اقتصادتحليل إقتصادي

مخاطر الاحتيال وأفضل الممارسات للمحافظة على الممتلكات

لينا الدويك وأحمد عابدين وحسام حسن*

عمان- هو أي عمل غير قانوني يتسم بالخداع أو بالإخفاء أو بانتهاك الثقة، ولا يعتمد على التهديد بالعنف أو القوة المادية. تُرتكب عمليات الاحتيال من قبل أفراد أو منشآت للحصول على المال أو الممتلكات أو الخدمات، أو لتجنب دفع مبالغ أو فقدان خدمات، أو من أجل ضمان الحصول على مزايا شخصية أو تجارية.
إن جميع المؤسسات المالية والمصرفية مهددة بالتعرض إلى العديد من أنواع المخاطر المختلفة، ولعل من أهمها مخاطر الاحتيال بشقيها (الداخلي والخارجي)، وتؤثر مخاطر الاحتيال على جميع المؤسسات بغض النظر عن حجمها أو مدى نموها أو موقعها الجغرافي.
ويعد الاحتيال الداخلي أشدها تأثيراً، وذلك لأن الموظف من الممكن أن يستغل موقعه الوظيفي من خلال صلاحيات الدخول وإطلاعه على المعلومات غير متوفرة للعامة وإساءة استخدامها وتجاوز الضوابط الرقابية بحكم وظيفته وقبول الرشاوى، كما أن أثر عملية الاحتيال الخارجي يتضاعف بمجرد تواطؤ موظف من داخل المؤسسة مع المحتالين في الخارج، ومن أكثر مخاطر الاحتيال الخارجي شيوعاً قيام العملاء بتقديم وثائق وأدوات دفع مزورة وانتحال الشخصية للحصول على خدمات ومنافع غير مستحقة. وضمن هذه الدراسة سوف يتم التركيز على مخاطر الاحتيال التي يرتكبها الأفراد.
يندرج هذا النوع من المخاطر تحت إدارة المخاطر التشغيلية؛ حيث يتشابه إلى حد ما مع الخطأ التشغيلي الذي يرتكبه الموظف، إلا أن الفيصل الرئيسي بينهما هو وجود النية المُبيتة لارتكاب عملية الاحتيال. وهنا نؤكد أن المؤسسة يتوجب أن تكون على دراية بالفرق بين ضعف الضوابط الرقابية التي تؤدي إلى مخاطر تشغيل والضعف الذي يؤدي إلى مخاطر احتيال.
وتختلف أنواع مخاطر الاحتيال، وذلك حسب طبيعة وحجم عمل المؤسسة، ومن الممكن التعرف على هذه المخاطر حسب نموذج شجرة الاحتيال الذي تم إعداده من قبل جمعية المحققين المعتمدين للاحتيال (ACFE.com)، وتوضح هذه الشجرة أهم ثلاثة مخاطر احتيال يقوم بها الموظفون بحكم وظيفتهم، وهي (التلاعب بالبيانات المالية وغير المالية، وإساءة استخدام الأصول، والفساد والرشاوى).
وللتعرف على الطريقة التي يتم من خلالها ارتكاب جريمة الاحتيال، فقد ابتكر عالم الاجتماع دونالد كريسي ما يسمى بـ(مثلث الاحتيال)، وهو عبارة عن نموذج يوضح العناصر الرئيسية التي تؤدي إلى ارتكاب عملية الاحتيال، ويتكون من ثلاثة عناصر وهي (الضغط والفرصة والتبرير).

