לפרסום המקורי לחצו כאן

The post ביקורת פנימית בעת מצב חירום appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רקע
לאור התפתחות השיח בנושא קיימות, עולה במקביל שאלת תפקיד הביקורת הפנימית בהתייחס לנושא זה. נייר העמדה שלהלן, מספק תובנות בהתייחס להגדרת הנושא – מהי קיימות, מהם הגורמים לעליית חשיבותה והעיסוק בה ע"י ארגונים ולהתפתחות הדיווחים בנוגע לקיימות.
כמו כן, נייר זה עוסק בשאלת תפקיד הביקורת הפנימית, מתוך ראיה שמדובר באחד הסיכונים המהותיים המתפתחים, ובמיקוד לדיווח על קיימות, אשר הינו אחד הנדבכים בניהול סיכון זה.
נייר העמדה מבוסס על White paper של ה- IIA בנושא "Internal audit role in ESG reporting" ממאי 2021 ועל סקירת המצב הקיים בישראל בהתבסס על פרסומים של גופי ממשל ורגולציה.

מטרה

תפקיד הביקורת הפנימית בדיווח על קיימות (סביבה, חברה וממשל תאגידי)

השיח והמיקוד ב"קיימות", מונח שבדרך כלל מקובצות תחתיו סוגיות של סביבה, חברה וממשל תאגידי, מתפתחים במהירות – על ידי קבוצות משקיעים אקטיביסטיים ורגולטורים שדוחפים לשינוי בגופי הממשל, ועל ידי דירקטוריונים והנהלות בכירות אשר מנסים להבין ולאמץ את הרעיון. בחזית סיכון חדש זה ניצב לחץ על ארגונים להתחייב לציבור לקיימות ולספק עדכונים תדירים, מדויקים ורלוונטיים על אסטרטגיות הקיימות, היעדים והמדדים. למרות זאת, הדיווח על קיימות עדיין לא בשל, ואין הנחיות רבות לארגונים בתחום זה. לדוגמה, אין תקן יחיד לגבי מה נדרש לדווח.

מה שברור הוא שממשל תאגידי חזק בנושא קיימות – כמו גם ממשל אפקטיבי באופן כללי – דורש "יישור קו" בין השחקנים הבכירים כמתואר במודל שלושת הקווים של ה- IIA. כמו בכל תחום סיכון, הביקורת הפנימית צריכה לתמוך בדירקטוריון ובהנהלה על ידי מתן שירותי הבטחה אובייקטיביים, תובנות, ועצות בענייני קיימות.

להלן סקירה כללית של סיכונים הקשורים לדיווח על קיימות לצד תיאור של תנועת הקיימות הגדֵלה. כמו כן, הסקירה מתווה את תפקיד הביקורת הפנימית בדיווח על קיימות וכיצד הביקורת הפנימית יכולה לתמוך ביעדי הקיימות ולהוסיף ערך.

מבוא

יוצאים למסע הקיימות

מאמצים להפחתת ההשפעות המואצות של שינויי אקלים ולטיפול בתפיסה לגבי קיום אי שוויון חברתי היסטורי, הינם שני נושאים משמעותיים המניעים שינוי בעולם, אשר הגבירו את המודעות של ארגונים להשפעתם ויחסם לחברה ולסביבה.

הם גם דרבנו ארגונים לזהות ולנהל טוב יותר סיכוני קיימות (כלומר, סיכונים הקשורים לפעילות הארגונים והשפעתם על העולם סביבם). קטגוריית סיכון רחבה זו כוללת תחומים שהינם דינמיים ולעתים קרובות מוּנעים על ידי גורמים שיכולים להיות קשים למדידה אובייקטיבית, כגון הכללה, התנהגות אתית, תרבות ארגונית ואימוץ קיימות ברחבי הארגון.

במקביל, משקיעים ורגולטורים מתמקדים בדרישות מארגונים – לדווח דיווחים איכותיים על מאמצי הקיימות. בנוסף, קיים לחץ גובר על ביצועי ההנהלה בתחום זה, ככל שיותר ארגונים קושרים את תוכניות התגמול לעמידה ביעדי קיימות.

מכיוון שדיווח על קיימות הופך נפוץ יותר, יש להתייחס אליו באותה מידת תשומת לב כמו לדיווח הכספי. ארגונים צריכים להכיר בכך שדיווח על קיימות חייב להיות מבוסס על מערכת בקרה פנימית מתוכננת, שהוקמה מתוך ראיה אסטרטגית ואשר משקפת במדויק את האופן שבו מאמצי הקיימות של הארגון קשורים זה לזה, להתנהלות הפיננסית של הארגון, וליצירת ערך.

הביקורת הפנימית יכולה וצריכה למלא תפקיד משמעותי במסע הקיימות של הארגון. היא יכולה להוסיף ערך ביכולת לתת עצה על ידי סיוע בזיהוי והקמה של סביבת בקרת קיימות פונקציונלית. היא גם יכולה להציע תמיכה משמעותית על ידי מתן שירותי הבטחה, באמצעות סקירה עצמאית ואובייקטיבית של אפקטיביות ההערכה של סיכון הקיימות, של המענה שניתן לו ושל הבקרות. בנוסף, ביקורת פנימית הפועלת בהתאם לתקנים המקצועיים של ה- IIA ממוצבת היטב בארגונים, כך שביכולתה לסייע להם ליישם מסגרות בקרה פנימית מבוססות ואמינוֹת למאמצי הקיימות שלהם.

קבלת שירותי הבטחה אובייקטיביים על כל תהליכי ניהול הסיכונים הקשורים לקיימות, מיחידת ביקורת פנימית עצמאית ובעלת כישורים ומשאבים מתאימים, צריכה להיות חלק מכל אסטרטגיית קיימות. בשעה שנייר זה מתאר כיצד ומדוע הביקורת הפנימית צריכה למלא תפקיד קריטי במאמצי דיווח הארגון על קיימות, ראוי להדגיש כי הדיווח מהווה רק חלק מאסטרטגיית קיימות אפקטיבית. הביקורת הפנימית צריכה לספק הבטחה ועצה על כל ההיבטים של ניהול סיכון הקיימות.

שיקולים מרכזיים

בניית אסטרטגיית קיימות

חשיבות הממשל התאגידי כבקרת על  

מחזיקי העניין בנוגע לדיווח על קיימות – משקיעים, רגולטורים ותנועות חברתיות – יצרו לחץ על ארגונים לדווח. עם זאת, לשם דיווח נאות, נדרש קיום אסטרטגיה לניהול סיכוני קיימות, המבוססת על הבנה ברורה של הסוגיות הרלוונטיות. לפיכך, הדרג הניהולי הבכיר צריך להתמקד בממשל תאגידי ובקרה פנימית אפקטיביים בענייני קיימות.

כל ארגון צריך לזהות ולהעריך את ההשפעות העיקריות של הקיימות, אשר נוגעות אליו, ולקבוע יעדים לניהולם. היעדים צריכים להיות מציאותיים ומדידים בשל הסיכון לאי עמידה בהם.

בקרה פנימית

בקרה פנימית הינה תהליך, המושפע מהדירקטוריון, ההנהלה ובעלי תפקידים אחרים, אשר נועדה לספק ביטחון סביר לגבי השגת יעדים – המתייחסים לתפעול, דיווח וציות. בגלל שדיווח על קיימות יכול להכיל מגוון רחב של מדדים, ארגונים חייבים לקבוע מדיניות, תהליכים ובקרות פנימיות, אשר יוצרים מידע מהימן לקבלת החלטות ומבטיחים את איכות הנתונים המיוצרים ומדווחים. בדומה לדיווח כספי, הנתונים המשמשים ליצירת דוחות קיימות, מבוססים על הפעילות וההחלטות השוטפות המניעוֹת ארגונים לקראת השגת יעדים. פעילויות בקרה מתאימות חייבות להיות מעוצבות ופועלות באופן אפקטיבי – לצורך איסוף וניתוח הנתונים שישמשו לדיווח. יישום פעילויות בקרה מספקות הינו באחריות ההנהלה, ואילו הביקורת הפנימית אחראית לספק הבטחה בלתי תלויה שהפעילויות מעוצבות כראוי ופועלות באופן אפקטיבי.

ממשל תאגידי

בשילוב עם בקרה פנימית חזקה, ארגונים צריכים להציב מבנה ארגוני של ממשל תאגידי, אשר מוציא לפועל ביעילות את אסטרטגיית הקיימות. מבנה הולם של ממשל תאגידי, מפקח על האופן שבו אסטרטגיית הקיימות הכוללת מיושמת ברחבי הארגון (בנוסף לפיקוח על דיוק נתוני הקיימות). ממשל תאגידי של ארגון דורש מבנים ותהליכים מתאימים, המאפשרים:

• אחריותיות של הדירקטוריון כלפי מחזיקי העניין – לפיקוח ארגוני באמצעות יושרה, מנהיגות ושקיפות.
• פעולות (כולל ניהול הסיכון) על-ידי ההנהלה – להשגת מטרות הארגון באמצעות קבלת החלטות מבוססת סיכונים והקצאת משאבים.
• שירותי הבטחה ועצה, על-ידי פונקציית ביקורת פנימית בלתי תלויה, כדי לקדם ולתמוך בשיפור מתמשך, באמצעות בדיקה נאותה ותקשורת המספקת תובנות.

