האויב מבפנים – ההגנות

כותב משותף: שי זר

המאמר הראשון בסדרה 'האויב מבפנים' הציג את האיום:

מיהו האויב מבפנים? האפשרויות הן רבות כמניין האנשים הקשורים בארגון ומחזיקים במידות מספקות של גישה ואמון – שכירים ואף ספקים. פוטנציאל הסיכון רלוונטי ומשתנה לגבי כל אחד מהם, ובכל יום נתון.

מאמר זה, השני בסדרה, מניח לרשות הגורמים הרלוונטיים בארגונים שורה של הגנות מומלצות אותן ניתן ליישם נגד איום זה.

נתונים

נתון: זינוק בן 36% בחשיפה של מעילות בצל קורונה, בהשוואה לתקופה המקבילה בשלוש השנים האחרונות.

בחודש יולי 2020 פורסמה כתבה באתר 'כלכליסט', המציגה את תקציר דו"ח הממצאים של סקר אותו קיימה פירמה לביקורת פנימית בקרב 60 מבקרי פנים בחברות ציבוריות ופרטיות. הנתונים היו מובהקים ולפיהם חל זינוק בכמות המקרים בהם נחשפה מעילה בארגון.

נתון: במחצית המקרים (48%), המעילות נחשפו בזמן שהעובד החשוד בהן היה מחוץ למשרדים, לרוב בשל חל"ת. כלומר, עובד אחר אשר הזדמן לצורך חיפוי חסרונו קיבל גישה ישירה למשימותיו ולהתנהלותו, הבחין באינדיקציות מחשידות והציף אותן למנהלים.

נתון זה מלמד, הזינוק בחשיפה של מעילות בצל קורונה היה בראשונה תולדה של הנסיבות אשר תרמו לכך. בהקשר נוסף לקורונה, יש להניח שכמות הנושאים את הנגיף ומוגדרים חולים מאומתים, היא בראשונה נגזרת של כמות הבדיקות. המשוואה: נבדוק יותר – נחשוף יותר.

נתון: זינוק בן 600% בחשיפה של מעילות מהותיות (15,000 ₪ ויותר) בבנקים בישראל במהלך 2019. סכום מצטבר של 10.6 מיליון ₪.

בחודש יוני 2020 פורסמה כתבה באתר 'מקור ראשון', המציגה את תקציר דו"ח המעילות השנתי של פיקוח הבנקים. 15 מקרים של מעילות גדולות בשנה אחת, לצד שורה של מקרים זניחים יחסית אשר נותרו מחוץ לספירה הרשמית. שוב, נבדוק יותר – נחשוף יותר.

שאלה: מנהל ביטחון, אתה בודק מספיק?

הגנות

מקרה הבוחן הקלאסי לניתוח מעילה היה 'הבנק למסחר'.

ב-2002 נחשפה מעילה חסרת תקדים בבנק זה. אתי אלון, עובדת ותיקה ומובילה, גנבה מלקוחותיה במשך חמש שנים סכום מצטבר של 254 מיליון ₪, ובכך גם גרמה לפירוק הבנק בהחלטה של בית המשפט המחוזי.

צמצום פרצות

"רָבָא אָמַר, פִּרְצָה קוֹרֵאת לַגַּנָּב". בשלב הראשון, ארגון חייב לצמצם למינימום את הפרצות הקיימות, ההזדמנויות, ובכך לצמצם למינימום את החשיפה לאיומים. הפרצות הפוטנציאליות הן רבות ומגוונות: בתהליך הגיוס, בסיווג הרשאות, בתיק הנהלים וכד'.

שומר לובי בבניין משרדים יוקרתי, אשר מרוויח שכר מינימום, יכול לסייר מידי לילה במסדרונות ולפזול אל פנים המשרדים המפוארים. מידי לילה לחמוד מרחוק את הפריטים היקרים והנגישים אליהם הוא רק צריך לשלוח יד. יתחיל בבקבוק חלב מהמקרר הביתה, ימשיך במחשב נייד שהושאר בחלל משותף.

במקרה הבוחן של הבנק למסחר, בדיקת מהימנות סטנדרטית אודות אתי אלון, בתהליך הגיוס ובטח בשלב הקידום, הייתה מציפה אינדיקציות חריגות ומרימה דגלים אדומים, כגון לקיחת הלוואות, אב ואח מכורים להימורים. גם החלטה לאשר את קידומה חרף האינדיקציות והדגלים, ובכך לתת לה הרשאות גישה ומרחב תמרון, לפחות הייתה מכירה בהם ובצורך לקיים בגינם ביקורות מדגמיות של התנהלותה.

איתור נקודות לחץ

ארגון חייב לגלות קשב ורגישות למצבם האישי של העובדים, שהרי בנסיבות מסוימות הם יכולים לחוות לחץ אשר יוביל להתנהלות בלתי רצויה כגון ירידה בתפוקות, גישה שלילית כלפי הקולגות או הלקוחות, ובמקרה קיצון גם מעילה. "מצבים קיצוניים דורשים פתרונות קיצוניים" – במקרים רבים לחץ אישי הוא הטריגר, ובמקרים רבים הוא גם הרציונליזציה המצדיקה את חציית הקו האדום.

מנהל רכש אשר בנו הקטן חלה ונדרש ניתוח מציל חיים יקר, אדם נורמטיבי במצוקה קשה, יכול להפיק שתיים-שלוש חשבוניות פיקטיביות ולמשוך כספים דרך חשבון הבנק של צד שלישי. רק כדי להציל את חיי בנו.

במקרה הבוחן, נקודת הלחץ של אתי אלון הייתה התמכרות אחיה להימורים והאיומים שחווה בגין חובותיו המצטברים. לתפיסתה, המחויבות שלה לבנק, ללקוחותיה ולחוק, בהיותה אדם נורמטיבי, הייתה בצד אחד של המאזניים, ובצד השני הייתה המחויבות שלה לאחיה, תוך חשש אמיתי לחייו.

בקרה וביקורות

ארגון חייב להחיל, הן בנוהל והן בתרבות הארגונית, בקרה שגרתית וביקורות תקופתיות ומדגמיות. התנהלות זו תתרום גם בהיבט ההרתעה וגם בהיבט הסיכול. פונקציה זו יכולה להיות תחת מבקר הפנים, קצין הציות, מנהל הביטחון וכד'.

איגוד חוקרי ההונאות הבינלאומי (ACFE) פרסם נתון לפיו מחצית ממקרי המעילות וההונאות בארגונים התרחשו בחסרונם של מנגנוני בקרה מספקים. בהקשר זה, בחודש ינואר 2020 פרסם משרד מבקר המדינה בישראל הצהרה לגבי תכנון רפורמה המבקשת לקדם מנגנונים כאלה במוסדות הציבוריים.

במקרה הבוחן, אתי אלון התייצבה בתחנת המשטרה והתוודתה, אחרי חמש שנים של מעילה מתמשכת, רק אחרי שהחלה חקירה אינטנסיבית של בנק ישראל בבנק למסחר. סביר להניח שהיא הבינה שבמוקדם או במאוחר החקירה תחשוף אותה ולפיכך הקדימה והתוודתה מיוזמתה. כלומר, בקרה או ביקורת בשלב מוקדם יותר הייתה חודלת את המעילה כבר קודם.

פירוק תהליכים

ארגון יכול לפרק תהליכים אשר מתקיימים תחת אדם אחד מקצה לקצה, ולייצר שרשרת בה גם לאחרים ישנה גישה ואחריות בהם, בטח בתהליכים כספיים כגון שכר, רכש, ספקים וכד'. בתהליכים בהם אדם מחויב לשתף אדם אחר, ותלוי בו לצורך השלמתם, ישנו קושי לנצל את המנגנון לטובה אישית.

רוטציות

החלפות יזומות בין עובדים בדרגים דומים תצמצם את מרחב החופש, התמרון והביטחון שלהם, ובהתאם תצמצם את איום המעילה.

עובד אשר מחליף תפקיד, צוות, תיק לקוחות, סניף וכד', יתקשה לייצר הזדמנויות מחד, ויהיה נתון לבחינה ולחשיפה מצד מחליפו מאידך. הרוטציה חשובה בייחוד בתפקידים רגישים כגון ניהול חשבונות, ניהול רכש וכד'.

במקרה הבוחן, אתי אלון ניהלה בקנאות את תיקי הלקוחות שלה, סירבה לתת גישה או להאציל סמכויות בטיפול בהם, ולצורך כך גם הקפידה להתייצב למשמרותיה מידי יום, בלי לקחת ימי חופשה.

במהלך חמש שנים, היא גנבה ישירות מ-202 חשבונות בנק של לקוחותיה, ופתחה 206 חשבונות בנק פיקטיביים.

החלפה שרירותית של תיקי לקוחות בינה לבין מקבילתה, או הוצאתה לחופשה של ימים אחדים, הייתה מנגישה גורם אחר לממשקים שלה וחושפת את התנהלותה מיידית.

קו אנונימי

ארגון יכול לפתוח קו אנונימי אשר יקבל פניות מאת עובדים אשר נחשפים להתנהלות חשודה בתוך הארגון וממליצים לבדוק אותה.

נכון, קו שכזה יכול להיות גם חרב פיפיות ולהציף תלונות שווא או תלונות זדוניות, אבל מספיק קצה חוט להתנהלות חשודה אחת שתיבדק ותאומת כדי להצדיק את השימוש בכלי זה.

זיהוי סימנים מחשידים

זיהוי של אחת מבין ההתנהגויות המפורטות מטה, המהוות סימנים מחשידים, מחייב סימון בדגל אדום ובדיקות המשך לצורך ניסיון זיהוי של סימנים מחשידים נוספים.

• ניכוס בלבדי של תהליכים, משימות, לקוחות וכד'. חוסר נכונות בשיקוף ובשיתוף. לדוגמה: מנהלת חשבונות שמסרבת להאציל טיפול בספקים מסוימים.
• נוכחות במשרד לפני כולם ואחרי כולם בתדירות גבוהה.
• יציאות תכופות מהמשרד או ניצול בלתי סביר של ימי חופשה ומחלה.
• אי יציאה לחופשות.
• התנהגות בלתי רגילה, או התנהגות בלתי אופיינית לאדם ספציפי: הסתגרות, לחץ, חוסר ריכוז, בלבול, מצבי רוח משתנים, תפוקות נמוכות וכד'.
• ריבוי תלונות כלפי החברה, המנהלים, הקולגות, הלקוחות וכד'. הזנה של הרציונליזציה. לדוגמה: "החברה מנצלת את המצב ומוציאה יותר מידי חברים לחל"ת". כלומר, החברה מתנהלת בחוסר הגינות כלפינו, אז זה בסדר לגנוב ממנה בחזרה.
• מצוקות משפחתיות, בריאותיות או כלכליות.
• רמת חיים בלתי מוסברת. לדוגמה: עובד שכר מינימום שנוהג ברכב יוקרה או טס לטיולים יקרים בחו"ל.
• חשיפה של דיווח שקר.
• תחושות נקמה.

תגובה אגרסיבית

בגילוי מעילה, הארגון חייב להציג תגובה אגרסיבית כלפי העובד, לרבות פרסום פומבי, תלונה במשטרה, תביעה אזרחית וכו', זאת כדי להראות לאחרים שתג המחיר הוא גבוה ושההשלכות הן קשות.

למרות זאת, נכון להיום, ארגונים נוטים להחריש מקרים כאלה ולהסתפק בהסדרים פנימיים אשר במסגרתם מוחזר להם רוב הכסף והעובד מסיים את תפקידו. מבחינתם, חשיפה תקשורתית תזיק למוניטין ותלונה במשטרה תדחה את החזרת הכסף לסיום ההליך המשפטי.

סיכום

במהלך השנים האחרונות אנו מבינים יותר ויותר את מהות האיום הפנימי נגד ארגונים, בטח לאור התדירות הגבוהה בה אנו נחשפים למקרי הונאה ולנזקים הכלכליים והתדמיתיים מהם.

ניהול הסיכונים בימינו מחייב התייחסות מקיפה ורחבה לאיום זה, אפילו בהשוואה לאיומים המונחים ברמת האבטחה הפיזית, והצבה של הגנות מספקות כנגדו.

במקרה הבוחן של הבנק למסחר, ובמקרים נוספים אודותיהם למדנו מאז, האויב מפנים היה זה שגרם לקריסת הארגון.