  • الضغط (Pressure): هو الحافز إلى ارتكاب عملية الاحتيال، عندما يجد الموظف نفسه بحاجة للمال وغير قادر على الحصول عليه من وسائل شرعية، فإن ذلك يحفزه للقيام بعملية الاحتيال (مثل: الضغوطات والمشاكل المالية لدى الموظف، إضافة إلى المستهدفات صعبة التحقيق التي يتم وضعها من قبل الإدارات).
  • الفرصة (Opportunity): هي الثغرة التي يبحث عنها الموظف عند ارتكاب عملية الاحتيال، وعادةً ما تكون بسبب ضعف أو عدم وجود ضوابط رقابية لدى المؤسسة (مثل: عدم وجود سياسات وإجراءات موثقة أو محدثة، ضعف الإشراف الرقابي والثقة الزائدة بين الموظفين وعدم الفصل بين المهام وتجاوز مصفوفة الصلاحيات وعدم الالتزام بمبدأ Maker-Checker).
  • التبرير (Rationalization): هنا يبدأ الموظف بتبرير عملية الاحتيال لنفسه (مثل: أنه سوف يستدين المبلغ الآن وسوف يقوم بإرجاعه لاحقاً إلى الصندوق، أو أن يبرر الموظف لنفسه بأنه سوف يخسر أمور مهمة في حياته إن لم يقوم بهذه السلوك، أو أنه يستحق المزيد من المكافآت من مؤسسته). ويعد هذا العنصر حاسما في عملية الاحتيال؛ حيث إن أغلب الموظفين من مرتكبي عمليات الاحتيال كانوا يقومون به لأول مرة وممن ليس لديهم أي سجل احتيال سابق، ومن الأدلة على ذلك، أن معظم مرتكبي عمليات الاحتيال كانوا من الزملاء المشهود لهم بحسن الخلق والسيرة.
    مبادئ دليل (COSO) في إدارة مخاطر الاحتيال
    تنقسم مبادئ دليل (COSO) في إدارة مخاطر الاحتيال إلى خمسة مبادئ أساسية؛ حيث انبثقت عن مبادئ إطار الرقابة الداخلية الصادر عن (COSO) العام 2013 وكما يلي:
    المبدأ الأول: البيئة الرقابية
    يتوجب على المؤسسة أن تقوم بتطبيق الحاكمية المؤسسية بفعالية وتضمن وجود سياسات معتمدة وبيئة رقابية قوية وفعالة يقوم أساسها على تنظيم العلاقة بين أصحاب المصالح وتحقيق توقعات الإدارة العليا ومجلس الإدارة والمساهمين وتعزز من التزامهم تجاه خلق بيئة رقابية نزيهة وقيم أخلاقية عالية تجاه إدارة مخاطر الاحتيال. ويتوقع من المؤسسة هنا أن تقوم بإعداد برنامج مفصل لإدارة مخاطر الاحتيال، وذلك من خلال اشتماله على إطار وسياسات واضحة لمكافحة الاحتيال وتحديد الأدوار والمسؤوليات والفصل بين المهام. إضافة إلى أنه يتوجب عكس هذه الأدوار ضمن بطاقات الوصف الوظيفي ومصفوفات الصلاحيات وميثاق اللجان المختصة. هذا ويتوجب على مجلس الإدارة الإشراف على عملية إدارة إطار مخاطر الاحتيال في المؤسسة، ومراقبة آلية إدارتها وفرض ما يسمى بـ(Tone at the Top) من خلال الإدارة العليا، على أن تقوم الإدارة العليا برفع نتائج مراقبة مخاطر الاحتيال إلى مجلس الإدارة بشكل دوري.
    المبدأ الثاني: تقييم مخاطر الاحتيال
    يتوجب على المؤسسة أن تقوم بتقييم مخاطر الاحتيال التي تتعرض لها بشكل دوري، وذلك من خلال تحديد مخاطر الاحتيال والأحداث المحتمل أن تتعرض لها وقياسها (الاحتمالية والأثر) ووضع خطط وتوصيات للتخفيف من المخاطر المتبقية قدر الإمكان، والأخذ بعين الاعتبار احتمالية تجاوز الإدارة الضوابط الرقابية. وتعتمد مصفوفة مخاطر الاحتيال بشكل أساسي على خبرة ومعرفة فريق تقييم مخاطر الاحتيال، ولذلك يتوجب تعيين فريق متخصص يمتلك خبرات عملية ومهارات وشهادات متخصصة في هذا المجال؛ حيث يقوم الفريق بتحديد وقياس مخاطر الاحتيال