מבוא

חוק החברות בישראל קובע כי "תפקיד ועדת הביקורת של הדירקטוריון לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו". עד כה לא היו בישראל פרסומים רגולטוריים מיוחדים ומפורטים (אם בכלל) באשר למדיניות, לעקרונות ולהליכים הרצויים שראוי שוועדת הביקורת של הדירקטוריון תאמץ. לא כן המצב במדינות מערביות רבות.

מוצגת להלן, על בסיס השוואה רעיונית, התבנית הבריטית – המודל הבריטי הרצוי לטיפול בחושפי שחיתות ובמידע שהם העבירו. המודל הבריטי מבוסס על מערכת החוקים בבריטניה נכון ל-2021 והוא דומה מאוד להסדרה שכאמור קיימת גם במדינות מערביות אחרות, כגון ב-27 מדינות האיחוד האירופי ובארה"ב באשר לחברות הנסחרות בבורסה. כלומר, החקיקה והמודל הבריטי, בשינויים הנדרשים, עשויים לשמש את ועדת הביקורת של הדירקטוריון כסרגל רעיוני וקו מנחה. על בסיס המודל יכולות ועדות הביקורת של חברות בע"מ בישראל, ובמיוחד אלה הנסחרות בבורסה, לאמץ עקרונות ומדיניות הנדרשים לשם בניית תוכנית, מדיניות ונהלים להגנת חושפי שחיתות בישראל, ובאשר להליכים הארגוניים לטיפול במידע שנחשף.

המודל הבריטי המוצג להלן עשוי לשמש גם את יחידת הביקורת הפנימית בחברות בישראל, ולהוות מעין מודל לביקורת הפנימית בבואה לבחון בצורה השוואתית את המדיניות והנהלים שקבעה ועדת הביקורת של הדירקטוריון בישראל ולהציע שיפורים ותוספות.

המודל הבריטי Whistleblower Policy Template

מבוסס על פרסום של חברת הייעוץ CORE INTEGRITY מיוני 2021

1. הצהרת מדיניות

מטרת מדיניות ההגנה על חושפי שחיתות היא לעודד ולתמוך בדיווח על עבירות והתנהגות בלתי הולמת או התנהגות הנחזית לבלתי הולמת.

2. הצהרה

העובדים של הארגון הם הנכס הארגוני הגדול ביותר, וככאלה הארגון מחויב לספק להם תרבות דיבור בטוחה ותומכת –Speak Up Culture .

אנו כארגון מחויבים לשמור על הסטנדרטים הגבוהים ביותר של התנהלות והתנהגות אתית בכל עת.

3. תכולה – לא רק על עובדי הארגון

המדיניות מתייחסת לארגון ולכל החברות בנות שלו, והיא חלה על כל העובדים, הדירקטורים, המנהלים, הקבלנים, היועצים והצדדים השלישיים (ספקים) ועובדיהם בהווה ובעבר.

4. זכויות משפטיות

אדם שדיווח במסגרת מדיניות זו על עבירות או התנהגות בלתי הולמת, יש לו זכויות משפטיות לפי חוקי בריטניה. המדיניות של הארגון אינה גוברת על זכויות אלו אלא באה להוסיף בנדון.

5. הצהרת מדיניות בדבר הזכות למימוש תרבות ארגונית של Speak Up

אנו מעודדים אותך להשמיע את קולך ולדווח על כל בעיה אמיתית או נחזית כהתנהגות לא נכונה או התנהגות בלתי הולמת. אנו מחויבים לטפח תרבות דיבור בטוחה, תרבות של ,Speak Up ואנו נגן עליך כאשר אתה מדווח בנדון.

חשוב להדגיש כי חברת הייעוץ מציינת שזאת אחת מהצהרת המדיניות החשובות ביותר במודל.

6. הבטחת אנונימיות וסודיות

אתה יכול לבחור למסור את פרטיך או להישאר אנונימי, ובכל הנסיבות אנו נטפל בזהותך ובמידע שתמסור בסודיות מוחלטת. אנו נשתף את שמך ואת המידע שאתה מספק רק בהסכמתך או אם החוק מחייב זאת.

7. מיסוד "קו חם" חיצוני מוגן

אנו ממליצים לך לחשוף כל ביצוע פעולה פסולה או בלתי חוקית ישירות דרך מוקד הקו החם שלנו, המנוהל באופן עצמאי וביושרה מלאה על ידי גורם חיצוני לארגון.   שימוש בקו החם החיצוני מאפשר לארגון לספק לך את הליך הדיווח החשאי הטוב ביותר; וחשוב מכך, להבטיח שנוכל להגן עליך כפי שהבטחנו.

אם תרצה ערוצי דיווח נוספים, הרי שבארגון גם יש מספר גורמים ארגוניים שתוכל לדווח דרכם ואלה הם:

1. קצין הציות (מקובל גם בישראל בעיקר במגזר הפיננסי)
2. המבקר הפנימי הראשי (מקובל גם בישראל)
3. יו"ר ועדת הביקורת של הדירקטוריון (מקובל גם בישראל)

במקרי חירום או במקרים חריגים אתה יכול לחשוף התנהגות לא תקינה (על פי החקיקה הבריטית) דרך חבר פרלמנט או בתקשורת, אולם אנו ממליצים לך להגיש תחילה את הדיווח שלך לארגון.

8. כלים לדיווח

המודל נותן גם פירוט טכני של כלים לדיווח: פירוט מספר ערוצים שבהם ניתן לדווח באמצעות הקו החם לגורם החיצוני המוזכר לעיל, כגון דואר אלקטרוני, מכתב, טלפון או טופס מקוון.

9. הסבר מהו בסיס סביר לדיווח – על מה ניתן לדווח

אתה מוזמן להשמיע את קולך אם יש לך בסיס סביר לחשוד בכל התנהגות בלתי הולמת, עוול או התנהגות בלתי חוקית בארגון ובחברות בנות. האמור לעיל מתייחס לכל הפרה של החוק, קוד ההתנהגות הארגוני, או כל דבר אחר שאתה מרגיש שעשוי להשפיע על הארגון, העובדים, הלקוחות או "בעלי העניין".

רשימת נושאים הראויים לדיווח לפי התפיסה הבריטית:

• הונאה, גניבה או התנהגות לא ישרה (כולל זיוף רישומים);
• שוחד, שחיתות, הלבנת הון או מתן וקבלת עמלות סודיות לא ראויות;
• בריונות, הטרדה, התנכלות או אפליה;
• הפרת סדרי תעסוקה, עבודה או סדרי בריאות ובטיחות במקום העבודה או כל חוק אחר;
• התנהגות הפוגעת במוניטין או במותג של הארגון או ביחסים עם צדדים שלישיים;
• הפרה של מדיניות פנימית (כגון קוד התנהגות או ניגודי עניינים);
• הפרות של סודיות – חשיפת מידע סודי;
• יצירת סכנה לציבור או למערכת הפיננסית;
• כל התנהגות בלתי הולמת אחרת;
• עבירה נגד כל חוק אחר (של חבר העמים הבריטי – שדינה מאסר לתקופה של 12 חודשים ומעלה

הרחבה בדבר ההגנה הארגונית על חושפי שחיתות

הארגון מחויב להגן על כל מי שחושף שחיתות על ידי:

1. הגנה על זהותך

• לא נשתף את זהותך או מידע שסביר שיוביל לכך שזהותך תיחשף, אלא אם תיתן את הסכמתך או שזה מותר על פי חוק. אנו תמיד נבקש את הסכמתך לפני חשיפת זהותך או חשיפה של כל מידע שאתה מספק.

2. הבטחת הוגנות

• אנו מחויבים להבטיח שאתה תקבל יחס הוגן ושאינך מקופח או מופלה לרעה כתוצאה מפעולתך.
• אנו נעריך-ננתח את הדוח שלך וננקוט את כל הפעולות הסבירות והמתאימות כדי לשקול, לחקור ולפתור את הבעיות שהועלו.
• אנו נטפל בכל דיווח לגופו במונחים של הפעולה או התגובה המתאימה, אך בכל הנסיבות אנו מחויבים להבטיח הוגנות לכל הצדדים המעורבים.

3. מתן תמיכה

• אנו מבינים שחשיפת שחיתות היא תהליך קשה, ואנו מחויבים לספק תמיכה לך ולכל גורם אחר שנפגע לאורך כל התהליך.
• כחלק מהמחויבות הזו, תהיה לך גישה לקצין ההגנה על חושפי שחיתויות – עובד מיוחד של הארגון (משרה ארגונית במודל הבריטי -מעין קצין ציות בישראל; בבריטניה יש גם קצין חקירות מיוחד לחקירת המידע שנחשף). אותו גורם אחראי להבטיח שההגנות על פי מדיניות זו נאכפות.
• אם יש לך שאלות או חששות לגבי ההגנות החלות עליך והתמיכה הניתנת, אתה מוזמן ליצור קשר עם קצין הגנת חושפי שחיתות.

דרכי הטיפול במידע שחושף השחיתות העביר

• עם קבלת המידע שחשפת באמצעות הקו החם החיצוני והמוגן, מנהל הקו החם, החיצוני לארגון, יקצה את ניתוח המידע לאדם המתאים ביותר בהתבסס על הנושא שעלה. תוך כדי כך, המידע שהעברת יוערך כדי לקבוע אם הוא כשיר להיות בגדר חשיפת שחיתות מוגנת. כל המידע המוגן יועבר לקצין הגנת חושפי שחיתויות של הארגון.
• בהתאם לנושא שעלה ייתכן שתידרש חקירה. אם נדרשת חקירה, קצין הגנת חושפי שחיתות הארגוני יהיה אחראי לפיקוח על ביצוע החקירה, וגורם אחר מטעמו יהיה נקודת הקשר שלך כדי להבטיח שאתה מוגן ונתמך לאורך כל התהליך.
• במקרים מסוימים עשוי להתמנות חוקר חיצוני שיבצע חקירה מטעם הארגון. משך החקירה הרשמית יהיה תלוי בנסיבות, כולל מספר ההאשמות, העדים וגורמים נוספים.
• אתה, כחושף שחיתות, תוכל לקבל עדכונים, לספק מידע נוסף ולשאול שאלות בנוגע למידע שהעברת ולהתנהלות החקירה, זאת באמצעות פלטפורמת הדיווח המקוונת המאובטחת.

יש לציין כי במודל הבריטי המוצע אין הגדרת התנכלות לחושפי שחיתות כעבירה, זאת לעומת מדינות מערביות רבות.

סיכום ותובנות

בעולם המערבי ישנה הסכמה רחבה על חשיבותם ותרומתם של חושפי שחיתות. בהתאם חלו וחלות תמורות מהותיות המלוות בחקיקה מרחיבה להגנת חושפי שחיתות. לא כן המצב בישראל. אומנם חוק החברות בישראל קובע כי "תפקיד ועדת הביקורת של הדירקטוריון לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו", אך עד כה לא היו בישראל פרסומים רגולטוריים מיוחדים ומפורטים (אם בכלל) באשר למדיניות, לעקרונות ולהליכים הרצויים שראוי שוועדת הביקורת של הדירקטוריון תאמץ.

זאת בראש וראשונה משימתם של הרגולטורים הרלוונטיים לחברות בע"מ להבהיר  בתקנות או בהנחיות את מיטב דרכי ההגנה על חושפי שחיתות. זאת גם משימתם של ועדות הביקורת על בסיס החוק בנדון. זאת גם משימתם של מבקרי הפנים בחברות בע"מ, כיועצים וסוכני שינוי ועל יסוד השוואה –BENCHMARKING   -להפנות את תשומת ליבן של ועדות הביקורת והדירקטוריון לצורך להגן היטב על חושפי השחיתות.

כפועל יוצא זהו אתגר גם לכנסת ישראל, הממשלה, משרד המשפטים, משרד הפנים ומבקר המדינה – לערוך רפורמה חקיקתית-תפיסתית בנדון גם באשר למגזר הממשלתי והמקומי. גם מבקרים פנימיים בשלטון המרכזי והמקומי יכולים לתרום בנדון.

The post המודל הבריטי – תבנית רעיונית להגנת חושפי שחיתות בחברות בישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

• רקע כללי

בשנים האחרונות אנחנו שומעים על מקרים רבים של קבלת שוחד וטובות הנאה ועל מקרים של 'יד רוחצת יד' המעידים על קיומה של תרבות ארגונית המאפשרת שחיתות.

שחיתות ארגונית אינה רק עבירות של פשע כגון מרמה, הונאה, מעילה ושוחד, אלא גם עבירה מסוג עוון – רמת עבירות פליליות פחות חמורות, וכן מעשים לא תקינים אחרים, כולל עבירות משמעת ובהן ניגודי עניינים, קבלת טובות הנאה, לרבות מתנות אסורות, התעמרות-התנכלות-הטרדות, פגיעה בכללי אתיקה, פגיעה במשאבי הארגון, ובשנים האחרונות אף פגיעה באיכות הסביבה ובהיבטים סוציאליים-חברתיים (כחלק מהיבטי ESG).

השחיתות הארגונית לגווניה פוגעת במשאבי הארגונים ופוגעת בבעלי העניין בתוך הארגון ומחוצה לו (בעלי המניות, הציבור בכללותו, עובדים, ספקים, לקוחות ועוד), וכן עלולה להיות כרוכה בסיכוני רגולציה, תביעות משפטיות, אובדן מוניטין וכדומה. מכאן עולה הצורך במאבק בשחיתות הארגונית.

מכיוון שמעשי שחיתות ארגונית מקורם לרוב במערכות יחסים ובטובות הנאה הצומחות לשני הצדדים, קשה מאוד לחשוף מעשים אלה.

חושפי שחיתות (whistle blowers), כדוגמת עובדים, ספקים, קבלנים ועוד, הם מקור מידע חשוב ביותר לחשיפת שחיתות ארגונית לסוגיה. על פי נתונים שנתיים שמפרסם ארגון ACFE – Association of Certified Fraud Examiners, כ-40% ממקרי השחיתות שמתגלים בחברות עסקיות נחשפים על ידם. על פי הנתונים הללו זהו מקור המידע הגדול ביותר לחשיפת שחיתות ארגונית.

לכן יש חשיבות בכך שהארגון יעודד את עובדיו לחשוף שחיתות ארגונית על גווניה. לצד זאת, יש לזכור שהמחסום העיקרי בחשיפת שחיתות ארגונית ומעשים לא תקינים הוא חשש מהתנכלות של עובדים, ועדי עובדים ומנהלים.

תרבות ארגונית המעודדת עובדים לחשוף שחיתות ומעשים לא תקינים מכונָה speak up.

עידוד מנהלים להקשיב היטב לתלונות ולפעול נקראListen up .

כדי לבחון את אופן התייחסות הארגונים בישראל לנושא הגנת חושפי שחיתות בהשוואה לנורמות מתקדמות, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון בדבר חשיפת מעשי שחיתות בארגונם (הן בהתייחס לעבירות פליליות והן בהתייחס לשחיתות נמוכה יותר ברמת עבירות של עוון ועבירות משמעת).

השאלון התבסס על מיטב הידע והפרקטיקה העולמית לעניין הגנת חושפי שחיתות:

• הוראות SOX בארה"ב המייצרות מסד נורמטיבי בין-לאומי בדבר הגנת חושפי שחיתות.
• חקיקה של האיחוד האירופי שנכנסה לתוקף בסוף 2021 וממסדת את הגנת חושפי השחיתות.
• שני פרסומים חדשניים משנת 2022, NAVEX ו-COMPLIANCELINE, המייצרים מדדים מעניינים בדבר חשיפת שחיתות.
• מסמכים של חברה ישראלית הנסחרת בנאסד"ק וכפופה לרגולציה האמריקאית.

להלן ממצאי השאלון ומסקנות עיקריות בנושא:

• ניתוח המשיבים לשאלון

ענפים – להלן התפלגות המשיבים על פי ענפים:

המשיבים האחרים כוללים ענפים שונים (שיעור משיבים בודדים מכל ענף), לרבות חברות עסקיות הרשומות למסחר בבורסות חיצוניות וכפופות לרגולציה חיצונית וענף התעשייה.

הרגולציה שחלה על הארגונים – להלן התפלגות המשיבים לפי הרגולציה החלה עליהם:

ארגונים שחלה עליהם רגולציה מתקדמת

תחת ההגדרה של רגולציה מתקדמת כללנו ארגונים שחלה עליהם רגולציה מחוץ לישראל (גם אם לצד רגולציה ישראלית), וארגונים פיננסיים שחלה עליהם רגולציה ישראלית מתקדמת יותר.

לצורך ניתוח המידע באופן מעמיק חילקנו את המשיבים לארגונים שחלה עליהם רגולציה מתקדמת ולארגונים אחרים. מטרת החלוקה הייתה לבחון אם ארגונים שבהם יש רגולציה מתקדמת יותר, קיימת מודעות רבה יותר לנושא ההגנה על חושפי שחיתות.

כפועל יוצא, שאר הארגונים הם ארגונים מהמגזר הממשלתי, לרבות שלטון מקומי ותאגידים סטטוטוריים שחלה עליהם רגולציה ישראלית בלבד.

על פי ניתוח זה, 34% מהמשיבים נכללים תחת הגדרת "ארגונים בעלי רגולציה מתקדמת".

• מודעות בארגונים לנושא הגנת חושפי שחיתות

ביקשנו לבדוק אם קיימת בארגונים מודעוּת לעניין זה והאם נושא ההגנה על חושפי שחיתות מתוקשר לעובדים, לרבות אופן הגשת התלונות בנדון. להלן התפלגות תגובות המשיבים בהקשר זה:

בדומה לכך, מניתוח הנתונים עולה כי ב-60% מהארגונים שעליהם חלה רגולציה מתקדמת יש מודעות ותקשורת בדבר מעשי שחיתות. בארגונים אחרים שלא חלה עליהם רגולציה מתקדמת, 53% מהמשיבים דיווחו כי יש בארגונם מודעות ותקשורת בדבר מעשי שחיתות, בצורה מלאה או חלקית.

מהאמור לעיל עולה כי באשר למודעות בארגונים ותקשורת בדבר מעשי שחיתות, אין הבדל משמעותי בין ארגונים שחלה עליהם רגולציה מתקדמת לבין ארגונים אחרים.

לצורך העמקת הניתוח של מודעות הארגונים לנושא הגנת חושפי שחיתות, ערכנו ניתוח של התפלגות התשובות לפי ענפי הפעילות של הארגונים, כדלקמן:

מהנתונים שבגרף עולה שבענף הממשלתי ניתן לראות באופן מובהק כי במרבית הארגונים אין בכלל מודעות ותקשורת בנושא הגנת חושפי שחיתות. לעומת זאת, בענף הפיננסי, בענף התעשייה ובחברות עסקיות הרשומות למסחר בבורסות חיצוניות, מגזרים הכוללים ארגונים שחלה עליהם רגולציה מתקדמת, יש במרבית הארגונים מודעות ותקשורת בנושא.

• מדיניות בנושא הגנת חושפי שחיתות

מודעות ותקשורת היא תנאי הכרחי אך לא מספיק. נדבך חשוב לבחינת התייחסות ומודעות הארגונים לנושא הגנת חושפי שחיתות הוא קביעת מדיניות ארגונית בנדון. בהתאם, שאלנו את המבקרים הפנימיים אם נקבעה בארגונם מדיניות בנדון ומהם המרכיבים בה.

