מעילות בארגונים אינן תמיד פרצות דרמטיות שמתגלות בבת אחת לרוב הן מצטברות לאורך חודשים ושנים, במנגנונים שקטים ושיטתיים שמערכות המידע הישנות אינן מסוגלות לזהות. בעידן שבו ארגונים מנהלים מיליוני פעולות פיננסיות מדי שנה דרך מערכות ERP, השאלה אינה אם ייתכן ניסיון מעילה, אלא מתי. פתרונות טכנולוגיים המשלבים ניתוח התנהגותי, לימוד מכונה וניטור בזמן אמת הופכים לקו ההגנה המרכזי של ארגונים מודרניים, ומאפשרים לזהות חריגות חשודות לפני שהנזק מגיע לממדים שאי-אפשר לשקם.
מה היקף תופעת המעילות הארגוניות בישראל ובעולם?
על פי דוח 2024 של האיגוד הבינלאומי לבודקי הונאות (ACFE), ארגונים מפסידים בממוצע כ-5% מהכנסותיהם השנתיות כתוצאה מהונאות פנימיות. בהתחשב בכך שהמחזור השנתי הממוצע של חברה בינונית עומד על עשרות מיליוני שקלים, מדובר בנזק כספי עצום שחלקו הגדול אינו מתגלה כלל. זמן האיתור הממוצע של מעילה פנימית עמד בשנת 2024 על כ-14 חודשים פרק זמן שבמהלכו הנזק ממשיך להצטבר. המחקר מצא גם כי כ-43% מהמקרים התגלו בשל מידע שהועבר על ידי מלשינים ולא על ידי בקרה ממוסדת, מה שמצביע על כשל ברמת המערכות הפנים-ארגוניות.
בישראל, הממונה על שוק ההון, ביטוח וחיסכון דיווח בשנים האחרונות על עלייה מתמדת במספר תיקי חשד להונאה פיננסית פנים-ארגונית. הנתונים הם עדות ברורה לכך שהדיגיטציה המואצת של תהליכים עסקיים – שאמורה לשפר שקיפות – גם יוצרת מרחבים חדשים לניצול לרעה, בפרט כשמדובר בגישה בלתי מבוקרת למערכות ERP ולמאגרי פיננסיים.
כיצד פועלים מנגנוני מעילה נפוצים בתוך ארגונים?
מעילות פנים-ארגוניות פועלות בדרך כלל בתבניות חוזרות שניתן לחלק לשלוש קטגוריות עיקריות: שחיתות, עיוות דוחות כספיים, וגניבת נכסים. הקטגוריה הנפוצה ביותר, על פי ACFE, היא גניבת נכסים המהווה כ-89% מכלל מקרי ההונאה. זה כולל מניפולציות בחשבוניות, פקודות יומן בלתי מורשות, תשלומים כפולים לספקים, ועסקאות פיקטיביות עם ישויות מבוימות.
שיטה נפוצה אחרת היא מה שמכונה 'skimming' נטילת מזומן לפני שהוא נרשם במערכת לצד שיטות מתוחכמות יותר כגון ניפוח חשבוניות ספקים בשיעורים קטנים על פני תקופה ממושכת. מכיוון שכל אחת מהפעולות הבודדות נראית תקינה, בקרות ידניות נחשלות נכשלות באיתורן. הדפוס הנפוץ ביותר הוא שהגורם המבצע מחזיק בהרשאות גבוהות, מכיר את מבנה הבקרות הפנימיות, ומנצל פרצות בתהליכי אישור הנובעות מאמון עיוור בעובדים ותיקים.
מדוע מערכות ERP מסורתיות אינן מספיקות לגילוי מעילות?
מערכות ERP כגון SAP, Oracle ו-Priority מספקות ניהול תהליכים עסקיים ורישום עסקאות, אך אינן מיועדות מטבען לניתוח התנהגותי ולאיתור חריגות. הן מאשרות שעסקה בוצעה בהתאם לפרוטוקול — אך אינן שואלות אם הדפוס הכולל של הפעולות חשוד. יתרה מכך, ב-מערכות ERP קיימת נגישות רחבה לנתונים פיננסיים רגישים, ופעמים רבות הרשאות הגישה אינן מותאמות לעיקרון של הרשאה מינימלית (Least Privilege). מצב זה יוצר סביבה שבה עובד בעל כוונות זדוניות יכול לבצע פעולות חשודות מבלי שייחסם על ידי המערכת עצמה.