יוזמות ודיווחי קיימות, בדומה ליצירה והגנה על הערך הכולל של הארגון, דורשים מהדירקטוריון,  ההנהלה והביקורת הפנימית – לעבוד בשיתוף ובתיאום ולתעדף אינטרסים של מחזיקי עניין. ניתן להשיג תיאום של הפעילויות באמצעות תקשורת ושיתוף פעולה. אלה יבטיחו את המהימנות, העקביות והשקיפות של המידע, הדרוש עבור קבלת החלטות מבוססת סיכונים.

בהקשר לממשל התאגידי, על הארגונים למנות בעלי תפקידים מתאימים לניהול ולדיווח על סיכון הקיימות. מודל שלושת הקווים של ה- IIA מהווה בסיס על פיו ניתן למנות תפקידים אלה.

הדירקטוריון יכול לקחת על עצמו את הפיקוח על קיימות או להאצילו לוועדת משנה. ועדת הביקורת עשויה להתאים ביותר, מכיוון שהיא בדרך כלל המנוסה ביותר בדיווח חיצוני ומבינה את חשיבות המדיניות, הנהלים והבקרה הפנימית.
ההנהלה צריכה לקחת אחריות לתכנון והוצאה לפועל של אסטרטגיות סיכון קיימות; יצירת מדיניות, נהלים ובקרות פנימיות; זיהוי מדדים רלוונטיים עליהם ניתן לבסס דוחות קיימות; ופיקוח על יצירת הדוחות. כמו כן, עליה להבין ולהתעדכן בסיכוני הציות הקשורים לקיימות.
הביקורת הפנימית צריכה לקחת על עצמה את התפקיד הקריטי של מתן הבטחה אובייקטיבית, בלתי תלויה בהנהלה, בנוגע לאפקטיביות של ניהול סיכוני קיימות, דיווח וציות לרגולציה.

האתגרים והמורכבות של הדיווח על קיימות ניכרים, והסיכונים הכרוכים בדיווח שנוהל באופן לקוי עלולים להיות גבוהים מבחינת ציות לרגולציה ונזק תדמיתי. לכן, על הדירקטוריון  וההנהלה לשקול היטב את כל הגילויים בדוחות וכיצד לאייש את תפקידי שומרי הסף.

תפקיד הביקורת הפנימית בדיווח על קיימות

הוספת ערך באמצעות הבטחה ועצה

דיוק הדיווח – חיוניות העקביות

הבטחה ועצה בלתי תלויים ואובייקטיביים הינם היסוד לתפקיד ולמשימת הביקורת הפנימית; דבר שהופך את מעורבותה בדיווח על קיימות לקריטית. הגדרת מקצוע הביקורת הפנימית מתארת כיצד היא מוסיפה ערך על ידי "הבאת גישה שיטתית וממוסדת, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי".

ככל שהסיכונים הקשורים לקיימות נפוצים וניכרים יותר בקבלת החלטות על ידי הדירקטוריון  וההנהלה הבכירה, הדירקטורים חייבים הבטחה שניתן להסתמך עליה לגבי אפקטיביות ניהול סיכוני הקיימות, לרבות דיווח על קיימות. הבטחה זו צריכה להינתן על ידי הביקורת הפנימית.

הבטחה

הבטחה על דיווח הקיימות צריכה לכלול לכל הפחות את המרכיבים הבאים, שיחידת ביקורת פנימית בלתי תלויה ובעלת כישורים ומשאבים מתאימים יכולה לספק:

• סקרו את מדדי הדיווח באשר לרלוונטיות, דיוק, עדכניות ועקביות. עניין זה קריטי שכל דוחות הקיימות הציבוריים יספקו מידע המתאר במדויק את מאמצי הקיימות של הארגון. הביקורת הפנימית יכולה לספק הבטחה אם הנתונים (כמותיים ואיכותיים) המדווחים מדויקים, רלוונטיים, שלמים ועדכניים. עניין זה חשוב במיוחד ככל שהפיקוח הרגולטורי עולה.
• סקרו את העקביות של דיווחי הקיימות בהתאמה לגילויים הניתנים במסגרת הדיווח הכספי. בעוד הדיווח על קיימות מספק נתונים שאינם כספיים, כל מידע הסותר את הגילוי הניתן במסגרת הדיווח הכספי יהווה "דגל אדום" לרגולטורים ולמשקיעים.
• בצעו הערכות של המהותיות/הסיכונים הגלומים בדיווח הקיימות. המועצה לתקני חשבונאות בינלאומיים (IASB) מגדירה "מהותיות" כך – "הצהרות מוטעות, לרבות השמטות, נחשבות מהותיות אם קיימת סבירות מוצקה, באופן פרטני או כללי, שהן ישפיעו על שיקול הדעת שנעשה על ידי משתמש סביר על בסיס הדוחות הכספיים". לפיכך, דיווחים על יעדי קיימות יכולים להגיע לרמה של מהותיות.
• שלבו את הקיימות בתוכניות העבודה של הביקורת. קיימות וביקורות הקשורות לקיימות מהוות כיום כ 1% מתוכניות העבודה של הביקורת הפנימית, על פי נתוני סקר 2021 North America Pulse of Internal Audit. דבר זה חייב להשתנות, שכן סיכוני קיימות וניהול סיכוני קיימות מקבלים משמעות גוברת עבור ארגונים.

מתן עצה

• המליצו על סביבת בקרה של קיימות. פונקציות ביקורת פנימית בעלות כישורים מתאימים, מכירות את רכיבי הבקרה הפנימית האפקטיבית. הן יכולות להמליץ ​​על מסגרות הבקרה (למשל, מודל COSO – לסביבת הבקרה הפנימית) לניהול / הפחתת סיכוני קיימות. הביקורת הפנימית גם יכולה לתת עצה בפיתוח בקרות פנימיות ספציפיות בנוגע לדיווח הקיימות.
• המליצו על מדדי דיווח. "מה לדווח" היא שאלה מרכזית בניהול סיכוני דיווח על קיימות. הביקורת הפנימית יכולה לספק תובנות לגבי סוג הנתונים (כמותיים ואיכותיים) אשר משקפים את מאמצי הקיימות הרלוונטיים של הארגון.
• המליצו לגבי ממשל קיימות. הביקורת הפנימית יכולה להמליץ לגבי ממשל תאגידי לקיימות, בשל הבנתה הכוללת של הסיכון ברחבי הארגון. היא יכולה להשתמש בפרספקטיבה הייחודית שלה, כדי לסייע בזיהוי תפקידים ותחומי אחריות, וכן לספק הדרכה בנושא בקרות פנימיות.

צמיחה בדיווח על קיימות

עניין גובר בדיווח על קיימות

תקנים, רגולציה ומסגרות

האינטרס של המשקיעים והציבור לגבי האופן שבו ארגונים עסקיים וממשלתיים משפיעים על החברה גדל משמעותית, וארגונים מגיבים במדידות שהמורכבות שלהן גוברת לגבי השפעה זו. כתוצאה מכך, הדיווח תומך בקבלת החלטות לא רק על ידי משקיעים, אלא גם על ידי דירקטוריונים והנהלות בכירות.

על פי סקר KPMG בנושא דיווח קיימות 2020, 80% מהארגונים ברחבי העולם מדווחים על קיימות. שיעור הדיווח עולה ל -96% בקרב 250 החברות הגדולות בעולם. צפון אמריקה מובילה בשיעור הדיווח האזורי שעומד על 90%. אחוז חברות S&P 500 המפרסמות דוחות קיימות צמח מ-20% בשנת 2011 ל-90% בשנת 2020.

ההתעניינות הרגולטורית הגוברת בקיימות התמקדה בשאלה – האם הדיווחים משקפים במדויק את מאמצי הקיימות של הארגון, כיצד מאמצים אלה קשורים ליצירת ערך לטווח ארוך, וכיצד העניין משפיע על המשקיעים. עם זאת, ארגונים רבים עדיין מתמודדים עם השאלה – מה צריך לדווח ואיך. נוסף לכך, לא קיים סט אחד של סטנדרטים, שעליהם ארגונים יכולים לבסס את אסטרטגיות דיווח הקיימות שלהם.

סקר G&A משנת 2020 מצא כי 70% מהחברות המדווחות מסתמכות על מסגרות וסטנדרטים כדוגמת אלה שנוצרו על ידי Global Reporting Initiative (GRI), ה-Sustainability Accounting Standards Board (SASB), ו- Financial Stability Board's Task Force on Climate-related Financial Disclosures (TCFD). מסגרות אלה משקפות את יעדי דיווח הקיימות של האו"ם (SDGs),  אשר אומצו על-ידי המדינות החברות באו"ם. המורכבוּת של סוגיות הקיימות באה לידי ביטוי ב- 17 היעדים העיקריים וב- 169 המטרות המפורטות במסמך האו"ם.

מסגרות

ישנן גישות רבות לדיווח על קיימות. ראוי לשקול אותן, ולמרות שהינן נבדלות, הן עשויות להיות משלימות. ארגונים נוהגים להתאים את דיווח הקיימות שלהם ליותר מאחת מהמסגרות שהוזכרו לעיל. בנוסף, חברות רבות בוחרות לדווח באופן פומבי על פליטת הפחמן שלהן, אסטרטגיית אקלים, יוזמות הפחתה, ועוד, באמצעות שאלון כדוגמת CDP Climate Change Questionnaire. CDP הינו ארגון ללא מטרות רווח, אשר "…מפעיל מערכת גילוי עולמית עבור משקיעים, חברות, ערים, מדינות ואזורים, לניהול ההשפעות שלהם על הסביבה". התשובות לשאלון זמינות לציבור.

אין תקן יחיד כבסיס לדיווח על קיימות, אליו ארגונים, משקיעים ורגולטורים יכולים לפנות.

בשנת 2020 חמישה ארגונים גלובליים, המתמחים בתחום הקיימות ובמסגרות משולבות של דיווח וסטנדרטים, הודיעו על כוונתם לפעול ליצירת גישה מקיפה לדיווח על קיימות.

כמו כן, הפורום הכלכלי העולמי פרסם בשנת 2020 מסמך על מדדים נפוצים ודיווח עקבי לגבי יצירת ערך בר-קיימה, המגדיר 21 מדדי ליבה.

לחץ מצד משקיעים
מניע משמעותי לדיווח בנושא קיימות הינו לחץ גובר מצד משקיעים. BlackRock, מנהל הנכסים הגדול בעולם, הצהיר שקיימות סביבתית תהיה יעד ליבה בהחלטות השקעה עתידיות, וב- 2021 הצטרף ל- 72 חתמים נוספים ביוזמה של מחויבות ללחוץ על חברות הכלולות בתיקי ההשקעות שלהם להגיע לאפס פליטות עד 2050.

פרסום של EY מ- 2021 סָקַר 60 משקיעים מוסדיים, המייצגים נכסים מנוהלים בשווי העולה על 38 טריליון דולר. בַּסֶקֶר נמצא שבין שלושת המניעים הגדולים ביותר להצלחה אסטרטגית ב- 5 השנים הבאות, נכללו: שילוב הזדמנויות משמעותיות בתחום הקיימות באסטרטגיה (דורג במקום השני), וגיוון של הדירקטוריון, ההנהלה וכוח העבודה (דורג במקום השלישי). בנוסף, סיכוני אקלים ומגבלת משאבי טבע נכללו כאיום הנפוץ ביותר מבין שלושת האיומים להצלחה אסטרטגית בחמש השנים הבאות.

סיכום

קיימות חיונית – רלוונטיות הסיכון הולכת וגוברת

בקרב מנהיגים בעסקים ובגופי הממשל גוברת ההבנה לחשיבות ולחיוניות של קיימות. רווחה ארגונית קשורה לא רק לאסטרטגיות ולמדדים פיננסיים, אלא גם לאלה המשקפים היבטים סביבתיים, חברתיים וממשליים. גישה הוליסטית זו הכרחית ליצירת ערך ארוך טווח. לכן, תכנון אסטרטגי, ניהול סיכונים והבטחה חייבים לשלב את כל ארבעת המימדים.

אחד המדדים לצמיחתה של קיימות הוא הגישה המשתנה לגבי הרלוונטיות שלה בעולם הסיכונים. OnRisk 2021, שפורסם על ידי ה- IIA בספטמבר 2020, מצא כי קיימות עדיין לא נתפסת כתחום משמעותי של סיכון על ידי דירקטוריונים, הנהלה והביקורת הפנימית. למעשה, קיימות נתפסה  כפחות רלוונטית מתוך 11 הסיכונים שנבדקו בדוח.

גישה זו משתנה בבירור.

בשעה שתנועות צדק חברתי ושינויי אקלים משנים את סדרי העדיפויות הארגוניים, משקיעים ורגולטורים מאתגרים את הארגונים לדווח בפומבי על האסטרטגיות, ההתחייבויות ופעולות הקיימות שלהם. באמצעות דיווח על קיימות, חברות המשלבות ביעילות שיקולי קיימות באסטרטגיה העסקית ובניהול הסיכון שלהן, יכולות לדווח – כיצד שיקולים אלה משפיעים על עסקיהן ועל הרלוונטיות למחזיקי העניין שלהן.

היכולת של ארגונים לעשות זאת תלויה בעיצוב וביעילות של הבקרה הפנימית בהיבטי חשבונאות, דיווח ותקשור של מידע. החלת אותה מדידה שיטתית, אימות, ניהול ודיווח של מידע מהותי על קיימות (אשר בדרך כלל חלה על דיווח כספי), אמורה להוביל לאמון גדול יותר של ארגונים ומשקיעים / מחזיקי עניין, לערך ארגוני ולאפקטיביות שוקי ההון.

לביקורת הפנימית תפקיד חשוב במתן הבטחה בלתי תלויה ואוביקטיבית בנושאי קיימות, שהינו אחד הסיכונים המהותיים המתפתחים. הדיווח על קיימות הינו אחד הנדבכים בניהול סיכון זה.

The post נייר עמדה: תפקיד הביקורת הפנימית בדיווח על קיימות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: הועדה המקצועית

דורון רונן, רו"ח, MA, LLM, CIA, CRMA, QAR, CRISC, CSX-F, CFE, יו"ר הוועדה המקצועית, סגן וממלא מקום נשיא לשכת המבקרים הפנימיים-IIA ישראל

וצוות מיוחד של הוועדה המקצועית:

רחלי פלג לאור, רו"ח, CIA, CISA, CRMA, קרסטון ישראל

ליאור סגל, רו"ח, עו"ד, MBA, גזבר ומזכיר ודירקטור לשכת המבקרים הפנימיים IIA ישראל, המבקר הפנימי הראשי – בזק החברה הישראלית לתקשורת

מאיה ויסמן, הביקורת הפנימית – קופת חולים מאוחדת

יעל רונן, רו"ח, דירקטורית לשכת המבקרים הפנימיים IIA ישראל, מבקרת פנימית ראשית – הבנק הבינלאומי

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה:  ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

• תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
• בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
  • התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
  • קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
  • קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
• ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
• בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
  • הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
  • התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
  • התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
  • סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
• להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
  • קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
  • אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
  • התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
  • עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
• לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
  • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
  • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
  • הפרעות לאחסון חיצוני של מידע.
  • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
  • הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
  • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
  • האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
  • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
• בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
• מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
• מה עושים ב"יום שאחרי"?
  • ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
  • ברמת הביקורת הפנימית-
    • מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
    • בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

The post קורונה. לבקר או לא לבקר, זו השאלה… appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה:  ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

 האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

• תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
• בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
  • התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
  • קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
  • קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
• ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
• בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
  • הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
  • התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
  • התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
  • סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
• להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
  • קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
  • אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
  • התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
  • עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
• לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
  • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
  • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
  • הפרעות לאחסון חיצוני של מידע.
  • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
  • הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
  • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
  • האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
  • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
• בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
• מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
• מה עושים ב"יום שאחרי"?
  • ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
  • ברמת הביקורת הפנימית-
    • מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
    • בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

The post קווים מנחים – התנהלות הביקורת הפנימית בעת משבר (הקורונה) – הוועדה המקצועית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רקע…………………………………………………………..2

צידוקים לפרסום דוחות ביקורת הפנימית……………………….. 4

השלכות שליליות על הביקורת הפנימית………………………… 5

פרסום תוצרי הביקורת בראי התקנים המקצועיים…………………9

סיכום ומסקנות………………………………………………. 10

רקע

1. חוק חופש המידע, אשר נחקק בשנת 1998, קובע כי "לכל אזרח ישראלי או תושב הזכות לקבל מידע מרשות ציבורית בהתאם להוראות חוק זה". החוק מורה לכל רשות ציבורית למנות מקרב עובדיה ממונה על העמדת מידע לרשות הציבור, וקובע הסדרים לטיפול בבקשות לקבלת מידע. החוק נועד להגשים מספר אינטרסים עיקריים ובהם האינטרס בדבר חופש הביטוי וזכות הציבור לדעת, לקדם תרבות שלטונית באמצעות פיקוח ציבורי על פעילויות רשויות השלטון ושקיפות פעילותם, מתפישה לפיה הרשות השלטונית מחזיקה במידע בנאמנות עבור הציבור כולו וכיו"ב.
2. מאז חוקק החוק, נעשו פניות לקבלת דוחות ביקורת פנימית במסגרת חוק זה ואף הנושא הובא לפתחו של בית המשפט. עיקרי פסיקת בג"צ ב- עע"מ 6013/04 – משרד התחבורה נ' חברת החדשות מובאת להלן:

" …אין לקבוע, בשום פנים, חיסיון גורף. על המערערת לשקול תמיד גילוי מלא או חלקי של המידע, ועליה הנטל להראות כי מניעת העיון, בכל מקרה ומקרה, מוצדקת היא. ככל שאינטרס הציבור במידע בולט יותר, כך נדרשת המערערת להעמיד נימוק משכנע יותר לחיסויו. מקום בו הדבר אפשרי, על הרשות לסמן ב"עפרון כחול" את החלקים שלא ניתן לגלותם, ולפרסם את היתר. אמצעים חשובים בהקשר זה, שיש לשקלם, הם פרסום תמצית ממצה והשמטת שמות."