על פי מיטב הידע והפרקטיקה העולמית, מסמך מדיניות, קוד אתי או כל מסמך אחר המתווה את מדיניות הארגון, נדרש להכיל מספר מרכיבים הרלוונטיים לנושא הגנת חושפי שחיתות, כדלקמן:

• א. הצהרה על חשיבות תרומתם של חושפי השחיתות לארגון.
• ב. עידוד עובדים לחשוף שחיתות ארגונית.
• ג. התייחסות גם לספקים/ קבלנים/ נותני שירותים כחושפי מעשים לא תקינים.
• ד. הבטחת סודיות ואנונימיות לחושפי שחיתות.
• ה. הבטחת הגנה לחושפי שחיתות מפני מתנכלים.
• ו. הגדרת התנכלות לחושפי שחיתות כעבירת משמעת.
• ז. הגדרת תלונות שלא הוגשו בתום לב כעבירת משמעת.

21% בלבד מהמשיבים דיווחו כי קיים בארגונם מסמך מדיניות הכולל את כלל המרכיבים הנדרשים.

בהשוואה לנתונים אלה, 40% מהמשיבים מארגונים שחלה עליהם רגולציה מתקדמת, דיווחו כי יש בארגונם מסמך מדיניות בנדון הכולל את כלל הרכיבים. בארגונים שלא חלה עליהם רגולציה מתקדמת, רק 11% מהמשיבים דיווחו כי בארגונם מסמך מדיניות הכולל את כלל הרכיבים.

• מרכיבי המדיניות

כדי ללמוד על מהות ותוכן המדיניות בהקשר של הגנה על חושפי שחיתות בארגונים השונים, ביקשנו לדעת אילו פרמטרים נכללים במסגרת מסמכי המדיניות בכלל הארגונים. להלן התפלגות תשובות המשיבים בעניין זה:

במבט כללי על התרשים ניתן לראות שהמשיבים דיווחו שהרוב המוחלט של הפרמטרים המקובלים בעולם המערבי לא נכללו במסגרת מסמך המדיניות בארגונם. חריגים לכך הם הפרמטרים של התנהגות לא אתית/הולמת והתייחסות לניגודי עניינים. הפרמטרים שבהם שיעור המשיבים הנמוך ביותר שציינו כי הם נכללים במסמך המדיניות הם התייחסות לפגיעה באיכות הסביבה והתייחסות למעשי שחיתות אחרים.

לשם העמקה והשוואה, בחנו את התפלגות הפרמטרים במסמכי המדיניות בארגונים בעלי רגולציה מתקדמת לעומת הפרמטרים הנכללים במסמכי המדיניות בארגונים האחרים שלא חלה עליהם רגולציה מתקדמת:

מהתרשים ניתן ללמוד שברוב מוחלט של הפרמטרים שיעור המשיבים דיווחו כי הפרמטר שנכלל במסגרת מדיניות הארגון גבוה באופן משמעותי בארגונים שחלה עליהם רגולציה מתקדמת לעומת שיעור המשיבים בארגונים שלא חלה עליהם רגולציה מתקדמת. הפערים בין שיעורי המשיבים מגיעים בחלק מהמקרים לפי שלושה ואף פי ארבעה.

• עידוד עובדים להגיש תלונות על מעשי שחיתות בארגון

נדבך חשוב ובעל משמעות בהקשר של מדיניות הארגונים באשר להגנה על חושפי שחיתות, הוא עידוד של העובדים בארגון לחשוף שחיתויות ואף להגיש תלונות בעניין זה (גם תלונות אנונימיות).

ביקשנו לבדוק אם עוגנה בארגונים מדיניות להגנה על חושפי שחיתות. להלן התפלגות תשובות המשיבים:

בניתוח נוסף שערכנו לבחינת ההתפלגות בנדון בארגונים שבהם לא חלה רגולציה מתקדמת, התוצאה היא ש-32% בלבד מהמשיבים דיווחו כי במסגרת מדיניות הארגון נכלל גם עידוד לחשיפת שחיתות ארגונית. לעומת זאת, בארגונים שחלה עליהם רגולציה מתקדמת, 70% מהמשיבים דיווחו כי במסגרת מדיניות הארגון נכלל גם עידוד לחשיפת שחיתות ארגונית. נתונים אלה אינם מפתיעים מפני שרוב הארגונים שחלה בהם מדיניות בתחום הגנה על חושפי שחיתות הם בעלי רגולציה מתקדמת.

• תלונות אנונימיות

ביקשנו לבדוק מהו השיעור (הממוצע באחוזים) של התלונות האנונימיות באשר למעשי שחיתות לסוגיהם, ביחס לכלל התלונות שהתקבלו בארגון (כלומר השיעור של מספר התלונות האנונימיות מתוך כלל התלונות, כולל האנונימיות) בשלוש השנים האחרונות. אף אחד מהמשיבים לא השיב שבארגונו השיעור הממוצע של התלונות האנונימיות גבוה מ-10%.

50% מהמשיבים בארגונים בעלי רגולציה מתקדמת השיבו שהשיעור הממוצע של התלונות האנונימיות הוא עד 10%, ושאר המשיבים – 50% השיבו כי אינם יודעים. 42% מהמשיבים בארגונים שלא חלה עליהם רגולציה מתקדמת השיבו שהשיעור הממוצע של התלונות האנונימיות הוא עד 10%, ו-58% השיבו כי אינם יודעים.

את התשובות לעיל השווינו לסקר NAVEX משנת 2022 המתייחס לנתוני שנת 2021. הסקר העלה כי שיעור התלונות האנונימיות היה 50% מכלל התלונות – שיעור גבוה מהרבה מזה שנמצא כאן. שיעור נמוך של חושפי שחיתות המבקשים אנונימיות מלמד על חשש מהותי של חושפי שחיתות להתלונן, אפילו באופן אנונימי.

• דרכי הגשת התלונות

במסגרת הסקר התבקשו הנשאלים לסמן את דרכי הגשת התלונות בארגונם. הסקר כלל שמונה דרכים להגשת תלונות, המבוססות על החוקים והפרקטיקות המקובלים במדינות המערב, בדגש על שיטות מתקדמות לפי מיטב הטכנולוגיה.

להלן התפלגות דרכי הגשת התלונות בארגונים כפי שהמשיבים דיווחו (כל משיב יכול היה לסמן מספר דרכי הגשת תלונה):

ניתן לראות בתרשים כי למעלה מ-60% מהמשיבים דיווחו כי דרכי הגשת התלונות בארגונם כוללות שיחה פנים מול פנים עם גורם בקרה ארגוני, שיחה פנים אל פנים עם הממונה הישיר ודוא"ל לגורמי בקרה. כלומר, חלק לא מבוטל מהפרקטיקות בכלל לא מופעל בארגונים.

יתרה מזאת, 10% מהמשיבים דיווחו כי אינם יודעים מהן דרכי הגשת התלונות.

• קבלנים וספקים כחושפי שחיתות

מי שנחשפים לחשש למעשי שחיתות בתוך ארגון הם לא רק העובדים אלא גם ספקים, נותני שירותים וקבלנים שנמצאים במגע משמעותי עם החברה ונחשפים למעשי שחיתות ארגונית.

על פי דוח משנת 2022 של רשות ניירות הערך האמריקאית – SEC (המתורגם גם בגיליון זה), 40% מחושפי מעשי השחיתות בשנת 2021 היו גורמים חיצוניים, כגון רואי חשבון, אנליסטים פיננסיים, ספקים, משקיעים או אפילו אנשים עם קשרים עסקיים או חברתיים עם מישהו בתוך הארגון.

בדומה, הרגולציה המתקדמת של האיחוד האירופי כוללת הגנה גם על גורמים אלה.

לעומת זאת, בישראל התובנה הזאת טרם השתרשה. כך, אם נסתכל על המענה לשאלון נראה כי 30% בקרב המשיבים מארגונים שחלה עליהם רגולציה מתקדמת דיווחו שבמסגרת מדיניות ארגונם בנושא חושפי שחיתות נכללת התייחסות גם לקבלנים וספקים כחושפי שחיתות. לעומת זאת, שיעור של 21% בלבד התקבל בקרב המשיבים מארגונים שלא חלה עליהם רגולציה מתקדמת.

• התנכלות לחושפי שחיתות

21% מכלל המשיבים, ללא תלות באיכות הרגולציה, דיווחו שבארגונם היו מקרים של התנכלות לחושפי שחיתות.

לעומת זאת, בארגונים שחלה עליהם רגולציה מתקדמת, 60% מהמשיבים דיווחו שבארגונם לא היו מקרים של התנכלות לחושפי שחיתות, וה-40% הנותרים דיווחו כי אינם יודעים על מקרים כאלה. כלומר כל המשיבים שדיווחו שבארגונם היו מקרים של התנכלות לחושפי שחיתות הם מארגונים שלא חלה עליהם רגולציה מתקדמת.

הנתונים אינם מייצרים מסקנה חד-משמעית, אולם התובנה העיקרית שעולה מהם היא שיש לא מעט מקרים של התנכלות לחושפי שחיתות. עובדה זו מתקשרת באופן ישיר להיעדר מודעות ומדיניות בנדון בארגונים רבים, בעיקר כאלה שחלה עליהם הרגולציה הישראלית.

יתרה מכך, בשאלתנו לגבי מקרים שבהם עובדים או מנהלים נחשדו בהתנכלות לחושפי שחיתות, דיווחו 83% מהמשיבים כי כלל לא ידוע להם אופן הטיפול בהתנכלות לחושפי שחיתות בארגונם. 17% הנותרים דיווחו כי בארגונם לא ננקטים כלל אמצעים נגד התנכלות לחושפי שחיתות.

אף אחד מהמשיבים לא ציין כי בארגונו מבוצעות בפעולות אקטיביות נגד התנכלות לחושפי שחיתות, כדוגמת העמדה לדין פלילי, העמדה לדין משמעתי או אפילו נזיפה.

נתון זה מחדד את היעדר המודעות לנושא ולצורך בקביעת האמצעים ודרכי הפעולה במקרים של התנכלות לחושפי שחיתות ארגונית.

• ביקורת ובקרה בתחום חושפי שחיתות

לצד בחינת התייחסות הארגונים להגנה על חושפי שחיתות, בדקנו אם יחידות הביקורת הפנימית נמצאות באותה רמת התייחסות של הארגון בכללותו, או שמא הן יותר מתקדמות בתחום זה. בהתאם, ביקשנו לבדוק אם יחידות הביקורת הפנימית בארגונים ערכו ביקורות בתחום הגנת חושפי שחיתות בחמש השנים האחרונות 2022-2017:

מהתרשים נלמד כי במרבית הארגונים נושא ההגנה על חושפי שחיתות ארגונית לא נכלל במסגרת תוכנית הביקורת הפנימית. גם כאן הדבר עולה בקנה אחד עם מדיניות הארגונים בנדון והרגולציה הישראלית שעדיין לא מספיק מפותחת בהקשר הזה לעומת הרגולציה הבין-לאומית.

בהשוואה לפי רמת הרגולציה שחלה בארגונים, העלינו שבארגונים שחלה עליהם רגולציה מתקדמת, 50% מהמשיבים ציינו כי הנושא נבדק במסגרת תוכנית הביקורת פעם אחת או במסגרת מטלות אחרות, לעומת 26% בלבד בקרב המשיבים מארגונים שלא חלה עליהם רגולציה מתקדמת.

כאמור, אחת הבעיות הכבדות בעידוד עובדים לחשוף מעשי שחיתות לסוגיהם היא החשש של עובדים, ספקים ונותני שירותים מהתנכלות. לכן לצד עבודת הביקורת הפנימית, ביקשנו לבחון אם בארגונים ישנם גורמים אחרים בארגון, כדוגמת גורמי ניהול או בקרה, שערכו או עורכים אחת לתקופה סקר/שאלון מובנה או ראיונות מובנים שמבטיחים לעונים סודיות ומנסים לבחון את מידת החשש של עובדים לדווח על מעשים לא תקינים.

93% מהמשיבים מכלל הארגונים דיווחו כי לא נערך בארגונם סקר או שאלון כאמור. אי בדיקת החשש של העובדים פירושה שהמדיניות להגנה על חושפי שחיתות, גם אם היא מתקדמת בחלק מן הארגונים, עדיין נשארה ברמה הפורמלית-דקלרטיבית ולא חדרה לתודעת העובדים ולהפחתת חששות אלה.

תגובות דומות התקבלו גם מניתוח תשובות המשיבים בארגונים שחלה עליהם רגולציה מתקדמת.

• סוף דבר

מהניתוח לעיל עולה תמונת מצב מדאיגה באשר למודעות ולאופן הטיפול של ארגונים בארץ בהגנה על חושפי שחיתויות. תמונת מצב שונה מעט מתקבלת מארגונים שחלה עליהם רגולציה מתקדמת כמו רגולציה מחוץ לישראל או רגולציה ישראלית בתחומים הפיננסיים, אולם גם כאן יש עוד מקום רב לשיפור.

המסקנה העיקרית העולה מתגובות המשיבים לשאלון, מעלה תחומים רגולטוריים מהותיים שטרם הוסדרו או נעשים רק באופן חלקי.

הדבר מתחייב במיוחד באשר למכלול החברות הציבוריות, היות שהמחוקק קבע מפורשות בתיקון משנת 2011 שתפקיד ועדת הביקורת "לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו". החוק חל גם על המגזר הפיננסי, ולנוכח הנתונים שהוצגו לעיל ניתן לומר כי ישנה עוד כברת דרך לפעולה מתקנת ומרחיבה בדומה לנעשה במדינות מערביות מתקדמות.

מעניין לציין שהביקורת הפנימית לא התייחסה באופן משמעותי לתחום זה במסגרת תוכנית העבודה, ולא השכילה לקדם את חשיבות הבדיקה בנדון, על מרכיביה החיוניים, לפחות בחמש השנים האחרונות.

הממצאים העולים כאן מהווים גם מסר חשוב לרגולטורים בדמות הצורך בעיגון רגולציה בתחום זה והסדרת רגולציה מתקדמת יותר, כמו גם להנהלות במגזר הממשלתי, בדגש על תאגידים סטטוטוריים והנהלות של משרדי ממשלה.

The post ממצאי שאלון בנושא הגנת חושפי שחיתות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ועדת הבדיקה הממשלתית הוסמכה לבדוק את אירוע בריחת האסירים הביטחוניים מכלא גלבוע ואת הנסיבות שהובילו להתרחשותו. הוועדה בוחנת גם את היערכות שירות בתי הסוהר למניעת בריחות אסירים ממתקני כליאה. הוועדה תקבע ממצאים, מסקנות והמלצות בקשר לכך.

על רקע מינוי ועדת החקירה, שטרם פרסמה את מסקנותיה, הכותבים נמנעים מלהסיק מסקנות אודות גורמים שהיו מעורבים באירועי הבריחה מכלא גלבוע והמרדף אחר המחבלים, ואינם מחווים דעה על האירועים הנ"ל כשלעצמם או אחריותם של גורמים כאלו ואחרים. הכותבים משתמשים רק בפרסומים פומביים בתקשורת הישראלית, בדגש על אירוע הבריחה כמקרה בוחן, לשם מתן הדגשות למבקרים פנימיים באשר לסימנים מעידים על חשש לתרבות ארגונית לקויה ועל תפקיד המבקר הפנימי בנדון.

סקירת סימנים מעידים בשלבים השונים שקדמו לאירוע הבריחה ולאחר מכן

אין איש בישראל שלא נחשף לאירוע בריחת המחבלים מכלא גלבוע בספטמבר 2021. הסיפור כיכב בתקשורת, פתח מהדורות חדשות והיה שיחת היום באותה עת. המדינה השקיעה משאבים אדירים במרדף אחר המחבלים ובלכידתם.

לפני הבריחה מהכלא – סימנים מעידים לכאורה על תרבות ארגונית לקויה

טרם הבריחה, בשנים 2021-2020, התקשורת פרסמה מעת לעת סדרת חשדות לפלילים ומעשים אינם אתיים של סוהרים וקציני שב"ס ואף של מפקדי בתי סוהר. לכאורה מדובר בעבירות של שוחד, קבלת טובות הנאה, חריגות אתיות חמורות וכדומה, המצביעות על סממנים של תרבות ארגונית בעייתית. להלן דוגמאות:

• מפקד כלא מגידו התפטר משב"ס בעקבות שימוש בפקודיו כעובדי מטבח בעת חתונת בנו.
• מפקד כלא עופר הועבר מתפקידו לאחר שכשל בהחלטה פיקודית, ובניגוד להוראות אישר כניסה לכלא של אדם זר שבכליו סכום כסף נכבד. האדם רכש סיגריות בקנטינה של הכלא והפיץ\מכר אותן לאסירים.
• בעקבות תקלה טכנית, מידע אישי ממוחשב היה פתוח לכל אנשי השב"ס, אך אף גורם לא דיווח על כך. יתרה מזאת, לפי הדיווח קצינים בכירים וגורמים אחרים הוציאו לכאורה מידע אישי כדי להשתמש בו נגד קידומם של קצינים אחרים.
• סוהרים בכלא ניצן חשודים בעבירות פליליות של קשר עם אסירים, כולל החדרת פריטים אסורים לתאם תמורת טובות הנאה. במקרה אחר עצרה משטרת ישראל סוהר שפעל לכאורה, במספר מועדים ובמשך תקופה, להבריח לאסירים חפצים אסורים ובהם סמים וטלפונים ניידים, בתמורה לסכומי כסף וטובות הנאה.

תובנות לביקורת:

• ככלל, על מבקרים פנימיים להביא בחשבון מאפייני תרבות ארגונית לא תקינה, כולל תסמונת "יהיה בסדר" ויהירות יתר של מנהלים שאומרים בביטחון "אצלי זה לא יקרה!". אלו סממנים שראוי שהבקרה וכמובן הביקורת יחשפו וידווחו עליהם. לשם כך ישנן שיטות בדיקה הנקראות "ביקורת רכה" ו"בקרה רכה" ויש לאמץ אותן ולתפעלן בארגון.
• דגש נוסף: בנייה וחיזוק חשיפת שחיתויות ואי תקינות באמצעות קביעה ויישום של מדיניות המֵגנה על החושפים, ונוהלי "קו חם" המדגישים הבטחת סודיות ואנונימיות.
• על המבקר לבדוק את המוכנות של הארגון לאירועים חריגים הנוגעים לכוננות הארגון (למשל במסגרת ביקורות פתע, בשעות לא סטנדרטיות וכדומה), וגם את קיומן של בקרות שוטפות הנובעות מנהלים והנחיות. על המבקר לבחון את ביצועם הארגוני מעת לעת של תרגילים, כולל ביקורות פתע, המדמים אירוע חי כדי לצפות בתגובת אמת, וכן הפקת לקחים מתרגילים ויישומם.

איסוף, ריכוז וזרימת מידע מחשיד

לפי הפרסומים בתקשורת, טרם הבריחה מכלא גלבוע היו מספר סימני אזהרה ועימם כשלים בזרימת המידע, ובהם:

• קבלן משנה שהפעיל ביובית לפינוי שפכים מהכלא דיווח על הימצאות חול שלא אמור להיות בשפכים.
• אחד המחבלים ביקש לעבור לתא אחר שממנו בוצעה הבריחה. בקשתו אושרה למרות שמדובר באירוע לא סטנדרטי.
• ההכנות לבריחה נמשכו כתשעה חודשים. חלק מהכלואים האחרים כנראה ידעו על מה שעומד להתרחש ונדרשה פעילות מודיעינית-תשאולית.
• מתחת לכלא התגלו חללים תת-קרקעיים ששימשו את המחבלים לבריחה. הנהלת בית הכלא לא ידעה על קיומם של חללים אלו.