من خلال الرجوع إلى سجلات مخاطر الاحتيال المعدة من قبل الممارسات العالمية الرائدة والأحداث والسجلات التاريخية للمؤسسة وتقارير التدقيق الداخلي وحجم وطبيعة تعقيد العمليات، وخلال هذه العملية يتم الاستفادة من نموذجي شجرة الاحيتال ومثلث الاحتيال في تحديد مخاطر الاحتيال. ويتم استخدام مصفوفة مخاطر الاحتيال المعتمدة من قبل دليل (COSO) لإدارة مخاطر الاحتيال وجمعية المحققين المعتمدين للاحتيال (ACFE.com)؛ حيث يتم تقييم الاحتمالية والأثر ومدى فاعلية الضوابط الرقابية. ويتوقع من فريق العمل بأن يقوم تغطية أهم العمليات والأنشطة الرئيسية والحساسة للمؤسسة على الأقل بدايةً ويتم توزيع بقية العمليات ضمن خطة عمل واضحة ومعتمدة، بحيث يتم الأخذ بعين الاعتبار العمليات التي تنطوي عليها مخاطر مرتفعة وعادةً ما تكون مرتبطة بالعمليات التي تحتوي على نقد وحوالات وأدوات الدفع في المؤسسات المالية والمصرفية.
    المبدأ الثالث: أنشطة الرقابة
    يتوجب على المؤسسة تصميم أدوات وضوابط رقابية وقائية وكشفية مرنة للتخفيف من المخاطر قدر الإمكان وكشفها في الوقت المناسب، إضافة إلى إعداد سياسات وإجراءات عمل لها وخطط استجابة وسياسة الإفصاح. هذا ويتوجب على المؤسسة أيضاً تقييم فعالية وكفاءة هذه الضوابط الرقابية ومراقبتها وتحديثها بشكل مستمر. وعلى المؤسسة توفير أنظمة وأدوات تحليل بيانات تدعم هذه الأنشطة الرقابية بحيث تساعدها على مراقبة مؤشرات مخاطر الاحتيال ومؤشرات الإنذار المبكر. وبذلك يمكننا القول إن الإجراءات الرقابية المتعلقة بالاحتيال تنقسم الى نوعين رئيسيين:
  • الإجراءات الرقابية الوقائية التي تمنع عملية الاحتيال قبل وقوعها أو تخفف من مخاطر الاحتيال، ومن الأمثلة عليها (الفصل بين المهام والرقابة الثنائية، مصفوفات الصلاحيات، إجراء الفحص التحققي قبل التعيين).
  • الإجراءات الرقابية الكشفية التي تكشف عملية الاحتيال بعد وقوعها، ومن الأمثلة عليها (سياسة الإبلاغ، تفعيل قنوات الإبلاغ “الخط الساخن”، إجراءات عمل كشفية “المطابقات والتسويات”، التحليل الدوري للبيانات).
    تعد مؤشرات الإنذار المبكر ومؤشرات مخاطر الاحتيال الرئيسية من أهم الأدوات المساعدة على اكتشاف حالات الاحتيال المتحققة أو المشتبه بها في الوقت المناسب؛ حيث يتوجب على المؤسسة استحداث هذه المؤشرات وتطبيقها على جميع وحدات العمل، وحسب طبيعة وحجم عملها، ومراقبتها بشكل دوري وتحليل النتائج. ويفضل أن يتم تفعيل هذه المؤشرات من خلال مراقبة العمليات بشكل لحظي وإصدار تقارير دورية لاتخاذ القرار المناسب في الوقت المناسب والتخفيف من المخاطر والخسائر قدر الإمكان، وتنقسم هذه المؤشرات بشكل رئيسي إلى مؤشرات بسيطة غير ملموسة (مثل: مراقبة الإنفاق والعيش فوق المستوى المعيشي والمادي للموظف، مراقبة وجود علاقات قريبة وغير اعتيادية مع العملاء، وقيام العملاء بتفضيل التعامل مع موظف معين)، ومؤشرات متقدمة ملموسة (مثل: فقدان الأصول، عدم وجود سياسات وإجراءات موثقة للعمليات)، علماً إن وجود هذه المؤشرات لا يعني تماماً وجود عمليات احتيال ولكن وجودها يتوجب إجراء عناية واجبة والتقصي عن الحقائق وتحليلها، ومن الضروري أن يتم مراقبة الموظفين وسلوكياتهم من قبل المديرين، وكذلك تدريب المديرين والموظفين على طرق التعرف عليها وكشفها.
