مخاطر الاحتيال

مفهوم الاحتيال

هو أي عمل غير قانوني يتّسم بالخداع أو بالإخفاء أو بانتهاك الثقة. وهذه الأعمال لا تعتمد على التهديد بالعنف أو القوة المادية. تُرتكب عمليات الاحتيال من قبل أفراد أو منشآت للحصول على المال أو الممتلكات أو الخدمات، أو لتجنّب دفع مبالغ أو فقدان خدمات، أو من أجل ضمان الحصول على مزايا شخصية أو تجارية. (iia.org/CIA).

إن جميع المؤسسات المالية والمصرفية مهددة للتعرض إلى العديد من أنواع المخاطر المختلفة ولعل من أهم هذه المخاطر هي مخاطر الاحتيال بشقيها (الداخلي والخارجي)، وتؤثر مخاطر الاحتيال على جميع المؤسسات بغض النظر عن حجمها أو مدى نموها أو موقعها الجغرافي.

يعتبر الاحتيال الداخلي أشدها تأثيراً وذلك لأن الموظف من الممكن أن يستغل موقعه الوظيفي من خلال صلاحيات الدخول وإطلاعه على المعلومات غير متوفرة للعامة واساءة استخدامها وتجاوز الضوابط الرقابية بحكم وظيفته وقبول الرشاوى، كما أن أثر عملية الاحتيال الخارجي يتضاعف بمجرد تواطؤ موظف من داخل المؤسسة مع المحتالين في الخارج، ومن أكثر مخاطر الاحتيال الخارجي شيوعاً هي قيام العملاء بتقديم وثائق وأدوات دفع مزورة وانتحال الشخصية للحصول على خدمات ومنافع غير مستحقة. وضمن هذه الورقة سوف يتم التركيز على مخاطر الاحتيال التي يرتكبها الأفراد.

يندرج هذا النوع من المخاطر تحت إدارة المخاطر التشغيلية، حيث أنه يتشابه إلى حد ما مع الخطأ التشغيلي الذي يرتكبه الموظف إلا أن الفيصل الرئيسي بينهم هو وجود النية المُبيتة لارتكاب عملية الاحتيال. وهنا نؤكد على أن المؤسسة يتوجب أن تكون على دراية بالفرق بين ضعف الضوابط الرقابية التي تؤدي إلى مخاطر تشغيل والضعف الذي يؤدي إلى مخاطر احتيال. كما إن دور المختصين في إدارة المخاطر هو تحديد هذه المخاطر وقياسها ووضع مؤشرات وأدوات لمراقبتها وإعداد التوصيات بخصوص الضوابط الرقابية الوقائية والكشفية للحد منها قدر الامكان.

تختلف أنواع مخاطر الاحتيال وذلك حسب طبيعة وحجم عمل المؤسسة، ومن الممكن التعرف على هذه المخاطر حسب نموذج شجرة الاحتيال الذي تم إعداده من قبل جمعية المحققين المعتمدين للاحتيال (ACFE.com)، وتوضح هذه الشجرة أهم ثلاثة مخاطر احتيال يقوم بها الموظفين بحكم وظيفتهم وهي:

  • التلاعب بالبيانات المالية وغير المالية:

يندرج تحت هذا النوع من الاحتيال جميع أساليب الاحتيال التي تتم على البيانات والقوائم المالية (مثل: التلاعب في تسجيل القيم والفترة الزمنية على القوائم المالية، اخفاء المصاريف والنفقات والتلاعب بالإيرادات وإساءة تقييم الأصول بالإضافة إلى الإفصاحات غير السليمة).

  • إساءة استخدام الأصول:

يندرج تحت هذا النوع من الاحتيال جميع أساليب الاحتيال التي تتعلق بالنقد والمخزون والأصول الأخرى (مثل: سرقة النقد من الصندوق، عدم تسجيل المبيعات، ِشطب الديون، تزوير الشيكات، تزوير الفواتير، تسجيل الموظفين الوهميين، واستخدام شركات وهمية والشراء من موردين غير معتمدين).

  • الفساد والرشاوى:

يندرج تحت هذا النوع من الاحتيال جميع أساليب الاحتيال التي تتعلق بتضارب المصالح، وقبض الرشاوى والفساد المؤسسي والإبتزاز الاقتصادي والدفعات غير الشرعية.