תובנות לביקורת – זרימת מידע:

האם המידע מרוכז אצל גורם אחד שמרכיב ויוצר את התמונה הכללית ומשדר אותה להנהלה? האם ייתכן שהמידע ממקורות שונים, בדגש על מידע רגיש, מגיע באופן שוטף לגורמים שונים בארגון ואלה לא חולקים אותו?

אחד מיסודות הניהול והבקרה הוא תקשורת(Communication) . מבקר פנימי צריך לבחון ולוודא קיום מנגנון סדור של זרימת מידע נאות להנהלה ומההנהלה לעובדים.

הגורם האנושי

לפי הפרסומים:

• סוהר לא התעקש לראות פיזית את הכלוא בזמן שזה חפר את המנהרה, אלא הסתפק בסיפור כיסוי של כלואים אחרים בתא.

תובנות לביקורת:

על המבקר להביא בחשבון טעויות ושגיאות בשל הגורם האנושי. צריך לזכור שכל תהליך ארגוני עלול להיכשל בגלל הגורם האנושי. אחד מתפקידי הבקרה והביקורת הוא להצביע על כשלים מהותיים בתהליכים. עוד יש להוסיף כי פעמים רבות שגרה ארגונית מהווה סיכון וגורמי הבקרה והביקורת צריכים לאתגר אותה.

סיכונים חיצוניים

לפי הפרסומים:

• תוכניות אדריכליות של הכלא היו נגישות באינטרנט.

תובנות לביקורת:

על מבקרים פנימיים להתייחס גם לסיכונים חיצוניים שעלולים להשפיע על פעילות הארגון בכללותו או על הנושא המבוקר. יש לוודא כי הנהלת הארגון פועלת למניעת פרסום פומבי של מידע רגיש שלא מחויב מכוח חוק ורגולציה, כגון תוכניות מבנה, נוהלי ביטחון פנימיים וכדומה.

בזמן הבריחה מהכלא

נהלים והנחיות

לפי הפרסומים, חלק מהבקרות הפנימיות כשלו בשל בעיות הקשורות לתרבות הארגונית ואי יישומם של נהלים והנחיות:

• מעל פתח היציאה של המנהרה שדרכה ברחו המחבלים לא היה שומר במגדל, ואילו השומר במגדל הפינתי נרדם.
• סוהר במרכז שליטה שאמור לצפות בצילומי מצלמות בזמן אמת לא ראה את המתרחש.
• עבר פרק זמן ניכר בין דיווחי אזרחים על דמויות חשודות בשדות הצמודים לכלא לבין ספירת כלואים וגילוי בריחת המחבלים.

תובנות לביקורת:

על הבקרה ועל המבקר הפנימי לוודא קיום ויישום של נהלים והנחיות רלוונטיים ולאתגר אותם, במיוחד בתחומים מרובי סיכון לארגון הספציפי. יש לזכור כי תפקיד המבקר הוא לאתגר גם את הבקרה.

אחרי הבריחה מהכלא

הפקת לקחים והסקת מסקנות

לפי הפרסומים הרשויות נקטו מספר פעולות לאחר האירוע, ובהן:

• נבדק קיום חללים תת-קרקעיים בכל בתי הכלא האחרים. כתוצאה מכך אותרו מקרים נוספים וכנראה נמנעו אירועי בריחה דומים.
• כפי שפורסם בתקשורת מתוך ועדת החקירה לנושא הבריחה מכלא גלבוע, לדברי רח"ט מודיעין בשב"ס, מתחילת שנת 2021 ועד חודש נובמבר (במועד שבו העיד), נחשפו ונמנעו כ-1,500 ניסיונות בריחה מבתי כלא.
• מסמכים מסווגים נמחקו ממחשבי שב"ס; נבדק אם נמחקו לאחר הקמת ועדת החקירה לבריחה מכלא גלבוע.

תובנות לביקורת:

על המבקר להשתמש בניסיון של ארגונים רלוונטיים אחרים ((Benchmark באשר לטיפול באירועי כשל מהותיים ולבחון מה היה יוצא דופן באירוע שלא נחשף בזמן. מידע מניסיון של אחרים עשוי להיות כלי לימוד מניעתי לארגון של המבקר.

על המבקר לבחון את פעולות הארגון מיידית לאחר סיום האירוע. עליו לבדוק תהליכי חקירה, בדיקה והפקת לקחים פנימיים. בטווחי הזמן הבינוני והארוך המבקר צריך לבדוק את יישום הלקחים.

על המבקר לעדכן את תוכניות העבודה ואת סקר הסיכונים בהתאם להפקת הלקחים בנושא. בעת גילוי אירוע כשל נקודתי יש לשקול הגדלת המדגם או בדיקה מלאה של כל האוכלוסייה הרלוונטית.

במסגרת הרחבת פעילות או כניסה לפעילות חדשה של הארגון, על המבקר לבחון האם מיושמת הפקת לקחים בעקבות אירוע הכשל.

 סיכום ותובנות מערכתיות:

• ככלל, מצופה מהנהלת ארגון, ממערך בקרה ולענייננו ממבקר פנימי, לטפל בסימני אזהרה באופן שיטתי ומוסדר על מנת לראות את התמונה הכללית ולפעול למניעת אירועי כשל מהותיים טרם התרחשותם: על המבקר הפנימי לפתח ראייה מערכתית בגין ממצאים רבים של הביקורת הפנימית, שהצטברותם עשויה ללמד על היעדר ציות, בקרה וממשל תאגידי נאותים. כלומר, על המבקרים לנסות לחבר אירועים וממצאים מצטברים בארגון, שהם חלקים של פאזל, לכדי תמונה אחת גדולה.
• ניתן וראוי להסתמך על איסוף וניתוח אירועים חריגים מארגונים רלוונטיים אחרים, והפקה מראש של לקחים וכלים מניעתיים.
• יש לבחון האם קיים בארגון מנגנון המרכז את המידע על סימני אזהרה ויודע להפיק את התמונה המלאה. בגופים ביטחוניים מדובר למשל בגופי מודיעין, ובארגונים אזרחיים ביחידות הבקרה לסוגיהן (גורמי בקרה, מנהל הסיכונים, מנהל סיכוני מידע, קצין הציות, קצין הביטחון, משאבי אנוש וכדומה).
• ראוי שבתחום המקצועי המבקר הפנימי יערוך באופן שיטתי ביקורות רכות, כגון בדיקות בתחום התרבות הארגונית.
• ראוי שהמבקר יפעל לחיזוק מדיניות שתעודד עובדים ומנהלים לחשוף אי תקינות, חריגה מנהלים, פגיעה בביטחון ובבטיחות ועוד מעשי שחיתות, תוך הגנה על החושפים – יצירת מדיניות שלSPEAK UPבאמצעות יצירה ועיבוי כלים כגון "קו חם".

תפיסות וכיוונים אלה יחזקו גם את מעמדו של המבקר הפנימי ותרומתו לארגון כבעל ראייה מערכתית, כחדשן, כיועץ וכסוכן שינוי.

לבסוף: כנראה שלא ניתן למנוע לחלוטין אירועי כשל מהותיים בארגונים, אלא לשאוף לגדרם ולצמצם את הנזק והשכיחות. כלומר, הסיכוי להתרחשות אירוע כשל מהותי פוחת באופן ניכר בארגון שמקיים באופן שיטתי הערכה וניהול סיכונים, איסוף, ניתוח וזרימת מידע נאותים. ארגון כזה ערני לסימני אזהרה, שם דגש על מערך הבקרה, מפעיל מבקר פנימי ומספק לו את המשאבים הדרושים, מגבש ומטמיע נהלים בתחומים מרובי סיכון, ומתייחס ברצינות לסיכוני תרבות ארגונית ולסיכונים חיצוניים.

The post הבריחה מכלא גלבוע כמשל – האם ניתן למנוע אירוע כשל מהותי? – תפקיד המבקר הפנימי באשר לסיכוני תרבות ארגונית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא והצהרה 

מעולם לא בדקתי בינה מלאכותית של ארגון (AI – Artificial Intelligence), אך כתרגיל החלטתי לסקור מידע וספרות מקצועית דיגיטלית. כפועל יוצא עיצבתי, ואני מפרט להלן, מודל מתקדם-חדשני לביקורת פנימית על מחזור הטמעת בינה מלאכותית בארגון. מסקנה משנית של התרגיל ולא פחות חשובה: איתור מידע מקצועי מחוץ לארגון (Benchmarking) הוא כלי רב עוצמה להשבחת הביקורת הפנימית.

מהי בינה מלאכותית (AI)?

תהליך ולאחר מכן מוצר שבו מנסים לדַמות ו"להלביש" את יכולות החשיבה, הניתוח וקבלת ההחלטות האנושית על אמצעים טכנולוגיים. היתרונות: בינה מלאכותית פועלת במהירות, באחידות לוגית ועל מגוון עצום של נתונים. על בסיס הנתונים שחוזרים ומתעדכנים ועל בסיס הלוגיקה הפנימית שלה, הבינה המלאכותית מסיקה מסקנות, מקבלת אוטונומית החלטות לוגיות ומשנה כללים. המטרה: לייצר כלי חדשני לניתוח מורכב באמצעות עיבוד וניתוח "ים" של נתונים, ומהם לחלץ תובנות, דרכי פעולה, תהליך קבלת החלטות טוב יותר, חדשנות ארגונית, זריזות בניתוח מידע ותגובה, ולבסס ולהרחיב את כושר התחרות והשרידות הארגונית בעולם כאוטי.

מצד שני, בהליכים כאלה ישנם סיכונים: בינה מלאכותית היא תוצר של קוד שנכתב על ידי מפתחים ונשען במידה רבה על הניסיון והשיפוט שלהם. המפתחים עלולים לטעות, ואי הוודאות שלהם יכולה להוביל לאי דיוק מכיוון שקשה להקיף ולהכיל את כל מרכיבי המציאות. כפועל יוצא, בינה מלאכותית עלולה, באמצעות המערכת הלוגית שלה, להסיק מסקנות מוטעות ולאורך זמן ההטיה יכולה להתעצם ולהיות חמורה יותר כל עוד לא ערים לכך ומתקנים את הנדרש. כמו כן, בינה מלאכותית שצריכה לקבל החלטות לגבי בני אדם – לקוחות, עובדים, ספקים – עלולה להיות מפלה ולא אתית.

חיסרון נוסף: ככל שההיגיון הפנימי של המערכת מורכב ולא שקוף דיו, הרי שהארגון, על מנהליו ועל עובדיו, ייטה לקבל כל תוצאה כאמת מוחלטת – ללא ערעור ותוך דחיית הלקוח הנפגע כי "המחשב החליט". לדוגמה: מערכת AI למתן הלוואות ומשכנתאות שכוללת בין היתר נתונים מגדריים, נטיות מיניות, מגזר, מקום מגורים, גיל, מוצא ההורים, שנת עלייה וכדומה, עשויה באמצעות הלוגיקה הפנימית של האלגוריתם לייצר מבלי משים אפליה קבוצתית ואישית. הדבר נכון לכל ארגון העוסק בקבלת החלטות באשר לבני אדם, כגון אוניברסיטאות הממיינות סטודנטים ללימודים במקצועות יוקרתיים, תהליכי קבלת עובדים בתחומים מאוד מבוקשים, וכדומה.

מודל של תוכנית ביקורת לבחינת מערכת בינה מלאכותית

להלן מודל ארגוני ובו שלבים, שיטות ותהליכים להקמה, הטמעה, תפעול ובקרת מערכות בינה מלאכותיות. באשר לביקורת הפנימית, סביר שבדיקה לפי המודל, רצוי בזמן אמת, תהווה למעשה תוכנית ביקורת מתקדמת – על מוקדיה ורכיביה.

הצורך להקים ועדה מתמדת – דירקטוריון\הנהלה לנושא בינה מלאכותית

השלב הארגוני המקדמי הוא להקים ועדה (ועדת דירקטוריון/הנהלה). המטרה: ללמוד את הנושא, לקבוע כיוון אסטרטגי לארגון, ולעסוק בסיכונים וביתרונות, בסוגיות אתיות, בקביעת יעדים בדבר שילוב בינה מלאכותית ובמימון של התוכנית.

במעלה הדרך סביר שגוף כזה או גוף מִשנה יהיה אחראי גם על ההנעה והמעקב אחר יישום אסטרטגיית בינה מלאכותית ברחבי הארגון.

בהתחשב ברגישות ובהשפעה הרבה של מערכות בינה מלאכותית על הארגון, צריכה להיות מעורבוּת וחברות בוועדה מקרב ההנהלה הבכירה של החברה. המטרה: להבטיח העלאה רוחבית של ידע מקצועי נאות ויצירת סיעור מוחות. ראוי שהמשתתפים יהיו מדיסציפלינות שונות: מערכות מידע (IT), סיכונים, משאבי אנוש, משפטים, ציות וגורמי אתיקה, גורמי שיווק, יזמי חדשנות וכדומה.

ניתוח מידע מחוץ לארגון וקבלת ייעוץ

במסגרות הללו יש ללמוד, קרוב לזמן אמת, מהנעשה בעולם (Benchmarking) ,שכן ההתפתחויות הטכנולוגיות הן דינמיות. כמו כן יש לוודא קיומן של רגולציות או טיוטות של רגולציה כדי להביאן בחשבון מבעוד מועד.

בכך לא די: עקב החדשנות המתמדת, היעדר ניסיון מוקדם בארגון והסיכונים הכרוכים בכך (תדמית, תביעות ייצוגיות, אפליה, הגנת הפרטיות, רגולציה, יישום טכנולוגיה חדשנית ובקרת התוצאות), רצוי אף לרכוש שירותי ייעוץ בתחומים רלוונטיים.

צורך להגדיר את יעדי הבינה המלאכותית, את השימושים שייעשו במערכת ואת העקרונות האתיים

אסטרטגיית ה-AI צריכה להתחיל בקביעת סדר העדיפויות הארגוני. צוות המשימה של AI צריך להחליט:

אילו יתרונות הארגון שואף להשיג: אילו תהליכים או חלקים של הארגון רצוי להפוך למעין אוטומטיים, ומהו סדר העדיפויות הנכון.

להתחיל ולתכנן אסטרטגיית יישום של בקרות: תחילה היכן שהארגון כבר החל בהפעלת תהליכים וטכנולוגיות של בינה מלאכותית.

להגדיר עקרונות אתיים: הגדרה כבר בשלב מוקדם של התהליך, תאפשר ליישם גישה אתית בפרויקטים של בינה מלאכותית וגם תעצב אמות מידה להערכה של שימושים. עקרונות אתיים יסייעו גם במגעים עם לקוחות, ספקים, רגולטורים ובעלי עניין אחרים.

הערכת סיכוני בינה מלאכותית

ברגע שהארגון כבר גיבש את דעתו לגבי מה רצוי שה-AI יעשה ובאילו תחומים ויחידות, הגיע הזמן להעריך את הסיכונים הפוטנציאליים לארגון, ללקוחות ולבעלי עניין אחרים.

יש לשים לב לכך שבעולם המערבי, ובמיוחד באיחוד האירופי, כבר מתגבשת רגולציה – טיוטת חקיקה ותקנות. מטרות הרגולציה הן להאיץ שימוש בבינה מלאכותית כדי לייצר חדשנות, פריצות דרך וקבלת החלטות טובה יותר. כתוצאה מכך ניתן להשיג גם יתרונות כלכליים, טכנולוגיים, רפואיים, ביטחוניים, חברתיים ואפילו שלטוניים. בה בעת הרגולציה באה להקטין סיכונים חברתיים חוקיים: להגן על הפרטיות, למנוע אפליות, למנוע חריגות מחקיקות קיימות, ולמנוע סיכונים ביטחוניים וארגוניים כגון סיכוני סייבר. לכן עוד בטרם התבססה רגולציה, על הארגון להעריך ולייצר הגנות על מגוון רחב של משתנים אתיים הנכללים בעיבוד הנתונים.

שלב תחילי – הטמעת בינה מלאכותית באמצעות ניסוי (פיילוט)

גישת ההטמעה הנפוצה והזהירה היא להתחיל באמצעות פרויקט פיילוט, רצוי בחלק פחות רגיש בארגון, וכך להפיק לקחים. הגישה מועילה מכיוון שהיא יכולה להקטין מראש את ההשקעה העתידית ולהתמודד עם הסיכונים עוד לפני שפועלים ליישום רחב.

הגדרת מבנה ארגוני, תפקידים ואחריות

על הארגון לבנות מבנה ארגוני ולהגדיר סמכויות ואחריות בדגש על "בעלי אחריות" (כמו בעולם הסיכונים) שאחראים לתפעול הנתונים ולטיוב שלהם (ראו להלן).

תיעוד (Documentation)

מערכות ה-AI צריכות להיות מתועדות כדי לספק מידע כיצד הן פועלות ועל אילו נתונים הן מסתמכות, וכדי לשחזר נתונים עקב תקלות ו\או לייצר תחקיר על כשלים.

תקשורת, הדרכות, נהלים

יש לערוך הדרכות, להכיר לעובדים את הטכנולוגיה וההפעלה, ולשים לב גם לסיכונים הכרוכים באיכות הניתוחים של אותן מערכות.

בהדרכות, וגם בתפעול השוטף, יש לבנות ולחדד את הצורך ביצירת ספקנות מקצועית וחובת התייעצות והעלאת דילמות תקשורת. זאת דרישה שיש לבססה לא רק בנהלים אלא אף בתרבות הארגונית.

כמובן שאת ההליכים הללו יש ללוות בנהלים, לומדות, ימי עיון ורענון.

ניטור: הצורך המתמשך באימות (טסטים), בקרה על תחזוקה נתונים, התפעול והאסטרטגיה

1. הדגשים תפעוליים

הדגש באימות ובקרת תחזוקת נתונים הוא להבטיח שהפיתוח והיישום יהיה נכון, צודק, אתי, חוקי ולא מפלה. בהתאם, כל רכיבי היישום טכנולוגי (תשומות, עיבוד, פלטים ודוחות) צריכים להיות כפופים לאימות. העיקרון חל על יישום טכנולוגי שהארגון פיתח בעצמו ועל יישומים שנרכשו או פותחו על ידי ספקים או יועצים.

סביר שבמעלה הדרך הכניסו בתכנון המקורי תובנות חדשות ועוד שינויים לוגיים, כולל באשר לנתונים. לכן יש להמשיך ולבצע באופן שיטתי ומקיף בדיקות אימות (טסטים) וניטור גם לאחר שהבינה המלאכותית כבר מיושמת. זאת על מנת לוודא שכל ההרחבות הלוגיות, החשיפות החדשות, שינויים בפעילויות ובנתונים, פיתוח מחדש, שינויים בהקשר של לקוחות או בתנאי השוק, נבדקו ונוטרו קרוב לזמן אמת, או להתריע שהם עדיין מחייבים התאמה, פיתוח מחדש או החלפה.

אימות כרוך במידה של אי תלות, עצמאות ובידול מאלה שעסקו בפיתוח וביישום. בדרך כלל האימות נעשה על ידי צוות אחר שאינו אחראי לפיתוח. מצד שני ובגישה מעשית, חלק מעבודת האימות עשויה להיעשות בצורה היעילה ביותר דווקא על ידי מפתחי היישום ועל ידי משתמשים. אולם חיוני שעבודת אימות כזו תהיה כפופה לבקרה של גורם בלתי תלוי שיבצע פעילויות נוספות כדי להבטיח אימות נאות. תהליך האימות ואיכותו מחייבים סקירה ביקורתית על ידי גורמים אובייקטיביים ובעלי ידע בבקרה על הפעולות שננקטו, כדי לטפל בבעיות שזוהו על ידי אותם גורמים.

