כולם כבר מבינים שהדאטה הוא אחד ממנועי הצמיחה המשמעותיים של ארגונים. ככל שהתהליכים הארגוניים שלנו הופכים להיות יותר ויותר דיגיטליים, כך גם כמות המידע שנצבר הולך וגדל, והדבר מאפשר לנו להגיע לתובנות שעד כה יכולנו רק לחלום עליהן (כמובן בהנחה שהמידע הקיים אמין).

אבל איך נדע שהגענו לתובנות הרלוונטיות ביותר עבור הארגון שלנו? איך נדע שבאמת הבאנו ערך לארגון?

בחלק מגופי הביקורת קיימת תפיסה שלפיה המיקוד של הביקורת צריך להיות בהיבטים רגולטוריים המתייחסים לאופן הציות של הארגון לדרישות הרגולטור, או מיקוד באיתור חריגים מנוהל העבודה או מערכי הארגון. אולם האם אנחנו כיחידת ביקורת שמבקשת לייצר השפעה, מסוגלים לייצר גם תובנות ברמה העסקית שיסייעו לארגון לממש בהצלחה את האסטרטגיה העסקית שלו או לאתגר אותה? ואם כן, כיצד עושים זאת? וכיצד מוודאים שאנחנו לא "דורכים" על תחום האחריות של העסק או "מאיימים" על פעילותו וביצועיו?

ברור כי הערך המוסף יכול להיות משמעותי מאוד לארגון ויכול גם לגרום למיצוב הביקורת כגוף משמעותי להצלחת הארגון ומחובר ליעדיו, לא רק בהיבט של איתור חריגים אלא ברמה רחבה ואסטרטגית יותר. היבט זה יבוא לידי ביטוי בדוחות הביקורת הכוללים בבסיסם גם היבטים של אפקטיביות עסקית, עמידה ביעדים עסקיים, ויישום בפועל של האסטרטגיה הארגונית. לדוגמה: האם הארגון מנצל באופן מקסימלי את פוטנציאל הצמיחה? האם הארגון מיישם באופן אפקטיבי שירות חדש? חשוב להדגיש כי מדובר באתגר לא פשוט.

לשמחתנו, כבר לפני מספר שנים הקמנו יחידת אנליזה בחטיבת הביקורת הפנימית הכוללת מספר אנליסטים האחראים לביצוע אנליזות במסגרת הביקורות השוטפות. יחידה זו שימשה בעיקר כיחידה מבצעת, המוציאה לפועל את האנליזות הנדרשות במסגרת הביקורות השוטפות. בשנה האחרונה פעלנו לשילוב האנליסטים כחלק מצוות הביקורת במטרה לשפר את הסינרגיה ושיתוף הידע בין המבקרים לאנליסטים. התוצאה באה לידי ביטוי בתוצרי הביקורת שכללו גם ממצאים בעלי ראייה עסקית, ובפידבק שקיבלנו מהמבוקרים שמרגישים את התרומה והערך המוסף של האנליזה כ"ביקורת מבוססת דאטה" לתוצרי הביקורת ולעבודתם השוטפת.

איך נכון לגשת לנושא?

אין אמת אחת, אך גילינו כי ישנם מספר קווים מנחים ושלבים שיכולים לסייע באיתור אנליזות עסקיות ונושאים משמעותיים לארגון. את הקווים המנחים הללו הגדרנו בסיוע של יועצים מומחים בתחום אסטרטגית מידע וניהול שינויים ארגוניים – אמיר רסקין, ד"ר אביבה זלצר-זוביידה, ונורית כהן תל אביבי.

להלן פירוט הקווים המנחים:

1. 1. התמקדות בחיבור לאסטרטגיה וליעדים העסקים של הארגון – לא כל ביקורת מתאימה לביצוע אנליזה עסקית, ולכן לתהליך בחירת הנושא יש משקל משמעותי ברלוונטיות, ומכאן לשימושיות של התובנות שעולות באנליזה מסוג זה. אנו נבחר למקד אנליזה עסקית דווקא בנושאי ביקורת בעלי זיקה מובהקת לאסטרטגיית הארגון, שמוגדרים להם יעדים אסטרטגיים ומדדים כמותיים ברורים. לדוגמה: מכירות, פריסה, היקפי שימוש, קצב חדירה לשוק, שירות וכדומה.
2. מיפוי הזירה – כחלק מתהליך הסקר המקדים לביקורת, נבצע מיפוי של הזירה שאנו בוחנים: מיהם השחקנים (לדוגמה: גורמים אחראים, לקוחות, שותפים, קבלני משנה, ספקים), מהם תהליכי הליבה הרלוונטיים, מהן הסוגיות המרכזיות הרלוונטיות לנושא הנבדק, מהם כלי האנליזה שיש למבוקרים, ואילו אנליזות כבר קיימות. כחלק מתהליך מיפוי הזירה ולשם איתור סוגיות מהותיות, נשתמש ב"תבחין לזיהוי סוגיה מהותית" (ראו נספח א') שבנינו, ובמידת הצורך נבצע גם בדיקה מקדימה של הנתונים כדי לוודא שאכן זהו הכיוון הנכון. לדוגמה, בארגון שהציב לעצמו יעד אסטרטגי של הגדלת נתח שוק במגזר מסוים, נתמקד בשאלות שיכולות להיות רלוונטיות ומהותיות. לדוגמה: מהו פוטנציאל הלקוחות במגזר? האם המוצרים שמשווקים ללקוחות במגזר תואמים את הצרכים של הלקוחות?
3. 3. מיפוי השאלות העסקיות – נבדוק מהן השאלות העסקיות ששואלים את עצמם הגורמים שאחראים על הסוגיה/נושא ברמות הניהוליות השונות (ראשי צוותים/מחלקות/חטיבות/ מנכ"ל), ומהן השאלות העסקיות שהם לא שואלים את עצמם בנוגע לסוגיה/נושא? מהן השאלות העסקיות שאנחנו כביקורת חושבים שהן רלוונטיות ושימושיות לארגון?
4. מיפוי המידע הנדרש ליישום האנליזה ושאלת הביקורת – לשם חקירת השאלה העסקית וביצוע האנליזה אנחנו צריכים למפות את המידע שאנו זקוקים לו, בדגש על התועלת היכולה לנבוע ישירות מהמידע הקיים. בנוסף, אנחנו צריכים לבדוק האם המידע זמין, היכן הוא מנוהל (בארגון מחוץ לארגון), והאם יש מידע שנדרש אך אינו נגיש. לשם מיפוי המידעים הנדרשים בנינו טבלת מיקוד מידע (ראו נספח ב') המסייעת במיפוי צורכי המידע ובתהליך הגישה לנתונים.

יישום בשטח: איך יישמנו את השיטה לזיהוי אנליזות עסקיות משמעותיות לביקורת ולעסק

לאחר שהגדרנו את הקווים המנחים, היה לנו חשוב לתקף אותם מול המבקרים בשטח כחלק מתהליך ההטמעה ותחילת היישום. הבנו שמדובר בשינוי משמעותי עבור המבקרים והיה לנו חשוב שהם יהיו חלק מתהליך הבנייה של הקווים המנחים כך שיוכלו לתקף ולדייק אותם ולהבין את הערך המוסף של השיטה עבור הביקורות שלהם.

שיתוף המבקרים היה חווייתי ונעשה באמצעות מספר סדנאות הטרוגניות של מבקרים ושל אנליסטים סביב נושא ביקורת מוגדר. יחד דייקנו את הקווים המנחים ואת השיטה, ויישמנו אותה בביקורת פיילוט. המטרה הייתה להגדיר ולמקד את סוגיית האנליזה והשאלה העסקית. שילוב מבקרים ממגוון עולמות תוכן סייע להפריה ההדדית ולהגדרת מגוון סוגיות רלוונטיות, שמתוכן בהתאם ל"תבחין זיהוי סוגיה מהותית" ולדאטה שהיה קיים נבחרה האנליזה המנצחת לביצוע (ראו דוגמה בנספח ג').

בשלב הבא בוצעה פעילות כדי להגדיר ולתכנן את אופן יישום והצגת השאלה העסקית. לשם כך בנינו "MockUp" (הצגה ויזואלית של הדרישות העסקיות שמתארות את השאלה העסקית הנבדקת), המתאר את אופן הצגת הנתונים ומתן מענה לשאלה העסקית. תוצר הביניים סייע לתיאום הציפיות בין המבקרים היישומיים לבין האנליסטים המפתחים את הדשבורדים הנדרשים, וכן אישור ואתגור נוסף של השאלה העסקית על ידי גורמים ניהוליים ביחידה.

על בסיס ה-"MockUp" יצאנו לדרך. את הביקורת המשולבת אנליזה ניהלנו בשיטה האג'ילית שכללה הגדרת משימות פרטניות וישיבות סנכרון להצגת תוצרים מדי שבועיים ("דמו" בסיום הספרינט) של צוות הביקורת והאנליזה.

מה למדנו עד כה?

תהליך ההטמעה והיישום מורכב ויימשך עוד זמן מה, אולם כבר למדנו מספר תובנות משמעותיות להמשך:

• למדנו שלא בכל נושא נכון לעשות אנליזה עסקית, וחשוב לבצע חשיבה לגבי הנושאים המתאימים ביותר ליישום בהתאם לדגשים שהגדרנו כקווים מנחים.
• למדנו שחשוב לבחור נושא שיש עבורו מספיק דאטה ארגוני או חיצוני אמין שיאפשר את בחינת השאלות העסקיות.
• למדנו איך נכון או לא נכון לנהל תהליך אנליזה עם אנליסטים. למדנו כמה חשוב שהאנליסט יהיה שותף לתהליך ההגדרה של השאלה העסקית, וככל שהאנליסט מכיר יותר את עולם התוכן – כך הערך המוסף שלו גבוה יותר והאנליזה ממוקדת ובעלת תובנות משמעותית יותר.
• למדנו שתהליך השיתוף של האנליסט בצוות הביקורת והמעבר מ"ספק נותן שירות" לשותף, הובילו לתחושת העצמה ולהגברת שביעות הרצון של האנליסט מהפעילות שלו ביחידת הביקורת.
• למדנו רובד נוסף שמעניין את המבוקרים, ושיפרנו את ממשק העבודה מולם ואת הערך שהמבוקרים קיבלו מתהליך הביקורת.

לסיכום

על מנת לשמור על רלוונטיות ולחזק את הערך שהארגון מקבל מתהליך הביקורת, אנחנו צריכים להרחיב את סוג השאלות שאנחנו שואלים במסגרת הביקורת ולכלול גם שאלות בעלות אוריינטציה וחשיבות אסטרטגית ועסקית. על מנת להגדיר שאלות אלו, ישנם מספר קווים מנחים שיסייעו לנו לדייק את השאלה העסקית כך שתוצאות החקירה שלה תשיא את הערך המקסימלי לארגון. קבלת מענה על השאלות תחייב שימוש נרחב בדאטה הארגוני ויישום ממשק שוטף בין המבקר היישומי לאנליסט.

The post "להיות או לא להיות – האם זאת באמת השאלה?" appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

נאוה חלמיש ראש ענף תהליכים ורגולציה – חטיבת הביקורת הפנימית בנק לאומי.

בר וייס-סלהוב ראש ענף ביקורת תשתיות, תהליכי IT ודיגיטל – חטיבת הביקורת הפנימית בנק לאומי.

מי מאיתנו לא רוצה כל הזמן להמציא את עצמו מחדש? כולנו רוצים להיות חדשניים יותר, רלוונטיים יותר, משפיעים יותר, אפקטיביים יותר, קשובים יותר, מחוברים יותר. בקיצור, יותר! אחת הדרכים שאנחנו מנסות ליישם, וכבר אפשר להתחיל להרגיש את ההשפעה שלה על הביקורת שלנו, היא הגישה האג'ילית. ולא תאמינו, גם לקורונה יש חלק בהצלחה…

תזכורת קצרה, המתבססת גם על מאמר מאת דרור צ'רניק ואמיר שמרלינג שפורסם בגיליון 11:

תהליך הביקורת בגישת האג'ילית מחולק לצוות המקיים שיחות יומיומיות על התוכניות וביצוען; ועל ספרינטים – בדיקות ממוקדות של שבוע-שבועיים תוך סיכום הממצאים עם הגורמים המבוקרים והמשך למשימות הבאות. כלומר הבסיס הוא מספר סבבים קצרים המאפשרים לייצר במהירות יחסית מספר תוצרים ו\או הצלחות, תוך עדכון שוטף בדבר היקף הדוח וכיווניו בהתאם לממצאים ולצרכים נוספים של הארגון. במילים אחרות, השיטה מבוססת על גישת ה"פירוק" (פירוק הצוות, פירוק הדוח ופירוק ציר הזמן) ותעדוף המשימות בהתאם לערך שלהן. התפיסה גם משקפת שלושה עקרונות יסוד: העצמת הצוות, הבאת ערך מהירה, ושיפור מתמיד".

המעבר משיטת הביקורת המסורתית לשיטה האג'ילית מתבטא, בין היתר, בתקשורת שוטפת עם המבוקרים בנקודות זמן קבועות וידועות מראש ולא רק בסיום הבדיקות, בתוכנית ביקורת איטרטיבית שלא כולה מתוכננת מראש לפרטי פרטים, וכן בתעדוף שוטף של משימות – הוספה וגריעה המאפשרות דינמיות וגמישות, ולבסוף מוצגות רק המשימות המשמעותיות ביותר – 5 .TOP

שלב ראשון במסע האג'ילי (או: למה צריך את זה בכלל)?

רובנו מתמודדים עם אותם אתגרים בעולם הביקורת, כשהסביבה העסקית המשתנה במהירות רק מעצימה אותם: הצורך להיות רלוונטיים, להתמקד בדברים החשובים, לזהות את הסיכונים הבאים, לנהל נכון את הממשקים שלנו מול המבוקרים, להיחשב טכנולוגיים ומתקדמים, לשמור על דיוק ואיכות, ליצור השפעה בארגון ולהיות יעילים ואפקטיביים בעבודה שלנו. אנחנו מנסים כל הזמן דרכים חדשות כדי להתמודד עם האתגרים האלה, ואחת הדרכים שבה החלטנו ללכת לפני שנה היא הדרך האג'ילית.

כדי להוביל שינוי צריך כמה מרכיבים שיעבדו יחד: מטרות ברורות, אמונה בערך שיביא השינוי, נכונות להשקיע, יועצים מומחים שיתוו את הדרך, שותפים שיסכימו לנסות (וגם לטעות לפעמים…), וכמובן – גיבוי מההנהלה.

קראנו המון מחקרים וחומרים מקצועיים מהעולם על הטמעת אג'ייל בביקורת, למדנו על התועלות הפוטנציאליות של השיטה (יצירת שקיפות, מיקוד בערך, שיפור הקשר עם המבוקרים, דינמיות וגמישות) שהשתלבו לנו בצורה טבעית כמענה לאתגרים, שוחחנו עם עמיתים מבנק מוביל בקנדה שיישם את השיטה בהצלחה, וקיבלנו את ברכת הנהלת הביקורת לפיילוט אג'ילי.

שלב שני – יוצאים לדרך

לקחנו איתנו יועצים מומחים בנושא האג'ייל, שהביאו איתם ניסיון ממגוון עולמות תוכן אך לא מעולם הביקורת, וכולנו יחד – מנהלים, מבקרים ויועצים – תפרנו חליפה, או במילים אחרות: למדנו להתאים את השיטה לעולם שלנו.

התחלנו באנליזה, בחינה עצמית מקיפה ואמיצה של התהליכים שלנו, שהציפה נושאים לשימור ולשיפור.

הגדרנו את מטרות השינוי: מתוך תוצרי האנליזה, בחרנו במיקודים שהיו הכי משמעותיים עבורנו: קיצור משך זמן ביצוע ביקורת ומיקוד באזורים בעלי הערך המשמעותי ביותר לארגון, שיפור הממשקים עם המבוקרים ויצירת שקיפות מרבית בתהליך, וכן ניהול טוב יותר של אילוצים – בלת"מים.

בחרנו צוות פיילוט: כמוביל השינוי, בחרנו בצוות ביקורת טכנולוגיות.

הצטיידנו בהרבה סבלנות ונחישות, כי אג'ייל זה מסע, אפילו סוג של מרתון, למרות שאנחנו רצים בספרינטים.

שלב שלישי – ואז הגיעה הקורונה…

כן, עוד לפני שממש התחלנו, הגיעה הקורונה ושיבשה את התוכניות. העבודה מרחוק בתקופת הסגר הראשון הזמינה אתגרים תפעוליים, ניהוליים ומחשבתיים חדשים שהצריכו חשיבה קצת אחרת. ודווקא אז הרגשנו שזה הזמן להתחיל… ומה עשינו?

גיבשנו סט כלים זמישים-אג'יליים שיעזרו לנו בניהול העבודה בתקופת הסגר והריחוק, שכללו בין היתר הגדרת משימות לעובדים ברמה דו שבועית. תעדפנו את המשימות כל הזמן ועקבנו אחריהן, ויישמנו שגרות התעדכנות יומיות מול העובדים. יישום השגרות האג'יליות סייע לנו, למרות הריחוק, להסתכל על "התמונה הגדולה", להתמקד במשימות החשובות, לנהל תהליכי מעקב אפקטיביים ולחבר את העובדים. לצד זה התחלנו לעורר שיח בחטיבת הביקורת במטרה לרתום את שאר הצוותים ולהתחיל לייצר שפה חדשה ומשותפת – שפת האג'ייל.

שלב רביעי – חזרה ל"שגרת קורונה" וביצוע ביקורת פיילוט אג'ילית

עם החזרה מהסגר, בחרנו את ישות הביקורת שתהיה ביקורת הפיילוט הראשונה. בחרנו את הביקורת על בסיס שלושה פרמטרים: עולם תוכן מבוקר שאינו חדש לנו, מבוקרים שיסכימו לקבל שינוי, ומבקרים עם ראש פתוח.

מרגע זה, ניהול השינוי התבצע בשני מישורים שרצים במקביל: שינויים פנימיים בצוות הביקורת, ושינויים בממשק עם המבוקרים. כל אחד מהם מחולק לשינויים תהליכיים בשיטת עבודת הביקורת ולשינויי תפיסה אל מול הביקורת המסורתית הדורשת תכנון מפורט מראש של כל מהלכי הביקורת והממשקים, הן ברמת התנהלות הצוות והן ברמת תהליך הביצוע של כל ביקורת, כמפורט להלן:

שינוי תהליכי עבודה פנימיים

• שינויים תהליכיים – דייקנו והתאמנו את השגרות האג'יליות שבחרנו ליישם ברמת הצוות, תוך הקשבה שוטפת לצורכי חברי הצוות ולקשיים המתעוררים בתהליך השינוי, והתחלנו לנהל בפועל את השגרות לפי שיטת הביקורת האג'ילית: פגישות בוקר ("דיילי"), תכנון דו-שבועי ("ספרינט"), ניהול רשימה ותכולת המשימות שמשתנה ("בקלוג"), שיקוף תמונת הממצאים – החשיפות למבוקר ("דמו"), והפקת לקחים לשיפור בסיום ספרינט ("רטרו"). את השגרות הללו יישמנו ברמה מעמיקה יותר בביקורת הפיילוט. נתקלנו בלא מעט אתגרים ולגבי רבים מהם אנחנו עדיין בשלבי פיצוח. חלקם עסקו בהגדרת המשימות והתעדוף ביניהן, ואחרים עסקו בניהול התהליך והשגרות.
• שינוי תפיסה – כצפוי, נוכחנו לראות שקל יותר לשנות תהליך מאשר לשנות תפיסה בדבר עבודת הביקורת המקובלת. זהו שינוי תרבותי עמוק שמערער מהיסוד הרבה תפיסות שמושרשות אצלנו כבר שנים, ויש צורך במנהיגות, גמישות מחשבתית ואומץ ניהולי כדי לתעדף ו"לשחרר": למחוק משימות ולהעלות משימות חדשות. גם מצד הצוות שמבצע את הביקורת נדרשת פתיחות רבה ללמידה בדרך של ניסוי, טעייה ושיפור תוך כדי תנועה, במקום הוודאות והנוחיות שבשיטת הביקורת הידועה והמוכרת להם. הנה כמה דוגמאות לאתגרים ולשאלות שנתקלנו בהם: למה כל מבקר (כל חבר צוות) צריך לדעת מה המשימות של האחרים? איך אפשר "לפרק" ישות (נושא ביקורת) למשימות באופן שיאפשר לקבל מהר יותר תוצר גולמי בעל ערך? איך אפשר לגרום לנו ולמבקרים שלנו לתעדף משימות, ולא לבדוק את כל ההיבטים שהיינו רוצים או רגילים לעשות?

שינויים בממשקים עם המבוקרים

כאן נתקלנו באתגרים כלפי חוץ: איך רותמים מבוקרים לתהליך חדש? איך מיישמים את השגרות האג'יליות מול המבוקרים בלי להעמיס עליהם יותר פגישות/אינטראקציות מאשר ישנן כיום? עם אילו היררכיות מצד המבוקר צריך ליישם את השגרות? וכל זה, בתקופת הקורונה, תקופה שגם ככה מאתגרת עבור כולם….

החוויות של המבוקרים מהתהליך היו מגוונות. היו כאלה שנרתמו והבינו את התועלת ואת ה WIN WIN – ככל שמשתפים אותם יותר, הם יכולים מוקדם יותר להתחיל לטפל בחשיפות, כך שבדוח הסופי הציון אומנם ניתן לפי החשיפות שזוהו, אך לצד זה הצגנו בדוח את השיפור בסביבת הבקרה תוך כדי הביקורת. כמובן שאת השיפור בחרנו למנף ולשקף בדוח כהצלחה של המבוקרים. לעומת זאת, היו כאלה שהרגישו עומס, אינטנסיביות ויותר מדי אינטראקציות. במקרים האלה בחרנו לשחרר מעט.

מה למדנו בינתיים?

שאין אמת אחת, אין דרך אחת שמתאימה לכל המצבים, לכל המבקרים ולכל סוגי הביקורות. חשוב שנבין מהם העקרונות שיכולים לשרת אותנו הכי טוב כבסיס, ועליהם לבנות תשתית גמישה, אך מנוהלת, ליישום. אנחנו כעת באמצע המסע, הרחבנו את הפיילוט לצוותים נוספים ולביקורות נוספות. אנחנו מתחילים לראות תועלות וממשיכים לשפר באזורים שבהם זיהינו אתגרים, ויש לנו כבר כמה תובנות משמעותיות:

1. מדובר בצעד גדול קדימה מבחינת אפקטיביות תהליכי הביקורת ותהליכי הניהול. לדוגמה, הצלחנו לקצר את משך הביקורת, בין היתר גם על ידי ויתור על משימות פחות חשובות ומתן דגש למשימות החשובות ביותר.
2. זהו שינוי משמעותי בתפיסת הביקורת ולכן נדרשות סבלנות והתמדה. המיקוד בערך ובהבאת ערך מהירה, דיוק התהליכים, בניית הדינמיות ביישום והטמעת השינוי אצל המבקרים והמבוקרים, כל אלה ייקחו זמן.
3. נדרש דגש מהותי על תיאום ציפיות עם המבוקרים ותקשור שוטף, כולל שיחות א-פורמליות כדי לזהות מוקדם התנגדויות ולפצח אותן ועל מנת להתאים את התהליך לצורכי המבוקרים.
4. התהליך מעצים את הצוות. בזכות שגרות השיתוף וההתייעצויות הפנימיות ברמת הצוות, ניתן להגיע לפתרונות הטובים ביותר. תהליכי השיתוף האג'יילים מייצרים מוטיבציה אצל עובדים – מחזקים את החלשים יותר ומוקירים את החזקים.
5. התהליך משתלב בעשייה היומיומית, מציף על פני השטח אתגרים שהיו קיימים, ומאפשר הבנת גורמי השורש שלהם ומתן מענה לאתגרים אלו. לדוגמה, בעקבות הפקת לקחים בסיום ספרינט שעשינו מול מבוקר, החלטנו לבצע ביקורת אחת רוחבית על נושא משמעותי שנבדק בעבר מול אותו מבוקר במגוון רחב של ביקורות, כדי להקל על העומס מולו.
6. התהליך מסייע לנו ליישם תרבות של למידה אותנטית המאפשרת שיפור מתמיד תוך כדי העצמה. לדוגמה, בעקבות ישיבות הצוות היומיות הגיעו יוזמות מצד המבקרים לסייע בקידום משימות אחרות שלא הוגדרו מלכתחילה תחת אחריותם.
7. התהליך ממצב את פונקציית הביקורת כיחידה חדשנית ומתקדמת.
8. התהליך משפר את הקשר ללקוח (למבוקר) – "ביקורת עם הפנים ללקוח".

לסיכום, עצם השינוי שביישום תפיסת האג'ייל מזרים דם חדש לעבודת הביקורת, משחרר קיבעונות, חושף חולשות באופן העבודה שלנו ומכריח אותנו להתמודד איתן. חודשים בודדים לאחר שיצאנו לדרך אנחנו כבר רואות באג'ייל את המנוע לביקורת ממוקדת, חדשנית ומכוונת ערך. כזו שמאפשרת למידה ושיפור מתמיד. כמו כל שינוי, גם השינוי הזה דורש גמישות מחשבתית, סבלנות והשקעה, אך התחושה שלנו היא שהאג'ייל יאפשר לביקורת להיות משפיעה ומשמעותית יותר בארגון.

The post חוויות מביקורת אג'ילית חלוצית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אילנה שחורי, רו"ח, CIA, CISA, CRMA, מנכ"ל משותף בחברת IA-IS, חברה לביקורת וייעוץ

ההתפתחות הטכנולוגית המואצת מובילה לשינויים רבים בתהליכי העבודה של ארגונים המשלבים יכולות טכנולוגיות שונות בתהליכי העבודה. למעשה, כיום אין כמעט תהליך עסקי או תפעולי שאינו נתמך במערכת מידע או בתשתית טכנולוגית. כתוצאה מכך מתגברים בארגונים סיכונים שונים כגון סיכוני אבטחת מידע וסייבר, סיכוני זמינות והמשכיות עסקית.

בספרו "מי הזיז את הגבינה שלי" כתב ספנסר ג'ונסון כך: "אם תבחין בשינויים הקטנים בשלב מוקדם, יהיה  לך קל יותר להסתגל לשינויים הגדולים יותר שעומדים לקרות". התגברותם של סיכונים טכנולוגיים שונים במסגרת פעילות הארגון מחייבת ביצוע התאמות בתהליכי הביקורת שנדרשת לבחון היבטים טכנולוגיים גם במסגרת ביקורות עסקיות ולא רק בביקורות מערכות מידע ייעודיות.

לשינויים אלו חשיבות רבה בשמירה על רלוונטיות הביקורת הפנימית וביכולת של פונקציית הביקורת לבצע את תפקידה בזיהוי הסיכונים המשמעותיים לארגון.

שינוי יחסי הגומלין בין ביקורת פנימית עסקית וביקורת מערכות מידע

אם עד לאחרונה הייתה קיימת הבחנה ברורה בין תחומי הבדיקה של מבקרים פנימיים קלאסיים לבין תחומי הבדיקה של מחלקות ביקורת מערכות המידע בארגון, הרי שאנו מציעים הגדרה מחודשת של תחומי האחריות ושיתופי הפעולה.

על מנת לשמר את אפקטיביות הביקורת ולהגביר את התועלת ממנה, רצוי שמבקר פנימי ישלב במסגרת ביקורת תהליך עסקי כמה נושאי ליבה שבמקור היו נחלתם של מבקרי מערכות המידע.

חשוב להדגיש כי אין הכוונה ששילוב נושאים אלה במסגרת ביקורת הבוחנת תהליך עסקי יחליף ביקורת סדורה של בדיקת מערכת, דבר המחייב היכרות עם עולם ה-IT ומומחיות של מבקר מערכות מידע. ביקורת ייעודית של מערכות ליבה ותהליכי ניהול התשתיות יבוצע על ידי מבקרי מערכות מידע מקצועיים. המודל המוצע הוא שדרוג של הביקורת הקלאסית, שיאפשר שילוב של היבטים טכניים במסגרת הביקורות העסקיות במטרה לתת התייחסות גם לסיכונים הטכנולוגיים ולשקף תמונה רחבה יותר בנוגע לסיכונים הקיימים בנושא הנבדק.

ההיבטים  טכניים מרכזיים שמומלץ לשלב במסגרת ביקורת תהליך עסקי :

1. בחינת מידת התאמת המערכת לצורכי הארגון

אחד הפרמטרים המשמעותיים בהצלחת יישום מערכת הוא מידת המענה שלה לצרכים העסקיים ומידת השימוש של המשתמשים במערכת. ארגונים משקיעים סכומים אדירים ביישום מערכות מתקדמות שנכשלות כאשר הן אינן תואמות לצרכים ולדרישות המשתמשים. בהקשר הזה נבדוק: האם המערכת ידידותית וקלה לשימוש? האם היא מספקת למשתמש את כל המידע הנדרש לביצוע הפעילות העסקית? האם המשתמשים שותפים בהגדרת הדרישות והמבדקים? כמו כן נבקש לוודא כי הוגדרה ויושמה תוכנית הדרכה והטמעה מקיפה ואפקטיבית.

חשוב לזכור כי מערכת שאינה נותנת מענה לצורך של המשתמש העסקי עלולה להוביל לרמת שימוש נמוכה במערכת וליצירת תהליכי עבודה מקביליים באופן שייצור סיכון תפעולי לפעילות הארגון. 

איך זה בא לביטוי בשטח?

במסגרת ביקורת בנושא שכר, נמצא כי חשבי השכר מבצעים חישובים ידניים בנושא שעות הנוכחות והזנת נתונים ידניים למערכות הנוכחות והשכר, מקום שמקובל שהערכים יהיו תוצאה של תהליכי עיבוד במערכות כגון יישום סוגי הסכמים וזכויות עובדים. מלבד חוסר יעילות ובזבוז משאבים, משמעות ההזנה הידנית היא חשיפה לטעויות ולהטעיות. ההתערבות הידנית נבעה מיישום לא מיטבי של מערכת הנוכחות בארגון. זיהוי הפערים הביא להמלצה על מיכון היבטים אלו במערכת.

2. בחינת נקודות בסיסיות בתחום אבטחת מידע

סיכוני אבטחת מידע הם נושאים משמעותיים בבדיקת תהליך עסקי/תפעולי בשל ההשלכה שעשויה להיות להם על הארגון. בדיקת הנושא מצריכה לרוב מומחיות ומקצועיות, אך קיימים נושאים שגם המבקר הפנימי הקלאסי יכול לכסות בשלב ראשון של הבדיקה:

ניהול ההרשאות במערכת – חשוב לראות שתהליך מתן ההרשאות מבוסס על עקרון "הצורך לדעת" (עיקרון אבטחתי הדורש מתן הרשאות מינימליות למשתמש לצורך מילוי תפקידו) ומאפשר הפרדת תפקידים. בנוסף יש לבדוק האם מתקיים תהליך מובנה ותקופתי של סקירת ההרשאות, במטרה לוודא שאין הרשאות עודפות כתוצאה משינויים ארגוניים (ניוד ועזיבה של עובדים). תהליך זה יכלול התייחסות גם לספקים חיצוניים.

הרשאות גישה עודפות חושפות את הארגון לפעילות שאינה מורשית, ואף קיים חשש כי הרשאות עודפות ישמשו למעילות והונאות.

איך זה בא לידי ביטוי בשטח?

במסגרת סקירת ההרשאות במערכת תשלומים, התגלה כי עובדים מסוימים הוגדרו במערכת בהרשאה המאפשרת הזנת תשלום ובהרשאה נוספת כמאשרי תשלום. התוצאה – אופן יישום ההרשאות במערכת המידע אינו עומד בעקרונות מקובלים של הפרדת תפקידים ובנוהלי הארגון המחייבים אישור התשלום על ידי גורם אחר ממזין התשלום.

סיכוני אבטחה פיזית – נסתכל על יישום מדיניות "שולחן נקי" במטרה לוודא כי מידע רגיש מאוחסן בצורה מאובטחת וכי קיימת מודעות עובדים לנושא. כמו כן נבחן את הגישה למתחמים רגישים ונראה כי זו מותרת רק למורשים וכי מיושמים אמצעי הגנה פיזיים כגון בקרת כניסה ומצלמות. גישה מתירנית לאזורים רגישים כגון חדרי שרתים, יכולה להוביל לסיכוני דלף מידע ולחשיפת מידע רגיש של הארגון.

3. בחינת קיום בקרות מיכוניות הולמות

קיימים שלושה סוגי בקרות מיכוניות מרכזיות:

בקרות קלט – בקרות מונעת שתפקידן להבטיח את התאמתם של הנתונים המוקלדים או המוזנים למערכת ללוגיקה העסקית המוגדרת לאותו שדה במערכת. לדוגמה: מגבלת קליטת ספרות בלבד בשדות המייצגים סכום, בדיקת תקינות חוקיות תאריך בשדה תאריך.

בקרות עיבוד – בקרות אוטומטיות שתפקידן לוודא שלמות ודיוק עיבוד הנתונים. לדוגמה: חישוב שגוי של מערכת החיוב (מערכת Billing) יוביל להפקת חשבונות חיוב בעודף או בחוסר, חישוב שגוי של שיעורי הצמדה יגרור טעויות בתשלומים או ברישומים החשבונאיים ועוד.

בקרות פלט – בקרות שתפקידן להבטיח שנתוני המערכת יועברו ליעדן בצורה המיטבית תוך שמירה על אמינות הנתונים. לדוגמה: בקרות ביחס לתהליכי הפקת דוחות למשתמשי הקצה.

בקרות מיכוניות חסרות עלולות לפגוע באיכות הנתונים הקיימים במערכת ובמערכות אחרות שניזונות ממנה ובכך ליצור סיכון תפעולי משמעותי לארגון.

4. בחינת היבטי זמינות ותפעול המערכת

זמינות מערכות המידע מהווה יעד מרכזי בפעילותם של ארגונים על מנת להבטיח רציפות עסקית ומניעת פגיעה בהשגת היעדים העסקיים ובלקוחות הארגון. לפיכך, רצוי לשלב בביקורת בחינה של היקף התקלות במערכת, משך הזמן לטיפול בתקלות, והאם קיימת התחייבות ל- SLA(הסכם רמת שירות). כמו כן האם מתקיים תהליך הפקת לקחים לאיתור גורמי השורש וכן תהליך לאיתור תקלות חוזרות.

בעיות בזמינות המערכת פוגעות בפעילות העסקית שמבוצעת במערכת וביכולת של הארגון לעמוד ביעדיו העסקיים ובמתן שירות ללקוחותיו.

5. בחינת היבטי המשכיות עסקית

היבט נוסף שמומלץ להתייחס אליו הוא מידת קריטיות המערכת לפעילות העסקית של הארגון. חשוב לבדוק האם המערכת שתומכת בתהליך העסקי שאנו בודקים הוגדרה כמערכת קריטית לארגון, ולפיכך משולבת בתוכנית ההתאוששות מאסון של הארגון (כולל ביצוע תרגולי התאוששות מאסון למערכת). בנוסף יש לבדוק האם עובדי היחידות השונות מודעים לתוכנית ההמשכיות העסקית ולפעילות הנדרשת מהם בשעת חירום.

היעדר תכנון והכנה להתמודדות עם מצבי חירום תוך שמירה על המשכיות עסקית, עלולים להוביל ארגונים לנזקים גדולים ולאבדון.

בחינת היבטים טכנולוגיים אלה בפעילות המערכת שתומכת בפעילות העסקית הנבדקת, מאפשרת מתן התייחסות לסיכון הטכנולוגי הקיים בנוסף על הסיכונים העסקיים הרלוונטיים לנושא הנבדק, ובכך לשקף תמונה רוחבית לגבי מכלול הסיכונים בנושא הנבדק.

כיצד ניישם את השינוי?

קיימת חשיבות רבה להגדרת תהליך עבודה ותהליך ניהול השינוי במטרה כדי ליישם באופן מיטבי מתודולוגיה זו. התהליך יכלול ביצוע מיפוי והבחנה בין מערכות הליבה/התשתית שיבוקרו על ידי מבקרי מערכות מידע לבין מערכות התומכות בפעילות עסקית נישתית/ממוקדת ("מערכות קצה") שהן ברמת מורכבות טכנולוגית נמוכה יותר, וכן שיוך "מערכות הקצה" לישויות הביקורת בתוכנית העבודה הרב-שנתית.

על מנת שהשינוי יצליח, הנהלת הארגון והביקורת צריכות להיות מחויבות לתהליך, לאור הצורך בהשקעת משאבים בהטמעתו. מומלץ להגדיר גורם ייעודי ביחידה שיהיה אחראי להטמעת התהליך וביצוע מעקב, בקרה ומתן סיוע מקצועי, וכן עוגנים מקצועיים בצוותי הביקורת שיסייעו בהטמעת המתודולוגיה. בנוסף, נדרש תהליך הדרכה שוטף לאור השינויים המתפתחים בעולם ה- IT ולאור השינוי במיומנויות המבקר ומקצועיותו.

לסיכום ,

עולם הביקורת משתנה לנגד עינינו לאור השינויים המהירים בעולם הטכנולוגי. שינויים אלו ושילובו של עולם הטכנולוגיה כמעט בכל הפעילויות העסקיות/התפעוליות של הארגונים, מחייבים ביצוע שינויים גם ביחידת הביקורת הפנימית ובחלוקת האחריות בין הביקורת הפנימית הקלאסית וביקורת מערכות המידע.

דגשים מרכזיים בבדיקת מערכות מידע התומכות בתהליך עסקי

The post ביקורת מערכות מידע לא רק למבקרי מערכות מידע appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.