסקאות שהמערכת לא זיהתה ולבחינת הצורך בעדכון הפרמטרים שהמערכת בודקת. 19 שיתוף פעולה נבנו ממשקי עבודה עם גורמים בתוך החברה ומחוץ לחברה מנב"ט אבטחת מידע גושן מבקר החברה משאבי אנוש אחרים משטרת ישראל 20 דיווחים בנושא מעילות והונאות פרסום על אירועים ריכוז ודיווח לוועדת הביקורת/דירקטוריון 21 היבטים חוקים ומקצועיים האם קיימת חובה על ארגון למסד תוכנית למניעת מעילות והונאות ? מי אחראי לקיום תוכנית למניעת מעילות והונאות ? מה אחריות המבקר הפנימי ? מעורבות המבקר הפנימי בנושא ? 22 [email protected] גיל בֶּ ר 0542466718 23
© Copyright 2024