article banner
מאמרים בתחום הבקרה

התפתחות כלי הביקורת למניעת הונאות בדיווח כספי

שי מדינה שי מדינה

בסקר בינלאומי שנערך על ידי לשכת בוחני ההונאות העולמית (ACFE) ופורסם בשנת 2016, שבמסגרתו נבדקו אירועי הונאות, מעילות ומעשי שחיתות שנחקרו במדינות שונות ברחבי העולם, נמצא כי בכ- 10% מהמקרים בוצעו הונאות בדיווח כספי.

בארץ המצב אינו שונה בהרבה. בסקר שנערך ע"י מחלקת הביקורת החקירתית של פירמת רו"ח פאהן קנה ניהול בקרה בשנת 2016, במסגרתו נבדקו עשרות אירועי הונאות, מעילות ומעשי שחיתות בענפי פעילות שונים, נמצא כי בכ- 16% מהמקרים בוצעו הונאות בדיווח הכספי.

מהשוואת נתוני ארבעת הסקרים הבינלאומי שנערכו בשנים האחרונות נרשמת מגמת עליה בשיעור המקרים הכוללים הונאות בדיווח הכספי. להלן גרף המתאר את העלייה הברורה בשיעור מקרי ההונאות בדיווח כספי, מסך המקרים שנחקרו בשנים האחרונות בעולם (מתוך נתוני הסקר הבינלאומי):

נתונים אלו עשויים להעיד על ירידה ברמת אפקטיביות הבקרות המיושמות כיום בחברות, בכל הנוגע למניעת הונאות חשבונאיות בדוחות הכספיים.

עוד עולה מהסקר כי חמשת סוגי ההונאות הנפוצות ביותר בדיווח כספי הינם:

  • שימוש בהפרשי עיתוי במטרה להשפיע על התוצאות הכספיות;
  • הכרה בהכנסות שלא בהתאם לתקנים חשבונאים מקובלים;
  • ביצוע מניפולציות בסעיפי התחייבויות והוצאות;
  • "ניפוח" מלאכותי של שווי הנכסים;
  • אי גילוי נאות בביאורים לדוחות הכספיים.

בשנים האחרונות אנו עדים להתפתחות בכל הנוגע לנקיטת צעדים לצורך מניעת מעילות, בין ע"י מנהלי הסיכונים, בדרך של עריכת סקרי סיכוני מעילות ובין ע"י המבקרים הפנימיים בדרך של שילוב הנושא בתוכנית העבודה של הביקורות הפנימית, תוך הסתייעות באנשי מקצוע המתמחים בתחום הביקורת החקירתית.

יחד עם זאת, מרבית המבקרים הפנימיים אינם נוהגים לכלול בתוכנית העבודה נושאים הקשורים  לסיכוני הונאות בדיווח הכספי, תחת ההנחה כי נושאים אלו מטופלים במסגרת עבודת ה- SOX.

חוק סרבנס-אוקסלי (להלן: "SOX") הוא חוק פדרלי של ארצות הברית שנחקק בשנת 2002. החוק נחקק בעקבות מספר מקרים בהם חברות עסקיות ציבוריות קרסו במפתיע בשל מעשי הונאות ותרמיות שהובילו לדיווחים כספיים מטעים. הדוגמה המוכרת ביותר היא פרשת אנרון, חברת אנרגיה ענקית שקרסה בשנת 2001 לאחר שכללה בדוחותיה הכספיים דיווחים כוזבים לאורך זמן באופן שיטתי ומונחה מלמעלה, ויצרה תרמית חשבונאית מתוכננת ומתוחכמת. פרשיות נוספות התרחשו בחברות Worldcom,‏ Peregrine systems,‏ Tyco ועוד.

שערוריות אלה, שגרמו הפסדים של עשרות מיליארדי דולרים לציבור המשקיעים, הניעו את המחוקק האמריקאי לנסח חוק שמטרתו לחזק את הפיקוח והבקרה הפנימיים על התהליכים המשפיעים (בין אם במישרין ובין אם בעקיפין) על נתוני הדוחות הכספיים.

