הסיכונים המשמעותיים ב 2019 בביקורת פנימית

2018 כבר מאחורינו ושנת 2019 בפתח, כך שקרוב לוודאי שרובכם כבר מוכנים תכנית העבודה ל 2019.
אז רגע לפני שאתם מציגים אותם לועדת הביקורת, צ'יימברס ממליץ להסתכל על סדר העדיפויות שהעמיתים שלכם קבעו ל 2019.

סיכונים הם הקו המנחה בעבודתו של המבקר הפנימי כלל ובקביעת תכנית העבודה השנתית בפרט.
לכן אנחנו משקיעים רבות בהבנה וניהול נכון של סיכונים בארגון.

בתכנית העבודה אנחנו מתרכזים שסיכונים שיכולים לצוץ במהלך השנה.
האתגר האמיתי הוא לנסות לזהות סיכונים לא צפויים שעשויים להופיע כבר בשבועות הקרובים ולוודא שהארגון ערוך לכך.

סיכון ראשון – Cybersecurity

שני מחקרים התפרסמו לאחרונה, האחד של Gartner Inc והשני של ה – European Confederation of Institutes of Internal Auditing (ECIIA), מדברים על כך שהסיכון המשמעותי ביותר ל 2019 הוא נושא הסייבר – cybersecurity.
סיכון זה טיפס מעלה בהיררכיית הסיכונים של הביקורת הפנימית במהלך השנים האחרונות וזה גרם לנו להבין יותר את נושא הסייבר והסיכונים השונים הכרוכים בו למשל data governance  ו – data privacy. שיטות הפריצה הופכות להיות יותר ויותר מתוחכמות ועל כן יש להתעדכן בדרכים להתמודד מולם.

שימו לב ששלוש מתוך ארבעת הסיכונים המדורגים גבוה ביותר בדו"ח של גרטנר  מתמקדים בסייבר:

  • Cybersecurity preparedness
  • Data privacy
  • Data governance
  • Third-party risk

Risk in Focus 2019 הדו"ח של ה ECIIA ממקם את שלושת הסיכונים האלו: cybersecurity, IT governance, and third-party risks לקטגוריה אחת.
קטגוריה נוספת בדו"ח ה ECIIA הוא נושא ה data protection בעולם ה GDPR.

סיכון נוסף – דיגיטציה, אוטומציה ובינה מלאכותית

ארגונים רבים נעזרים בתהליכים של דיגיטציה, אוטומציה ובינה מלאכותית כדי לחסוך בעלויות של כח אדם וטיוב נתונים.
האתגר בא לידי ביטוי במציאת האיזון שבין ההזדמנות לבין הסיכון. הדו"ח של ECIIA מצביע:

"The cost and efficiency benefits of automation and other digital processes can be transformative, if harnessed to their full potential. But organizations must also consider the risk associated with such transformation."

גם לפי נתוני ה IIA, אנו מזהים כי יש פוקוס משמעותי בתחום הסייבר.
ב 2016 60% מהמבקרים הפנימיים הראשיים בצפון אמריקה הצביעו על הסייבר כסיכון משמעותי (top risk) וב 2018 הפלח צמח ל 68%.
באותה תקופה אחוז המבקרים הראשיים שדירגו את תחום ה IT כסיכון משמעותי צמח מ 39% ל 53%.

אתיקה, יושרה ותרבות ארגונית כסיכונים משמעותיים

מעבר לסיכוני הסייבר, גרטנר מציין את האתיקה והיושרה כסיכונים משמעותיים. ה ECIIA מציין את התרבות הארגונית כסיכון.

קמפיין #metoo שעלה ב – 2018 הגדיר מחדש את האופן שבו ארגונים מתייחסים לסיכונים הקשורים להטרדה מינית ואי שוויון במקום העבודה. סיכונים אלו היו מוכרים לנו גם קודם, אך ברגע שהיה בום תקשורתי עם האשמות רציניות מול ידוענים ובכירים מתעשיית הבידור, נוצרה פגיעה תדמיתית קשה בארגונים אלו וכתוצאה מכך רמת הסיכון עלתה.
לרשתות החברתיות יש תפקיד מכריע בהפצת מידע ולכן, שוב, הטכנולוגיה משפיעה על חשיבות הסיכון.

גם פייסבוק ומארק צוקרברג סבלו בסקנדל קיימברידג' מפגיעה תדמיתית קשה כאשר איפשרו לחברה בריטית גישה לנתונים פרטיים של מיליוני משתמשים.
כתוצאה מכך עלתה המודעות בנוגע לאחריות הכרוכה בהגנת הפרטיות ובהגנת המידע (data protection and privacy).

לסיכום

אופי הסיכונים המשמעותיים ב 2019 יהיו קשורים לתחום הסייבר, data governance and privacy, third-party risk, והסכנות הנובעות מסיכונים אלו המשפיעות על האתיקה, היושרה והתרבות הארגונית .

צ'יימברס ממליץ להתייחס לכך בתכנית העבודה השנתית שלכם ל 2019.

לקריאת המאמר המלא בשפת המקור לחצו כאן

השארת תגובה