3. יצוין שבהתאם לפקודת העיריות, רשויות מקומיות מפרסמות את דוחות מבקר העיריה לאחר שחלפו 7 חודשים מהגשתו לראש העיריה. בתקופה זו ראש העיר מגיב על הדוח והדוח נדון במועצת העיריה ובמועצת הרשות. הדוח מפורסם תוך פרק זמן האמור, גם אם לא התקיימו השלבים המצוינים לעיל. הפרסום מתבצע באתר הרשות המקומית.
4. בשנים האחרונות גוברת תופעה, לפיה מתבצעת פנייה לחברות וגופים ממשלתיים רבים בבקשה לקבל תוצרי ביקורת פנימית, לרבות – דוחות הביקורת הפנימית, תכניות עבודה שנתיות של הביקורת הפנימית, רשימת דוחות ביקורת, פרוטוקולים של דיונים בדוחות הביקורת, פירוט צעדים שננקטו בעקבות דוחות ביקורת וכיו"ב.

יצוין, כי מדובר בבקשות מידע גורפות ולא ממוקדות, לגבי מספר שנים רב (כ-5 שנים בחלק מהפניות).

5. לאור האמור לעיל, פנו מספר מבקרים פנימיים ל- IIA ישראל- איגוד מבקרים פנימיים בישראל, על-מנת שייתן את דעתו לנושא לאור ההשלכות הגורפות על מקצוע הביקורת הפנימית, על עבודת המבקרים הפנימיים ועל יכולתם למלא את תפקידם באופן אפקטיבי לטובת הארגונים אותם הם משרתים.
6. נייר עמדה זה אינו כולל בחינה משפטית של היבט פרסום ותוצרי הביקורת. מיקודו כאמור הוא בהשפעת פרסום כאמור על עבודת המבקרים הפנימיים.

צידוקים לפרסום דוחות ביקורת הפנימית

7. להלן צידוקים עיקריים לפרסום דוחות ותוצרי ביקורת כפי שמופיעים בפסיקות בית המשפט ובמקורות אחרים:

• פרסומם בציבור של ממצאי ביקורת, המתבצעת בגוף שלטוני הוא עניין חיוני כחלק מזכות הציבור לדעת וכנגזר מזכותו לקבל דין וחשבון על אודות מהלכי תפקודו של מוסד ציבורי. ערובה לקיומו של ממשל תקין היא בהעמדתו לביקורת, וכדי שהביקורת תהיה יעילה, על ממצאיה להיות גלויים וחשופים לעיני הציבור ולביקורתו. על כן פרסום דוח הביקורת הוא תנאי הכרחי לאמון הציבור במוסדות השלטון וליעילות הפיקוח הציבורי עליו" (מקור – בג"ץ 7805/00 רוני אלוני נ' מבקרת עירית ירושלים).
• פרסום דוח הביקורת הוא כלי מרתיע ורב עוצמה, אשר עשוי לדרבן בתוך היחידות שבוקרו לפעול לתיקון לאלתר של הליקויים (ועדת קוברסקי לשיפור הביקורת בגופים ציבוריים 1994).
• בגוף ששקיפותו רחבה כגון משרד ממשלתי, ראוי שתימצא דרך לפרסם ממצאי ביקורת מסוימים וזאת בצורה מבוקרת ובלא לפגוע בנושאים שחשיפתם לציבור עלולה לגרום נזק רב מן התועלת שבפרסום. הפרסום כאמור ירים תרומה של ממש לחיזוק מעמדה של הביקורת הפנימית ולשיפור סדרי המינהל בגופים שלציבור עניין בהם (מקור – הצעת לתיקון חוק הביקורת הפנימית מ- 2001 ע"י צוות מרצים בביקורת פנימית כפי שמוזכר בעת"מ 454/02 משרד התחבורה נ' חברת החדשות משנת 2004).
• כנגד טענת המערערת בדבר החשש מפגיעה במעמדו של המבקר הפנימי ניתן להעלות טענה נגדית ולפיה דווקא פרסום הדוח ברבים הוא שיבטיח כי מעמד המבקר יתחזק וישתרש וכי ממצאי הביקורת יילקחו ברצינות הראויה ….. קיימים תימוכין לסברה כי דווקא חשיפה מבוקרת של ממצאי ביקורת פנימית היא אמצעי חשוב לחיזוק מעמדו של המבקר הפנימי ולהבטחת התייחסות הולמת ורצינית לממצאיו (מקור – עע"מ 6013/14 משרד התחבורה נ' חברת החדשות).
• בהתנהלות נכונה של המבקר הפנימי, הממונה על חופש המידע והנהלת החברה עשויה לחזק את הביקורת ומטרת העל שלה (מבקר פנימי של משרד ממשלתי בפורום מבקרים פנימיים ראשיים).

השלכות שליליות על הביקורת הפנימית

8. עיקרי ההשלכות השליליות של פרסום דוחות תוצרי ביקורת  כפי שהופיעו בטיעוני המדינה והממונה על העמדת מידע לציבור במשרד התחבורה בעת"מ 454/02 משרד התחבורה נגד חברת החדשות:

• מסירת דוחות ביקורת פנימית של הרשות, עלולה לשבש את תפקודה התקין של הרשות או את יכולתה לבצע את תפקידה וזאת לאור היות מכשיר הביקורת הפנימית חלק מהליך הניהול הפנימי ובקרת איכות שנועד לשמש ככלי עזר ניהולי של הגוף המבוקר בלבד.
• כוחו ומעמדו של המבקר הפנימי ייפגעו, אם תהיה חובה למסור את הדוחות לעיתונאים על פי חוק חופש המידע. יש גם חשש כי מוסרי אינפורמציה למבקר הפנימי יחששו לעשות כן, אם ידעו שהדוח יפורסם, וכך תסוכל מטרת הביקורת הפנימית.
• הליך הביקורת הפנימית נועד לאפשר לעומדים בראש הגוף המבקר לעמוד על כשלי הגוף, מתוך תכלית לשפר את איכות תפקודו. על הליך הביקורת הפנימית להתנהל בחופשיות, כך שיענה ביעילות על צרכי הביקורת הראויים של הגוף המבוקר ויתרום במידה המירבית לשיפור תפקודו. הליך הביקורת הפנימית הוא הליך חיוני לגוף המבוקר ועליו להיעשות ללא כחל וסרק תוך הקפדה והחמרה עצמית, חשיפה ללא פשרות והתמודדות חסרת פניות.
• שמירת סודיות הדוחות חיונית, כדי להבטיח, כי בקביעת תכנית העבודה של המבקר לא יירתע הגוף המבוקר מלטפל בכל נושא שהוא, בשל החשש מתוצאותיו האפשריות של פרסום דוח הביקורת, והן כדי להבטיח שיתוף פעולה החיוני מצד העובדים. לפיכך, ועל מנת שלא להעמיד את הגוף המבוקר במצב שכזה, יש להבטיח את פנימיות ההליך ולא לאפשר את פרסום הדוחות.
• ההיגיון המנחה למניעת פרסום הדוחות הוא אותו הגיון הנעוץ בהטלת חובת סודיות של המבקר הפנימי במסגרת חוק הביקורת הפנימית, התשנ"ב – 1992.
• דוח ביקורת פנימית נחשב כדיון פנימי, שאין חובה למוסרו על פי חוק חופש המידע.
• מאזן הכולל הגנה על תפקוד מוסד המבקר הפנימי, מחייב אי חשיפת דוחותיו.
• עמדת לשכת המבקרים הפנימיים שהובאה בפסק דין זה הייתה, כי יש למנוע את פרסום דוח הביקורת הפנימית. אסור לפגוע במעמדו המיוחד של המבקר הפנימי, שכן הדבר יפגע בארגון הציבורי עצמו. כל כוחו של המבקר הפנימי, נובע מכך שהוא חלק מן הארגון ואינו חושף את הליקויים לכל העולם אלא רק להנהלת הגוף המבוקר, כדי שזה יפעל בהתאם לדוח וישפר את הארגון, הפרסום יכול שיביא למצב שבו ההתנכלות לביקורת הפנימית תתגבר, עד כדי חשש להריסתה, למרות חיוניותה של הביקורת הפנימית לתפקוד התקין והמלא של הארגון.

דעתו של נשיא לשכת המבקרים הפנימיים העולמית

9. מר ריצ'רד צ'יימברס – נשיא לשכת המבקרים הפנימיים העולמית (IIA), מתייחס לסוגיה בבלוג שלו שפורסם ביולי 2019  Exposing Internal Audit's Work: Too Much of a Good Thing?,
10. מר צ'יימברס מצין, כי מבקר פנימי כשמו כן הוא "פנימי" – אחריותו העיקרית של המבקר הפנימי וחובת האמונים שלו היא לארגון אותו הוא משרת, חובה המלווה בשמירת חשאיות הממצאים ובשיתוף הגורמים הרלוונטים בארגון. אופן הטיפול בממצאי המבקר הפנימי מצוין בתקנים המקצועיים של הביקורת הפנימית.
11. כמו כן, הוא מוסיף, כי דוחות הביקורת כוללים בתוכם לעיתים סודות מסחריים, חולשות של הארגון בתחומים מגוונים; כגון, חולשות סייבר, ומידע לגבי אסטרטגית ההתרחבות של הארגון, או מידע אחר שאם ייחשף- עשוי להעמיד בסכנה את הצלחת הארגון ולפגוע במוניטין שלו בעיני המשקיעים.
12. בנוסף, מציין מר צ'יימברס, כי יחסי הביקורת הפנימית עם ההנהלה עשויים להיפגע וכך גם שיתוף הפעולה של ההנהלה ונכונותה לחשוף בפני הביקורת היבטים בעייתיים. הוא מביא דוגמה מעברו כמבקר פנימי ראשי (מפקח כללי) בארגון ציבורי בארה"ב אשר הדוחות שהפיק פורסמו באופן שגרתי- דבר שפגם לדבריו ברצון ההנהלה להיות פתוחה ושקופה עמו. מנהל בארגון, באותה עת, פעם אמר לו "יש מספר תחומים שאני חושש שיש לנו בעיות לגבם, אך לעולם לא אבקש ממך לבחון אותם, מכיוון שדוחותיך חשופים לציבור הרחב".

השלכות שליליות נוספות

13. כאמור בפרק המבוא, בשנים האחרונות גוברת תופעה, לפיה מתבצעת פנייה לחברות וגופים ממשלתיים רבים, בבקשה לקבל תוצרי ביקורת פנימית לרבות – דוחות הביקורת הפנימית, תכניות עבודה שנתיות של הביקורת הפנימית, רשימת דוחות ביקורת, פרוטוקולים של דיונים בדוחות הביקורת, פירוט צעדים שננקטו בעקבות דוחות ביקורת וכיו"ב. מדובר בדרישות גורפות ולא ממוקדות (בניגוד

לדרישה ממשרד התחבורה בזמנו שנגעה לנושא תאונות אוויריות) המגבירות את החשש, כי מידע זה עשוי לשמש גורמים עוינים/מתחרים לארגון לאיסוף מודיעין עסקי על פעילות הארגון, תהליכיו, כשליו, חשיפות משפטיות וכיו"ב, ולאו דווקא לצרכי טובת הציבור.

14. בהקשר לנקודה זו ולנקודה המוזכרת בסעיף 11 לעיל, מתוך מאמרו של נשיא לשכת המבקרים הפנימיים העולמית (IIA), יש לציין, כי לחלק מהגופים הכפופים לחוק חופש המידע (למשל חברות ממשלתיות), קיימים מתחרים שלא כפופים לחוק זה, כך שחובת הגלוי כאמור עשויה להוות פגיעה ממשית ביכולת של הגופים הכפופים לחוק חופש המידע למלא את יעודם בהצלחה.
15. בדיון במסגרת פורום מבקרים פנימיים ראשיים, שנערך בחודש ספטמבר 2019, ציינו מבקרים פנימיים, כי מידע כאמור שיוצא מהארגון סביר שיתפרסם תוך נטייה לפיקנטריה ולהוצאת הדברים מהקשרם; וכתוצאה עלול לפגוע בתדמית הביקורת הפנימית ובמעמדה.
16. יצוין, כי בדיון זה נערך בסיומו משאל בין המשתתפים בשאלה- האם פרסום תוצרים הביקורת מועיל או מזיק לביקורת הפנימית, למעמדה ולאפקטיביות שלה, ורובם המכריע של המשתתפים סבר כי הוא מזיק.
17. החוק מאפשר לעיתים לסנן ולצמצם את המידע שנמסר לפונים לבקשת המידע, אולם הידיעה, כי הדוח יתפרסם (ברשויות מקומיות למשל) או עשוי להתפרסם אם תהיה בקשה לקבלו מתוקף חוק חופש המידע, מסרבל ומאט משמעותית את תהליך הביקורת. סרבול זה נובע ממתן זכות עיון וזכות טיעון לגורמים המבוקרים, לרבות לצדדים שלישים, עירוב גופים משפטיים וכיו"ב. כתוצאה מכך, מיקוד עבודת המבקר הפנימי מופנית להיבט הפרסום וזאת על-חשבון תפקידו העיקרי לקדם שיפור ארגוני; שיפור אשר לעיתים חשוב מאוד לבצע בהקדם האפשרי. סרבול כזה אף עשוי לעיתים להפוך את דוחות הביקורות ללא רלוונטיים, לאור פרסומם המאוחר.
18. פרסום צפוי כאמור של דוחות הביקורת עלול להשפיע על ההנהלה ועל הביקורת הפנימית בבחירת הנושאים שיבוקרו, כמו גם על האופן בו מנוסחים הממצאים וההמלצות לשיפור ע"י המבקר הפנימי. עובדות אלה יוצרות למעשה לחצים מיותרים על המבקר הפנימי הן לגבי הממצאים שיכללו (ובמיוחד- ממצאים שלא יכללו) בדוח הביקורת, והן לגבי אופן ניסוח הממצאים עצמם.
19. השלכות היבטים אלה משמעותן הלכה למעשה פגיעה באפקטיביות הביקורת הפנימית.

20. הפניות לבקשת פרסום תוצרי הביקורת בהיקפים כה רחבים[1], כמצוין לעיל, דורשות מהביקורת הפנימית, מהממונה על העמדת מידע לציבור ומהנהלת הארגון משאבים רבים בסינון החומר המועבר, לרבות סימון ב"עט כחול" של החלקים בדוח אותם לא ניתן לפרסם. לעיתים אף נדרשים הארגונים להסתייע ביועצים משפטיים, על מנת להתגונן מבקשות מידע אשר לדעת חושפות את הארגונים; בכך מוסט הדוח ממטרתו הניהולית (כלי עזר בניהול הארגון) למסמך משפטי דה-פקטו (למרות שאינו אמור להיות כזה דה-יורה).

פרסום תוצרי הביקורת בראי התקנים המקצועיים

21. פרסום דוחות הביקורת הפנימית עשוי לגרום לביקורת הפנימית שלא לעמוד בדרישות התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית IIA – המהווים את הכללים המקצועיים המקובלים, בהיבטים המצוינים  להלן:

• אי עמידה במשימת הביקורת הפנימית – לחזק ולהגן על ערך הארגון על ידי מתן הבטחה עצה ותובנה אובייקטיביים מבוססי סיכון . כפי שצוין לעיל, פרסום תוצרי ביקורת עשוי במקרים רבים להחליש ולחשוף את הארגון, במקום לחזקו ולהגן עליו.
• אי עמידה בדרישת אחד מעקרונות הליבה של הביקורת הפנימית הדורשת מהמבקרים הפנימיים להיות "אובייקטיבים ומשוחררים מכל השפעה בלתי הולמת"; כפי שהוסבר לעיל, היבט פרסום הדוחות הוא גורם אותו המבקרים חייבים לקחת בחשבון, למשל בעת בחירת נושאי הביקורת בתוכנית העבודה השנתית שלהם, אופן ניסוח דוחות הביקורת וכיו"ב.
• עקרון ליבה נוסף הוא, כי על המבקרים "לתקשר באופן אפקטיבי"; כפי שהוסבר לעיל, פרסום דוחות הביקורת יקשה על המבקרים הפנימיים לתקשר עם הנהלת ועובדי הארגון ולזכות בשיתוף הפעולה והאמון שלהם.
• אי עמידה אפשרית בדרישות תקן מס' 2440 – הפצת התוצאות. תקן זה מחייב את המבקר להפיץ את תוצאות הביקורת להפיץ את תוצאות הביקורת ל"גורמים המתאימים"; גורמים היכולים להבטיח, כי תינתן התייחסות ראויה לתוצאות. כמו כן, תקן זה דורש מהמבקר, כי בכפוף לכל דין או דרישה חוקית או רגולטורית, ולפני ההפצה לגורמים מחוץ לארגון

על המבקר הפנימי להעריך את פוטנציאל הסיכון לארגון ולפקח על ההפצה באמצעות הגבלה על השימוש בתוצאות. חובת הפרסום החלה על הארגונים מתוקף חוק חופש המידע מוציאה משליטת המבקר היבטים הקשורים לפרסום הדוח מחוץ לארגון.