ومن المهم جداً أن يتم التركيز عند قياس مخاطر الاحتيال الداخلي على نظرية قديمة تُدعى (20-60-20)، حيث تشير هذه النظرية إلى أن (20%) من الموظفين في المؤسسة سوف يقومون بعملهم بنزاهة حتى في ظل عدم وجود أية ضوابط رقابية، بينما (60%) من الموظفين سوف يقومون بارتكاب عملية الاحتيال على الرغم من وجود النزاهة ولكن وحسب الظروف وعندما تتاح لهم الفرصة لتجاوز الضوابط الرقابية، أما الـ (20%) المتبقية من الموظفين فإنهم سوف يقومون دوماً بجلب الخسائر للمؤسسة بسبب عدم نزاهتهم، وهنا يكمن دور المؤسسة بشكل رئيسي بالتحقق من السجل التاريخي والقضائي للموظف قبل التوظيف، ما يعرف بـ(Pre-employment screening/ Background Check)، وبذلك يكون ملخص هذه النظرية أن (80%) من الموظفين في المنظمة بحاجة لوضع إجراءات وضوابط رقابية للتعرف على الموظف (Know Your Employee “KYE”) وإدارة ميثاق السلوك المهني وأخلاقيات العمل وتفعيل سياسة الإبلاغ عن المخالفات (Whistle blowing Policy).

وللتعرف على الطريقة التي يتم من خلالها ارتكاب جريمة الاحتيال فقد ابتكر عالم الاجتماع دونالد كريسي ما يسمى بـ (مثلث الاحتيال)، وهو عبارة عن نموذج يوضح العناصر الرئيسية التي تؤدي إلى ارتكاب عملية الاحتيال، ويتكون من ثلاث عناصر وهي (الضغط والفرصة والتبرير).

الضغط (Pressure): هو الحافز إلى ارتكاب عملية الاحتيال، عندما يجد الموظف نفسه بحاجة للمال وغير قادر على الحصول عليه من وسائل شرعية، فإن ذلك يحفزه للقيام بعملية الاحتيال (مثل: الضغوطات والمشاكل المالية لدى الموظف بالإضافة إلى المستهدفات صعبة التحقيق والتي يتم وضعها من قبل الإدارات).

الفرصة (Opportunity): هي الثغرة التي يبحث عنها الموظف عند ارتكاب عملية الاحتيال، وعادةً ما تكون بسبب ضعف أو عدم وجود ضوابط رقابية لدى المؤسسة (مثل: عدم وجود سياسات وإجراءات موثقة أو محدثة، ضعف الاشراف الرقابي والثقة الزائدة بين الموظفين وعدم الفصل بين المهام وتجاوز مصفوفة الصلاحيات وعدم الالتزام بمبدأ Maker-Checker.

التبرير (Rationalization): هنا يبدأ الموظف بتبرير عملية الاحتيال لنفسه (مثل: أنه سوف يستدين المبلغ الآن وسوف يقوم بإرجاعه لاحقاً إلى الصندوق، أو أن يبرر الموظف لنفسه بأنه سوف يخسر أمور مهمة في حياته إن لم يقوم بهذه السلوك، أو أنه يستحق المزيد من المكافآت من مؤسسته). ويعتبر هذه العنصر حاسم في عملية الاحتيال، حيث أن أغلب الموظفين من مرتكبي عمليات الاحتيال كانوا يقومون بها لأول مرة وممن ليس لديهم أي سجل احتيال سابق ومن الأدلة على ذلك، أن معظم مرتكبي عمليات الاحتيال كانوا من الزملاء المشهود لهم بحسن الخلق والسيرة.

 

ونؤكد هنا على إن أفضل وسيلة لحماية المؤسسات من الاحتيال هي اتباع نهج استباقي وتعاوني لإدارة مخاطر الاحتيال، وذلك من خلال اختيار إطار ومبادئ فعالة لإدارة هذه المخاطر.

