בקרה פנימית בסיכון מעילות

בית > מאמרים > בקרה פנימית בסיכון מעילות

alkalay

נכתב ע"י גב' כרמית בר-זאב ואילן האמל (שותף).

מעילה בארגון עלולה לפגוע בארגון עצמו, מנהליו, לקוחותיו, צדדים שלישיים ועוד.
כל ארגון נתון לסיכונים הנגזרים מביצוע מעילה, כאשר על פי סקירות בינלאומיות שונות מגזר הפיננסים והבנקאות סובל מריבוי מעילות ביחס למגזרים אחרים.

מנתוני סקירה בינלאומית שנערכה בשנת 2020 ניתן לראות, כי שיעור המעילות במערכת הבנקאית והפיננסית עמד על 19.8%, והיה גבוה משמעותית ממגזרים אחרים.
הפיקוח על הבנקים ביצע לאחרונה תהליך ביקורת מקיף בנושא 'בקרה פנימית בסיכון מעילות', במטרה לשפר את היערכות המערכת הבנקאית למניעה ו/או צמצום סיכון המעילות ונזקיו.
במסגרת התהליך זוהו תחומים בהם עלה הצורך בהטמעה וחיזוק תהליכי ניהול הסיכונים והבקרה הפנימית.
לפי דין וחשבון הפיקוח על הבנקים בשנת 2020 הועבר 19 דיווחים לפיקוח (בהתאם לסטנדרטים המחייבים דיווח), כשב- 9 מקרים מתוכם לקוחות הבנק נפגעו כתוצאה מהמעילה. סכום המעילות המצטבר עמד על 4.59 מיליון ₪.
מעילה היא פעולה מכוונת, הנגרמת ע"י גורם אנושי ומיועדת לפגיעה בנכסי הארגון באופן כללי, ובפרט בנכסי הארגון, לקוחותיו וצדדים שלישיים.
בנוסף לפגיעה המכוונת, ייתכנו 'אירועי כשל' כתוצאה מטעויות אנוש ונהלי עבודה לא תקינים.
הוראות ניהול בנקאי תקין מסווגות אירועי כשל הנובעים מגורם אנושי ל-3 קטגוריות:

דרישות עיקריות החלות על המערכת הבנקאית
נ.ב.ת 351 קובע בסעיף 8ד. כי, על התאגידים הבנקאיים חלה חובה חוקית לדווח לפיקוח על הבנקים בכל מקרה בו קיים חשד סביר לביצוע מעילה. הפיקוח על הבנקים מוודא את שלמות הטיפול בתוצאות המעילה ואחראי לדווח אחת לשנה לכנסת ולציבור על המעילות שהתרחשו במערכת הבנקאית.
המערכת הבנקאית מחויבת לנהל סיכונים, בפרט סיכוני מעילות, באמצעות שלושה קווי הגנה, כאשר לכל קו הגנה תפקיד מוגדר בניהול הסיכון.

יחידות ארגוניות רבות משתתפות בניהול הסיכון, ומכאן יש חשיבות גבוהה לפעילות מתואמת וסדורה, חלוקת תחומי אחריות וסמכות ברורה בין היחידות. פעילות זו תושג באמצעות, בין היתר: מערך נהלים ומסמכי מדיניות ברורים, הכשרות והדרכות, סדרי דיווח סדורים, יעדים לכל יחידה והקפדה על קיום בפועל של המדיניות.
ניהול סיכונים תקין יתקיים כאשר לכל אחת מהיחידות יוגדרו סמכויות מתאימות ויוקצו משאבים נאותים.
מסקירת הפיקוח עולים תחומים בהם נדרש תהליך ייעול וחיזוק, וביניהם:
• מידע חלקי שמובא להנהלה ולדירקטוריון באופן שמקשה עליהם לזהות ולנתח את מוקדי הסיכון;
• בקרות רוחב לא מספקות;
• גישות לא אחידות לטיפול בחריגות עובדים;
ועוד.
• פונקציות ניהול ובקרת הסיכונים
קו הגנה ראשון
העיקרון המנחה את קו ההגנה הראשון – מנהלי החטיבות העסקיות ודרגי ניהול נוספים נושאים באחריות לניהול הסיכונים במסגרת פעילותם.
הפיקוח מצא, כי מסגרת ניהול הסיכון לא ניתנת מספיק תשומת לב ליחידות ארגוניות שמחזיקות בתפקידי מפתח בסיכון מעילות, כדוגמת: יחידות רכש, יחידות חשבונאות, מחלקת ביטחון ועוד.
יחידות הבקרה בקו זה, הן לדוגמא: בקרת סיכונים, אבטחת מידע, בקרת איכות, בקרה תקציבית וכו'.