יודגש, כי בסעיף 4 לחוק הביקורת הפנימית נקבע, כי "המבקר הפנימי יערוך את הביקורת בהתאם לכללים מקצועיים מקובלים".

סיכום ומסקנות

22. חוק חופש המידע והפרשנות לה נתן בית המשפט לגבי יישומו, לא מצאו, לדעת איגוד המבקרים הפנימיים, את האיזון הראוי בין האינטרס הציבורי של זכות הציבור לדעת מול האינטרס של שמירה על ביקורת פנימית אפקטיבית. הגם שיש הסוברים שפרסום דוחות הביקורת עשוי לעיתים לחזק את הביקורת הפנימית, הרי שלדעת האיגוד, פרסום כאמור פוגע באפקטיביות שלה ובמעמדה וזאת מכיוון שפרסום כאמור עשוי לשבש את פעילות הארגון, לסייע למתחרים ולגורמים אחרים המעוניינים ברעתו, לפגוע במעמדו של המבקר הפנימי בארגון ובשיתוף הפעולה לה הוא זוכה מהנהלת ועובדי הארגון. פרסום כזה משפיע על עבודת הביקורת הן בהיבט הנושאים הנבחרים לביקורת, אופן ביצוע הביקורת וניסוח הממצאים (הן זהירות הניסוח, והן החלטה – אלו ממצאים ימצאו את מקומם בדוח הביקורת ואלו ממצאים ימצאו את מקומם מחוץ לדוח הביקורת). הפרסום הצפוי מסרבל ומאט משמעותית את תהליך הביקורת, משבש את תכליתו הניהולית והופך אותה לתהליך סמי-משפטי, ובכך פוגם באפשרות הביקורת לקדם שיפור ארגוני. בנוסף, הטיפול בדרישות הגורפות והלא ממוקדות לגבי אורך/היקף התקופה (שנים רבות) צורך מהארגון משאבים רבים לטיפול ולסינון המידע ולהתדיינות משפטית. מן המקובץ לעיל, עולה, כי הפרשנות לחוק חופש המידע באשר לדוחות ביקורת פנימית, פוגעת בביקורת פנימית אפקטיבית וגורמת לה להחטיא את מטרתה הראויה.
23. לדעת האיגוד, ראוי לבחון את שינוי חוק חופש המידע או למתן את הפרשנות הרחבה לאופן יישומו ; זאת ניתן לעשות בין היתר באמצעים הבאים:

• הוועדה הציבורית לבחינת חוק הביקורת הפנימית (ועדת זילר), אשר מסקנותיה פורסמו בשנת 2006 וכללו את ההתייחסות להלן –

"נראה לנו שלצורך השגת המטרה הרצויה חשוב שהחוק יכלול נורמת גילוי מחייבת שתחייב כל גוף מבוקר להוציא אחת לשנה מעין "גילוי דעת" שיכלול פרטים על מסגרת הביקורת הפנימית כפי שהתקיימה אצלו בשנה הקודמת; אין מדובר בדיווח על תוכנה ותוכה של הביקורת אלא על קליפתה בלבד", האיגוד תומך בגישה זו. בבלוג של מר ריצ'רד צ'יימברס, נשיא לשכת המבקרים הפנימיים העולמית (IIA), המוזכר לעיל, מצוין, כי פרסום פרטים המצביעים על מעמדה החזק של הביקורת הפנימית בארגון הוא צעד חיובי שעשוי לחזק את מעמד הארגון בקרב המשקיעים.

• הגבלת הדרישות מתוקף חוק חופש המידע (למשל למספר שנים מסוים)
• הוספת הצורך לנמק לצורך מה נדרשים דוחות ותוצרי הביקורת הפנימית[2]
• צמצום המידע לנושאים ספציפיים שמתבקשים (בניגוד ל"דיג" כללי ונרחב)
• להשאיר בידי הארגון את ההחלטה – האם לפרסם את תוצרי עבודת המבקר הפנימי ובאלו מידה ואופן.

רו"ח דורון רונן, CIA

משנה לנשיא ויו"ר הועדה המקצועית IIA ישראל-איגוד מבקרים פנימיים בישראל

רו"ח אורן שחר, CIA

דירקטור ויו"ר הוועדה למענה לשאלות מקצועיות של חבריםIIA  ישראל איגוד מבקרים פנימיים בישראל

[1] יצוין כי תקנות חופש המידע (אגרות) תשנ"ט 1999 כוללות מנגנון להשתת עלויות הפקת המידע על מבקש המידע, במקרים בהם הטיפול בבקשה צורך משאבים משמעותיים מהממונה על חופש המידע בארגון.

בהתאם לסעיף 7 לחוק חופש המידע –אין על מבקש המידע לנמק את בקשתו   [2]

The post נייר עמדה – פרסום דוחות ביקורת חוק חופש המידע appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אנו מברכים על היוזמה לחיזוק הביקורת הפנימית.
יחד עם זאת, לא מצאנו התייחסות למהות הנושא: קרי – אפקטיביות הביקורת הפנימית באמצעות היקף ומשאבים המשפיעים על יכולת הביקורת לתפקד באופן מקצועי וראוי, כמו גם הכפפת המבקר ליו"ר הדירקטוריון.

אנו מצרים על הניסיון להפלות בין מבקרים פנימיים שכירים לעצמאים (תוך התערבות פסולה בעצמאות שיקולי דירקטוריון), ואשר סותר את החוק, הפסיקה, המלצות ועדת זיילר, תקני IIA ואת הנוהג המקובל בעולם של 200 אלף מבקרים ב-180 מדינות; הרשות אף לא ביססה זאת על מחקר או נימוקים.

עמדתנו מפרטת כשלים וליקויים רבים נוספים שנפלו בטיוטת החוזר.

—

The post נייר עמדה – בנוגע לטיוטת חוזר רשות החברות הממשלתיות בנוגע לקביעת כללים להבטחת יעילות ותקינות הביקורת הפנימית בחברות ממשלתיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

1. רקע

בנובמבר 2017 פרסם צוות בין משרדי, שהתכנס לצורך בחינת הקמתה של בורסה ייעודית לחברות קטנות ובינוניות בישראל, דוח ביניים להערות הציבור (להלן:  "הדוח").

בדוח כלולות המלצות שונות, במגוון היבטים, כולל בדבר סוגי החברות הרלבנטיות לגבי המודל המוצע, חובות הגילוי והדיווח שיחולו, היבטים הקשורים בממשל תאגידי ובאישור עסקאות בעלי עניין, ועוד.

בין היתר, יוחד פרק ייעודי (מספר 14) להיבטי ממשל תאגידי, אשר בו נכללות הקלות שונות ביחס למודל המחויבות בו חברות ציבוריות, והכולל, בין היתר התייחסויות לנושאים הבאים:

• מבנה הדירקטוריון וועדותיו- כולל כמות הוועדות, סטייה מההגבלות הקימות על כך שיתקיים קשר בין יו"ר הדירקטוריון והמנכ"ל.
• בקרות על עסקאות עם בעלי שליטה (שינויים מינוריים).
• תגמול נושאי משרה.
• פטור מהחובה למנות מבקר פנימי[1].

כן קיימות הוראות בדבר אכיפה (טרם נדון), המשך ההקלות ביישום התקנות בדבר הבקרה הפנימית (ISOX) ונושאים נוספים.

הדוח הוצע להערות הציבור עד ליום 27 בדצמבר 2017.

2. ההמלצה בדוח ביחס למינוי מבקר פנימי בתאגיד

בפרק 14.4 לדוח מציין הצוות, כי הדעה שהתגבשה היא, כי בחברות קטנות, בהן המורכבות היא פחותה, הן ברמה הארגונית, הן ברמה העסקית והן ברמה התהליכית, נחיצות המבקר  הפנימי הנה פחותה. "על כן, מוצע לפטור חברות בבורסה הייעודית, מתחת להיקף פעילות או מאפייני פעילות שייקבעו בתקנות (כגון מספר עובדים) מהחובה למנות מבקר פנימי. הפטור ייקבע בתקנות מכח חוק החברות". כלומר; חובת מינוי מבקר פנימי רק מעל שווי או מספר עובדים שייקבע.

