ליקויים במניעת מעילות והונאות בחברת "יפה נוף": דוח חריג של מבקר המדינה

מבקר המדינה חושף ליקויים בעיריית חיפה ובחברת הבת שלה, יפה נוף, בכל הנוגע למניעת מעילות, הונאות וניהול תקין. המבקר מתריע על היעדר שקיפות, פיקוח רופף, והזנחה מתמשכת של מנגנוני בקרה, דווקא בגוף שמנהל מאות מיליוני שקלים מכספי ציבור. החברה: "אנו מקבלים את ההמלצות לשיפור בתחומים שונים".

דו"ח מבקר המדינה התשפ"ה על הביקורת בשלטון המקומי שהתפרסם אתמול (שלישי), בחן בחודשים אוגוסט 2024 עד ינואר 2025 את היערכותן של שמונה חברות עירוניות, ובהן חברת יפה נוף תחבורה, תשתיות ובנייה בע"מ שבבעלות עיריית חיפה, למניעת מעילות והונאות. הביקורת עסקה בשאלה עד כמה רשויות מקומיות וחברות הבת שלהן פועלות באופן תקין, שקוף וזהיר, במיוחד לאור העובדה שתאגידים עירוניים מנהלים מיליארדים מכספי ציבור. הסיכון להתרחשותן של מעילות והונאות הוא סיכון מובנה בכל ארגון המנהל כספים ונכסים, והוא עלול לגרום לנזק כספי ניכר ולפגיעה בתדמית הארגון. בסקר שפרסם איגוד חוקרי ההונאות הבין-לאומי (ACFE) לשנת 2024, הוערך כי מעילות והונאות גרמו להפסדים מצטברים של 3.1 מיליארדי דולר ב-1,921 מקרים שנחשפו, והן עלולות להסב נזק שווה ערך לכ-5% מההכנסות השנתיות של ארגונים בממוצע.

הממצאים הנוגעים לעירייה ולחברת יפה נוף מציירים תמונה של חוסר היערכות ושל הזנחה מתמשכת: העירייה לא פרסמה הנחיות מקצועיות למניעת מעילות בתאגידים שבבעלותה, לא קבעה נהלים לדיווח על מקרים שהתגלו ולא יזמה הכשרות לעובדים או לדירקטורים. המבקר גם מציין כי העירייה אינה מרכזת מידע מסודר על הכשרות שעברו הדירקטורים בתאגידים שלה. עיריית חיפה מסרה כי היא פועלת בנושא באמצעות מעקב אחר שינויי חקיקה, וכן באמצעות היכרות עם מקרי הונאות ומעילות ועם מנגנוני הבקרה, וכי הידע בנושא מועבר בפגישות עם נושאי משרה בתאגידים וכן במסגרת קורסי הכשרה לדירקטורים. עם זאת, העירייה מקבלת את ההמלצה ותפעל לחידוד ההנחיות המקצועיות והעקרונות המנחים בנוגע למניעת מעילות והונאות בתאגידים העירוניים שלה. מבקר עיריית חיפה עשה בשנים 2018-2024 ביקורות בתשעה מתוך 22 תאגידים עירוניים. הביקורות עסקו במגוון נושאים, ובין היתר הן כללו גם התייחסות לתחומים בעלי זיקה למניעת מעילות והונאות, לדוגמה, הממשל התאגידי, מכרזים והתקשרויות והעסקת עובדים. דוחות הביקורת לשנת 2024 צפויים להתפרסם לציבור.