مبادئ دليل (COSO) في إدارة مخاطر الاحتيال

تنقسم مبادئ دليل (COSO) في إدارة مخاطر الاحتيال إلى خمسة مبادئ أساسية، حيث أن هذه المبادئ أنبثقت عن مبادئ إطارة الرقابة الداخلية الصادر عن (COSO) عام 2013 وكما يلي:

  • البيئة الرقابية (Control Environment)
  • تقييم المخاطر (Risk Assessment)
  • أنشطة الرقابة (Control Activities)
  • المعلومات والأتصال (Information and Communication)
  • أنشطة المتابعة (Monitoring Activities)

المبدأ الأول: البيئة الرقابية:

يتوجب على المؤسسة أن تقوم بتطبيق الحاكمية المؤسسية بفعالية وتضمن وجود سياسات معتمدة وبيئة رقابية قوية وفعالة يقوم أساسها على تنظيم العلاقة بين أصحاب المصالح وتحقيق توقعات الإدارة العليا ومجلس الإدارة والمساهمين وتعزز من التزامهم اتجاه خلق بيئة رقابية نزيهة وقيم أخلاقية عالية إتجاه إدارة مخاطر الاحتيال. ويتوقع من المؤسسة هنا أن تقوم بإعداد برنامج مفصل لإدارة مخاطر الاحتيال وذلك من خلال شموله على إطار وسياسات واضحة لمكافحة الاحتيال وتحديد الأدوار والمسؤوليات والفصل بين المهام. بالإضافة إلى أنه يتوجب عكس هذه الأدوار ضمن بطاقات الوصف الوظيفي ومصفوفات الصلاحيات وميثاق اللجان المختصة. هذا ويتوجب على مجلس الإدارة الإشراف على عملية إدارة إطار مخاطر الاحتيال في المؤسسة، ومراقبة آلية إدارتها وفرض ما يسمى بـ(Tone at the Top) من خلال الإدارة العليا، على أن تقوم الإدارة العليا برفع نتائج مراقبة مخاطر الاحتيال إلى مجلس الإدارة بشكل دوري.

ونؤكد هنا على أن الالتزام بإطار إدارة مخاطر الاحتيال هي مسؤولية الجميع، حيث يتوجب على جميع الموظفين أن يكونوا على وعي بأدوارهم وبسياسات وإجراءات إدارة مخاطر الاحتيال وطرق الإبلاغ عنها. وبشكل رئيسي يتم اعتماد أدوار ومهام لكل من إدارة المخاطر والتدقيق الداخلي، ومراقبة الامتثال، والدائرة القانونية، وإدارة تكنولوجيا المعلومات وإدارة الموارد البشرية في إدارة إطار مخاطر الاحتيال. كما يتوجب أن يتضمن برنامج إدارة مخاطر الاحتيال (ميثاق للسلوك المهني وأخلاقيات العمل، دليل للإبلاغ، خطة استجابة للاحتيال، ودليل للتحقيق).

المبدأ الثاني: تقييم مخاطر الاحتيال :

يتوجب على المؤسسة أن تقوم بتقييم مخاطر الاحتيال التي تتعرض لها بشكل دوري، وذلك من خلال تحديد مخاطر الاحتيال والأحداث المحتمل أن تتعرض لها وقياسها (الاحتمالية والأثر) ووضع خطط وتوصيات للتخفيف من المخاطر المتبقية قدر الامكان، والأخذ بعين الاعتبار احتمالية تجاوز الإدارة للضوابط الرقابية. وتعتمد مصفوفة مخاطر الاحتيال بشكل أساسي على خبرة ومعرفة فريق تقييم مخاطر الاحتيال، ولذلك يتوجب تعيين فريق مختص يمتلك خبرات عملية ومهارات وشهادات متخصصة في هذا المجال، حيث يقوم الفريق بتحديد وقياس مخاطر الاحتيال من خلال الرجوع إلى سجلات مخاطر الاحتيال المعدة من قبل الممارسات العالمية الرائدة والأحداث والسجلات التاريخية للمؤسسة وتقارير التدقيق الداخلي وحجم وطبيعة تعقيد العمليات، وخلال هذه العملية يتم الاستفادة من نموذجي شجرة الاحيتال ومثلث الاحتيال في تحديد مخاطر الاحتيال. ويتم استخدام مصفوفة مخاطر الاحتيال المعتمدة من قبل دليل (COSO) لإدارة مخاطر الاحتيال وجمعية المحققين المعتمدين للاحتيال (ACFE.com)، مرفق أدناه مثال على هذه المصفوفة، حيث يتم تقييم الاحتمالية والأثر ومدى فاعلية الضوابط الرقابية من (1-5) بشكل موضوعي، بحيث يتم الاعتماد على مدى تكرار مثل هذا الخطر في السابق واحتمالية وقوعه في المستقبل لدى الدائرة المعنية، على أن يتم الأخذ بعين الاعتبار قيمة الخسارة المالية بشكل رئيسي ضمن الأثر ومن الممكن إضافة عدة عوامل وحسب طبيعة عمل المؤسسة.