קו הגנה שני
קו ההגנה השני משלים את פעילות הקו הראשון באמצעות פונקציות בלתי תלויות.
הפיקוח מצא, כי יש לדאוג ולחזק את שלמות הדיווחים המועברים להנהלה ולדירקטוריון על מעילות ואירועים חריגים אחרים, באופן שיאפשר הסקת מסקנות ויצביע על חולשות העלולות להביא להתממשות סיכונים בעתיד. כמו כן נמצא, כי יש צורך לחדד את הגדרות התפקיד של חלק מהפונקציות המרכיבות את הקו השני (ייעוץ משפטי, חשבונאי ראשי וציות).

קו הגנה שלישי
הביקורת הפנימית נושאת בעיקר הנטל של תחקור המעילות, היקפן והסיבות להיווצרותן. הפיקוח דרש מהמבקרים להסתמך גם על תלונות לקוחות, תלונות עובדים וגורמים אחרים ותלונות אנונימיות. בנוסף קבע, כי הביקורת הפנימית תעגן בכתב המינוי את הסמכות העליונה של הביקורת בתחום הגנת עובדים המתלוננים מפני פגיעה אפשרית בהם מצד גורמים אחרים בבנק.

מנכ"ל, הנהלה בכירה ודירקטוריון
הפיקוח קובע, כי דירקטוריון חברה אחראי על פיקוח תפקודם של כל הגופים בתאגיד בנקאי, בשלושת קווי ההגנה. על הדירקטוריון לבחון את המידע בנוגע למעילות ואירועים חריגים, ולוודא שההנהלה זיהתה את הכשלים והחולשות, ומיישמת צעדים פרקטיים לטיפול בהם. בנוסף, על הדירקטוריון לדאוג לכך שההנהלה פועלת לייצור התרעה מספקת למניעת מעילות.
האחריות לטיפול בליקויים המתגלים בפעילות תאגיד בנקאי מוטלת על חברי ההנהלה ועל מנכ"ל התאגיד. המנכ"ל אחראי על תפקוד כלל העובדים והמנהלים הכפופים לו, בקו ההגנה הראשון ובקו ההגנה השני.

• אפיון הסיכון
מסקירת מסמכי המדיניות של הבנקים, הפיקוח זיהה כי יש צורך בהגדרה מחדש של המושג "מעילה". פקודת הבנקאות מגדירה "מעילה" כרשימה ארוכה של עבירות על חוק העונשין:
• גניבה (בידי עובד, מורשה, דירקטור או נושא משרה);
• מרמה, סחיטה ועושק;
• הונאה.
אי בהירות או טעות באשר למצבים שייתכן ויגיעו למצב של מעילה, עלולים לפגוע בזיהוי מעילות ובטיפול בהן, וכן בשלמות הדיווח להנהלה ולדירקטוריון. לדעת הפיקוח, גישות לא אחידות בין הבנקים לסיכוני המעילות עלולות לפגוע בהערכת הסיכון המנוהלת על ידי הפיקוח. לפיכך, הפיקוח קבע כי יש לחזק את המתודולוגיה לניהול הסיכון ולהבהיר ולחדד את אפיון הסיכון.

• סביבת בקרה ובקרות רוחב ארגוניות
ממצאי הפיקוח העלו, כי בכלל התאגידים הבנקאיים מתקיים מנגנון אכיפה פנימית משמעותי. נקבע, כי:
• יש להמשיך ולפעול להטמעת סביבת בקרה והגברת הכח ההרתעתי של האכיפה הפנימית, תוך עידוד ערנות בקרתית של העובדים;
• על ההנהלה הבכירה של התאגיד לדאוג להרחבה וחידוד הדרכת עובדים ומנהלים בתחום מניעת מעילות, תוך מתן קווים מנחים ברורים לגבי התנהגויות העשויות להוות מעילה, הצפת התנהגויות העלולות להוות סיכון והדגת היעדר סובלנות לסוגי ההתנהגויות הללו.

בעקבות תהליך הביקורת, הפיקוח על הבנקים החליט לחייב יישום מסגרת COSO עדכנית לכלל המערכת הבנקאית בישראל.

מודל COSO החדש
בשנת 1992 פרסם ארגון ה Committee of Sponsoring Organization of the Treadway Commission (להלן: "COSO") מודל בקרה פנימית, המשלב ממשל תאגידי, ניהול סיכונים ובקרה פנימית. המודל אומץ וזוכה לשימוש נרחב ברחבי העולם.
המודל מגדיר חמישה מרכיבים לבקרה פנימית: סביבת בקרה, הערכת סיכונים, פעולות בקרה, מידע ותקשורת ופעולות ניטור.


1. סביבת בקרה Control Environment
קבוצת תהליכים המשמשת בסיס לביצוע בקרה פנימית בארגון, הכוללת: מבנה ארגוני, סמכויות ואחריות, הגדרת ערכים ומדדי יושר של הארגון, הגדרת פרמטרים לדירקטוריון לביצוע אחריותו, הקפדה על מדדי ביצוע, תמריצים ותגמולים וכו'.
2. הערכת סיכונים Risk Assessment
תהליך דינמי וחוזר להערכת סיכונים להשגת יעדי הארגון, שיקבעו כיצד ינוהלו הסיכונים.
3. פעולות בקרה Control Activities
פעולות הנקבעות במסגרת מערכי נהלים, שיסיעו להבטיח את ביצוע הנחיות ההנהלה. הפעולות יהיו מונעות ו/או מגלות ויכללו מגוון של פעולות ידניות ואוטומטיות כגון: הרשאות, אישורים, הפרדת סמכויות, סקירת ביצועים ועוד.
4. מידע ותקשורת Information and Communication
מידע רלוונטי ממקורות פנימיים וחיצוניים שיתמוך בתפקוד מרכיבי הבקרה הפנימית האחרים. המידע והתקשורת צריכים להיות רציפים.
5. פעולות ניטור Monitoring Activities
הערכות ופעולות שוטפות בכדי לוודא תפקוד כל אחד ממרכיבי הבקרה הפנימית. פעולות הניטור יכללו הערכות שוטפות לקבלת מידע בזמן, והערכות נוספות בהתאם להערכת הסיכונים שתבוצע בארגון.

במאי 2013 פרסם הארגון מודל חדש, המשמר את הגדרת הבקרה הפנימית ועם זאת מוסיף דיווחים שאינם פיננסיים ודיווחים פנימיים.
המודל מחלק את ההיבטים השונים של הבקרה הפנימית לשלוש קטגוריות של יעדים:
א. יעדים תפעוליים (יעדי ביצוע תפעוליים ופיננסיים);
ב. יעדי דיווח (דיווחים פנימיים וחיצוניים, דיווחים פיננסיים ואחרים);
ג. יעדי ציות (הצמדות לחוקים ורגולציה החלים על הארגון).

בנוסף, המודל החדש קובע 17 עקרונות, המייצגים את מושגי היסוד הקשורים לחמשת מרכיבי המודל.
המודל קובע, כי ארגון ישיג בקרה פנימית רק ע"י יישום כל העקרונות. להלן עיקרי העקרונות:

סיכום
הפיקוח על הבנקים רואה כמטרה למנוע התרחשות של מעילה מהותית, תוך ציפייה כי המערכת הבנקאית תשכלל ככל האפשר את מערכי ניטור הסיכונים והבקרה הפנימית שלה.
לצורך כך, מתכוון הפיקוח לחייב את כל בבנקים בישראל לאמץ ולהטמיע מסגרת COSO החדש באמצעות רגולציה מתאימה.

Crafted by: Layer.co.il