חברת יפה נוף, המנהלת פרויקטים תחבורתיים בהיקפים של מאות מיליוני שקלים, לא מינתה גורם אחראי לנושא, לא קבעה נוהל ייעודי למניעת מעילות, לא מבצעת ביקורות פתע, לא מפעילה מערכת דיווח אנונימית ואין לה מדיניות סדורה לניהול סיכונים. החברה נוסדה במטרה לנהל פרויקטים ולבצע עבודות הנדסה עבור עיריית חיפה ורשויות אחרות. החברה עוסקת גם בגיבוש מענים בהתאם לצורכי התושבים לרבות בתחום האנרגיה הירוקה. מחזור ההכנסות של החברה בשנת 2023 עמד על 104 מיליוני ש"ח, והיא מעסיקה 22 עובדים. ביקורת פנימית בנושא מניעת מעילות והונאות לא בוצעה בחברה, והיא אינה מבצעת הדרכות ייעודיות לעובדים בנושא. הדירקטוריון וההנהלה לא קיימו ישיבות בנושא מניעת מעילות והונאות, ואין לחברה מנגנון לדיווח אנונימי על חשדות למעילות והונאות. כמו כן, החברה אינה גיבשה מדיניות ניהול סיכונים ואינה מבצעת סקר סיכונים ייעודי בנושא.

בתחום המכרזים וההתקשרויות, פועלת החברה לעיתים לפי כללים של חברות ממשלתיות, מה שמאפשר לה להעלות את רף הפטור ממכרז, בניגוד לעקרונות דיני המכרזים המוניציפליים. המבקר מציין עמימות וחוסר אחידות שמגבירים את הסיכון לשחיתות. ועדת המכרזים מורכבת מגורמים מקצועיים של החברה, ובכלל זה גורם מקצועי מתחום הכספים ויועץ משפטי או נציגיהם; לפי נוהל החברה אפשר למנות כחברים גם שני דירקטורים. עמדת היועץ המשפטי או נציגו תכריע בעניינים משפטיים, אך עמדת החשב או מנהל הכספים לא תכריע בעניינים תקציביים. החברה קבעה את סכום הפטור ממכרז לפי הוראות החלות על חברות ממשלתיות (200,000 ש"ח). ב-2024 היו לחברה 519 התקשרויות עם ספקים. החברה אינה מפרסמת החלטות מנומקות של ועדת התקשרויות על התקשרויות בפטור, אך מפרסמת מידע על התקשרויות בפטור. מערכות המחשב של החברה אינן מאפשרות לשלוף נתונים מרוכזים על כלל ההתקשרויות בפטור ממכרז ועל עילת הפטור.

בתחום ניגודי עניינים, החברה אינה משתמשת בשאלונים מפורטים לעובדים וליועצים, אלא מסתפקת בהצהרות כלליות בלבד, מה שעלול להותיר מקרים חמורים מתחת לרדאר. לחברה אין נוהל פנימי ייעודי למניעת ניגוד עניינים של עובדים ויועצים, ואין שימוש בשאלון מפורט לאיתור חששות לניגוד עניינים בהתקשרויות עם ספקים. הליך האיתור של ניגוד עניינים של עובד כולל שאלה כללית אחת בלבד: "האם מתקיימות לגביך נסיבות אשר עשויות לעלות כדי ניגוד עניינים?". טופס ההצהרות בדבר ניגוד עניינים של יועץ בשלב ההתקשרות כולל שאלה אחת. החברה מבצעת בדיקת קרבת משפחה בין עובדי החברה לספקי החברה בזמן קליטתם.

גם בתחום השקיפות לציבור, יפה נוף נכשלת: היא אינה מפרסמת דוחות לפי חוק חופש המידע, לא חושפת פרטים על התקשרויותיה עם ספקים, ולא מקצה באתרה מקום לפרסום דוחות ביקורת. באתר החברה לא פורסם דוח שנתי לפי חוק חופש המידע, אין מידע על דרכים נוספות לקבלת מידע שבידי הגוף, אין תמצית הדוח הכספי/הדוח הכספי המבוקר, אין פרוטוקולים של הדירקטוריון, אין פרסום החלטות מנומקות של ועדת התקשרויות על התקשרויות בפטור, אין פרסום סכומי התקשרויות עם ספקים ופרטיהם, אין פרסום מאגרי היועצים, אין מדור באתר עם מידע על דוחות ביקורת, אין המבנה הארגוני, אין שמות של בעלי התפקידים בהנהלה, אין שמות של חברי הדירקטוריון, אין דרכי התקשרות עם בעלי התפקידים וחברי הדירקטוריון.