3. IIA ישראל- איגוד מבקרים פנימיים בישראל

לשכת המבקרים הפנימיים העולמית (IIA) הינה הגוף המקצועי העליון הקובע את כללי המקצוע משך עשרות שנים (משנת 1941), מרכז את תוכנית ההכשרה והלימוד של מקצוע הביקורת הפנימית ואת התכנים המקצועיים הקשורים במקצוע זה ומעניק את תעודות ההסמכה לעוסקים במקצוע הביקורת הפנימית בישראל וברחבי העולם.

IIA ישראל- איגוד מבקרים פנימיים בישראל (להלן:IIA"  ישראל") הוא הגוף היחיד והבלעדי בישראל המוכר על ידי ה-IIA והוא בלבד נציגו המוסמך בישראל. לשכת המבקרים הפנימיים העולמית, המונה כ-200 אלף חברים ב- 180 מדינות, היא הגוף המוביל בתחום זה בעולם כולו ופועלת באמצעות לשכות מבקרים פנימיים ברחבי העולם. ה-IIA אחראית על מסגרת הנהלים המקצועיים הבינלאומית המכילה את התקנים המקצועיים. התקנים של ה – IIA הינם התקנים המקצועיים המקובלים בפרקטיקת הביקורת הפנימית במרבית המדינות על פני הגלובוס, לרבות ה- או"ם ה- OECD ו- IFAC (בהם ישראל חברה), ה- EU (אליו ישראל נספחת), וה- INTOSAI בו חבר גם משרד מבקר המדינה הישראלי.

4. הממשל התאגידי הנו נושא מרכזי בכל ארגון, יהא גודלו אשר יהא

ממשל תאגידי (Corporate Governance) הוא מכלול התהליכים, המנהגים, המדיניות, החוקים, המוסדות ומבני הבקרה שלפיהם מתנהל ומבוקר תאגיד או ארגון. משטר ארגוני מגדיר גם את היחסים בין נושאי הסיכון השונים ואת יעדי המשילות של הארגון. בעלי עניין עיקריים הם בעלי המניות, ההנהלה ומועצת המנהלים. בעלי עניין נוספים הם העובדים, הספקים, הלקוחות, בנקים ומלווים אחרים, רגולטורים, הסביבה העסקית, והקהילה בה פועל הארגון. בשנת 2005 מינתה הרשות לניירות ערך ועדה בראשות זוהר גושן שמטרתה להמליץ על קוד ממשל תאגידי לחברות ציבוריות בישראל, וזאת כחלק מאסטרטגיה של חיזוק גורמי הבקרה בשוק ניירות הערך הציבורי בישראל. מגמה זו בישראל ממשיכה מגמות עולמיות של התפתחות המושג של "ממשל תאגידי", בעקבות משברים שחוו שוקי ההון לאחר התפוצצות בועת ההי-טק והשערוריות הניהוליות והחשבונאיות שהתגלו בקרב תאגידי הענק הבינלאומיים. בתחילת ינואר 2006, פרסמה הרשות לניירות ערך את דוח הוועדה, שכלל המלצות ב-6 נושאים עיקריים: 1. הרכב ועבודת הדירקטוריון, לרבות שיפור עצמאותו. 2. הרכב ועבודת ועדת הביקורת. 3. אישור עסקאות עם בעלי שליטה. 4. יצירת מנגנוני בקרה נוספים. 5. דרישות מגופים מוסדיים. 6. כינון בית משפט מתמחה לדיני חברות ודיני ניירות ערך. המלצות הוועדה אומצו על ידי הרשות לניירות ערך[2] בתיקון לחוק החברות שנכנס לתוקף במארס 2011[3].

הממשל התאגידי הוא גישה ניהולית המתבטאת באוסף של עקרונות וכללים המגדירים כיצד ראוי שחברות תתנהלנה בהיבטי בקרה ופיקוח. מטרת הממשל התאגידי ליצור מנגנונים ניהול ובקרה הנגזרים מעקרונות וכללים ראויים, המושתתים על עקרונות של שקיפות ואחידות, כדי להקטין את הסיכון הכרוך בהשקעה בחברה ציבורית. עקרונות הממשל התאגידי מכתיבים את האופן שבו החברה והנהלתה, מונהגת ומפוקחת על ידי הדירקטוריון, ומסדירה את תהליכי קבלת ההחלטות, הבקרה והפיקוח בקשר שבין הנהלת החברה לדירקטוריון שלה. ממשל תאגידי משפיע באופן ברור על הנכסים הבלתי מוחשיים של הפירמה – אמון הציבור, נאמנות לקוחות ומוניטין. ממשל תאגידי ראוי צפוי למנוע מלכתחילה אירועים שגופים רגולטורים מתקשים לחשוף בדיעבד, ואשר חשיפתם עלולה לגרום נזק רב לבעלי המניות ולפירמה. ה-OECD פרסם כבר ב 1999 עקרונות מנחים לממשל תאגידי, המחייבים את המדינות החברות בו. עקרונות אלה אומצו גם על ידי מדינות נוספות[4].

5. חשיבותו של ממשל תאגידי[5]

כחלק מהנחיות הרגולטור ולאור הצורך בבחינת הסיכון הכולל של השקעות כספי העמיתים בחברות ציבוריות, נדרשים הגופים המוסדיים לשקלל במדיניות ההשקעה גם את איכות הממשל התאגידי בחברות הציבוריות ואת מידת השפעתו על הסיכון הכולל שבהשקעה. מטרת ההערכה של איכות ממשל תאגידי בחברה ציבורית, הינה להעריך ולבחון את יכולת עמידותה של החברה, כנגד הסיכונים השונים אליה היא חשופה ויציבותה בעת פעילותה השוטפת להשגת יעדיה העסקיים. ממשל תאגידי בחברות, הינו חוצה ארגון, אשר ראשיתו במערכת היחסים שבין בעלי השליטה בחברה, הדירקטוריון וההנהלה וכלה במנהלי הפעילויות ועובדי החברה. ממשל תאגידי הולם הינו, בסופו של תהליך, הגורם המאזן של התיאבון לסיכון של החברה.

עקרונות הממשל התאגידי מהווים אוסף של נהלים וכללים המגדירים כיצד ראוי שחברות ציבוריות תתנהלנה, בין היתר, בהיבטי בקרה, פיקוח ודיווח. באופן כללי, ממשל תאגידי מוגדר כטיבה של מערכת היחסים בין הנהלת החברה, הדירקטוריון שלה, היחסים בין מחזיקי העניין השונים ויעדי המשילות של הארגון. ממשל תאגידי תקין מהווה את התרבות הארגונית והתשתית להתנהלות אתית וערכית של התאגיד במכלול פעילויותיו ובתחומי האחריות החברתית.

לעיתים, עקרונות הממשל התאגידי שונים מהדין הקיים, אך עקרונות אלה אינם באים להחליפו או לתקנו, אלא להוות נדבך נוסף לדין המחייב. נוכח תהליכי הגלובליזציה של שוקי ההון, חשיבותם של עקרונות הממשל התאגידי – מעבר ליצירת מערכת עקרונות וכללי ממשל תאגידי ראויים למדינות השונות – היא ביצירת והעלאת רמת הוודאות, השקיפות והאחידות, כך שישמשו את המשקיעים, הנושים והגופים הפיננסיים בבואם להעריך תאגידים שונים המאוגדים ונסחרים במדינות שונות.

ממשל תאגידי ראוי, צפוי למנוע אירועים שגופים רגולטורים, מקצועיים ככל שיהיו, מתקשים לחשוף בטרם עת, שכן ההבנה בשנים האחרונות היא כי לעיתים, אף אם אירועים כאמור ייחשפו בדיעבד, הרי שנזק רב שנגרם הינו בלתי הפיך ועל כן קיימת חשיבות רבה למניעתו מלכתחילה.

6. מגנוני בקרה ושומרי הסף

"המבקרים הפנימיים, הם אנשי המקצוע החשובים ביותר ויכולים לעזור לשפר את חיי האזרחים", אמרה ח"כ קארין אלהרר, יו"ר (דאז)  של הוועדה לענייני ביקורת המדינה. "יש חשיבות עצומה לביקורת ואני מאמינה גדולה בה. תפקיד מבקר הפנים בארגון הוא חשוב ונדרש לחזק את מעמדו, כי הוא משמש כשומר הסף בארגון", כך אמרה ח"כ קארין אלהרר…, יו"ר הוועדה לביקורת המדינה של הכנסת. לדבריה, "המבקרים הפנימיים, הם אנשי המקצוע החשובים ביותר ויכולים לעזור לשפר את חיי האזרחים".[6]

כאמור, מודל הממשל התאגידי כולל בין היתר מנגנוני בקרה, ובהם שומרי סף. אחד משומרי הסף הינו המבקר הפנימי.