מקורות מידע נוספים המצביעים על צורך בניטור: תלונות של לקוחות ו\או עובדים, וכן מידע מהתקשורת, מרגולציה שמתהווה ומספרות מקצועית.

2. דגשים אסטרטגיים

ככל שהארגון לומד וצובר ניסיון בטכנולוגיית AI, סביר שגם אסטרטגיית הבינה המלאכותית של הארגון תתפתח, ולכן יש לחזור ולהפעיל בדיקות על האסטרטגיה ומימושה, כפי שכבר פורטו לעיל.

כמו כן, יש לבחון מבחינה מערכתית את המועילוּת של המערכת כדי לקבוע אם היא משיגה את היעדים העסקיים. יש להשוות תפוקות מצופות מהיישום לתוצאות בפועל, וכן להשוות את התפוקות והדיוק לקבוצת בקרה בתקופה שקדמה ליישום ה-AI לעומת תוצאות בפרק הזמן שבו כבר הופעל ה-AI.

The post בינה מלאכותית – AI4IA appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

סיכוני ESG ( (environmental, social, governanceכשמם כן הם, מייצגים סיכונים בהיבטי סביבה, חברה וממשל תאגידי (שאינם פיננסיים) הגלומים בפעילות היומיומית של הארגונים. כלומר, סיכוני ESG עוסקים בהיבטי ממשל תאגידי, לרבות שמירה על איכות הסביבה, הגנה על ציבור הצרכנים, שמירה על זכויות אדם, שמירה על המגוון המגדרי ועוד.

כיום תחום ה-ESG והאחריות החברתית הוא אחד הנושאים המדוברים ביותר בעולם. גם בארץ הנושא מתפתח, אולם עדיין נמצא בתחילת דרכו. 

נייר עמדה מספר 1 של הלשכה שפורסם בחודש ינואר 2022 בנושא תפקיד הביקורת הפנימית בדיווח על קיימות – סביבה, חברה וממשל תאגידי ESG – מצביע על הראשוניות בתחום החברתי בישראל. לפי נייר העמדה, המודעות לנושא הקיימות והדיווח בישראל אינה מפותחת: בשנים האחרונות 30-20 חברות בלבד פרסמו בישראל דוחות אחריות חברתית והדיווח היה וולונטרי (למעט התאגידים הבנקאיים). עם זאת, לאחרונה מתפתחות מגמות המעודדות התקדמות בתחום זה, כמפורט להלן:

• בשנת 2020 פרסם המשרד לנושאים אסטרטגיים תוכנית לעידוד חברות לפרסם דוח אחריות חברתית ,ESG – שיכלול דיווח על ההשפעות הסביבתיות והחברתיות של פעילותן העסקית ועל התנהלות עסקית הגונה והוגנת, שבמסגרתה יקבלו 31 חברות תמיכה כספית בפרסום לראשונה של דוח אחריות חברתית.
• במהלך 2020 השיקה הבורסה לניירות ערך בתל אביב שני מדדים, שנועדו לתת מענה לצורכי גופי השקעה מקומיים ובינלאומיים שמדיניות ההשקעות שלהם מכוונת להשקעות סביבתיות. מדד "תל אביב קלינטק", הכולל מניות של חברות בתחום האנרגיה המתחדשת, ומדד "תל אביב 125 אקלים נקי מדלקים פוסיליים" המורכב מהמניות הנכללות במדד.
• באפריל 2021 פרסמה הרשות לניירות ערך "מתווה מוצע לגילוי אודות אחריות תאגידית וסיכוני"ESG . במסגרת המתווה, הרשות קוראת לכלל התאגידים המדווחים לפרסם לציבור המשקיעים ולשאר מחזיקי העניין דוח אחריות תאגידית שנתי על בסיס וולונטרי. הרשות המליצה לערוך ולהכין את הדוח על בסיס תבחינים בינלאומיים מקובלים דוגמתRI או SASB ולפרסמו בסמוך למועד פרסום הדוח התקופתי. עוד ציינה הרשות כי בכוונתה לפעול להענקת תמיכה, באמצעות קיומן של הדרכות וסדנאות מקצועיות לנציגי התאגידים המדווחים.
• בנובמבר 2021 פרסמה רשות שוק ההון, ביטוח וחיסכון תיקון לחוזר בנושא "ניהול נכסי השקעה" המתייחס בין היתר ל"שיקולי השקעה הנוגעים להיבטים סביבתיים, חברתיים והיבטי ממשל תאגידי". במסגרת חוזר זה נדרשת ועדת ההשקעות של משקיע מוסדי לקבוע מדיניות השקעה בנוגע לשיקולי ,ESG ולגבש כללים ונהלים לפיתוח מומחיותו של המשקיע המוסדי לבחינת ההיבטים, השיקולים והסיכונים כאמור.
• בדצמבר 2021 פרסם המפקח על הבנקים חוזר בנושא "גילוי לציבור על היבטי סביבה, חברה וממשל ,"שבמסגרתו נקבעה החובה לפרסם דוח שנתי בנושא זה בתוך ארבעה חודשים מסוף שנת הדיווח והובהרו ההנחיות לגבי מטרת הדוח ותוכנו. כמו כן, נקבעה החובה לכלול בדוח הדירקטוריון וההנהלה תמצית של מדדי סביבה, חברה וממשל עיקריים, וכן לציין היבטים מהותיים של סביבה, חברה וממשל המשתלבים ביעדים ובאסטרטגיה העסקית של התאגיד.

במסגרת מאמר זה בחרנו להתמקד בכותרת SOCIAL – במסגרתה נכלל ההיבט החברתי-אנושי-התנדבותי (להלן: "ההיבט/התחום החברתי") תחת סיכוני ESG.

ההיבט החברתי מתייחס לדרכי הטיפול של הארגון באנשים שאיתם הוא מתקשר: בראש ובראשונה מנהלים ועובדים, אך לא פחות חשוב –לקוחות, ספקים ונותני שירותים שעומדים בקשר עם הארגון בכל שרשרת האספקה.

התחומים העיקריים הנכללים תחת ההיבט החברתי-אנושי-התנדבותי שעל הארגון למדוד, להעריך ולדווח כוללים:

• הגנת העובד/הלקוח – לפי תקני עבודה ובטיחות;
• יוזמות/פעולות לשמירת זכויות האדם;
• השאיפה להכלה – דגש על גיוון תעסוקתי-מגדרי, מגזרי, גילאי, נטיות מיניות, מניעת הטרדה ואפליה (diversity and inclusion);
• דרישה של הארגון להכלת ערכים אלה גם אצל הספקים ונותני השירותים;
• מוצרים ו/או השירותים שהארגון מספק – בחינה האם הם מיוצרים בהתאם לערכים של תקני עבודה נאותים ואינם יוצרים פגיעה חברתית-תעסוקתית על מגוון מרכיביה כמתואר לעיל. בחינה כזאת על הארגון ליישם גם אצל הספקים שלו;
• תרומה חברתית ותרומה לקהילה – בדגש על התנדבות, אימוץ גופים ומאבק ליישום ערכים, כגון הגנת הסביבה, תרומה להקטנת פערים, תרומה לקידום קהילות ואוכלוסיות מקופחות, תרומה לקידום ערכי שוויון, צדק, תרבות, דת וכדומה;
• תרומות כספיות – חובת זהירות שעל הארגון לבחון ולאמץ, לרבות בהקשר של תרומות פוליטיות, תרומות העלולות להתפרש כשליליות ולהעלות חשדות לפעילות עסקית הכרוכה בפגיעה בטוהר המידות, ועד לרמת חשד לשוחד, כדוגמת תרומות לעמותות הקשורות למפלגות, למקבלי החלטות בדרג השלטוני, לאישים פוליטיים וכדומה.

כדי לבחון את התפתחות ההיבט החברתי בארגונים בישראל, ובהתאמה גם ביחידות הביקורת הפנימית, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון לבחינת אופן היישום של הפרמטרים הנכללים תחת ההיבט החברתי.

להלן ממצאי השאלון ומסקנות נבחרות בנושא.

• ניתוח המשיבים לשאלון

ענפים

57% מהמשיבים נכללים במסגרת הענף "הציבורי ממשלתי, לרבות שלטון מקומי ותאגידים עירוניים".

26% מהמשיבים נכללים בענף "פיננסיים וביטוח".

יתר המשיבים מענפים שונים (שיעור משיבים בודדים מכל ענף), לרבות נדל"ן, ארגונים מהמגזר השלישי, רווחה בריאות וחינוך, מסחר, תעשייה והיי-טק ועוד. היעדר נוכחות מהותית של ענפים אלה כמענה לשאלון מעלה תהייה באשר לתמונת מצבם בתחום החברתי.

גודל הארגונים שבהם מכהנים המבקרים הפנימיים

46% מהמשיבים משמשים כמבקרים פנימיים בארגונים בהם למעלה מ-1,500 עובדים. ב-17% מתוכם מועסקים למעלה מ-5,000 עובדים.

גודל צוות הביקורת הפנימית

59% מהמשיבים העידו כי צוות הביקורת הפנימית בארגונם מונה 5-1 עובדים. כלומר לא קיימת התאמה בהכרח בין גודל הארגונים והיקף המועסקים בהם לבין גודל יחידות הביקורת באותם ארגונים.

• ההיבט החברתי בארגון בכללותו

רגולציה:

48% מהמשיבים דיווחו שחלה על הארגון שלהם רגולציה מחייבת בנושא. 55% מתוכם נכללים במסגרת הענף "הציבורי ממשלתי, לרבות שלטון מקומי ותאגידים עירוניים", ו-32% מתוכם נכללים בענף "פיננסיים וביטוח", בדומה להתפלגות הכללית של המשיבים.

כלומר, מרבית הארגונים שחלה עליהם רגולציה בנושא הם ארגונים ציבוריים או פיננסיים.

עם זאת, וכפי שפורט לעיל, יש להביא בחשבון כי הרגולציה החדשנית בישראל בתחום ESG, על מרכיביה החדשניים – בדגש על התחום החברתי – היא רק בחיתוליה, ורובה ככולה מיושמת וולונטרית רק במגזר העסקי. לאור תשובות המשיבים באשר למדיניות, כפי שיפורטו להלן, ניתן להניח כי הרגולציה שאליה התייחסו רוב המשיבים מתייחסת בעיקר לרגולציות בתחום דיני עבודה ובטיחות ובתחום שיוויוניות ומניעת אפליה, שהן בגדר רגולציות ותיקות. 

עיצוב מדיניות:

נדבך חשוב ביישום ההיבט החברתי הוא קביעת מדיניות ארגונית בנדון. שאלנו את המבקרים הפנימיים אם נקבעה בארגונם מדיניות בנדון. להלן התפלגות תגובות המשיבים באשר לעיצוב מדיניות בתחום החברתי בארגונם:

50% מהמשיבים דיווחו שבארגונם עוצבה מדיניות (על ידי הדירקטוריון/ההנהלה בכירה) בתחום החברתי. 57% מתוכם נכללים במסגרת הענף "הציבורי ממשלתי, לרבות שלטון מקומי ותאגידים עירוניים", ו-30% מתוכם נכללים בענף "פיננסיים וביטוח", בדומה להתפלגויות המשיבים לעיל.

37% מהמשיבים העידו כי לא נקבעה מדיניות בנדון בארגונם, ונראה כי גם לא מתוכננות בעתיד הקרוב.

נדגיש כי נתונים "יבשים" אלה העולים מן השאלון לא בהכרח מלמדים על עיצוב מדיניות בתחום החברתי. כדי ללמוד על מהות עיצוב המדיניות בארגונים השונים בהקשר של התחום החברתי, חשוב ללמוד על המרכיבים שבהם התמקדה המדיניות.

להלן התפלגות המרכיבים שנכללו במדיניות ההיבט החברתי של הארגונים (שבהם נקבעה מדיניות בנדון) כפי שדווחו על ידי המשיבים:

ניתן לראות כי כ-70% ומעלה מהמשיבים ציינו כי במסגרת מדיניות ההיבט החברתי של ארגונם נכללים המרכיבים הבאים: הגנת העובד לפי תקני עבודה ובטיחות, תרומה לקהילה, דגש על מגוון והכלה (diversity and inclusion), לרבות מניעת אפליה, הטרדות וכדומה, ומתן סיוע לעובדים בתחום הבריאות, הרווחה וגם סיוע נפשי וכספי בעת מצוקה אישית.

מרכיבים נוספים שקיבלו ביטוי אצל למעלה מ-50% מהמשיבים הם: אימוץ ערכים חברתיים כערכי החברה והחלת התקנים גם על ספקים ונותני שירותים.

לעומת זאת, מרכיבים כדוגמת החלת התקנים וההדגשים גם על ספקים ונותני שירותים, גיבוש מדיניות בדבר מניעת תרומות כספיות, והחלת ייצור מוצרים ושירותים לפי תקני עבודה נאותים, סומנו על ידי משיבים בודדים (פחות מ-22% מהמשיבים).

מכאן שמרבית המשיבים העידו כי בארגונם עדיין לא נכללו תחומים אלה תחת מדיניות ההיבט החברתי.

מניתוח מעמיק של התוצאות בדבר המדיניות עולה כי המרכיבים שסימנו המשיבים בשיעורים גבוהים הם תחומים שכבר קיים בגינם מערך רגולציה וחקיקה מוסדר, כלומר קביעת המדיניות בתחומים אלה היא דרישה חוקית (כדוגמת הגנת העובד, בטיחות, מגוון והכלה, מניעת אפליה, סיוע לעובדים וכדומה), ולאו דווקא אימוץ של דרישות חדשניות בהיבט החברתי. כך שאם היינו מנטרלים השפעות של הרגולציה המחייבת, הייתה מוצגת בפנינו תמונה שונה, שעל פיה מרבית המרכיבים החדשניים עדיין לא נכללו במסגרת מדיניות התחום החברתי.

ניהול סיכונים כולל בארגון:

ביקשנו לבדוק אם הארגונים השונים מביאים בחשבון במסגרת הערכת הסיכונים הכוללת בארגון גם סיכונים הנוגעים לתחום החברתי. להלן התפלגות תגובות המשיבים בעניין זה:

בהתאמה לתשובות המשיבים לגבי עיצוב מדיניות בתחום החברתי, גם כאן ניתן לראות כי 46% מכלל המשיבים דיווחו שבארגונם מובאים בחשבון סיכונים בהיבט החברתי במסגרת הערכת הסיכונים.

57% מתוך 50% שדיווחו שבארגונם עוצבה מדיניות בתחום החברתי, ענו כי בארגונם מביאים בחשבון במסגרת הערכת הסיכונים גם סיכונים הנוגעים להיבט החברתי.

לצד זאת, ניתן לראות כי 54% מהארגונים לא מביאים בחשבון סיכונים הנוגעים לתחום החברתי במסגרת הערכת הסיכונים שלהם.

מניתוח תגובות המשיבים נלמד כי סיכונים בתחום החברתי שמובאים בחשבון על ידי הארגונים, כוללים בין היתר היבטים של העסקת עובדים בעלי מוגבלויות, נגישות, תנאי העסקת עובדים, תחלופת עובדים, התנדבות ותרומה לקהילה, תקני עבודה ובטיחות, הוגנות מול ספקים ועוד.

בהשוואה למרכיבי המדיניות בתחום החברתי, ניתן לומר (בזהירות הראויה) כי בתחומים שבהם קיימת רגולציה מחייבת ונקבעה מדיניות בהקשר של התחום החברתי, גם הובאו בחשבון הסיכונים הרלוונטיים (העסקת עובדים, בטיחות, מגוון והכלה וכדומה). כלומר, במרכיבים החדשניים שבהם טרם נקבעה מדיניות בתחום החברתי, גם טרם הובאו בחשבון הסיכונים הרלוונטיים.

• ההיבט החברתי בפעילות הביקורת הפנימית

לצד בחינת יישום התחום החברתי בארגונים, בדקנו אם יחידות הביקורת הפנימית נמצאות באותה רמת יישום של הארגון בכללותו, או שמא הן יותר מתקדמות בתחום זה. בהתאם, ביקשנו לבדוק אם יחידות הביקורת הפנימית בארגונים התחילו ללמוד את הנושא ואם עובדי צוות הביקורת הפנימית קיבלו הדרכות בתחום החברתי.

ניתן לראות כי על אף שב-48% מיחידות הביקורת החלו ללמוד את נושא ההיבט החברתי והשפעתו על הביקורת הפנימית, רק ב-11% מיחידות הביקורת החלו הדרכות בנושא. יתרה מזאת, ב-37% מיחידות הביקורת נראה כי אין מודעות לתחום החברתי. בנושא ההדרכות ניתן לראות זאת ביתר שאת, היות ש-80% מהמשיבים העידו שביחידת הביקורת שלהם גם לא מתוכננות הדרכות בנושא זה.

ערכנו השוואה באשר לבדיקת מרכיבים בהיבט החברתי בין ארגונים שבהם עוצבה מדיניות ארגונית בנדון לבין ארגונים שבהם לא עוצבה מדיניות כאמור, והשפעת עיצוב המדיניות או אי עיצובה על פעולות הביקורת הפנימית:

ניתן לראות באופן מובהק (43% מהמשיבים) כי בארגונים שבהם קיימת מדיניות בהיבט החברתי, מבוצעת גם ביקורת פנימית בנושא. כלומר, בתחומים שבהם יש מדיניות ארגונית מחייבת בתחום החברתי, גם מבוצעות ביקורות בנושא. לעומת זאת, בארגונים שבהם לא קיימת מדיניות בנדון, הביקורת הפנימית גם לא מבצעת ביקורת בהיבטים אלה (76% מהמשיבים). יתרה מכך, ניתן לראות כי בארגונים שבהם עוצבה מדיניות בהיבט החברתי, פרמטרים שונים בהיבט זה נבחנו על ידי הביקורת הפנימית פי 2 יותר מארגונים שבהם לא עוצבה מדיניות כאמור.

בנוסף, בחנו את השונות ביישום הביקורת הפנימית בתחום החברתי גם בין הענף "הציבורי ממשלתי, לרבות שלטון מקומי ותאגידים עירוניים" וענף "פיננסיים וביטוח". מניתוח הנתונים עולה כי מתוך הענף "הציבורי ממשלתי" המהווה 57% מהמשיבים, 46% מהארגונים בוחנים את ההיבט החברתי, ומתוך ענף "פיננסיים וביטוח" המהווה 26% מהמשיבים, 33% מהארגונים בוחנים את ההיבט החברתי.

גם בהקשר הזה חשוב לומר כי סביר שעיקר הארגונים שבהם מבוצעת ביקורת בהיבטים החברתיים הם ארגונים שחלה עליהם רגולציה מחייבת ולכן גם נקבעה מדיניות בתחום. כלומר, הביקורת הפנימית היא עדיין שמרנית ומצפה למסגרות פעולה ברורות, כגון רגולציה מחייבת, מדיניות ואף נהלים כדי שהיא תחל לבצע בדיקות בנדון. מכאן ניתן אף להקצין ולומר שהביקורת הפנימית בישראל, בחלקה הגדול, עדיין אינה בגדר "יועץ נאמן" המפנה את תשומת לב הארגונים לחשיבה יצירתית בתחומים חדשניים ומתפתחים כמו התחום החברתי, גם אם עדיין אין רגולציה, מדיניות או נהלים בנדון.

גם בתחומי הביקורת הפנימית ביקשנו לבדוק אם מובאים בחשבון סיכונים הנוגעים להיבט החברתי בעת ביצוע מטלת ביקורת. להלן התפלגות תגובות המשיבים לשאלה זו:

54% העידו כי במסגרת מטלת ביקורת מובאים בחשבון סיכונים הנוגעים להיבט החברתי.

כאמור, 46% דיווחו כי במסגרת הערכת הסיכונים של ארגונם, מובאים בחשבון סיכונים הנוגעים להיבט החברתי. מתוך אותם 46%, 71% דיווחו כי במסגרת מטלת ביקורת מובאים בחשבון גם סיכונים הנוגעים להיבט החברתי. כלומר, ניתן לראות מִתאם מסוים בין הערכת הסיכונים הכוללת בארגון לבין הערכת הסיכונים במטלת ביקורת.

מניתוח תגובות המשיבים נלמד כי סיכונים בתחום החברתי שמובאים בחשבון במסגרת מטלות ביקורת, בין היתר, היבטים רגולטוריים מסורתיים בדבר העסקת עובדים, ביטחון ובטיחות, קיום מדיניות, נגישות ועוד, בדומה לסיכונים שמובאים בחשבון במסגרת הערכת הסיכונים הכוללת של הארגון.

• סוף דבר

הרוב המוחלט של המשיבים (כ-85% מהמשיבים) הם מהענפים "ציבורי ממשלתי, לרבות שלטון מקומי ותאגידים עירוניים' ו"פיננסיים וביטוח". יתר המשיבים מענפים שונים (שיעור משיבים בודדים מכל ענף), לרבות נדל"ן; ארגונים מהמגזר השלישי; רווחה, בריאות וחינוך; מסחר, תעשייה והיי-טק ועוד. היעדר נוכחות מהותית של ענפים אלה מעלה תהייה באשר לתמונת מצבם בתחום החברתי.

בשקלול תגובות המשיבים נראה כי רק בכ-50% מהארגונים קיימת מודעות להיבטים החברתיים, הן ברמת הארגונים והן ברמת יחידות הביקורת הפנימית. יתרה מכך, גם בארגונים שבהם קיימת מודעות, לרוב היא קיימת בתחומים שבהם קיים מערך רגולציה וחקיקה מוסדר, כך שאם מנטרלים השפעות של רגולציה מחייבת, סביר שהייתה מוצגת בפנינו תמונה שונה, שעל פיה שיעור הארגונים שבהם קיימת מודעות חדשנית לתחום החברתי הוא נמוך בהרבה.

עם זאת, צריך להדגיש כי כל הנושא החברתי והאחריות התאגידית הוא נושא מתפתח ונראה שהארגונים מתחילים כעת להכיר ביתר שאת בחשיבות הנושא ויישומו ובעקבותיהם תצעד גם הביקורת הפנימית. הנה כי כן, חשוב ומעניין יהיה לעקוב אחר ההתפתחויות בתחום זה בארץ, הן בארגונים והן ביחידות הביקורת הפנימית.

The post ממצאי שאלון בנושא ההיבט החברתי תחת סיכוני ESG ( (environmental, social, governance appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות הארגונים לסוגיהם מתמודדים עם "שיבושיות" – שינויים כבדי משקל המחייבים חדשנות ארגונית ניהולית נמשכת ומואצת. גם הביקורת הפנימית בארגונים מתמודדת ותמשיך להתמודד עם השינויים הרבים והמשתנים. שינויים והתפתחויות אלה הגבירו את הצורך של הביקורת הפנימית לאמץ שיטות ביקורת מ"הדור הבא" (כדוגמת גמישות ויכולות טכנולוגיות, יחד עם שיטות ביקורת חדשניות) ולרכוש מיומנויות בתחומים האלה.

ככל שהביקורת הפנימית תלך בדרך ההתחדשות יהיה בכך לבסס את מעמד הביקורת הפנימית כמערכת התורמת לארגון.

כדי לבחון את אופן ההתמודדות ואת מידת ההתאמה של הארגונים בישראל לשינויים, ובהתאמה, גם של יחידות הביקורת הפנימית, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון לדירוג הבשלות הדיגיטלית ושל ההתפתחות בהיבטי היזמות והחדשנות של הארגונים ובהתאמה גם של יחידות הביקורת.

השאלון נעשה בהלימה לשאלון בינלאומי שבוצע בתקופה דצמבר 2020 – פברואר 2021 על ידי חברת הייעוץ הבינלאומית Protivity שהקיף 870 מבקרים ראשיים ובעלי תפקידים מקבילים ואחרים בתחום הביקורת הפנימית.

ניתוח תוצאות השאלון, כפי שיובא להלן, בוצע תוך השוואה בין התוצאות השאלון בארץ לתוצאות השאלון הבינלאומי בחו"ל.

מתודולוגיית השאלון

כדי להבין את תוצאות השאלון, יש להבין ראשית מהי בשלות דיגיטלית ניהולית וכיצד היא מקבלת ביטוי בארגונים.

בשלות דיגיטלית וניהולית – משמעותן שינוי הדרך שבה הארגונים ובמיוחד יחידות הביקורת הפנימית מתכננים ופועלים בכל פעולה שהם מבצעים, כדי להתמודד טוב יותר מול המציאות המשתנה ומול מתחרים (ארגונים מובילים ויחידות ביקורת פנימית מובילות) מבחינה דיגיטלית וניהולית. תהליכים אלה כוללים גידול בשימוש במידע ובטכנולוגיה מתקדמת וחדשנית כדי לשפר את מערך הקשרים עם הלקוחות, דיגיטציה של שירותים ומוצרים, ביצוע טוב יותר של קבלת החלטות, שיפור הביצועים התפעוליים, בחינה ושינוי של האסטרטגיה, הטמעת שיטות בדיקה חדשות, הכשרה ושינויי כוח אדם נדרשים וכדומה.

השאלון כלל שני חלקים עיקריים:

1. דירוג הבשלות הדיגיטלית בארגון בכללותו לצד דירוג הבשלות הדיגיטלית והניהולית ביכולות שונות של יחידת הביקורת הפנימית בארגון.
2. היבטים שונים ביחידת הביקורת הפנימית בארגון הנוגעים ביזמות לשינוי ולחדשנות.

לצורך דירוג הבשלות הדיגיטלית והניהולית, הוגדרו 10 דרגות בשלות דיגיטלית:

1. ספקנות דיגיטלית שמשמעותה התנגדות לשינוי: אין תוכנית דיגיטלית פורמלית והחידושים מנוהלים "אד הוק" או בדרך של תגובה נקודתית.
2. ספקנות דיגיטלית (+)עדיין קיימת התנגדות לשינוי אך כבר עם נטייה לאימוץ השינוי.
3. התחלה דיגיטלית אימוץ השינוי: התוכנית הדיגיטלית עדיין לא מפותחת באופן מלא, למרות שיש כבר יוזמות דיגיטליות בעיצומן והמטרות של יוזמות אלה ידועות.
4. התחלה דיגיטלית (+) אימוץ השינוי כולל נטייה לפיתוח אסטרטגיית פעולה.
5. המשכיות דיגיטלית – פיתוח אסטרטגיית פעולה וגמישות: הארגון פיתח אסטרטגיה דיגיטלית ואישר אבני דרך של ביצוע יוזמות דיגיטליות. החדשנות הדיגיטלית מתמקדת בעיקר באספקטים של סודיות והגנת הפרטיות של הלקוחות.
6. המשכיות דיגיטלית (+)פיתוח אסטרטגיית פעולה וגמישות מתקדמים עם נטייה ליישום האסטרטגיות.
7. מומחיות דיגיטלית יישום אסטרטגיה דיגיטלית: היבטים טכנולוגיים נלקחים בחשבון בניהול בארגון בכללותו. הושגה רמה גבוהה של תהליכים אוטומטיים. הארגון אישר אבני דרך תוך אימוץ טכנולוגיות מתפתחות.
8. מומחיות דיגיטלית (+) יישום אסטרטגיה דיגיטלית מתקדמת עם נטייה ושאיפה לחדשנות.
9. עליונות דיגיטלית חדשנות ו"שיבוש"- יציאה ממודלים מסורתיים: הארגון אישר אבני דרך של יציאה מהמודלים העסקיים המסורתיים. היבטים טכנולוגים בתוכנית האסטרטגית ממשיכים להשתפר ומיושמים בכל הארגון בהתבסס על ניסיון שנלמד ועל מדדי ניבוי.
10. עליונות דיגיטלית (+) הארגון כבר מוכיח ומיישם, באופן משמעותי ולאורך זמן, תרבות ארגונית של יציאה ממודלים מסורתיים תוך חדשנות מתקדמת, יזמות לשינויים, שימוש במחקרים ומדדי ניבוי, שבירת המוסכמות ויציאה מהקופסה.

בנוסף חילקנו את הנשאלים לפי דירוג הארגון בכללותו כדלקמן:

• ארגונים מובילים דיגיטלית – ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 7 ומעלה (מומחיות דיגיטלית ועליונות דיגיטלית)
• ארגונים אחרים (שאינם מובילים דיגיטלית) ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 6 ומטה.

ניתוח הבשלות הדיגיטלית בארגון בכללותו

להלן התפלגות דירוג הבשלות הדיגיטלית בארגונים בארץ בהשוואה לדירוג הבשלות הדיגיטלית בארגונים בחו"ל על פי שיעור המשיבים:

ניתן לראות כי בעוד ש־70% מהמבקרים הראשיים בחו"ל דירגו את ארגונם ברמות בשלות דיגיטליות שעד דרגה 6 – בין התחלה דיגיטלית להמשכיות דיגיטלית, הרי ש-70% מהמבקרים הפנימיים בארץ דירגו את ארגונם ברמות בשלות דיגיטליות גבוהות יותר -דרגות 7 ומעלה שנעות בין מומחיות דיגיטלית לעליונות דיגיטלית.

53% מהמשיבים בארץ דירגו את הארגון בציונים 7-8 – מומחיות דיגיטלית, לעומת 13% מהמשיבים בחו"ל באותן קטגוריות.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION, או לחלופין שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

ניתוח הבשלות הדיגיטלית והניהולית-ארגונית של הביקורת הפנימית

המבקרים הפנימיים הראשיים נתבקשו לדרג כל אחת מתוך 12 יכולות של הביקורת הפנימית בדירוג הבשלות הדיגיטלית מ־1 עד 10.

לצורך ניתוח הנתונים, בכל אחת מיכולות הביקורות ערכנו ממוצע של הדירוג של כלל הנשאלים.

יכולות הביקורת הפנימית – הבשלות הדיגיטלית והארגונית־ניהולית – כלל המשיבים:

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של כלל הארגונים בארץ בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל:

ניתן לראות שממוצע דירוג יכולות הביקורת הפנימית דומה במרבית היכולות בארץ ובחו"ל. יחד עם זאת, נראה כי ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם בדגש על איתור, גיוס והכשרת "טאלנטים", תחום ההבטחה – ASSURANCE ועוד, הדירוג הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל גבוה יותר מאשר בארץ. יחד עם זאת יש להביא בחשבון כי הציונים בארץ ובחו"ל הם הערכות סובייקטיביות של העונים לשאלון.

כך או כך, ממוצע כלל הציונים נמוך מציון 6 וקרוב יותר לציון 5 ומטה. כלומר, בממוצע יש עוד דרך ארוכה בפני המבקרים הראשיים בארץ ובחו"ל, לשאוף לשיפור ניכר בכל המרכיבים לעיל ולשאוף לציונים של 7 ומעלה.

הצורך בשיפור הנתונים בישראל נכון שבעתיים מול הבשלות הדיגיטלית הגבוהה של הארגונים בישראל, כפי שהוצגה בתרשים 1 לעיל וכפי שתוצג גם בהמשך.

להלן נבחן את הבשלות הדיגיטלית והניהולית של יחידות הביקורת הפנימית יחסית למדד הבשלות של ארגונים מובילים דיגיטלית (ציון 7 ומעלה) לבין הארגונים האחרים (ציון 6 ומטה) :

ארגונים מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית 7 ומעלה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת בארץ בארגונים מובילים דיגיטלית בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות הביקורת בחו"ל:

ניתן לראות כי בארגונים מובילים דיגיטלית בחו"ל ממוצע הבשלות של הביקורת הפנימית גבוה מממוצע דירוג הבשלות הדיגיטלית של הביקורת הפנימית בארגונים מובילים דיגיטלית בארץ. ההפרשים נעים בין חצי ציון לציון וחצי.

יתר על כן, ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארץ נמוך אף מציון 6 ובדרך כלל הוא בדרגות של 5.5 -4.5 – דרוג נמוך מבחינה אובייקטיבית. לעומת זאת, ממוצע הבשלות של הביקורת הפנימית בחו"ל הוא בדרגות 7 עד 6.5.

בניתוח מעמיק של הנתונים עולה כי 43% מהמשיבים לשאלון בארץ דיווחו שהארגון שלהם מוביל דיגיטלית (7 ומעלה) אבל ממוצע יכולות יחידת הביקורת אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 8% בלבד בחו"ל.

כלומר, הביקורת הפנימית בישראל, בדגש על הביקורת בארגונים מובילים דיגיטלית, צריכה להיערך להשתנות מהותית בכל ממדי הבשלות.

יודגש כי ההערה היא על רקע התוצאה הממוצעת ובכל ממוצע ישנן יחידות ביקורת פנימית בדרגת בשלות דיגיטלית וניהולית גבוהה ותואמת את צרכי הארגון וישנן גם יחידות ביקורת שנמצאות בפער ניכר מול הבשלות הדיגיטלית של הארגונים.

ארגונים שאינם מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית של 6 ומטה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת הפנימית בארגונים שאינם מובילים דיגיטלית בארץ, בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות ביקורת פנימית בארגונים שאינם מובילים דיגיטלית בחו"ל:

ככלל, ניתן לראות מהטבלה שבארגונים שאינם מובילים דיגיטלית בחו"ל, גם היכולת של יחידות הביקורת נמוכה, פעמים עד מאוד, והיא נעה מציון 2.5 עד ציון 5, לעומת ציון של כ־2.5 עד ציון 4.5 בישראל. יתר על כן, בכל יכולות הביקורת (למעט שתיים), הבשלות בישראל נמוכה יותר מאשר בחו"ל ובשיעור ניכר.

בניתוח מעמיק של הנתונים עולה כי 39% מהמשיבים לשאלון בארץ דיווחו גם שהארגון שלהם אינו מוביל דיגיטלית (6 ומטה) וגם שממוצע יכולות יחידת הביקורת שלהם אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 78% בחו"ל.

ובהרחבה, בעוד שיש יכולות ביקורת שבהן ממוצע הבשלות הדיגיטלית של יחידות הביקורת בארגונים שאינם מובילים דיגיטלית בארץ ובחו"ל דומה (בעיקר ביכולות טכניות הנוגעות לשיטות העבודה כדוגמת ניטור מתמשך, ביקורת אג'ילית ואנליטיקה מתקדמת) הרי שביכולות הנוגעות לניהול המשאבים וכוח האדם, תחום ההבטחה, הראיה האסטרטגית והמבנה הארגוני, הבשלות הדיגיטלית של יכולות הביקורת בארגונים בחו"ל גבוהה בממוצע עד כדי כ-2 ציונים מהבשלות של יכולות הביקורת בארץ.

בשורה התחתונה, בארגונים שאינם בשלים דיגיטלית, גם ממוצע יכולות יחידות הביקורת הפנימית בארץ ובחו"ל נמצא בבשלות דיגיטלית־ניהולית נמוכה עד נמוכה מאוד. ובדרך כלל, בשלות בישראל אף נמוכה מאשר בחו"ל.

בארץ – תמונת מצב כוללת

בשלות דיגיטלית של הארגונים בישראל מול הבשלות של יחידות הביקורת באותם ארגונים

לפי הערכת המבקרים הראשיים ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3, בעוד שממוצע הבשלות הדיגיטלית של יחידות הביקורת באותם ארגונים בארץ עומד על 4.4 בלבד.

ובאחוזים: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הינם מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות (ממוצע יכולות הביקורת).

קרי, קיים פער משמעותי בדיווחי הנשאלים בארץ בין הבשלות הדיגיטלית של הארגונים בכללותם לבין הבשלות הדיגיטלית של יכולות הביקורת.

גודל יחידות הביקורת

ערכנו ניתוח ייחודי רק לישראל לבחינת ההשפעה של גודל יחידות הביקורת על ממוצע הבשלות הדיגיטלית של יחידות הביקורת הפנימית ולהלן תוצאותיו:

הערה: רוב רובן של יחידות הביקורת בקבוצה הראשונה שנעה בין עובד אחד ל-20־ עובדים הם בקטגוריה של עובד אחד עד 10 עובדים (71%)

מהנתונים בטבלה ניתן ללמוד כי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה עד 20 עובדים הוא 4.1 – ממוצע הנמוך באופן משמעותי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה מעל 20 עובדים – 5.6.

מכאן ניתן לומר (בזהירות הראויה לנוכח היקף המשיבים לשאלון בארץ) כי בשאלת הבשלות הדיגיטלית והניהולית של יכולות הביקורת הפנימית, יש יתרון לגודל ולמספר עובדי הביקורת ביחידת הביקורת.

היבטים שונים הנוגעים ליזמות באשר לשינוי ולחדשנות ביחידת הביקורת הפנימית

במסגרת השאלון נשאלו המבקרים הפנימיים הראשיים שאלות נוספות הנוגעות ליזמות לשינוי ולחדשנות בעבודת הביקורת הפנימית.

להלן יפורטו השאלות וניתוח המענה (התפלגות התשובות) של המבקרים הראשיים בארץ תוך השוואה למענה של המשיבים בחו"ל:

האם יחידת הביקורת הפנימית כבר השלימה עריכת שינוי או יוזמת חדשנות או לקחה על עצמה לערוך שינוי או ליזום חדשנות בעבודת הביקורת הפנימית?

ניתן לראות כי גם בארץ וגם בחו"ל שיעור הארגונים שבהם הביקורת הפנימית לקחה על עצמה לערוך שינוי או ליזום חדשנות הוא גבוה ועומד על 61%. לעומת זאת, בעוד ש־33% מהמשיבים בחו"ל דיווחו שהביקורת הפנימית לא לקחה על עצמה לערוך שינוי, כאמור, רק 18% מהמשיבים בארץ השיבו לשאלה זו בשלילה.

האם ליחידת הביקורת הפנימית יש כעת תכנון/תוכנית לעשות שינוי או ליזום חדשנות?

בשאלה זו נתבקשו לענות כל המבקרים הפנימיים שעדיין לא עשו איזשהם שינויים או יזמות וחדשנות באשר לתוכניותיהם לערוך שינויים בהווה הקרוב ובעתיד.

ניתן לראות שבעוד שבחו"ל 49% לא מתכננים לעשות שינויים או פעולות חדשניות בשנים הקרובות, בארץ נתון זה עומד על 30% בלבד.

איזו מהאמירות הבאות מגדירה הכי טוב את מידת הבשלות של יחידת הביקורת הפנימית לשינויים או לחדשנות?

על אף שקיימת שונות בהתפלגות בין התשובות בארץ לתשובות בחו"ל, נראה שמרבית יחידות הביקורת הפנימית מכירות בחשיבות של החדשנות והחשיבה היצירתית ומעלות רעיונות ופתרונות חדשניים. כן ניתן לראות כי הן בארץ והן בחו"ל שיעור הארגונים שבהם אין לביקורת הפנימית תכנית לעורר חשיבה חדשנית הוא נמוך בצורה משמעותית.