המבקר גם מציין ליקויים בבקרות על תשלומים לספקים, פתיחת כרטיסי ספקים חדשים, ובדיקות רקע לעובדים, בעיקר כאלה בתפקידים רגישים. החברה לא קבעה נוהלי עבודה פרטניים לשימוש באמצעי התשלום השונים. היא עשתה שימוש בשישה אמצעי תשלום ב-2023: מס"ב (86,153,468 ש"ח), הוראות קבע (1,331,277 ש"ח), העברות בנקאיות (2,188,587 ש"ח), המחאות (1,638,672 ש"ח), כרטיס אשראי (17,619 ש"ח), מזומן (12,000 ש"ח). דירקטוריון החברה אישר ב-2020 לבצע תשלומים באמצעות מס"ב, ובפועל רוב התשלומים מבוצעים בשיטה זו. אין לחברה נוהל מפורט בנושא מורשי חתימה. היא מבצעת התאמות בנקים פעמיים בשבוע. אין מנגנון לקבלת אישור נוסף על העברת כספים מעל לסכום מסוים. היא מבצעת מדי רבעון בקרות על הוצאת הכספים מהקופה, אך אינה מבצעת ביקורות פתע לגבי השימוש באמצעי תשלום. היא שומרת אמצעי תשלום בכספות. יש הפרדת תפקידים בתהליך התשלום במס"ב: גורם אחד עורך את קובץ התשלומים, ולפחות גורם אחד אחר עורך בקרה על הקובץ. יש בקרה על השוואה בין הסכום הסופי לתשלום המופיע במערכת הנהלת החשבונות לבין קובץ התשלומים במס"ב. יש בקרה על מספר הרשומות לתשלום לפי מערכת הנהלת החשבונות אל מול הפירוט בקובץ התשלומים למס"ב לפני שידור הקובץ. יש בדיקת התאמה מלאה בין הקבצים ששודרו מהנהלת חשבונות למס"ב לבין הקבצים שהתקבלו במס"ב. רשימת המסמכים הנדרשת כוללת אישור ניהול ספרים, אישור ניכוי מס במקור, אישור רישום חברה ברשם החברות (אם רלוונטי) ואישורים על ניהול חשבון בנק. יש דרישה לקבל אסמכתאות לנכונות פרטי חשבון בנק מספק. יש דרישה להציג אישור מרשויות המס על ניהול ספרים תקין. מבוצעת בדיקה מול נתוני מס הכנסה כי מספר העוסק המורשה ושמו של הספק קיימים ותואמים. אין בקרה במערכות המחשוב המונעת פתיחה של כרטיס ספק אם לא מצורפים כל המסמכים והנתונים הנדרשים. יש בקרה המונעת פתיחת כרטיסים נוספים לאותו ספק. יש בקרה המונעת הקמת ספקים חדשים עם מספר חברה של ספקים שאינם פעילים במערכת המחשוב. יש הפרדת תפקידים בהליך הקמת הספק במערכת: נדרשים לפחות שני גורמים מתוך החברה כדי להשלים את הליך הקמת הספק. יש בקרה ממוחשבת המונעת הזנה של מספר ספק שגוי. אין פנייה לספק כדי לוודא את תקינות המידע שנקלט במערכות החברה בתהליך פתיחת כרטיס ספק. אין בקרה ממוחשבת המונעת קליטת ספק חדש שהוא גם עובד החברה. יש אמצעי טכנולוגי שבו מתועדים מספרי חשבונות הבנק של ספקי החברה ועובדיה. אין בדיקה תקופתית של הצלבה בין נתוני חשבונות הבנק של ספקי החברה ועובדיה. אין אמצעי טכנולוגי המתריע באופן אוטומטי על התאמה בין נתוני חשבונות הבנק של ספקי החברה ועובדיה. נעשית בדיקת קרבת משפחה בין עובדי החברה לספקי החברה בזמן קליטתם. אין בדיקות תקופתיות לאיתור ספקים כפולים במערכות הממוחשבות. אין בקרה לאיתור