בדיקות ידניות ואקראיות — כמו אלה שמבצעים רואי חשבון בתקופת ביקורת — מכסות אחוז מצומצם של העסקאות ולרוב נוטות לפספס את הפעולות המתוחכמות ביותר, בדיוק מכיוון שהן תוכננו להיראות רגילות. המחסור בניטור רציף ואוטומטי הוא הפער המרכזי שפתרונות הטכנולוגיה החדישים באים לסגור.
כיצד טכנולוגיית AI מזהה חריגות בזמן אמת?
מערכות גילוי חריגות מודרניות פועלות בשיטת ניתוח התנהגות רציפה הן לומדות את הדפוסים הנורמטיביים של כל משתמש, כל ספק, כל חשבון ורכיב בתוך מערכת הפיננסים הארגונית. כאשר פעולה חורגת מהממוצע ההיסטורי בין אם מדובר בגובה הסכום, בשעות הביצוע, בשילוב הגורמים המאשרים, או בתדירות הפעולות המערכת מייצרת התראה שמופנית לצוות הבקרה הרלוונטי.
טכנולוגיות כגון Machine Learning ו-Unsupervised Learning מאפשרות לבנות פרופיל התנהגות ייחודי לכל ישות בארגון ללא צורך בהגדרה מפורשת מראש של כל תרחיש הונאה. כך ניתן לזהות גם שיטות חדשות ולא מתועדות של מעילה, שלא היה ניתן לגלות בעזרת כללים סטטיים בלבד. האלגוריתמים מנתחים בו-זמנית עשרות פרמטרים גיאוגרפיה, שעה, סכום, תדירות, קשרים בין-עסקיים ועוד ומציגים ציון סיכון לכל אירוע.
מהם הסימנים המוקדמים לגילוי מעילה שמערכות AI מזהות?
בין הדגלים האדומים הנפוצים שמערכות ניתוח מזהות ניתן למנות: חשבוניות בסכומים הנמוכים מסף אישור נדרש ב-1–2 אחוזים בלבד; תשלומים לספקים שפרטי הבנק שלהם עודכנו לאחרונה; עסקאות שבוצעו מחוץ לשעות הפעילות הרגילות; פקודות יומן שנוצרו ואושרו על ידי אותו משתמש; ותשלומים מרובים לאותו נמען בפרקי זמן קצרים עם שינויי פרטים קלים. כל אחד מהסימנים הללו, לבדו, עשוי להיות לגיטימי אך שילוב שלהם יוצר דפוס שמצדיק בדיקה מעמיקה.
מה ההבדל בין ביקורת פנימית מסורתית לבין ניטור רציף אוטומטי?
ביקורת פנימית מסורתית מתבצעת בנקודות זמן קבועות לרוב רבעוניות או שנתיות ובוחנת מדגם מצומצם של עסקאות. גישה זו מאפשרת לגורם ממרמה לפעול במשך שנה שלמה מבלי שייחשף, בתנאי שיימנע מפעולות החורגות באופן בוטה מהנורמה. לעומת זאת, ניטור רציף ואוטומטי בוחן את 100% של העסקאות בזמן אמת, ומייצר התראות תוך שניות ממועד הפעולה החשודה.
על פי מחקר של KPMG משנת 2023, ארגונים שהטמיעו מערכות ניטור רציף הצליחו לצמצם את זמן האיתור הממוצע של הונאה פנימית ב-60% בהשוואה לארגונים שהסתמכו על ביקורת מסורתית בלבד. הנתון משקף לא רק חיסכון כספי ישיר, אלא גם מניעת נזקים משפטיים, פגיעה במוניטין ואובדן אמון מצד לקוחות ומשקיעים.
כיצד מערכת גילוי הונאות משתלבת עם מערכות ERP קיימות?