    ونؤكد هنا أن عمليات الاحتيال تتطور وتعتمد على الإبداع الذي يقوم به المحتال، وتزداد عمليات الاحتيال تعقيداً ويصعب السيطرة عليها في حالة التواطؤ بين الموظفين (Collusion)؛ حيث إن معظم المؤسسات تعتمد بشكل رئيسي على الضوابط الرقابية الثنائية (مثل: Maker-Checker Concept)، وفي هذه الحالة إذا تواطأ الطرفان أصبح الضابط الرقابي ضعيفا ويتم تجاوزه. وبذلك يتجوب على المؤسسة تطوير مؤشرات اكتشاف هذه الحالات وزيادة الوعي لدى الموظفين وتدريبهم لاكتشاف هذه الحالات ومراقبتها.
    المبدأ الرابع: المعلومات والاتصال
    يتوجب على المؤسسة تفعيل أدوات التواصل بين مجلس الإدارة والإدارة العليا والدوائر الرقابية والدوائر الأخرى بشكل كفؤ من خلال وجود قنوات تواصل مفتوحة تسمح بتدفق المعلومات والتقارير بشكل دوري؛ حيث تعد التقارير الدورية من أهم الوسائل التي يتم من خلالها إطلاع مجلس الإدارة والإدارة العليا على أهم المخاطر والأحداث التي تتعرض لها المؤسسة، ومن أهم الأمور التي يتوجب رفع تقارير بها (نتائج تحديد وتقييم مخاطر الاحتيال، ونتائج فعالية وكفاية الضوابط الرقابية ذات العلاقة بمخاطر الاحتيال، ونتائج مراقبة مؤشرات مخاطر الاحتيال، ونتائج خطة التوعية والتثقيف بمخاطر الاحتيال، إضافة إلى حالات الاحتيال التي تم اكتشافها ونتائج التحقيق في هذه الحالات والإجراءات المتخذة والإجراءات التصحيحية)؛ حيث يتوجب على المؤسسة أن تقوم بإعداد خطة استجابة معتمدة لتوضيح آلية الإبلاغ والتعامل مع حالات الاحتيال عند اكتشافها أو الاشتباه بها.
    المبدأ الخامس: أنشطة المتابعة
    يتوجب على المؤسسة تقييم إطار إدارة مخاطر الاحتيال بشكل دوري والتحقق من كيفية وفعالية إدارة مكونات هذا الإطار والتأكد من متانة البيئة الرقابية وفعالية أدوار ومسؤوليات جميع الموظفين في المؤسسة والجهات المسؤولة عن اتخاذ الإجراءات التصحيحية، بما فيها الإدارة العليا ومجلس الإدارة، ومن المفضل أن تقوم بهذه المهمة جهة متخصصة بهذا العمل.
    وأخيراً، تعد عملية نشر الثقافة والتوعية بمخاطر الاحتيال من أهم عناصر مكافحة الاحتيال في المؤسسة؛ حيث إن نسبة كبيرة من ردع عمليات الاحتيال تعتمد على ثقافة والموظفين ووعيهم بمخاطر الاحتيال، وتبدأ هذه الثقافة بتوجيه من قبل مجلس الإدارة والإدارة العليا (Tone at the Top)، وحث الموظفين على استخدام الخط الساخن مثلاً يزيد من اكتشاف حالات الاحتيال؛ حيث إن أغلب حالات الاحتيال يتم اكتشافها بشكل رئيسي وحسب التقارير الإحصائية لـ(ACFE.com) كانت بنسبة 40 % من خلال ورود معلومات سرية (Tips)، علماً أن 50 % من عمليات الاحتيال كان أهم أسبابها ضعف تطبيق الضوابط الرقابية. كما يتوجب على المؤسسة أن تقوم بتفعيل دورها في اتخاذ الإجراءات الإدارية والقانونية اللازمة في معاقبة ومحاسبة المسؤولين عن عمليات الاحتيال، وأن تكون رسالتها واضحة للموظفين بهذا الصدد، وإطلاعهم على عواقب ارتكاب عمليات الاحتيال والدروس المستفادة، إضافة إلى لائحة الجزاءات وقانون العقوبات والأثر الاجتماعي على الموظف وإضراره بمستقبله المهني.

*إعداد: منتدى خبراء إدارة المخاطر- فريق مخاطر التشغيل

السوق مفتوح المؤشر 1571.57 0.07%

إغلاق

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock