הפיקוח על הבנקים השלים באחרונה תהליך ביקורת מערכתי בנושא בקרה פנימית בסיכון מעילות, במטרה לחזק ולשפר את היערכות הבנקים למניעת התממשות סיכון זה או צמצום נזקיו | מכתבי הדרישות שנשלחו לבנקים מפרטים את הצעדים הספציפיים שיש לנקוט בהם לסגירת הפערים | בהמשך לביקורת, בכוונת הפיקוח על הבנקים לחייב אימוץ של מסגרת COSO העדכנית באמצעות רגולציה מתאימה
אהרן פיין 03.10.2021
יאיר אבידן, המפקח על הבנקים | צילום: אילנית זינגרמן ונתנאל בן שבתהסטטיסטיקה הבינלאומית מעלה כי כל ארגון נתון לסיכון של ביצוע מעילה בידי עובדיו, מנהליו או הצדדים אחרים הקשורים אליו, והגופים הבנקאיים והפיננסיים חשופים למעילות אף ביתר שאת. למרות שלאורך קרוב לשני העשורים האחרונים לא התרחשו בבנקים בישראל מעילות משמעותיות, גופים פיננסיים במדינות אחרות חוו בשנים האחרונות אירועי מעילה משמעותיים, והסיכון לאירוע מעילה משמעותית מטבע הדברים קיים תמיד.
לאור כך, הפיקוח על הבנקים השלים באחרונה תהליך ביקורת מערכתי בנושא בקרה פנימית בסיכון מעילות, במטרה לחזק ולשפר את היערכות הבנקים למניעת התממשות סיכון זה או צמצום נזקיו.
תהליך הביקורת שביצע הפיקוח נועד לבחון את היערכות הבנקים להתמודדות עם סיכון זה, באמצעות בחינת הממשל התאגידי בניהול הסיכון, ההסדרים והתהליכים הקיימים בבנק והמשלבים פונקציות וגופים שונים, בקרות רוחב ארגוניות ואת סביבת הבקרה.
הבדיקה העלתה כי המערכת הבנקאית בישראל שואפת להטמיע תרבות ארגונית של אפס סבלנות למעילות ומשקיעה משאבים רבים במניעה ובגילוי המוקדם של מעילות, ובטיפול בתוצאות של אותן מעילות שהתרחשו בפועל למרות הכל. עם זאת, במסגרת תהליכי ביקורת אלו זוהו תחומים שבהם נדרשו התאגידים הבנקאיים להמשיך בתהליכי החיזוק של ניהול הסיכונים והבקרה הפנימית.
בסקירת פעילות בנושא היערכות המערכת הבנקאית למניעה, גילוי וטיפול במעילות שפורסמה על ידי בנק ישראל, הוסבר כי ניהול הסיכון בבנקים מנוהל בפועל בהתאם לתפיסת שלושה קווי ההגנה. הבדיקה העלתה שככלל הביקורת הפנימית פעילה ומעלה ערך משמעותי בניהול הסיכון. אולם נמצאו גם תחומים שבהם נדרש חיזוק הממשל על מנת שיהיה מקיף ואקטיבי יותר. כך למשל, נמצא כי המידע שמובא בפני ההנהלה והדירקטוריון בנושא זה אינו תמיד שלם, ואינו מוכלל ומנותח די הצורך, באופן שמקשה בזיהוי מוקדי הסיכון או כשלים אפשריים בבקרה פנימית. בנוסף, בקרות הרוחב ארגוניות, כמו מנגנון חשיפת אי סדרים, לא פועלות באופן אפקטיבי בחלק מהבנקים. קיימות גישות לא אחידות לטיפול בחריגות עובדים ושיעור התלונות המתגלות באמצעות טיפ שהתקבל מעובד או באופן אנונימי נמוך בהשוואה בינלאומית. מנגנוני הרוטציה וההיעדרות הרציפה מתקיימים, ואולם לא ניתן דגש מספק לבקרות במסגרת תהליכים אלה, אשר עשויות להגביר את הסיכוי לגילוי מעילה באמצעותם.
בעקבות התהליך שבוצע, הפיקוח הבהיר לבנקים כי עליהם ליישם תכנית פעולה אקטיבית ויזומה, כדי להעביר מסרים ארגוניים, להדריך את המנהלים והעובדים ולהכשיר את עובדי ניהול הסיכונים והבקרה, ובנוסף לאמץ סטנדרטים מיטביים המקובלים ברמה בינלאומית בהקשר זה, הפיקוח על הבנקים הבהיר שבכוונתו לחייב את היישום של מסגרת COSO העדכנית, המהווה את הסטנדרט הבינלאומי הנושא זה, בבנקים שטרם ביצעו זאת באופן וולונטרי.
בסיכום הסקירה המקיפה ציינו בבנק ישראל, כי המערכת הבנקאית שואפת להטמיע התרבות של אפס סבלנות כלפי מעילות, ומשקיעה מאמצים ניכרים לצורך כך. ציפיית הפיקוח על הבנקים היא כי המערכת הבנקאית תמשיך לשמור על ערנות גבוהה ומתמדת כלפי אפשרות התרחשותה של מעילה מהותית, ותחזק ותשכלל את מערכי ניטור הסיכונים והבקרה הפנימית, ותאמץ בעניין זה את הסטנדרטים הבינלאומיים הגבוהים ביותר (כמו מסגרת בקרה פנימית של (COSO. הבנקים פועלים על פי מסגרת הבקרה הפנימית של COSO 1992, ורק חלקם הטמיעו את המסגרת המעודכנת מ-2013. בחלק מהבנקים נמצאו חולשות ביישום הסטנדרטים שהוטמעו, הלכה למעשה. דרישות הביקורת חידדו את הצעדים שיש לנקוט בהם כדי לצמצם את הפערים.
לסיום, נכתב, מכתבי הדרישות שנשלחו לבנקים מפרטות את הצעדים הספציפיים שיש לנקוט בהם לסגירת הפערים. בהמשך לביקורת בכוונת הפיקוח על הבנקים לחייב אימוץ של מסגרת COSO העדכנית באמצעות רגולציה מתאימה, כדי ליצור מחויבות לכך בבנקים שטרם ביצעו זאת באופן וולונטרי.