בשנת 2005 עשה החוק "עליה" לארץ ואומץ על ידי המפקח על הבנקים. בשנת 2006 אומץ על ידי אגף שוק ההון ביטוח וחיסכון שבמשרד האוצר והוחל על גופים מוסדיים. בשנת 2008 אומץ על ידי ראשות החברות הממשלתיות ובשנת 2009, בעקבות המלצות ועדת גושן, אימצה גם הראשות לניירות ערך גרסה קלה יותר של החוק המכונה ISOX החל על חברות ציבוריות הנסחרות בארץ.

שיעור הגידול באירועי הונאה מעלים ספקות בנוגע להתאמתם של מנגנוני הבקרה אשר היו נהוגים עד כה בחברות ציבוריות הנסחרות בבורסה. על אף הרפורמות הרגולטוריות שנערכו בעקבות ועדת גושן ויישום כללי SOX בחברות הציבוריות, נראה כי אין בידו הארוכה של הרגולטור בכדי להפחית משמעותית ביצוען של הונאות ומעילות בגוף המבוקר.

הספקות אף תופחים עקב העובדה שבחלק לא מבוטל ממקרי ההונאה מדובר בחברות גדולות וממוסדות שנדרשות ליישם SOX כדת וכדין. כך לדוגמא, בחודש יוני 2015 נחקרו מנכ"ל אפריקה תעשיות ונגב קרמיקה ובכירים נוספים לשעבר בחברה, בחשד כי גרמו להצגת נתונים כוזבים בדוחותיה הכספיים של החברה ועיוותו פרטים בהיקף של עשרות מיליוני שקלים, תוך הטעיית המשקיעים. באירוע נוסף שפורסם  בחודש יולי 2015 נחשף כי מנכ"ל טושיבה עזב את תפקידו יחד עם סגן יו"ר הדריקטוריון ומספר מנהלים נוספים, בעקבות "אי סדרים חשבונאיים".

חלפו כ- 15 שנים מיום הולדתו של החוק וכ- 11 שנים לאחר עלייתו לראשונה לארץ ישראל. יתכן שבזמן שמבצעי הונאות שיפרו את היכולות שלהם ושיכללו את טכניקת ההסוואה של ההונאה החשבונאית, אחראיי הבקרות לא ביצעו את ההתאמות הנדרשות והמשיכו להסתמך על מנגנוני הבקרה המסורתיים. מכאן עולה כי גם המתודולוגיה אשר נועדה למנוע הונאות בדיווח כספי נדרשה להתפתח ולבצע התאמות עם הזמן.

במאי 2013 פרסם ארגון ה- COSO מודל ליישום ממשל תאגידי בארגון. המודל כולל 17 עקרונות, ביניהם עיקרון 8 המדגיש את מחויבות הארגון לנקוט בגישה אקטיבית לצורך מניעת הונאות ומעילות. מודל זה מעדכן את המודל הישן, משנת 1992 שעליו מתבססות רוב החברות שמיישמות SOX.

בספטמבר 2016 פרסם ארגון ה- COSO מדריך חדש בנושא מניעת הונאות ומעילות. המדריך מפרט את עיקרון 8 של המודל ליישום ממשל תאגידי בארגון.

המתודולוגיה המסורתית ליישום ה- SOX (טרום המדריך החדש של COSO בנושא מניעת מעילות) נועדה על מנת לוודא שלא קיימות טעויות מהותיות בדוחות הכספיים, אך מתקשה בזיהוי ואיתור של הטעיות מכוונות ולכן מתקשה בזיהוי הונאות בדיווח כספי. להלן מספר סיבות לכך:

מאפיין

מה נדרש

מה מקובל כיום

מדגמים

שיטות דגימה מורכבות אשר מסתמכות על כריית נתונים וניתוח חריגים.

שיטות דגימה אקראיות.

היקף בדיקות

בדיקת אוכלוסיות שלמות באמצעות הגדרת סקריפטים ושימוש בכלים ממוחשבים.

מדגמים קטנים באופן יחסי הנעים בין מקרים בודדים לעשרות מקרים בלבד.

ביצוע הבדיקות

בדיקות המבוססות תרחישים ומבוצעות על ידי מערכות ייעודיות לניתוחי נתונים לצורך זיהוי חריגים.

בדיקות ידניות המבוצעות על ידי גורם אנושי.

תלות

ביצוע בדיקות על מסדי נתונים שלמים באי תלות מוחלטת בגורם העסקי.

לרב הבדיקות תלויות בגורם העסקי אשר יספק את האוכלוסיות ואת המסמכים הרלוונטיים לבדיקה.

גורם ההפתעה

בדיקות חדשות ומגוונות אשר מפתיעות את הגורם העסקי.

בדיקות חוזרות ונשנות המבוצעות בכל שנה, דבר המוביל לכך שהנהלת הארגון מודעת לאופן וסוג הבדיקות ואף מתכוננת אליהן.

כפיפות ארגונית

כפיפות ארגונית שאינה יוצרת ניגודי עניינים כגון: כפיפות למבקר הפנימי /מנהל הסיכונים / וועדת הביקורת.

לרב הכפיפות הארגונית הינה לממונה על הכספים בחברה וזאת למרות שהונאות חשבונאיות מבוצעות לרוב על ידי הנהלת החברה, תוך מעורבותם או לכל הפחות ידיעתם של מנהלי הכספים.

מיומנות

עובדים מיומנים ומנוסים בזיהוי מעילות והונאות ושימוש בכלים ממוחשבים.

ידע מוגבל בזיהוי מעילות והונאות ושימוש בכלים ממוחשבים.

בהתאם לעקרון 8 של מודל "COSO 2013", לצורך התמודדות עם סיכוני הונאות ומעילות, על הארגונים לנקוט בגישה אקטיבית שמטרתה לחשוף הונאות ומעילות בגוף המבוקר הכוללת בחינת תרחישי מעילות, לצד תרחישי הונאות בדיווח הכספי, במסגרת תוכנית מתמשכת למניעת הונאות ומעילות.

להלן מספר נקודות בהם עוסק המדריך:

  1. קביעת תוכנית לניהול סיכוני הונאה במסגרת הממשל הארגוני;
  2. ביצוע הערכת סיכונים מקיפה להונאות ומעילות;
  3. פיתוח ויישום בקרות מונעות ומאתרות לזיהוי הונאות ומעילות;
  4. קביעת מנגנון דיווח שיאפשר מסירת מידע בנוגע להונאות ומעילות שהתגלו;
  5. פיקוח על תהליך ניהול סיכוני ההונאות והמעילות אשר יאפשר הסקת מסקנות, הפקת לקחים ושיפור תהליכים.

במסגרת התוכנית ניתן לטפל באופן מתודולוגי בסיכוני הונאות, לרבות הונאות בדיווח הכספי, לצד סיכוני מעילות עובדים. על התוכנית להתמקד בשלושה מישורים עיקריים:

  • בקרות-על ברמת הארגון לרבות פיקוח ובקרה של הדירקטוריון על הנהלת החברה.
  • בקרות מונעות המשולבות בתהליכי העבודה השוטפים.
  • בקרות מגלות דרך דוחות חכמים המופקים באמצעות כלי בקרה ייעודיים, כגון: ידניות רישומים חשבונאיים המבוצעים באופן ידני, השוואת נתונים בין המערכות התפעוליות/לוגיסטיות למערכות הכספיות.

לסיכום, יתכן והעלייה בשיעור מקרי ההונאות בדיווח כספי שהתגלו בעולם בשנים האחרונות מעידה עליית מדרגה בכל הנוגע לרמת המורכבות והתחכום של הונאות מסוג זה, כמו גם על שכלול של טכניקות ההסוואה המאפיינות מקרים אלו.

המדריך שפורסם בספטמבר 2016 על ידי ארגון ה- COSO מציע שיטות חדשניות למניעת הונאות ומעילות. על הארגונים להחיל על עצמם את המתודולוגיה המוצעת בו וליישם את שיטות הבדיקה שהוא מפרט. מניסיוננו, רוב החברות טרם יישמו בקרות הנובעות מהמודל החדש והן ממשיכות ליישם בקרות המתאפיינות במדגמים מוגבלים, בדיקות ידניות ורוטיניות. חברות המעוניינות למנוע הונאות חשבונאיות, במקום לגלותן לאחר התרחשותן, טוב יעשו אם יעדכנו את שיטת ביצוע ה-SOX במהרה.

המאמר נכתב על ידי רו"ח שי מדינה, שותף, מנהל מחלקת ביקורת חקירתית  ורו"ח ברק ציפרוט, מנהל תחום גופים מוסדיים, פאהן קנה ניהול בקרה בע"מ.