חשבונות בנק זהים לספקים שונים. אין בדיקות מדגמיות עיתיות לבחינת אמיתות נתוני ספקים בקובץ אב ספקים. אין פנייה תקופתית למדגם ספקים כדי לאמת את הנתונים הרשומים בספרי החברה. יש פעולה לסגירת כרטיסי ספקים שאינם פעילים: בחברה יש הליך פרטני, ולפיו כאשר מחליטים על סגירת כרטיס ספק שאינו פעיל – נבדקת גם יתרה בכרטיס ואם יש צורך לשלם לספק לפני סגירתו. יש בקרה לחסימת הזמנות עבודה לספקים שהכרטיס שלהם סגור. אין דוח באופן תדיר המפרט את כל השינויים שנעשו בקובץ אב ספקים. אין אימות של בקשות שינוי בפרטי חשבון הבנק אל מול הספק. אין התרעה על ביצוע שינוי בחשבון הבנק במערכת. יש גורם נוסף בחברה המפקח על הגורם המבצע את השינוי בפועל מטעם החברה. אין פנייה אוטומטית לספק בדבר שינויים שבוצעו בפרטי חשבון הבנק שלו. יש מערכת או תוכנה להזמנת עבודה או ציוד. יש הרשאות שימוש וצפייה למשתמשים שונים במערכת. אין אישור של גורם נוסף פרט למקים ההזמנה לצורך השלמת הקמה של הזמנה חדשה במערכת. הגורם המורשה לאשר חשבונית אינו הגורם המורשה להוציא את התשלום. חשבונית עוברת מסלול אישורים לפני שמועברת פקודת תשלום. יש חסימה ממוחשבת להזנת חשבונית כפולה. במערכת הממוחשבת מתבצעת בדיקה עיתית לאיתור תשלומים כפולים לאותו ספק. היחידה שקיבלה את השירות או את הציוד סורקת את החשבונית למערכת הממוחשבת. יש בקרה ממוחשבת המונעת קליטת חשבונית בסכום החורג מסכום ההזמנה. אין בדיקה עיתית לאיתור הזמנות ששולמו בחריגה נוסף על בקרות מונעות. נדרש הגשת דיווח כאשר השירות או המוצר הנרכש מתקבל: הגורם המקצועי בחברה נדרש לאשר את קבלת השירות או המוצר לפני אישור חשבון במסגרת הליך אישור חשבון, וללא אישורו לא ניתן לשלם לספק.

לסיכום, הדוח מתריע כי עיריית חיפה וחברת יפה נוף אינן ערוכות כראוי למניעת מעילות והונאות. בעירייה ובחברה נדרשת פעולה מיידית: גיבוש נהלים, מינוי בעלי תפקידים רלוונטיים, השקעת משאבים בבקרות, ובה בעת הפנמה שמינהל תקין אינו מותרות אלא חובה בסיסית בכל גוף ציבורי. "הסיכון קיים בכל גוף ציבורי", נכתב בדוח, "אך יש כלים יעילים לצמצם אותו ואלו אינם מיושמים בחיפה". מומלץ לעיריית חיפה לפרסם לתאגידים העירוניים שלהן הנחיות מקצועיות בנושא מניעת מעילות והונאות ולקבוע הנחיות בנוגע לדיווחים על מקרים שאירעו ועל פרצות שהתגלו. כמו כן מומלץ לה ליזום פעילויות למידה והכשרות משותפות בנושא מניעת מעילות והונאות לעובדי התאגידים העירוניים שלה. מומלץ לחברת יפה נוף לפעול לביצוע פעולות כלל-ארגוניות למניעת מעילות והונאות, ובכך לצמצם את הסיכון בהקשר זה ולהימנע מההשלכות הלא רצויות שעלולות להיגרם עקב מקרי מעילות והונאות. מומלץ לחברה לגבש נוהל פנימי למניעת ניגוד עניינים של עובדי החברה ויועציה כדי לעגן במסמך מחייב את מכלול הפעולות שעל החברה לנקוט בתחום זה ואת חלוקת האחריות לביצוען, בהתאמה למבנה הארגוני שלה ולעקרונות הממשל התאגידי; על החברה להסדיר במסגרת נוהל את תהליך המניעה של ניגודי עניינים בהתקשרויות עם ספקים. זאת כדי לעגן תהליך סדור שבמסגרתו יאותרו, עוד בטרם ההתקשרויות עם הספקים, ניגודי עניינים אפשריים. על החברה לפעול לאיתור ניגודי עניינים באמצעות שאלון מפורט גם בנוגע לעובדים שלה וליועצים שעימם היא מתקשרת, בהתאם להנחיות של משרד הפנים בנושא, ולא להסתפק בהצהרות כלליות. על החברה לפרסם את המידע החייב בפרסום על פי חוק חופש המידע שהיא אינה מפרסמת, למשל, את הדוחות לפי חוק חופש המידע. כמו כן מומלץ לה להשלים את פרסום המידע החסר באתר שלה, אף שהיא אינה מחויבת בפרסומו. למשל, לפרסם את ההחלטות של ועדת ההתקשרויות על התקשרויות בפטור ממכרז ואת הפרטים על ההתקשרויות עם ספקים וכן להקצות באתר מדור לפרסום דוחות ביקורת. מומלץ לחברה לקבוע נוהל שיפרט את הליך הקביעה של מורשי החתימה וכן את תהליכי העדכון של המורשים במקרה הצורך, ובכלל זה את האופן שבו תתקבל ההחלטה ואת דרכי עדכון הבנקים; עוד מומלץ לחברה ליישם ביקורות פתע לגבי השימוש באמצעי התשלום עתירי הסיכון שבהם עושה החברה שימוש; מומלץ לחברה לצמצם ככל הניתן את מספר אמצעי התשלום שהיא עושה בהם שימוש ולרכז את עיקר התשלומים באמצעים שנחשבים לבטוחים יותר, כגון מס"ב, זאת כדי לאפשר בקרה טובה יותר על השימוש באמצעי התשלום. מומלץ לחברה למפות את מכלול הבקרות הנוגעות לתהליך הקמת ספק ולהוסיף בקרות שחסרות כמו פנייה לספק כדי לוודא את תקינות המידע שנקלט במערכות החברה; מומלץ לה להוסיף בקרה המונעת פתיחת כרטיס ספק אם לא מצורפים כל המסמכים והנתונים הנדרשים; מומלץ לה ליישם הפרדת תפקידים בתהליך הקמת ספק. זאת כדי לצמצם את הסיכונים למעילות ולהונאות בתהליך זה. מומלץ לחברה ליישם בקרות ממוחשבות שיסייעו למנוע התקשרות של החברה עם עובד שלה המשמש בד בבד גם כספק וגם כנותן שירותים, ויאפשרו לאתר התקשרויות כאלה. מומלץ לחברה לבצע בדיקה תקופתית לאיתור מספרי חשבונות בנק זהים באמצעות הצלבה של נתוני חשבונות הבנק בין ספקי החברה לעובדי החברה. מומלץ לחברה להפיק דוח לאיתור שינויים שנעשו בקובץ אב ספקים באופן סדיר, כדי שתוכל לקבל תמונה עדכנית על מאגר הספקים הפעילים ולאתר שינויים שעלולים להצביע על מעילה. מומלץ לחברה להטמיע בקרה לאימות של בקשות שינוי בפרטי חשבון הבנק אל מול הספק או איש קשר המוכר לה מטעמו כדי למנוע מקרי הונאה הנובעים מהתחזות לספק או מי מטעמו. מומלץ לחברה להטמיע במערכת שלה בקרה שתתריע על ביצוע שינוי בחשבון בנק במערכת. מומלץ לחברה ליישם בקרה שלפיה יידרשו שני גורמים לפחות לשם ביצוע שינוי בפרטי חשבון בנק של ספק. מומלץ לחברה, בעת עדכון פרטי חשבון הבנק וכבקרה נוספת על