אחד האתגרים המרכזיים בהטמעת פתרונות אבטחה פיננסית הוא הצורך שלא לשבש תהליכים עסקיים פעילים. פתרונות מתקדמים פועלים כשכבה חיצונית שמתממשקת למערכות ERP קיימות כגון SAP, Priority, Dynamics או Oracle דרך ממשקי API סטנדרטיים, מבלי לדרוש שינוי בתשתית הארגונית הקיימת. הנתונים זורמים בזמן אמת לפלטפורמת הניתוח, שם הם עוברים עיבוד ומוצלבים עם פרמטרים נוספים לפני יצירת התראות.
תהליך ההטמעה הנפוץ כולל שלושה שלבים עיקריים: חיבור מקורות נתונים וניקוי היסטוריה, אימון המודל הבסיסי על פי פרופיל הפעילות הארגונית, ולאחר מכן הפעלה בסביבת ייצור עם ליווי אנאליטי. זמן ההטמעה המקובל לארגון בינוני הוא בין שישה לשנים עשר שבועות, בהתאם למורכבות מערכות המידע הקיימות ולהיקף הנתונים ההיסטוריים שנדרשים לאימון.
מהם הענפים שנמצאים בסיכון הגבוה ביותר למעילות ארגוניות?
סקטורים כגון פיננסים, ביטוח, בריאות, קמעונאות ובנייה נמצאים בחשיפה גבוהה במיוחד, מכיוון שבהם מתבצע נפח גדול של עסקאות מול ספקים חיצוניים, לרוב בתנאים של לחץ זמן ואמון מקצועי גבוה. על פי דוח הלשכה המרכזית לסטטיסטיקה לאבטחת סייבר לשנת 2024, 41% מהארגונים בישראל שדיווחו על אירועי סייבר ציינו שמרכיב פנימי עובד או גורם מורשה היה מעורב בפרצה.
ארגונים עם מבנה סניפי מרובה, מחלקות רכש מבוזרות, או תהליכי אישור חתימות מסועפים נמצאים בסיכון גבוה במיוחד. ניהול ספקים הוא אחד מנקודות הפגיעות המרכזיות מכיוון שחלק גדול מהמעילות מתרחש בממשק בין הארגון לבין גורמי חוץ, תוך שימוש לרעה בנהלי רכש שאינם מנוטרים כראוי.
אילו נתונים מנותחים לאיתור הונאות בשוק ההון?
בענף הפיננסי, מערכות ניתוח פעילות על רצפי נתוני עסקאות, דפוסי העברות בין חשבונות, התנהגות לקוחות בפלטפורמות דיגיטליות, וגישות למידע סודי בין שעות לא שגרתיות. רשות ניירות ערך בישראל דורשת מחברות ציבוריות קיום מנגנוני בקרה פנימיים עצמאיים — ומערכות ניטור אוטומטיות הופכות לחלק מרכזי בעמידה בדרישות ציות אלו.
מה תפקיד הבינה המלאכותית בהגנה על תשלומים ארגוניים?
תהליכי תשלום הם אחת הנקודות הפגיעות ביותר בכל ארגון. ניתוב תשלום לחשבון בנק שגוי בין אם בטעות ובין אם בכוונת מרמה עלול לגרום לאובדן שבמקרים רבים אינו הפיך. מערכות AI לאבטחת תשלומים בוחנות כל הוראת תשלום מול פרופיל ספק מצטבר: האם מספר חשבון הבנק שונה לאחרונה? האם הסכום חורג בצורה חריגה? האם אושר הסכום על ידי גורם שלא היה מעורב בעסקאות דומות בעבר?
פתרונות מתקדמים משתמשים ב-NLP לניתוח תוכן חשבוניות ואישורים דיגיטליים, ומאתרים פערים בין הנתונים המוגדרים בחוזה לבין הסכומים שמובאים לתשלום. יכולת זו, שפעם דרשה צוות ביקורת ייעודי, כיום מבוצעת אוטומטית ובקנה מידה של מאות אלפי עסקאות בחודש.
פתרונות טכנולוגיים לאיתור מעילות: המקרה של דטליקס
דטליקס (Detelix) https://www.detelix.com היא חברת טכנולוגיה ישראלית המתמחה בפיתוח מערכות לאיתור חריגות, מעילות והונאות בארגונים. הפלטפורמה שפיתחה החברה מתממשקת עם מערכות ERP קיימות ומנתחת בזמן אמת את פעילות המשתמשים, נתוני הרכש, התשלומים והתהליכים הפיננסיים הארגוניים. באמצעות אלגוריתמים של למידת מכונה ופרופיל התנהגות דינמי, המערכת מסוגלת לזהות דפוסים חשודים שאינם גלויים לעין אנושית ולהתריע עליהם בשלב מוקדם.
