גדי להמן*
לאחר שפורסם לראשונה בשנת 2016, זכה מדריך COSO** לניהול סיכוני ההונאות ומעילות להכרה רחבה בתור קו מנחה לשיטות עבודה מומלצות (Best Practice), עבור אנשי מקצוע וארגונים הפועלים במטרה למנוע הונאות ומעילות.
עולם ההונאות והמעילות משתנה באופן תדיר, ועל כן, COSO והלשכה העולמית לבוחני הונאות ACFE*** יזמו עדכון של המדריך – לצורך כך בוצעו פניות רבות למגוון רחב של משתמשים במטרה לקבל המלצות לשיפור המדריך, הרכיבו צוות אשר בחן מחדש והעריך כיצד יהיה על המדריך להתעדכן.
בתחילת חודש מאי 2023 יצאה לאור המהדורה המעודכנת של המדריך (מהדורה 2) (The Fraud Risk Management Guide: 2nd Edition). להלן השינויים העיקריים במדריך:
ניהול סיכוני הונאה והרתעה. מהדורה זו מסבירה כיצד המדריך לניהול סיכוני הונאה מתייחס ותומך בהרתעת הונאה – משימת מפתח עבור COSO.
מערכת היחסים בין שתי המסגרות של COSO לבין ניהול סיכוני ההונאות. מהדורה זו מסבירה כיצד:
COSO 2013 Internal Control – Integrated Framework.
The COSO 2017 Enterprise Risk Management – Integrating with Strategy Performance Framework.
and the Fraud Risk Management Guide.
קשורות ותומכות אחת בשנייה.
ידע נרחב בניתוח נתונים. ניתוח נתונים ממשיך לעלות בחשיבותו ככלי מרכזי למניעה וגילוי מוקדם של הונאות. יישומים מתקדמים של ניתוח נתונים עשויים להיות פחות מוכרים למשתמשים מסוימים מאשר כלים סטנדרטיים, כגון ראיונות ומערכות לדיווח על הונאות (קו חם). ובהתאם, מהדורה זו של המדריך כוללת מידע נרחב ומעודכן בנושא של ניתוח נתונים, תוך כדי המשך שימת דגש על חשיבות הקו החם בארגונים. נקודת מיקוד זו נוספה לכל אחד מ – 5 העקרונות לניהול סיכוני הונאה על מנת להמחיש כיצד השימוש בניתוח נתונים הוא חלק בלתי נפרד מכל אחד מהעקרונות. יתרה מכך, נספח ניתוח הנתונים עודכן והורחב. גישה זו אינה באה בכוונה להמעיט בחשיבותם של כלים אחרים, אלא להדגיש את הכוח ההולך ומתגבר של ניתוח הנתונים ככלי לניהול סיכוני הונאות (ג.ל: מוזמנים להכיר את הפתרון שלנו בנושא Effcon – a Continuous Control Monitoring System).
בקרה פנימית וניהול סיכוני הונאה. מהדורה זו של המדריך מסבירה כיצד בקרה פנימית וניהול סיכוני הונאה קשורים ותומכים אחד בשנייה, אם כי שונים בכמה מידות. דוגמאות כאלו ניתנות במטרה להראות שתהליכים ופרוצדורות מהימנות רבות של ביקורת פנים יכולות להתאים להבטחת דיוק בדיווח החשבונאי והכספי, אך לא עבור הבטחת הגנה מספקת מפני הונאה.
הערכת האפקטיביות של נהלי הבקרה הקיימים בכל הקשור לסיכון הונאות. פרק 2 (הערכת סיכוני הונאה Fraud Risk Assessment), מספק מידע נוסף אודות שלב חשוב זה בתהליך הערכת סיכוני הונאות. הפרק מבהיר ומדגיש כי הערכת אפקטיביות הבקרה כוללת: (א) זיהוי הליכי בקרה קיימים הקשורים לכל סיכון מובנה להונאה שזוהתה, (ב) וידוא שהבקרות יושמו ופועלות כמתוכנן, (ג) הערכה האם הבקרות נאותות לטיפול בסיכוני ההונאה שזוהו. שלב אחרון זה בא בנוסף להערכה של התכנון והתפעול של הבקרות הפנימיות, על הדיווח הכספי. יתרה על כך, זהו המפתח לזיהוי שאריות של סיכון הונאות, כך שניתן יהיה ליישם בעתיד צעדים נוספים לבקרה, כגון ניתוח נתונים.
שינויים בסביבה המשפטית והרגולטורית. מהדורה זו כוללת מידע מעודכן ביחס להתפתחויות משפטיות ורגולטוריות שהיו לאחרונה בארה"ב, הנוגעות לניהול סיכוני הונאה והונאות, בין היתר:
"Evaluation of Corporate Compliance Programs" (משרד המשפטים).
"A Framework for Managing Fraud Risks in Federal Programs" (משרד האחריות הממשלתית).
"Climate and Environmental, Social, and Governance (ESG) Task Force Reports" (הרשות לניירות ערך בארה"ב).
מערכת לדיווח על הונאה - "קו חם". מחקר שנערך על ידי ACFE מראה כי, באופן עקבי ההונאות מתגלות באמצעות דיווח בקו החם – לעתים קרובות מעובדים בארגון. מהדורה זו כוללת מידע מעודכן ומורחב הקשור לחשיבות של מערכות לדיווח הונאות בכל הקשור לאיתור, מניעה והרתעה מפני הונאות. שינויים בסביבה החיצונית ובסוגי ההונאות. סוגי ההונאות משתנים במהירות מסחררת. מהדורה זו כוללת מידע על שינויים בסביבה העבודה, כגון:
דיווחים של ESG
הונאות סייבר
נכסים דיגיטליים, בלוקצ'יין, מטבעות קריפטוגרפיים
נוזקת "כופרה"
מאמצי תגובה לווירוס הקורונה חוק CARES (חוק הציבור 116 – 136) ותכניות קשורות אחרות
עבודה מרחוק, עבודה היברידית
כלי ניהול ונהלי חשבונאות חדשניים ווירטואליים
שינויים בנספחים. המדריך משנת 2016 כלל 19 נספחים. לעומתו, מהדורת 2023 זו כוללת רק 7. הנספחים אשר לא נכללים במהדורה הנוכחית הועברו לאתר של ACFE "Fraud Risk Management Tools" על מנת שיהא ניתן לעדכן לפי הצורך. הנספחים שהועברו:
Sample Fraud Control Policy Framework (2016 Appendix F-1)
Fraud Risk Management High-Level Assessment (2016 Appendix F-2)
Sample Fraud Policy Responsibility Matrix (2016 Appendix F-3)
Sample Fraud Risk Management Policy (2016 Appendix F-4)
Sample Fraud Risk Management Survey (2016 Appendix F-5)
Fraud Risk Exposures (2016 Appendix G)
The five Fraud Risk Management Scorecards (2016 Appendices I-1 through I-5)
הנספח - ניהול הסיכון להונאה, בזבוז וניצול לרעה בסביבת הממשלה (Managing the Risk of Fraud, Waste and Abuse in the Government Environment) עודכן והורחב, ונותר ב"מדריך לניהול סיכוני הונאות" כמשאב בעל ערך רב.
לבסוף, ובאופן משמעותי, מחסן הכלים של ה – ACFE כולל רשימה נרחבת של חשיפות לסיכוני הונאה ולתוכניות הונאה. כל סכמה הנמצאת ברשימה המורחבת מקושרת לתיאור הסכימה וכיצד היא מתבצעת. רשימה זו כוללת סכימות גנריות – תכניות שיכולות לחשוף כל ארגון – אך גם תכניות מותאמות לתעשייה (תעשיות הבריאות, שירותים פיננסיים, ייצור וכדומה). פעם נוספת, בעזרת מידע המתקבל ממשתמשים, משאב זה ממשיך וימשיך להתרחב. משאבים דינמיים אלו נמצאים מוכנים ונגישים מאוד לאנשי מקצוע נגד הונאה, באמצעותם אלו מיישמים את ה"מדריך לניהול סיכוני הונאה".
להורדת תקציר המנהלים מאתר COSO:
להורדת המדריך המלא מאתר IIA (בתשלום):
להורדת המדריך המלא מאתר ACFE (בתשלום):
* יועץ בתחום ניהול הסיכונים והסוקס, תרגום ועריכה לעברית
** Committee of Sponsoring Organizations
***Association of Certified Fraud Examiners