בהשוואה לשנה שעברה, איך השתנה הפוקוס (המיקוד) של יחידת הביקורת באשר לחדשנות ויזמות לשינויים?

ניתן לראות שהתפלגות התשובות בארץ ובחו"ל דומה במהותה וכי כמעט לא הייתה ירידה בהשוואה לשנה שעברה בפוקוס של יחידות הביקורת בארגונים באשר לחדשנות ויזמות לשינויים.

איך תדרג את ההחזר על ההשקעה (return on investment – ROI) ואת התרומה לארגון ולמעמד יחידת הביקורת עקב פעולות החדשנות והיזמות לשינוי של יחידת הביקורת בארגונך?

ניתן לראות כי עיקר המשיבים בארץ (54%) ובחו"ל (40%) השיבו כי לדעתם פעולות החדשנות והיזמות של יחידת הביקורת יביאו לתרומה בינונית לארגון. עם זאת, בארץ 30% מהמשיבים סבורים כי התרומה תהיה רבה, לעומת רק 15% מהמשיבים בחו"ל.

בכל מה שנוגע לאימוץ חדשנות ויזמות לשינוי, איך אתה רואה, באופן יחסי, את יחידת הביקורת בארגונך כיום ובעוד שנתיים בהשוואה ליחידות ביקורת פנימית בארגונים אחרים דומים באותו ענף/ תעשייה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שקיים שוני משמעותי בין שיעורי המשיבים בחו"ל לעומת שיעורי המשיבים בארץ. בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 4%-11% כיום ובעוד שנתיים, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 29%. מנגד, 5%-11% מהמשיבים בחו"ל העידו כי כיום ובעוד שנתיים הם הרבה אחרי רוב המתחרים ולעומת זאת בארץ אף משיב לא העיד כי נמצא הרבה אחרי המתחרים.

סביר שהתפלגות התשובות באשר למצב כיום תהא התפלגות נורמלית. ואכן התפלגות התשובות בחו"ל באשר למצב כיום קרובות להתפלגות נורמלית: 24% לפני רוב המתחרים, 38% כמו יתר המתחרים והיתר – 34% בפיגור לעומת המתחרים.

לעומת זאת, בישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת המתחרים באותו ענף: 79% מיחידות הביקורת סוברות שהן מקדימות יחידות מתחרות באותו ענף וכאמור, נתון זה מהיבט של התפלגות נורמלית (התפלגות פעמון) מעורר שאלות.

באיזו רמה ועדת הביקורת בארגונך מעורבת ומקבלת מידע על אודות תוכנית היזמות לשינוי והחדשנות שיחידת הביקורת לקחה על עצמה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שבארץ כ-40% מהמשיבים סבורים כי ועדת הביקורת בארגונם אינה מעורבת בתכנית היזמות והחדשנות של הביקורת הפנימית, לעומת 25% בחו"ל. מנגד, כ-40% מהמשיבים בחו"ל סבורים כי ועדת הביקורת מעורבת בתוכנית היזמות והחדשנות של הביקורת בצורה בינונית, בעוד שבארץ כ־30% מהמשיבים סבורים כך.

כן ניתן לראות כי גם בארץ וגם בחו"ל כ־20% מהמשיבים סבורים שוועדת הביקורת מעורבת ברמה גבוהה בתוכנית היזמות והחדשנות של הביקורת הפנימית.

נדגיש כי המצב הראוי הוא שוועדות הביקורת אכן יהיו מעורבות ביזמות של יחידות הביקורת, אלא שכאן מתחייבים עוד ניתוחים (שלא נעשה אותם כאן ועכשיו). כמו כן, קיימות הגדרות משפטיות חוקיות שונות לתפקידי וועדות הביקורת, שיש להביאן בחשבון בארץ, ואין דין ועדת ביקורת בחברות ציבוריות לדין ועדות ביקורת במגזר הממשלתי, בשלטון המקומי ובארגונים ציבוריים אחרים ו/או מלכ"רים.

סיכום – תמונת המצב באשר לביקורת הפנימית בישראל

המבקרים הפנימיים הראשיים בישראל מעריכים כי הבשלות הדיגיטלית של הארגונים שלהם היא גבוהה ואף גבוהה יותר מאשר עולה בשאלון הבינלאומי.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION; גם אפשר שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

פער מהותי קיים בין הבשלות הדיגיטלית של הארגונים בארץ לבין הבשלות הדיגיטלית והניהולית של יחידות הביקורת בארץ: ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3 בסקלה של 10-1, בעוד שממוצע הבשלות של יחידות הביקורת בארץ עומד על 4.4 בלבד באותה סקלה.

כך: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הם ארגונים מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות וניהולית

ממוצע הבשלות הדיגיטלית והניהולית של הביקורת הפנימית בארץ דומה למרבית תוצאות הבשלות של יחידות הביקורת הפנימית בחו"ל.

יחד עם זאת, נראה ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם ועוד, הדירוג הממוצע של הבשלות הדיגיטלית והניהולית של המבקרים הפנימיים בחו"ל גבוה יותר מאשר בארץ.

זהו סימן קריאה וגם מפת דרכים לקידום יחידות הביקורת בארץ:  הדרך עוד ארוכה בפני המבקרים הראשיים בארץ, לשאוף להשתפרות ניכרת ולו רק במרכיבים דלעיל.

השוואה ייחודית שערכנו רק בישראל נוגעת למידת הבשלות הדיגיטלית והניהולית ביחידות הביקורת הפנימית בארץ בהתייחס למספר עובדי הביקורת בכל יחידה.

הממוצע המשוקלל של הקבוצה שכללה עד 20 עובדים מהווה כ־79% מכלל העונים לשאלון בארץ וממוצע הבשלות של אותה קבוצה עמד על 4.1. בקבוצה שכללה 20 עובדים ומעלה ממוצע הבשלות עמד על 5.6, ממוצע הגבוה ב־30% מהקבוצה הראשונה.

זאת תוצאה מעניינת וגם סבירה. נראה סביר כי באשר לשאלת הבשלות הדיגיטלית יש יתרון לגודל בהתייחס למספר עובדי הביקורת שביחידה.

נקודת אור עולה באשר לשאלה האם יחידת הביקורת הפנימית בארץ שנמצאות בפער בתחום החדשנות יש תכנון/תוכנית לעשות שינוי או ליזום חדשנות כבר כעת. התשובות בישראל העלו אופטימיות: 49% מהן הביעו נכונות לפעולה כבר כיום.

אופטימיות מרובה עולה בישראל גם באשר להערכת המצב היחסי כיום, באשר לאימוץ חדשנות ויזמות לשינוי של יחידת הביקורת בהשוואה ליחידות ביקורת פנימית שבארגונים אחרים דומים בישראל באותו ענף/תעשייה.

בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי כיום הם הרבה או מעט לפני רוב המתחרים, עמד רק על 24%, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה או מעט לפני רוב המתחרים עמד על 79%.

בארץ אף מבקר פנימי ראשי לא העיד כי יחידתו נמצאת כיום בפיגור ניכר אחרי המתחרים, לעומת 11% בשאלון הבינלאומי.

בשורה התחתונה: נראה שבישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת יחידות ביקורת מתחרות באותו ענף. מנגד, הנתון אינו סביר במונחים של התפלגות נורמלית-"התפלגות פעמון"

הבהרה על חובת הזהירות :

• התוצאות לעיל מתבססות על ממוצעים של יחידות ביקורת מתחומים שונים מאוד ובהם: פיננסים, תעשייה כולל הייטק, משרדי ממשלה ורשויות מקומיות שיש ביניהן שונות רבה
• יש שונות רבה גם באשר למספר עובדי ביקורת בכל יחידת ביקורת: שונות שנעה בין עובד אחד לחמישה במספר רב של יחידות ביקורת פנימית לעומת 30-20 עובדי ביקורת ומעלה, ביחידות אחרות
• ייתכן שקיימות גם הטיות בתשובות עקב מורכבות השאלונים
• יחד עם זאת, יש במכלול הניתוחים לעיל מספר הדגשים המחייבים תשומת לב המבקרים הפנימיים הראשיים בארץ : בראייה צופה פני עתיד, יש להמשיך ואף להאיץ את כיווני החדשנות הדיגיטלית והניהולית בכל יחידות הביקורת הפנימית, כי העתיד וגם כבר ההווה מחייבים זאת.

The post ממצאי שאלון: ביקורת פנימית – הדור הבא appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעז ענר | רו"ח, MA ,CIA ,מרצה, יועץ, מנהל סדנאות ביקורת, לשעבר משנה למנכ"ל – משרד מבקר המדינה

רקע כללי

במחצית הראשונה של שנת 2020 (בתקופת התפרצות מגפת הקורונה) בוצע על ידי ה-ECIIA (הקונפדרציה האירופאית למבקרים פנימיים) סקר ב-11 מדינות ברחבי אירופה – אוסטריה, בלגיה, צרפת, גרמניה, איטליה, לוקסמבורג, הולנד, ספרד, שוודיה, אנגליה ואירלנד (להלן: "הסקר האירופאי"). לסקר השיבו 579 נשאלים, לצד ראיונות שבוצעו עם 42 מבקרים פנימיים ראשיים ויושבי ראש ועדות ביקורת ו-51 מומחים.

הסקר פורסם בספטמבר 2020 במסגרת 'Risk in Focus' הנערך מדי שנה במהלך 5 השנים האחרונות, ומטרתו לסייע למקצוע הביקורת הפנימית לבצע את עבודת הערכת הסיכונים, את התכנון השנתי ואף את סקירת הביקורת על ידי שיתוף התובנות והלמידות מהמחקר.

במהלך חודש ינואר 2021 ערכנו אנחנו בישראל סקר בקרב מבקרים פנימיים ראשיים. בסקר השתתפו 57 משיבים.

מטרת הסקר הייתה לבחון את השינויים שחלו בעבודת הביקורת הפנימית ובסיכונים שאליהם חשופים הארגונים בשנים האחרונות, והשינויים שצפויים לחול בשנים הבאות. השאלון בנוי בסגנון 'TOP 5', כלומר בכל שאלה נדרשו העונים לסמן 5 תשובות  בלבד, המתאימות ביותר לדעתם.

הסקר בישראל כלל 8 שאלות הנוגעות בעיקרן להערכת הסיכונים בארגון ולמיקוד הביקורת הפנימית בתחום הסיכונים, לפי תקופות כדלקמן:

1. הערכת סיכונים בארגונים בשנת 2020.
2. מיקוד/ השקעת הביקורת הפנימית בשנת 2020.
3. הערכת סיכונים בארגונים בשנת 2021.
4. הערכת סיכונים בארגונים בשנת 2024.
5. המשאבים להתמודד עם השינויים.

בכל אחת מהתקופות לעיל יוצגו להלן התוצאות על פי החתכים הבאים:

• הצגת שיעורי המשיבים בכל אחד מהסיכונים.
• השוואה בין תוצאות המשיבים בארץ בתקופה המוצגת לבין תוצאות המשיבים בארץ בתקופות אחרות רלוונטיות.
• השוואה בין תוצאות המשיבים בארץ לתוצאות המשיבים בסקר האירופאי בגין אותה תקופה.

להלן עיקרי הנתונים והניתוחים (כאמור, במרבית השאלות הנשאלים התבקשו לסמן את 5 התשובות המתאימות ביתר, כך שהנתונים לא מצטברים ל-100%).

1. הערכת סיכונים בארגונים בשנת 2020

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020:

חמשת הסיכונים העיקריים של הארגונים השונים בישראל בשנת 2020 – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

ניתן לקשר סיכונים אלה באופן ישיר למשבר הקורונה שהיה משמעותי מאוד בשנת 2020, בין אם בהקשר של ניהול משברים (ברור כי בתקופה זו ארגונים נקלעו למשברים מסוגים שונים), ובין אם בהקשרים של סייבר ואבטחת מידע והון אנושי וניהול (לאור היבטי העבודה שהשתנו, לרבות עבודה מרחוק, שימוש באמצעי טכנולוגיה חדשים, העברת מידע באופן ממוחשב ועוד).

בהתאם, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים אודות התפלגות הסיכונים העיקריים בשנת 2020. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה היו בסיכוני טכנולוגיה מצד אחד (26% מהמשיבים בארץ לעומת 58% מהמשיבים באירופה), ומנגד בסיכוני הון אנושי וניהול (58% מהמשיבים בארץ לעומת 27% מהמשיבים באירופה). כמו כן, הסיכונים שלא קיבלו ביטוי בסקר האירופאי בגין שנת 2020 וסומנו על ידי המשיבים בסקר בארץ כסיכונים עיקריים ומשמעותיים: סיכוני ניהול משברים (46%) וסיכוני איכות השירות ללקוח (39%).

1. מיקוד/ השקעת משאבי הביקורת בשנת 2020

לצד הערכת הסיכונים בארגונים, בדקנו את התחומים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת הפנימית, הזמן והמאמץ. להלן תרשים לתיאור התפלגות 5 התחומים העיקריים שבהם הושקעו בישראל בשנת 2020 רוב משאבי הביקורת בארגונים שבהם ממונים המשיבים כמבקרים פנימיים:

חמשת התחומים העיקריים בשנת 2020 שבהם הביקורת השקיעה את עיקר משאביה – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

כמו כן, ערכנו השוואה בגין שנת 2020 בישראל בין הערכת 5 הסיכונים העיקריים של הארגונים לבין 5 התחומים העיקריים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת. להלן התוצאות:

נראה כי במרבית המקרים, המבקרים הפנימיים בארץ התמקדו במסגרת הביקורת הפנימית בתחומים דומים לסיכונים המהותיים בארגונים, כדוגמת סייבר ואבטחת מידע, רגולציה וציות, שרשרת אספקה ובריאות, בטיחות וביטחון. כלומר הם השקיעו את משאביהם בהלימה לסיכונים של הארגונים. עם זאת, ישנם תחומים שהביקורת התמקדה בהם, בעוד שהערכת הסיכונים הארגוניים בתחומים אלה הייתה נמוכה יותר, כדוגמת מעילות והונאות, תרבות ארגונית, ממשל תאגידי ודיווח, ואיכות השירות ללקוח.

בתחומי ניהול משאבים והון אנושי וניהול, הערכת הסיכונים של הארגונים הייתה גבוהה ביחס למיקוד הביקורת, אולם מדובר בהפרשים שאינם עולים על 10%.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל באשר להתפלגות התחומים שבהם הושקעו רוב משאבי הביקורת בשנת 2020. להלן תוצאות ההשוואה:

הן המשיבים בארץ והן המשיבים באירופה התמקדו בשיעורים גבוהים ודומים של כ-70% בתחומי הסייבר ואבטחת מידע והרגולציה וציות. הפערים המשמעותיים בשנת 2020 בהערכת הסיכונים של המבקרים הפנימיים  בארץ לעומת אירופה היו בסיכוני ממשל תאגידי ודיווח, מעילות והונאות וסיכונים פיננסיים. בתחומים אלה המבקרים הפנימיים בארץ התמקדו בהיקף משמעותי (למעלה מ-50% מהמשיבים), לעומת המשיבים באירופה שהתמקדו בהם בשיעורים נמוכים בהרבה (סיכוני ממשל תאגידי ודיווח וסיכומי מעילות והונאות – 26% וסיכונים פיננסיים 39%).

1. הערכת סיכונים בשנת 2021

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021:

חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2021 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (82%), רגולציה וציות (63%), הון אנושי וניהול (54%), איכות השירות ללקוח (47%) וסיכונים פיננסיים (39%). בהשוואה לחמשת הסיכונים העיקריים בשנת 2020 ניתן לראות שסיכוני ניהול משברים ירדו בשיעורם לעומת הסיכונים הפיננסיים שעלו בשיעורם.

ערכנו השוואה בין הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020 לעומת הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021. להלן תוצאות ההשוואה:

על פי ההשוואה, הפערים בין השנים 2021 ו-2020 לא עלו על 10% ברוב המוחלט של הסיכונים. הפער המשמעותי ביותר בהשוואה בין הערכת הסיכונים בשנת 2021 לעומת שנת 2020 היה בסיכוני ניהול משברים (הערכתו בשנת 2021 קטנה בכ-15%). ניתן להסביר את הירידה בהערכת הסיכון לאור העובדה שמשבר הקורונה נמשך, והארגונים למדו לחיות בשגרת קורונה מסוימת, כך שהערכת הסיכון קטנה לעומת שנת 2020.

בהתאם, ערכנו גם השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים בשנת 2021. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה בשנת 2021 היו בסיכוני הון אנושי וניהול, כאשר 54% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 35% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (פערים של כ-20%).

1. הערכת סיכונים בשנת 2024

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024:

על פי ההערכות, חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2024 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (89%), רגולציה וציות (56%), הון אנושי וניהול (53%), טכנולוגיה ודיגיטציה (47%) וסיכונים פיננסיים (39%).

בהשוואה לחמשת הסיכונים העיקריים בשנת 2021, ניתן לראות שסיכוני איכות השירות ללקוח עתידים לרדת בשיעורם לעומת סיכוני טכנולוגיה ודיגיטציה שעתידים לעלות בשיעורם. כלומר, בארגונים בישראל בשנת 2024 צפויה להיות מודעות גבוהה יותר לסיכונים הטכנולוגיים.

ערכנו השוואה נוספת של הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024 לעומת הערכת 5 הסיכונים העיקריים של הארגונים  בשנת 2021. להלן תוצאות ההשוואה:

ניתן לראות כי הערכת הסיכונים לשנת 2024 בישראל דומה במהותה להערכת הסיכונים בשנת 2021. בכל הסיכונים הפערים בין השנים 2024 ו-2021 לא עלו על 10%, למעט תחום הטכנולוגיה והדיגיטציה שבו יחול שינוי גדול יותר – גידול של 12%. המסקנה היא שהערכת הסיכונים העתידית של הארגונים מבוססת על הסיכונים כפי שמוכרים להם כיום.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים הצפויים בשנת 2024. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים שיהיו בשנת 2024 של הארגונים בארץ לעומת הארגונים באירופה המשיכו להיות דומים לפערים שהיו בשנת 2021. עיקר הפערים היו בסיכוני הון אנושי וניהול, כאשר 53% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 37% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (בשינויי אקלים הפער מגיע לכ-30%). לעניין ההשוואה והחיזוי לשנת 2024 בארץ ובאירופה, יש להביא בחשבון שיש קושי בחיזוי סיכונים לעוד שלוש שנים וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לשנת 2024.

1. המשאבים להתמודד עם השינויים

שאלנו את המבקרים הפנימיים בארץ אם הם סבורים שיהיו להם המשאבים הנדרשים כדי להתמודד עם הסיכונים והשינויים הצפויים בשנים הבאות. להלן תרשים המתאר את התפלגות התשובות:

ניתן לראות כי מרבית העונים (76%) סבורים כי יהיו בידם המשאבים להתמודד עם השינויים הצפויים, לפחות באופן חלקי. עם זאת, ניתן לראות שחלק לא מבוטל מהמשיבים (33%) סבורים כי לא יהיו בידם המשאבים או שיהיו להם רק משאבים חלקיים להתמודד עם השינויים, ועוד 12% אינם יודעים אם יהיו בידיהם המשאבים המתאימים. כלומר, 45% מהמשיבים מבטאים ספקות, רבים או חלקיים, לגבי יכולתם להתמודד בעתיד עם הסיכונים והשינויים הצפויים.