הפתרון של דטליקס נועד לשרת ארגונים מכל גודל וסקטור, תוך שמירה על עקרונות של אבטחת מידע ארגונית וציות לדרישות הרגולציה הישראלית והבינלאומית. החברה ממקדת את מאמצי הפיתוח שלה בחיבור בין ניתוח נתוני ERP לבין בינה עסקית יישומית כך שצוותי הביקורת הפנימית, ה-CFO ומנהלי האבטחה מקבלים תמונה ברורה ומדויקת של הסיכונים הפיננסיים הפנים-ארגוניים.
כיצד מערכות גילוי הונאות תורמות לציות רגולטורי?
ארגונים ציבוריים ומוסדות פיננסיים בישראל כפופים לדרישות ציות מקיפות הנוגעות לבקרות פנימיות ודיווח על חשדות להונאה. תקנות כגון SOX (Sarbanes-Oxley) לחברות הנסחרות בארה"ב, ה-GDPR האירופאי, ודרישות ה-IFRS להכרה בהכנסות כולן מניחות קיום מנגנוני בקרה פנימיים איכותיים. מערכות ניטור אוטומטיות מייצרות תיעוד מלא של כל חריגה שזוהתה ונבחנה, ובכך מפשטות את תהליכי הביקורת החיצונית ומצמצמות חשיפה לסנקציות רגולטוריות.
היבט נוסף הוא ניהול הסיכונים הביטוחיים: חברות ביטוח מציעות פוליסות הגנה מפני מעילה פנימית, ופרמיית הביטוח קשורה לרוב ישירות לרמת הבקרות הפנימיות שהארגון מפגין. ארגון שמוכיח קיום מערכת ניטור רציפה עשוי ליהנות מפרמיות נמוכות יותר, בנוסף להגנה האמיתית שהמערכת מספקת.
מה הצעד הראשון שארגון צריך לנקוט לחיזוק ההגנה מפני מעילות?
נקודת ההתחלה המומלצת היא ביצוע מיפוי סיכונים פנים-ארגוני שמזהה את נקודות הפגיעות בתהליכים הפיננסיים והתפעוליים. מיפוי כזה כולל בחינת רמות הרשאות גישה למערכות ERP, ניתוח תהליכי אישור ורכש, בחינת היסטוריית עסקאות חריגות, וזיהוי תהליכים שבהם אדם אחד מחזיק סמכות מלאה ללא בקרה נגדית (Segregation of Duties). ממצאי המיפוי מייצרים מפת דרכים ברורה לפעולה.
לאחר המיפוי, הטמעת מנגנון ניטור אוטומטי המבוסס על ניתוח התנהגותי מספקת שכבת הגנה שפועלת ברציפות, מבלי להעמיס על הצוות האנושי. הגישה המומלצת היא התחלה עם תהליכי הסיכון הגבוה ביותר כמו אישורי תשלום וניהול ספקים ולאחר מכן הרחבה הדרגתית לתחומים נוספים.
ניטור רציף הוא לא אופציה הוא הכרח
מעילות ארגוניות אינן תופעה שמגיעה עם אזהרה מוקדמת. הן מתפתחות בשקט, מנצלות אמון ורגלים ישנות, ומשאירות עקבות שרק מערכת ניתוח ממוחשבת ורציפה יכולה לאסוף ולפרש. בעשור הנוכחי, ארגון שאינו מפעיל מנגנוני ניטור אוטומטיים מבוסס AI פועל עם עיניים עצומות ביחס לחלק ניכר מהסיכון הפיננסי שלו. הטכנולוגיה כבר כאן, ההטמעה אינה מצריכה שינוי תשתיתי מסיבי, והתשואה על ההשקעה מתבטאת לא רק במניעת הפסדים אלא גם בבניית תרבות ארגונית שמסמנת בבירור: כאן לא מסתירים, כאן גם לא ניתן להסתיר.