ويتوقع من فريق العمل بأن يقوم تغطية أهم العمليات والأنشطة الرئيسية والحساسة للمؤسسة على الأقل بدايةً ويتم توزيع بقية العمليات ضمن خطة عمل واضحة ومعتمدة، بحيث يتم الأخذ بعين الاعتبار العمليات التي تنطوي عليها مخاطر مرتفعة وعادةً ما تكون مرتبطة بالعمليات التي تحتوي على نقد وحوالات وأدوات الدفع في المؤسسات المالية والمصرفية.

حيث تعد عملية تقييم مخاطر الاحتيال أحد الأدوات التي تساعد الإدارة على زيادة الوعي بهذه المخاطر والضوابط الرقابية المرتبطة بها .

المبدأ الثالث: أنشطة الرقابة

يتوجب على المؤسسة تصميم أدوات وضوابط رقابية وقائية وكشفية مرنة للتخفيف من المخاطر قدر الامكان وكشفها في الوقت المناسب بالإضافة إلى إعداد سياسات وإجراءات عمل لها وخطط استجابة وسياسة الإفصاح. هذا ويتوجب على المؤسسة أيضاً تقييم فعالية وكفاءة هذه الضوابط الرقابية ومراقبتها وتحديثها بشكل مستمر. وعلى المؤسسة توفير أنظمة وأدوات تحليل بيانات تدعم هذه الأنشطة الرقابية بحيث تساعدها على مراقبة مؤشرات مخاطر الاحتيال ومؤشرات الانذار المبكر. وبذلك يمكننا القول أن الاجراءات الرقابية المتعلقة بالاحتيال تنقسم الى نوعين رئيسيين:

  • الإجراءات الرقابية الوقائية التي تمنع عملية الاحتيال قبل وقوعها أو تخفف من مخاطر الاحتيال، ومن الأمثلة عليها (الفصل بين المهام والرقابة الثنائية، مصفوفات الصلاحيات، إجراء الفحص التحققي قبل التعيين، التدريب والتوعية في جميع أنحاء المؤسسة، وسياسة الدوران الوظيفي والتنقل بين الدوائر).
  • الإجراءات الرقابية الكشفية التي تكشف عملية الاحتيال بعد وقوعها، ومن الأمثلة عليها (سياسة الإبلاغ، تفعيل قنوات الإبلاغ “الخط الساخن”، إجراءات عمل كشفية “المطابقات والتسويات”، التحليل الدوري للبيانات، الاجازات السنوية المتصلة، مراجعة السجلات “Logs“).

تعتبر مؤشرات الانذار المبكر ومؤشرات مخاطر الاحتيال الرئيسية من أهم الأدوات المساعدة على اكتشاف حالات الاحتيال المتحققة أو المشتبه بها في الوقت المناسب. حيث يتوجب على المؤسسة استحداث هذه المؤشرات وتطبيقها على جميع وحدات العمل، وحسب طبيعة وحجم عملها، ومراقبتها بشكل دوري وتحليل النتائج. ويفضل أن يتم تفعيل هذه المؤشرات من خلال مراقبة العمليات بشكل لحظي وإصدار تقارير دورية لاتخاذ القرار المناسب في الوقت المناسب والتخفيف من المخاطر والخسائر قدر الامكان، وتنقسم هذه المؤشرات بشكل رئيسي إلى مؤشرات بسيطة غير ملموسة ومؤشرات متقدمة ملموسة، علماً إن وجود هذه المؤشرات لا يعني تماماً وجود عمليات احتيال ولكن وجودها يتوجب إجراء عناية واجبة والتقصي عن الحقائق وتحليلها، ومن الضروري أن يتم مراقبة الموظفين وسلوكياتهم من قبل المدراء وكذلك تدريب المدراء والموظفين على طرق التعرف عليها وكشفها وكما يلي:

مؤشرات بسيطة (Soft Indicators):

وهي المؤشرات غير الملموسة والتي يقوم بها الموظفين المتورطين أو المشتبه تورطهم بعمليات الاحتيال، مثل:

  • العيش فوق المستوى المعيشي والمادي والارتباك المالي.
  • التغير المفاجئ والمستمر في المزاج وتكرار المشاكل العائلية بشكل ملحوظ.
  • ضعف أو عدم الالتزام بميثاق السلوك المهني وأخلاقيات العمل وعدم التعاون في أداء المهام والواجبات.
  • اتخاذ قرارات ذات مخاطر عالية بدون دراسة واضحة.
  • عدم الالتزام بأخذ الاجازات وخصوصاً السنوية المتصلة.
  • الحضور إلى العمل مبكراً والبقاء حتى وقت متأخر بدون مبررات واضحة.
  • الحضور إلى العمل خارج أوقات الدوام الرسمي وأيام عطل نهاية الأسبوع.
  • وجود علاقات قريبة وغير اعتيادية مع العملاء، وقيام العملاء بتفضيل التعامل مع موظف معين.
  • تجنب الموظف مغادرة العمل لانجاز معاملات طارئة او لأسباب مرضية.

مؤشرات متقدمة (Hard Indicators):

وهي المؤشرات الملموسة التي تشير إلى احتمالية وجود عملية احتيال أو الأشتباه بها، مثل:

  • فقدان الأصول والوثائق.
  • عدم وجود سياسات وإجراءت موثقة للعمليات.
  • تقديم طلبات تغيير واستثناء بشكل متكرر وملحوظ.
  • إعداد وتقديم طلبات وخدمات خارج النطاق الجغرافي لموقع عمل الموظف.
  • وجود عدد كبير وملحوظ لعملاء متعثرين ضمن محفظة الموظف.
  • وجود معاملات وطلبات غير مستكملة أو البيانات ناقصة.
  • طلب الموظفين حصر التعامل مع جهة معنية (مثل مخمن/ مقيم عقاري واحد).
  • مراجعة العملاء بشكل متكرر للسؤال عن موظف معين وعدم الرغبة في مراجعة موظف اخر.

كما يتوجب على المؤسسة أن تقوم بإعداد مؤشرات خاصة متعلقة بنطاق عمل أهم العمليات والأنشطة في المؤسسة، وعلى سبيل المثال، عملية المشتريات، يتم مراقبة مؤشرات (مثل: عدم رغبة قسم المشتريات بتبديل الموردين، رفض موردين الدخول في العطاءات، قيام قسم المشتريات بالتواصل مع مورد واحد، وجود طلبات مشتريات تحت سقف معين من الصلاحيات وهو ما يعرف بأسم تجزئة المشتريات (Splitting)، والتغير في الأسعار بشكل ملحوظ وتدني جودة المواد والأدوات التي يتم شراءها).

ونؤكد هنا إلى أن عمليات الاحتيال تتطور وتعتمد على الإبداع الذي يقوم به المحتال، وتزداد عمليات الاحتيال تعقيداً ويصعب السيطرة عليها في حالة التواطؤ بين الموظفين (Collusion)، حيث أن معظم المؤسسات تعتمد بشكل رئيسي على الضوابط الرقابية الثنائية (مثل: Maker-Checker Concept)، وفي هذه الحالة إذا تواطئ الطرفين أصبح الضابط الرقابي ضعيف ويتم تجاوزه. وذلك يتجوب على المؤسسة تطوير مؤشرات اكتشاف هذه الحالات وزيادة الوعي لدى الموظفين وتدريبهم لاكتشاف هذه الحالات ومراقبتها.

المبدأ الرابع: المعلومات والاتصال

يتوجب على المؤسسة تفعيل أدوات التواصل بين مجلس الإدارة والإدارة العليا والدوائر الرقابية والدوائر الأخرى بشكل كفؤ من خلال وجود قنوات تواصل مفتوحة تسمح بتدفق المعلومات والتقارير بشكل دوري، حيث تعتبر التقارير الدورية هي من أهم الوسائل التي يتم من خلالها إطلاع مجلس الإدارة والإدارة العليا على أهم المخاطر والاحداث التي تتعرض لها المؤسسة، كما أن جودة التقارير تعتمد بشكل أساسي على مصدر البيانات وطريقة تحليلها وعرضها من خلال استخدام أدوات تحليل بيانات مختصة، ومن أهم الأمور التي يتوجب رفع تقارير بها ما يلي:

  • نتائج تحديد وتقييم مخاطر الاحتيال.
  • نتائج فعالية وكفاية الضوابط الرقابية ذات العلاقة بمخاطر الاحتيال.
  • نتائج مراقبة مؤشرات مخاطر الاحتيال.
  • نتائج خطة التوعية والتثقيف بمخاطر الاحتيال.
  • حالات الاحتيال التي تم اكتشافها.
  • نتائج التحقيق في حالات الاحتيال.
  • الاجراءات المتخذة والاجراءات التصحيحية.

ويتوجب على المؤسسة أن تقوم بإعداد خطة استجابة معتمدة لتوضيح آلية الإبلاغ والتعامل مع حالات الاحتيال عند اكتشافها أو الاشتباه بها، حيث يتوجب أن تحتوي هذه الوثيقة على الجهات المعنية بالإبلاغ داخل المؤسسة والأدوار والمسؤوليات المترتبة على كل جهة (مثل: التدقيق الداخلي، الدائرة القانونية، دائرة الموارد البشرية، فريق التحقيق، الإدارة العليا)، ويتوجب مراجعة هذه الوثيقة من جميع الجهات الرقابية في المؤسسة، وخصوصاً الدائرة القانونية حيث من الممكن أن تقع المؤسسة في خطأ قانوني في حال بادرات بتوجيه الاتهام إلى أحد الموظفين قبل التنسيق مع الدائرة القانونية.

المبدأ الخامس: أنشطة المتابعة

يتوجب على المؤسسة تقييم إطار إدارة مخاطر الاحتيال بشكل دوري والتحقق من كيفية وفعالية إدارة مكونات هذا الإطار والتأكد من متانة البيئة الرقابية وفعالية أدوار ومسؤوليات جميع الموظفين في المؤسسة والجهات المسؤولة عن اتخاذ الاجراءات التصحيحية بما فيها الإدارة العليا ومجلس الإدارة، ومن المفضل أن تقوم بهذه المهمة جهة مختصة بهذا العمل مثل شركات الاستشارات المتخصصة في هذا المجال.

وأخيراً، تعتبر عملية نشر الثقافة والتوعية بمخاطر الاحتيال من أهم عناصر مكافحة الاحتيال في المؤسسة، حيث أن نسبة كبيرة من ردع عمليات الاحتيال تعتمد على ثقافة ونزاهة الموظفين ووعيهم بمخاطر الاحتيال، وتبدأ هذه الثقافة بتوجيه من قبل مجلس الإدارة والإدارة العليا، وحث الموظفين على استخدام الخط الساخن مثلاً يزيد من اكتشاف حالات الاحتيال، حيث أن أغلب حالات الاحتيال يتم اكتشافها بشكل رئيسي وحسب التقارير الاحصائية لـ(ACFE.com) كانت بنسبة (40%) من خلال ورود معلومات سرية (Tips)، علماً بأن (50%) من عمليات الاحتيال كان أهم أسبابها هو ضعف تطبيق الضوابط الرقابية. كما يتوجب على المؤسسة أن تقوم بتفعيل دورها في اتخاذ الإجراءات الإدارية والقانونية اللازمة في معاقبة ومحاسبة المسؤولين عن عمليات الاحتيال، وأن تكون رسالتها واضحة للموظفين بهذا الصدد، وإطلاعهم على عواقب ارتكاب عمليات الاحتيال والدروس المستفادة بالإضافة إلى لائحة الجزاءات وقانون العقوبات والأثر الاجتماعي على الموظف وإضراره بمستقبله المهني.

اعداد: السيدة لينا الدويك، السيد أحمد عابدين، السيد حسام حسن / فريق مخاطر التشغيل / منتدى خبراء المخاطر