סיכום

ככלל, נראה כי רשימת ה-TOP 5 של הסיכונים העיקריים בשנת 2020 נשארה במהותה דומה גם בצפי לשנים הבאות.

גם בהשוואת כלל הסיכונים בין השנים נראה כי בארץ סבורים שהערכת הסיכונים בארגונים לא תשתנה באופן מהותי לאורך השנים, אם כי באשר לשנת 2024 יהיה גידול של 12% בסיכון הטכנולוגי.

הסיכון העיקרי של הארגונים, שכ-80% ומעלה מהמשיבים סימנו לאורך השנים כחלק מרשימת ה-TOP 5, הוא סיכון הסייבר ואבטחת מידע, שגם בסקר האירופאי סומן על ידי מרבית המשיבים כסיכון עיקרי.

בהשוואה בין תוצאות הסקר בארץ לתוצאות הסקר האירופאי, עולה כי ישנם סיכונים שבאירופה קיבלו ביטוי משמעותי אולם בארץ נראה כי סיכונים אלה עדיין לא מהווים סיכונים עיקריים, כדוגמת סיכוני שינויי אקלים וקיימות סביבתית ושינויי טכנולוגיה. לעומת זאת, ישנם סיכונים שקיבלו ביטוי משמעותי בסקר בארץ, אולם נראה כי באירופה אינם מהווים סיכונים עיקריים, כדוגמת הון אנושי וניהול וסיכון איכות השירות ללקוח (שלא קיבל כלל ביטוי בסקר האירופאי).

את הפער באשר לסיכוני אקלים וקיימות סביבתית ניתן להסביר במונחי תרבות חברתית ופוליטית: באירופה המודעות והרגישות לסיכוני אקלים, הן של הממשלות והן של הציבור וכנגזרת מכך של הארגונים, היא גבוהה בהרבה מאשר בישראל. באשר לשינויים טכנולוגיים יש לזקוף זאת לזכות הארגונים האירופאים שמודעים יותר מאשר בישראל לגודל ועומק השינוי הטכנולוגי, וגם להשפעותיו על התעסוקה העתידית – שינוי שכבר מתרחש ומחייב התייחסות מעמיקה. בטווח הקרוב, סביר שהנושא הזה יעלה על פני השטח גם בישראל.

באשר לחיזוי סיכונים לשנת 2024, בארץ ובאירופה יש קושי בחיזוי סיכונים לעוד שלוש שנים, וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לגבי הסיכונים בשנת 2024.

The post תוצאות סקר הערכת הסיכונים היום ובעתיד – ישראל VS אירופה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

(אלברט איינשטיין)

שיבוש מוגדר כ"קלקול, הפרעה, תקלה". לעיתים המונח מופיע כ"חדשנות משבשת" – המובילה ליצירת שוק חדש ובמקביל גורמת לשיבוש השוק הקיים (המסורתי) שלא נערך בהתאם.

לדוגמה: שיבוש הקורונה האיץ את הצורך בתקשורת מרחוק. למשל, טכנולוגיית ה-ZOOM מיושמת בכל עסק ובכל בית ואין ילד שהמילה הזאת אינה שגורה בפיו. השימוש הנרחב בכלי הזה, שלמעשה נכפה על הארגונים, תרם להמשכיות עסקית, לחיסכון ולהתייעלות. קיום ישיבות רבות משתתפים באמצעות ה-zoom מאפשר לצפות במצגות ובמקביל לנהל דיון פורה עם המשתתפים. הוא חוסך זמן ועלויות ניכרות של נסיעות בארץ ולחו"ל, ומאפשר למנהלים ולעובדים לנצל את הזמן הזה למשימות אחרות.

הקורונה החלה והעצימה שיבושים וסיכונים רפואיים-ויראליים, אך במהרה הפכה ל"סופה" של שיבושים. בין השאר היו שיבושים מדיניים, פוליטיים, טכנולוגיים, כלכליים, רגולטוריים, חברתיים, תעסוקתיים, תקשורתיים ועוד. במציאות של הכפר הגלובלי, "משק כנפי הפרפר" בסין אכן יצר טורנדו כלל עולמי.

המסקנה המערכתית: אנו בדור של שיבושים, לא חשוב מה שמם. יש להסתגל לכך ששיבושים ובהם שיבושים חיוביים (כמו פריצות דרך טכנולוגיות) הם מנת חלקנו השוטפת – היום, מחר, מחרתיים.

דוגמאות לשיבושים טכנולוגיים ולחדשנות בהווה ובעתיד הקרוב: מכוניות אוטונומיות, בינה מלאכותית, שימוש נרחב יותר בלוויינים וברחפנים, רפואה מרחוק, עבודה והוראה מרחוק, והגברת עוצמת הבינה המלאכותית, ומול כל זה עולים הסיכונים של אובדן פרטיות וכדומה.

פועל יוצא – אופן ניהול העסקים שהכרנו לא ישמש אותנו לאורך זמן. הארגונים השונים צריכים להדביק את קצב השינויים (ולא רק העסקיים) על מנת להישאר רלוונטיים. ארגונים שאינם מתחדשים עתידים לקרוס (כפי שקרה לקודאק), כאשר יזמים חדשים או קיימים יבינו איך לשפר ולפתח טכנולוגיות או עסקים יעילים יותר, המשרתים טווח רחב יותר של לקוחות. לפי מחקר שפרסם בית הספר למינהל עסקים אולין (,(Washington DC 40 חברות מרשימת ה-Fortune 500 ייעלמו בעשור הקרוב או יעברו טרנספורמציה משמעותית.

במאמר זה נציג את השפעת ה"שיבושים" על המבקר הפנימי, שצריך להמשיך לעשות את הביקורת בהתאם להוראות החוק והתקנים, אולם בפורמט חדשני, מהיר, זריז וגמיש, ובצורה ההולמת את המציאות של שיבושים חוזרים ונשנים. במילים אחרות: לשלב בין מודלים חדשים לביצוע ביקורת ואופן הצגתה, לבין הטכנולוגיה, המשאבים והמתודולוגיות, כדי לייצר ערך ולהישאר רלוונטיים בעולם משתנה.

שיבוש גורם לך להרגיש משותק, כאילו הקרקע מתחת לרגליך נשמטת, אתה מחפש פתרון מוכר מהארסנל שבתודעתך, אבל לא חושב באופן יצירתי איך להתמודד עם הסיטואציה שנוצרה בעקבות השיבוש. במצבים כאלו יש לנסות לאלתר, לצאת מהקיפאון ולהפוך את החיסרון ליתרון. אורית וולף בהרצאתה "להמציא את עצמנו מחדש" הציגה סרטון על כנר שבאמצע הקונצרט התמודד עם "שיבוש": צלצול טלפון מהקהל. ה"שיבוש" גרם לכָּנר לצאת מריכוז לכמה שניות ואז הוא החל לנגן את הנעימה של צלצול הטלפון. הקהל פרץ בצחוק, וכך הפך את השיבוש הרגעי ליתרון.

והנמשל בהקשר של ביקורת: מבקרים פנימיים צריכים להתעשת במהירות ולמצוא את הדרך להביא ערך מוסף: לערוך השוואות (BENCMARKING) ; להעמיק ב-BEST PRACTICES, לשוחח עם מקבלי החלטות ועם דרגים אחרים, ובאמצעות מידע זה לבחון את ההערכות הארגונית לשיבושים;

ו\או לנתח ולמפות באופן מזוקק סיכונים\שיבושים עתידיים ומהם לגזור מטלות לבדיקה;

ו\או להיכנס לבדיקות בתחום התרבות הארגונית – תחום חדשני הכולל סיכונים שארגונים רבים טרם העריכו את עוצמתם;

ו\או לעזור ולתמוך ולספק תובנה לארגון כיצד הוא יכול לרתום את הכוח המשבש ליתרון ולהביא ערך מוסף.

האתגר: להביא ערך – זווית ראייה שונה, לתת את "הקונטרה" הדרושה בדיונים בדירקטוריון, להעביר תובנות להנהלה דרך ניתוח שונה או ניתוח המוסיף בדבר השלכות הסיכון והמשאבים – תהליכים הדרושים לצמצמו. המטרה – שמקבלי ההחלטות בארגון יוכלו לבחור\לשקול טוב יותר אסטרטגיות להמשך הפעילות העסקית בצורה מושכלת.

מטרת העל מבחינת המבקר הפנימי – להיות מבקר חדשני העוסק לא רק בביקורת מקובלת, אלא לובש דמות של מבקר הצופה פני עתיד ופועל כיועץ באמצעות דוחותיו והמלצותיו.

בסביבת עסקים דינמית, סוגי הסיכונים, הסבירות להתרחשותם ומידת השפעתם, משתנים בתדירות גבוהה. כדי להוסיף ערך, על המבקר הפנימי לספק את תוצרי הביקורת במהירות, בדיוק ובחדות, תוך חדשנות רעיונית ותפעולית.

תובנות, הדגשים והמלצות לשינוי

• עידן הדבקוּת בתוכנית הביקורת השנתית הנוקשה – התערער. כעת הקו המוביל, תחת אישור של ועדת הביקורת, הוא זריזות ונכונות לשינויים מהירים בתוכנית ובביצועה.
• הביקורת המסורתית מפנה את מקומה לביקורת "רזה" (Lean Audit) או לביקורת זריזה-גמישה ((AGILE. זהו תהליך עבודה המאתגר את המבקר שצריך כל העת לשאול את עצמו אם הוא מספק את צורכי הלקוח ונוגע בליבת הבעיות (5-TOP), מתעלם מהטפל ומתמקד בעיקר, ונוקט את השיטה היעילה ביותר תוך חיסכון במשאבים. זהו עידן של התייעלות בלתי מתפשרת. כל עבודה שלא תומכת במדיניות זאת תתבטל מאליה.
• יש לקיים ישיבות, להפיץ שאלונים ולהתייעץ עם בעלי תפקידים האחראים על מעגל הבקרה הראשון (מנהלים ועובדי תפעול), ולאחר מכן עם בעלי התפקידים האחראים על המעגל השני (מנהל סיכונים, מנהל בקרה, מנהל ציות). יש לבצע סיעור מוחות עם כל הגורמים האלה בזמן קצר, דבר שיסייע לספק בהירות בהערכת הסיכונים ויתרום לאפקטיביות הבקרות הקיימות.
• כפועל יוצא, יש להתמקד בתחומים בעייתיים ובסיכונים מהותיים תוך צמצום הכניסה לביקורת באזורים שבהם קו ההגנה השני כבר מוליך לבקרה נאותה ולמציאות של סיכונים לא גבוהים לארגון.
• לבנות תוכנית ביקורת מוכוונת סיכונים ולא בקרות. באופן כזה ניתן לזהות סיכונים חדשים שטרם הוטמעו בגינם בקרות.
• לייעץ להפחתת הסיכונים באמצעות מתן המלצות אופרטיביות שהארגון יכול להכיל.
• להכין תוכנית ביקורת המבוססת על תחומים שבהם יש מקום להתייעלות וחיסכון.
• לדרג נושאים שעלו בסקר ובתוכנית הביקורת, להתמקד בעיקר (5-(TOP ולוותר על הטפל.
• לזהות ולנתח סיבות שורש לכל בעיה מהותית שעולה.

לשפר את אופן הצגת ממצאים בעידן של שיבושים

תמצית מנהלים קצרה וממוקדת היא שם המשחק. מדיניות Less is More"" נכונה לאמור לעיל ונכונה גם לאופן הצגת דוחות הביקורת. הקשב בעידן הזה הוא קצר, ולכן יש למקד את עיקרי הממצאים, סיבת השורש ומתן פתרונות לבעיות בדרך הקצרה והיעילה ביותר להבנה.

שימוש בכלים כמו תרשימי זרימה, גרפים, טבלאות, אלמנטים חזותיים, תמונות מהשטח (יעיל ביותר לכשלי בטיחות), הוא אפקטיבי מאוד להשגת המטרה.

חדשנות בשיטות בדיקה

1. רובוטיקה –Robotic Process Automation ((RPA

אנו חיים בעידן של שינוי. אין לחשוש מזה, אלא לראות בעבודה דיגיטלית כאמצעי עזר ולא איום.

RPA הוא קוד תוכנה המבצע אוטומציה של פעולות/משימות מובנות החוזרות על עצמן, ויודע להשתמש במערכות תוכנה קיימות כדי לנצל את הבקרות הקיימות בחברה.

שימוש מרכזי ב-RPA הוא איסוף ראיות ביקורת על ידי איסוף מידע מנתונים במערכות שונות שאינן משולבות. באמצעות מידע זה ניתן לנתח נתונים במהירות ובקנה מידה גדול כדי לשפר הערכות סיכון או לספק ראיות ביקורת. כמו כן, ניתן להשתמש בכלי זה לצורך ביצוע פעולות מובנות שלא מצריכות הפעלת שיקול דעת (כגון דרישות בסיסיות למתן אשראי ללקוח).

לשימוש ב-RPA לטובת הביקורת הפנימית יש יתרונות לא מעטים:

• ניצול נכון יותר של משאבים – הפניית פעולות פשוטות ל- RPA(כמו בדיקת עמידה בנהלים טכניים) מאפשרת לאנשי הצוות להתמקד בפעילויות מורכבות יותר המצריכות ניתוח וחשיבה מעמיקה, כגון ניתוח סיבות שורש לחריגות שנמצאו, שיפור תהליכים ואינטראקציות בין אישיות.
• הגדלת היקף הביקורת, יעילות וחיסכון – שימוש ב-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון יכול להביא לחיסכון משמעותי בעלויות, וכן לבדיקת אוכלוסייה מלאה במקום מדגם.
• תוצאות הביקורת מדויקות יותר – עם סטנדרטיזציה מובנית של תהליכים, רמת הדיוק באיכות הנתונים הממוחשבים גבוהה יותר מאשר בתהליכים ידניים.
• הגברת תדירות הביקורת – תוכנית הביקורת הנבנית היא מבוססת סיכונים. אם בעבר במקומות שבהם הסיכון נמוך נהגנו לערוך ביקורת בתדירות של אחת לכמה שנים, שימוש ב-RPA יאפשר ביצוע ביקורת בפרקי זמן קצרים יותר, ללא ניצול משאב של זמן או עובד, שבדרך כלל חסר בצוותי ביקורת.

כמובן, יש לתת את הדעת לכך שגם הסיכונים משתנים עם הטמעת RPA   בתהליכי עבודה (כגון סיכונים טכנולוגיים, איבוד ידע, הפרדת תפקידים וכדומה).

1. כניסה משמעותית לתחום הביקורת הרכה –SOFT AUDIT ועימה כניסה לבדיקות בלב התרבות הארגונית.
2. בדיקות לפי מודלים (כמו מודל הבקרה – מודל COSO מודל הבשלות).

סיכום

אנו בפתחו של עידן שבו קצב הגורמים המשבשים רק יואץ. הדבר מחייב חדשנות, יצירתיות וחשיבה שונה בביקורת הפנימית. מַעבר לשימוש בטכנולוגיות מתקדמות כמו אנליטיקס ו-RPA, לצד מתודולוגיות חדשניות בתהליכי הביקורת, כמו ביקורת גמישה, זריזה ותמציתית – המנתחת טוב יותר גורמי סיבות השורש, נוגעת בעיקר ומגבשת המלצות פרגמטיות, קצרות וממוקדות ופתרון מעשי לבעיות – יביאו להעלאת הערך המוסף של המבקר לארגון. מבקר פנימי שיניע שינוי מהותי יחזק את מעמדו כמבקר-יועץ הפועל בזמן אמת ומייצרSECOND OPPINION – זווית ראייה נוספת, שונה וחדשנית.

The post המבקר הפנימי על רקע שיבושים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רקע כללי

במהלך חודש אפריל 2020 ביצע ארגון IIA סקר בצפון אמריקה במטרה להעריך את השפעת משבר הקורונה על הביקורת הפנימית. מענה לסקר התקבל ממבקרים ראשיים או מקביליהם: 90% מהם מארצות הברית, 9% מקנדה ו-1% מהקריביים.

במקביל ערכנו אנחנו בישראל ביולי 2020 סקר בקרב מבקרים פנימיים ראשיים. בסקר השתתפו 50 משיבים.

מטרת הסקר הייתה לבחון ולנתח שינויים שחלו במערך הביקורת הפנימית בארץ בתקופת משבר הקורונה (החל מחודש מרץ 2020), בהשוואה לסקר ה-IIA כאמור.

הסקר בישראל כלל 16 שאלות הנוגעות למידע כללי על הארגון, מידע על תוכנית העבודה השנתית והשינויים שחלו בה, ומידע על יחידת הביקורת הפנימית והשינויים בצוות הביקורת.

להלן עיקרי הנתונים (ולכן לא בהכרח יצטברו כל התחומים הסכומים ל-100%).

שינויים שחלו בצוות הביקורת הפנימית בישראל

גודל יחידות הביקורת הפנימית

להלן תרשים לתיאור התפלגות מספר העובדים והמנהלים בצוותי הביקורת בארגונים שבהם ממונים המשיבים כמבקרים פנימיים:

ניתן לראות באופן מובהק כי במרבית הארגונים (כ-70%), צוות הביקורת הפנימית, לרבות העובדים והמנהלים, כולל 5-1 עובדים.

צמצום כוח האדם ביחידות הביקורת הפנימית בעקבות משבר הקורונה

להלן התפלגות שיעור הצמצום בכוח האדם הכולל, הן צמצום קבוע והן צמצום זמני, בכלל הארגונים שבהם המשיבים הם מבקרים פנימיים:

מכאן עולה שבמרבית יחידות הביקורת הפנימית, משבר הקורונה לא השפיע על היקף צוות הביקורת ולא נערך צמצום (קבוע או זמני) של כוח האדם. מנגד, ב-29% מהארגונים חל צמצום בכוח האדם, בחלקו עד 50% ובחלקו אף מעל 50%. כלומר, לצד העובדה שבמרבית הארגונים לא היה צמצום בכוח האדם, בארגונים שבהם כן נערך צמצום במספר עובדי הביקורת, בחלק מהמקרים הצמצום היה חד מאוד – מעל 50%.

לצורך השוואה, בסקר ה-IIA עלו ממצאים דומים: ב-74% מהארגונים לא נערך צמצום כוח האדם בצוותי הביקורת, ב-21% מהארגונים חל צמצום בצוות הביקורת, ובשאר המקרים חל גידול ו/או לא התקבלה תשובה חד-משמעית.

לשם הרחבה, להלן תרשים לתיאור שיעור צמצום כוח האדם הזמני והקבוע בצוותי הביקורת בישראל (מתוך 29% המקרים שבהם הייתה הפחתה), תוך הבחנה בין הפחתה קבועה להפחתה זמנית בהיקף צוותי הביקורת:

מהתרשים עולה שבארגונים שבהם חל צמצום קבוע בכוח האדם, 50% מהמשיבים ציינו כי מדובר בצמצום של 5%-10% בצוות הביקורת, ובאף אחד מהארגונים לא חל צמצום כוח אדם קבוע בשיעור הגבוה מ-50%.

לעומת זאת, מתוך הנשאלים שהשיבו כי חל בארגונם צמצום זמני בצוות הביקורת, 50% מהמשיבים ציינו כי מדובר בצמצום הגבוה מ-50% מצוות הביקורת.