הבקרות שהיא מיישמת, לשלוח עדכון בזמן אמת לספק בנוגע לשינויים שבוצעו בפרטי חשבון הבנק שלו. אי-ביצוע עדכון שכזה בזמן אמת עלול להוות פרצה לביצוע מעילות ואף לגניבת זהות הספק ולביצוע העברות של תשלומים לא ראויים. מומלץ לחברה לשלב במערכת שלה בקרה ממוחשבת המונעת קליטת חשבונית בסכום החורג מסכום ההזמנה. מומלץ לחברה לשלב בקרות מאתרות לאיתור הזמנות ששולמו בחריגה, נוסף על בקרות מונעות, כדי לוודא שלא נקלטו הזמנות על אף החסימות, שלא על בסיס שיקול דעת ענייני. מומלץ לחברה למסד מנגנוני רוטציה בין מפקחים כדי למנוע מצב שאותו גורם מפקח שוב ושוב על אותם קבלנים. מומלץ לחברה לבצע ביקורות פתע על המפקחים ולתעד את תוצאותיהן כדי להבטיח שהפיקוח משיג את יעדיו ואינו מוטה. לנוכח היקף ההתקשרויות הגדול לביצוע מיזמים, הנאמד במאות מיליוני ש"ח, ולנוכח הסיכון המובנה בהליכי הפיקוח למעילות והונאות יש חשיבות לבצע ביקורות כאלו נוסף על הבקרות המיושמות כיום. מומלץ לחברה לבצע מבחני אמינות לעובדים לתפקידים בתחום הרכש והכספים או בעלי תפקידים שתפקידם כולל אחריות על תחומים אלה לרבות אלה הפועלים באגפים או יחידות מחוץ למחלקת הכספים בארגון, לאור רגישות תפקידיהם. מומלץ לחברה לשלב בדיקות בנושא תפקודם של עובדים במקומות עבודה קודמים. מומלץ לחברה ליישם בקרה של הפרדת תפקידים בין העובד המקים את ההזמנה לעובד המאשר את הקמת ההזמנה במערכות. מומלץ לחברה ליסד בהנחיות או בנוהל את חובת הוצאת אנשי כספים ורכש לחופשה רציפה בת שבעה ימים לפחות שלא במסגרת החופשות המרוכזות בחגי סוכות ופסח. מומלץ לחברה לשקול לחייב עובדים בתפקידים רגישים לצאת לחופשה רצופה גם לא במועדי הפגרות. מומלץ לחברה לקבוע כללים הנוגעים לתדירותן ולמשכן של חופשות של עובדים בתפקידים רגישים. מומלץ לחברה לבצע מדי תקופה שתוגדר הליך רוטציה בין עובדי רכש, או בין גורמים בחברה שלהם תחומי עיסוק ואחריות דומים בהתחשב בגודל המחלקה ובתחומי ההתמחות של העובדים. מומלץ לחברה לבצע מדי תקופה שתוגדר הליך רוטציה בין עובדי מחלקת הכספים שלה וא בין תחומי העיסוק והאחריות שלהם בהתחשב בגודל המחלקה ובתחומי ההתמחות של העובדים.

התייחסות חברת יפה נוף לממצאי הדוח: "אנו מברכים על עבודת מבקר המדינה. אנו רואים חשיבות רבה בשמירה על עקרונות טוהר המידות, שקיפות, ממשל תקין וניהול אחראי ופועלים לשפר את תהליכי העבודה והבקרה הפנימית באופן מתמיד. נציין כי בדוח המבקר לא נמצאו ממצאים המעידים על מעילות או הונאות בחברה ואנו גאים על כך. עם זאת, אנו מקבלים את ההמלצות לשיפור בתחומים שונים, לרבות הרחבת המידע המפורסם באתר האינטרנט. יפה נוף מחויבת לפעול באחריות ציבורית מלאה ולהמשיך לקדם סטנדרטים גבוהים של ניהול תקין לטובת הציבור בעיר חיפה ובאזור כולו". מעיריית חיפה לא התקבלה תגובה.