שינויים בתוכנית העבודה השנתית של הביקורת הפנימית

על רקע השינויים שחלו בארגונים השונים, בחלק ניכר מהם חלו שינויים גם בתוכנית העבודה השנתית של הביקורת הפנימית. להלן התפלגות סוגי השינויים שחלו בתוכנית העבודה של יחידות הביקורת הפנימית (בנושא זה יכלו המשיבים לסמן יותר מתשובה אחת):

השיעור הגבוה של השינויים, בעיקר בדגש על שינוי מהותי בתוכנית העבודה, מצביע על גמישות וזריזות (AGILITY).

לצורך השוואה, 56% מהנשאלים בסקר ה-IIA הפחיתו או שינו מטלות בתוכנית השנתית, 48% ביטלו מטלות, 39% הוסיפו מטלות חדשות, 38% הורו לצוותים לבצע עבודות שאינן בגדר ביקורת פנימית, ו-15% שינו והרחיבו מטלות ביקורת מסוימות.

על מהותם של השינויים בתוכנית העבודה:

תשובות המשיבים בסקר IIA העידו על מעבר מהותי להעדפת נושאים הקשורים בשאלת ההתמודדות עם סיכונים הנובעים מהקורונה: 75% מהמשיבים ערכו שינוי תוכניות, 67% עסקו בזיהוי סיכונים פורצים חדשים, 57% בחנו את הערכת הסיכונים בארגון, ו-19% המליצו על תוכניות ודרכי התמודדות.

בהתאם, ערכנו השוואה בין תוצאות המשיבים בסקר בישראל לבין תוצאות סקר ה-IIA במספר סעיפים מהותיים הנוגעים לאופן ההתמודדות עם משבר הקורונה. להלן עיקרי ההשוואה:

ניתן לראות שככלל, המשיבים בסקר ה-IIA חוו שינויים בשיעורים גבוהים יותר בתוכנית העבודה מאלה שחלו אצל המשיבים בסקר בארץ.

שינויים בהיקף שעות הביקורת בתוכנית העבודה השנתית (תקציב הביקורת)

בישראל, למעלה ממחצית מהנשאלים השיבו כי לא חל שינוי בהיקף שעות הביקורת, או שחל שינוי בשיעור נמוך של עד 10%. מתוך הנשאלים שהשיבו כי חל קיטון תקציבי של שעות הביקורת, 10% העידו כי חל קיטון של למעלה מ-50%.

ערכנו השוואה בין תשובות הנשאלים בסקר בארץ לבין תשובות הנשאלים בסקר ה-IIA באשר להיקף ואופי השינוי שחל בתקציב הביקורת השנתי בעקבות משבר הקורונה.

הנחות: לצורך ההשוואה, לקחנו בחשבון שקיטון מינורי, כפי שמוגדר בסקר ה-IIA, הוא שיעור שאינו עולה על 10%, ואת ההגדרה הזאת של שינוי מינורי החלנו על תשובות הנשאלים בסקר בארץ.

בהתאם, להלן תרשים לתיאור אופי השינוי בתקציב הביקורת בסקר בארץ לעומת סקר ה-IIA:

בסקר ה-,IIA 59% מהמשיבים ציינו כי לא חל אצלם שינוי תקציבי. לצד זאת, 30% מהמשיבים חוו קיצוץ תקציבי, מתוכם כשליש חוו קיצוץ תקציבי ניכר. 2% דווקא קיבלו תוספת תקציב.

מהתרשים לעיל ניתן ללמוד כי השינויים בתקציב הביקורת בסקר ה-IIA היו מתונים יותר מהשינויים בתקציב לפי הסקר שנערך בארץ, וכי מרבית הנשאלים בסקר ה-IIA לא חוו שינוי (כ-60%), בעוד שבארץ מרבית הנשאלים חוו שינוי (כ-65%).

בהנחה שעוצמת הקיצוץ מלמדת על חיוניות הביקורת, הרי שיש כאן ממצא האומר דרשני באשר לביקורת הפנימית בישראל.

שינויים שחלו בנושאי המטלות (פוקוס הביקורת)

המשיבים בישראל נשאלו לגבי שינויים שחלו בנושאי המטלות שהם מבצעים, האם חל קיטון או גידול בהיקף הבדיקה המבוצעת, וכן נשאלו באשר למוקד (הפוקוס) של השינויים: IT סיכוני סייבר ואבטחת מידע, המשכיות עסקית, שרשרת אספקה, ניהול סיכונים ארגוני, מעילות והונאות, ציות לרגולציה והוראות ושירותים שאינם ביקורת (לרבות ייעוץ שוטף וכדומה).

באשר לשאלת הקיטון או הגידול, בשקלול תשובות כלל המשיבים בישראל עולה כי בקרב 63% מהנשאלים לא חל שינוי במטלות, אצל 34% חל גידול בהיקף הביקורת, ואצל 4% בלבד חל קיטון בהיקף הביקורת.

באשר למיקוד, נושאי המטלות שבהן חל בישראל שיעור הגידול הגבוה ביותר הם מעילות והונאות (46%), שירותים שאינם ביקורת (42%), IT סיכוני סייבר ואבטחת מידע (40%), והמשכיות עסקית (33%).

בהתאם, ערכנו השוואה בין שיעור הגידול בנושאים אלה בארץ לבין התשובות שעלו בסקר ה-IIA (למעט בנושאי שירותים שאינם ביקורת ושרשרת אספקה שלא נכללו בסקר ה-(IIA. התוצאות הן כדלקמן:

מהתרשים עולה כי במרבית נושאי המטלות, ההפרשים בין שיעור הגידול בסקר בארץ לבין שיעור הגידול בסקר ה-IIA אינם מהותיים והם נעים בין 3%-8% בלבד, למעט שיעור הגידול בנושא ציות לרגולציה והוראות, שבסקר ה-IIA עמד על 41% לעומת 23% בלבד בסקר בארץ. פער גדול קיים גם בנושא המשכיות עסקית: בארץ הקדישו לו תשומת לב גבוהה יותר בשיעור של 33% לעומת 25% בלבד בסקר של ה-IIA.

יודגש כי המשכיות עסקית היא נושא מהותי, בעיקר בתקופת משבר, ולכן היקף השינוי בישראל הוא נקודת זכות מקצועית.

הבדל מעניין שניתן לראות בסקר בארץ לעומת סקר ה-IIA הוא באשר לאופי השינויים במטלות הביקורת: המבקרים בארץ פחות הדגישו את נושא הציות והרגולציה מאשר הנשאלים בסקר ה-IIA, ומצד שני העדיפו לערוך שינויים בנושאים מקצועיים אחרים, כמפורט לעיל. אפשר שפערים אלו באשר לרגולציה מלמדים על שוני בתרבות הארגונית בין ישראל לצפון אמריקה.

לעומת זאת, בתחום סיכוני סייבר ו-IT, תשומת הלב בישראל אינה נופלת מתשומת הלב בסקר ה-IIA, וזאת נקודת זכות מקצועית.

כמו כן, מתשובות הנשאלים בארץ עולה כי בשלושה נושאי מטלות בלבד חל שיעור קיטון בהיקף הביקורת: שירותים שאינם ביקורת (10%), ציות לרגולציה והוראות (8%) ושרשרת אספקה (4%).

לצורך השוואה, בסקר ה-IIA השיבו הנשאלים כי חל קיטון (בשיעור כזה או אחר) בכל נושאי המטלות. שיעור הקיטון בנושאי המטלות נע בין 6%-31%, כלומר בשיעורים גבוהים באופן ניכר מאלה שחוו המבקרים בארץ.

סיכום

ככלל, ניתן לראות כי בעקבות משבר הקורונה חלו שינויים משמעותיים בעבודת הביקורת הפנימית בארגונים השונים: שינויים בהיקף כוח האדם, שינויים בתוכנית העבודה השנתית, שינויים בתקציב הביקורת, ושינויים במוקד הביקורת והיקפה בנושאי המטלות השונים.

באשר לשינויים בעבודת הביקורת: בהשוואה בין התשובות שעלו בסקר בארץ לבין התשובות בסקר ה-IIA, נראה כי המגמה אינה חד-משמעית, וכי ישנם תחומים שבהם חלו שינויים בשיעורים גבוהים יותר בסקר ה-IIA (כדוגמת גידול בהיקף עדכון תוכנית העבודה ועדכון הערכת הסיכונים), ואילו בתחומים אחרים חלו בארץ שינויים בשיעורים גבוהים יותר (כדוגמת קיטון בתקציב השעות מצד אחד וגידול בנושאי המטלות מצד שני, בדגש על מטלות מקצועיות שלמשבר הקורונה השפעה ישירה עליהן, כגון חשש ממעילות והונאות והמשכיות עסקית).

The post ניתוח סקר בדבר השפעת משבר הקורונה בישראל ובצפון אמריקה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

 להלן יפורטו מספר דרכים והצעות שעשויות לתרום לתהליך ההשתלבות של המבקר הפנימי, ולחזק את הקשר בינו לבין שאר בעלי התפקידים והאורגנים בארגון: 

• בניית תוכנית ביקורת משתפת: 

מבקרים פנימיים מציעים ובונים תוכנית ביקורת שנתית ורב-שנתית על בסיס ניתוח והערכת סיכונים. עבודת הניתוח נובעת מפעולות עצמאיות של המבקר הפנימי, ולעיתים מבוססת על הערכותיו של מנהל הסיכונים הארגוני. אך אין די בכך.  

כדי שהמבקר הפנימי ישתלב היטב בארגון, עליו להטמיע תהליך שבו בעלי עניין בארגון ישתתפו בעיצוב תוכנית הביקורת השנתית והרב-שנתית. על המבקר לפנות אל בעלי העניין,  ובהם  יו"ר הדירקטוריון, ראשי ועדות דירקטוריון, ההנהלה הבכירה, רואה החשבון המבקר, מנהל הסיכונים, קצין ציות,יועץ משפטי, משאבי אנוש, הממונה על מניעת הטרדות מיניות, קצין הביטחון וגורמים נוספים, ולהיעזר בהם בבניית תוכנית הביקורת.  הצעותיהם ורעיונותיהם של בעלי העניין עשויים לשפר את תוכנית הביקורת ולקשור אותה באופן הדוק יותר אל המציאות המורכבת שבה פועל הארגון וליעדים העסקיים שלו. עם זאת, ההחלטה איזו מבין ההצעות הללו לכלול בהצעה לוועדת הביקורת היא בסמכות המבקר הפנימי.  

 עצם הפנייה של המבקר לבעלי העניין בארגון לשם שיפור תוכנית הביקורת, וכן שילוב הצעותיהם בה, מחזקים את שיתוף הפעולה בין המבקר לבין שאר הגורמים.   

כאשר הצעה שהעלה גורם בארגון באה לידי ביטוי בדוח הביקורת של המבקר הפנימי, ואף תרמה והעניקה ערך לארגון, רצוי לאזכר זאת בדוח הביקורת. כך, מציע ההצעה יחוש סיפוק מתרומתו, ויחסי העבודה בין המבקר למבוקרים יתהדקו. 

• יצירת קבוצות התייעצות – פורומים:
  סיכונים רבים אופפים את הארגונים במאה ה-21. חלק מהסיכונים בלתי צפויים וכאשר הם צפים מעל פני השטח הם יוצרים איום כלפי הארגון. מכיוון שהארגונים בעידן הנוכחי מורכבים מאוד, אין לגורם אחד את מלוא החיישנים (הכלים) להבין את המתרחש, שלפעמים אף נעשה מעבר לגבולות הארגון ויכול לסכן את הארגון. כדי להתמודד עם הסיכונים הבלתי צפויים, ניתן ליצור קבוצות התייעצות. החברים בקבוצות הללו ידונו במגמות, באזורי סיכון מסתמנים, בשינויי רגולציה עתידיים, באירועים שהתרחשו אף מעבר לגבולות הארגון  ועוד, ויגבשו דרכי פעולה אפשריות. השתתפותו של המבקר הפנימי בפורומים אלה עשויה לחזק את שיתוף הפעולה בינו לבין שאר הגורמים בארגון, ולאפשר למבקר לתרום מניסיונו. בכך יש לחזק את "הדבק הארגוני" בין גורמי הניהול, הבקרה והביקורת, ולסייע להבנת פני הסיכונים וההערכות הארגון בנדון.  
  • הכרת המורכבות הארגונית: 

  האם המבקר הפנימי אובייקטיבי? התשובה האינטואיטיבית של המבקר לשאלה זו היא "כן". אך גורמים רבים הנמצאים תחת עינו הבוחנת של המבקר הפנימי ואף ההנהלה הבכירה, עשויים לטעון אחרת.   

  הטענות העיקריות המופנות כלפי המבקר הפנימי מגוונות: המבקר "מתאהב" בממצאי בדיקתו ולא מוכן להיפרד מהן; המבקר הפנימי אינו מבין את המורכבות הארגונית ואת העולם התחרותי שבו הארגון פועל; המבקר הפנימי אינו מוכן להתחשב בקשיים, במגבלות, במשאבים המוגבלים ובדילמות שאיתם מתמודד המבוקר; המבקר הפנימי עוסק בזוטות, בממצאים בעלי רמת סיכון נמוכה עד נמוכה מאוד ועלות התיקון בלתי סבירה;  

  אלו טענות כבדות משקל, ובבסיסן קיימים ספקות אם המבקר הפנימי קשוב למבוקרים, האם הוא אובייקטיבי דיו ואכן תורם לארגון.  

  המבקר הפנימי יכול להתמודד עם טענות אלו באמצעות הדרכים הבאות:  

  • העמקת ההיכרות שלו עם התעשייה תוך הגברת הבנתו בנוגע לענף והנושא שבבדיקה. 
  • הקשבה רבה למבוקרים, פתיחות להערותיהם, הידברות והשתתפות בשולחנות עגולים עימם, הגעה להבנות בנוגע להתחייבויות המבוקרים לפעול לשיפור המצב ומתן ביטוי לכך בדוח הביקורת. 
  • בחינה של עלות מול תועלת בדבר יישום המלצות שהוא עומד להמליץ. גילוי פתיחות ונכונות להשמיט ממצאים שחשיבותם זניחה וכן ממצאים שעלות תיקונם אינה סבירה או אינה כדאית מבחינה כלכלית. 
  • התמקדות בדוח הביקורת בסיכונים מהותיים, בהמלצות על תהליכי ייעול וחיסכון, בשיפור הקשר עם הלקוחות, בדחיפת הארגון לחדשנות ולימוד ממקורות מקצועיים מחוץ לארגון – benchmark. 
  • במבט מכליל: חשוב לקיים שיח ומשא ומתן עם המבוקר. מכיוון שאין אמת אחת מוחלטת, על המבקר הפנימי להכיר בגוונים הרבים הקיימים ולקחת אותם בחשבון. לשם כך, נדרשת מהמבקר הפנימי הקשבה, הבנה וגם יכולת לנהל משא ומתן, כאשר עליו לשמור על איזון בין עמידה על עקרונות החשובים לו כמבקר, לבין ויתור על היבטים פחות חשובים ועל נושאים שקיים ספק בנוגע אליהם. בכלל זה, הצגה בדוח של היבטים חיוביים בפעילות שנבדקה, ציון תהליכי תיקון ושיפור שביצע המבוקר, ומתן ביטוי זהיר להצהרותיו שיפעל כך בעתיד. 

   

  • שיפור הדיווח: 

  השתלבות בארגון והבאת ערך קשורה גם באיכות הדיווח – איכות דוח הביקורת ושיווקו. המבקר הפנימי יכול לשפר את איכות הדיווח במגוון דרכים: 

  • ליצור "דוח צופה פני עתיד": 
    • דוח הביקורת, למעט במקרים של טוהר המידות, אינו דוח של "אני מאשים". הדגש אינו דווקא על הגורם החורג ועל הממצאים, אלא על העתיד, על  ההמלצות הניתנות – בדגש על מה שנדרש ורצוי לעשות כדי לתקן ולשפר. 

     

    • להפנים כי קהל היעד החשוב ביותר של הדוח אינו היחידה הארגונית המבוקרת או המנהלים בדרג הביניים האחראים על ניהול תהליכים ועל בקרות תפעוליות. קהל היעד העיקרי הוא ועדת הביקורת וההנהלה הבכירה. זמנם קצוב ושאיפתם היא לקבל דוח קצר וממוקד, המתייחס לבעיות המהותיות ביותר: "TOP 10" – מקבץ הסוגיות והסיכונים המהותיים בלוויית סדרה קצרה של תובנות: מהי התמונה הכוללת המצטיירת מהדוח, מהם גורמי השורש, ומה המבקר הפנימי ממליץ לעשות.
       
    • להימנע מכתיבת דוח ארוך, פרטני, טכני, הכתוב בשפה מתנשאת ומקצועית מדי. דוחות אלה עלולים "לעייף" את מקבלי ההחלטות, לגרום לאי הבנה של עיקרי הדברים, ולהוריד את ערכו של המבקר הפנימי בעיני מקבלי ההחלטות.
       
    • ובמבט ציורי: יש המתארים את המבקר הפנימי כמי ש"סופר גרגרי שעועית" ומפרט את כולם בדוח הביקורת. כלומר, עוסק בדוח בזוטות, בפרטים ובממצאים הפחות חשובים, ואינו מציג תמונה ממוקדת, קצרה ובהירה. מוסר ההשכל: לא "גרגרי השעועית" מעצבים את איכו
      • ת הדוח אלא "מרק השעועית" – מרק סמיך ועימו ניחוח מטבח, הלא הם תמצית הממצאים המהותיים יחד עם התובנות. 

       

      • שיפור  היכולת המקצועית השיטות וכלי בדיקה  
        חדשנות מקצועית מביאה עימה שיפור ביכולות הניתוח והפקת התובנות, וכן שיפור בערך שיעניק המבקר הפנימי לארגון. חדשנות מקצועית פירושה למידה מתמדת והטמעה של שיטות בדיקה חדשות, תוך בניית תוכנית אסטרטגית לשיפור מערך הביקורת, הכוללת איתור נקודות תורפה ופעולה מתמדת לשיפור היכולות. 

      להלן דוגמאות לחדשנות מקצועית המאמצת ראייה מערכתית: 
       

      •  לימוד והפנמה של שיטת "הביקורת הרכה" (Soft Audit). שיטה זו מביאה לידי ביטוי את "הזרמים התת-קרקעיים" בארגון, כלומר זרמים של עמדות, דעות ותחושות העשויות להצביע על סיכונים של חוסר אמון בהנהלה ובמנהלים, הגברת חוסר ציות וכדומה. 

• אימוץ מודלים תורתיים-חיצוניים מחוץ לארגון, הכוללים שילוב סרגלים חיצוניים לשם בחינת התפקוד הארגוני והמלצות על שיפורו. בין היתר, אלה הם מודל הבקרה (COSO) ו"מודל הבשלות". מודלים אלה חושפים את מיטב הפרקטיקה המקצועית ומאפשרים לביקורת הפנימית להציג דגשים ותובנות באשר להתנהלות הארגון, על מכלול מערכותיו ומוסדותיו: הדירקטוריון, ההנהלה הבכירה, גורמי ניהול ובקרה – עד אחרון העובדים. 

סיכום  

שיפור מעמדנו, השתלבותנו בארגון ויכולתנו להשיא ערך ולתרום, מחייבים הליכה בשני נתיבי התקדמות עיקריים התורמים זה לזה: חיזוק המיומנויות הרכות – שיפור יכולות ההידברות, ההקשבה ושיתוף הפעולה, ובמקביל שיפור היכולת המקצועית. נתיבים אלו כוללים מרכיבי משנה רבים, שחלקם נסקרו במאמר. 

The post צרור עצות לשילוב המבקר הפנימי בארגון ולהגברת תרומתו appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.