"חוק הביקורת הפנימית התשנ"ב-1992 … קובע כי בכל גוף ציבורי תתבצע ביקורת פנימית על ידי מבקר פנימי. בשנים האחרונות אימצו רבות מהמדינות המפותחות כללים התואמים את עקרונות "הממשל התאגידי" (Corporate Governance) והנהיגו על פיהם כללים לממשל תאגידי ראוי ברשויות הציבוריות ובתאגידים. בהמשך למגמה עולמית זו הנחו בישראל הרגולטורים השונים את הגופים הנתונים לאחריותם – הבנקים, גופי ההשקעה המוסדיים, קופות החולים והחברות הציבוריות – לקיים את כללי הממשל התאגידי, ובין היתר לחזק את מעמדו של המבקר הפנימי ושל ועדת הביקורת של הדירקטוריון, ובמרץ 2011 נחקק תיקון לחוק החברות, התשנ"ט-1999 על פי עקרונות אלה."[7]

כך, למשל, המפקח על הבנקים הוציא הנחיה 307 "ניהול בנקאי תקין – פונקציית ביקורת פנימית"[8], בה נקבע בין היתר: "הוראה זו עוסקת בפונקציית ביקורת פנימית, החיונית לקיומו של ממשל תאגידי תקין בתאגיד בנקאי. ההוראה מבוססת על מסמך באזל שפורסם באוגוסט 2001 שעניינו ביקורת פנימית בתאגידים בנקאיים." …  "פונקציית הביקורת הפנימית מסייעת לתאגיד הבנקאי להשיג את יעדיו על ידי הבאת גישה שיטתית ודיסציפלינארית לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, מערכות הבקרה הפנימיות, לרבות בקרות על הדיווח הכספי, הממשל התאגידי, ובכלל זה השמירה על החוק, הוראות המפקח על הבנקים, טוהר מידות, החיסכון והיעילות."

7. המבקר הפנימי מהווה קו הגנה חשוב ביותר על הארגון, בלא רלבנטיות לגודלו

בכל חברה (ובוודאי בחברות ציבוריות) קיימים שלושה קווי הגנה, האמורים להגן על פעילותן של החברות מפני סיכונים, אשר יפגעו/ ימנעו מהם להשיג את יעדיהם:

• קו ההגנה הראשון– ההנהלה ויחידות בקרה. בעלי התפקידים המצויים בקו זה אחראים על התמודדות שוטפת עם סיכונים, ועל קיום בקרות שימנעו טעויות/ הונאות המתבצעות מול וכלפי הארגון.
• קו ההגנה השני– כולל את גורמי ניהול הסיכונים, האכיפה והציות. בעלי תפקידים אלו אחראיים על אתגור בעלי התפקידים המצויים בקו הראשון, ועל וידוא כי הארגון מנהל את סיכוניו ומתמודד עם היבטי הציות לחקיקה.
• קו ההגנה השלישי– בו פעיל המבקר הפנימי, והוא בוחן את תפקודי בעלי התפקידים בשני קווי ההגנה הראשונים, כמו גם מביט על הארגון בצורה כוללת ובוחן כי הוא מתמודד בצורה תקינה עם סיכונים החלים עליו, ובהתאם לחוקים ולרגולציות המושתים על הארגון.

8. עמדת IIA ישראל- תיווצר פגיעה משמעותית בחברות בפרט ובשוק ההון בכלל, עקב ביטול החובה למינוי מבקר פנימי בחברות ציבוריות

סעיף 146 לחוק החברות, התשנ"ט-1999 (להלן: "חוק החברות") קובע חובה למנות מבקר פנימי בחברה ציבורית ובחברות אג"ח (להלן: "חברה ציבוריות" או "חברה ציבורית").

בחוק החברות כלולות הוראות שונות החלות על מבקר פנימי, לרבות בדבר מינויו, הגורם האחראי עליו ותפקידיו, לפיהם "עליו לבדוק, בין היתר, את תקינותן של פעולות החברה מבחינת השמירה על החוק ונוהל עסקים תקין".

בתקנות ניירות ערך (דוחות תקופתיים ומידיים), התש"ל-1970 מפורטים כללי הגילוי החלים על מבקר פנימי (התוספת הרביעית), אשר מתייחסים, בין היתר לפרטי המבקר הפנימי, דרך המינוי, זהות הממונה עליו, תכנית העבודה, היקף ההעסקה, גישה למידע, תגמול, ועוד.

עד כה, לא קבע המחוקק את היקפי הפעילות הדרושים כדי לבצע ביקורת פנימית אפקטיבית בחברות ציבוריות. משכך, במקרים רבים, ממונה מבקר פנימי בהיקף זעום של מאות שעות בודדות, דבר המאפשר לבצע מספר קטן של עבודות.

עם זאת, לתפקידו של המבקר הפנימי בחברות ציבוריות תפקיד חשוב ביותר, כשומר סף המסייע להנהלה ולדירקטוריון לבצע את תפקידו בצורה מיטבית.

IIA ישראל סבור כי ביטול החובה למינוי מבקר פנימי בחברות ציבוריות הוא שגוי ביותר, ויביא לפגיעה בשוק ההון הישראלי, כמו גם בחברות עצמן, מהסיבות הבאות:

• המבקר הפנימי הנו שומר סף אובייקטיבי– המבקר הפנימי הוא אחד משומרי הסף החשובים ביותר בארגון. ככזה, הוא מחויב לשמור על אובייקטיביות ולפעול לטובת החברה. בהתאם להוראות החוק המגדירות את תפקידו, הוא בוחן כי הארגון אכן מבצע את פעולותיו בצורה תקינה וכי הוא מציית לחוק.
• המבקר הפנימי הנו זרועם של דירקטוריון החברה וועדותיו- כאורגן המצוי בין ההנהלה ובין הדירקטוריון וועדותיו, המבקר הפנימי משמש כגוף המסוגל לבחון דברים בצורה מעמיקה ולהגן על הארגון מכשלים. בהיעדרו, פונקציה חיונית זו לא תוכל לבצע את תפקידה.
• המבקר הפנימי הנו גורם היודע לזהות ניגודי אינטרסים ולבדוק עסקאות עם צדדים קשורים– כפי שציינה רשות ניירות ערך עצמה במסמך זה, אין בכוונתה להקל בכל הנוגע לעסקאות עם צדדים קשורים. עם זאת, בהסרת החובה למנות את המבקר, כגוף ייעודי המסוגל לבחון עסקאות אלה, לא תהא קיימת האפשרות לוודא כי עסקאות בעלי העניין אכן נבדקות באופן שוטף, וליקויים מזוהים ומטופלים. בהקשר זה, ניתן לראות את המקרים בהם הביקורת הפנימית, בדקה ואיתרה ליקויים בנוגע לעסקאות עם צדדים קשורים- כך בנוגע לפארק אריאל שרון[9], לנמל אשדוד[10], לאילקס מדיקל[11], ומקרים רבים נוספים. ביטול פונקציית המבקר הפנימי יסייע לבעלי השליטה, אך לא לציבור!
• המבקר הפנימי אמור לבדוק עסקאות מהותיות– אחת ההוראות בתקנות ניירות ערך (דוחות תקופתיים ומידיים), התש"ל-1970 מחייבות את המבקר הפנימי לדווח האם בדק עסקאות מהותיות. בהיעדר מבקר פנימי בארגון, הוראה זו לא תקוים, וכך עסקאות מהותיות, אשר לציבור המשקיעים אינטרס רחב בבדיקתן (גם עסקאות כאלו שאינן עסקאות עם בעלי עניין), לא תיבדקנה.
• היעדר החובה למנות מבקר פנימי, עלולה להוביל לפגיעה בציבור החוסכים- כאחד מקווי ההגנה, המבקר הפנימי בודק את שמירת הכספים ואת אופן ניהול הסיכונים. בהיעדרו, הארגון לא יוכל להגן על עצמו, אלא באמצעים חלופיים.
• המבקר הפנימי יודע לזהות מעילות והונאות– לאור שיטת עבודתו, מעת לעת מזהה המבקר הפנימי מעילות והונאות (או כשלים שעלולים לפתוח פתח למעילות והונאות). כך למשל זוהו מעילות כאלה בחברות אל על[12] ופרטנר[13]. מנגד, במקרה הבנק למסחר, החליטה הנהלת הבנק לצמצם באופן מהותי את פונקציית הביקורת הפנימית מ-שני תקנים (מבקר ועוזר) למבקר בחלקיות משרה (לצורך זה נשכרה פנסיונרית של אחד הבנקים), וההמשך ידוע לכולנו כ"פרשת הבנק למסחר" או "פרשת "אתי אלון".
• תוצרי עבודת המבקר הפנימי מסייעים לארגון לשפר את פעולותיו-IIA ישראל מפנה את תשומת לב רשות ניירות ערך לכך שמעבר לחובות שצוינו, עבודת המבקר הפנימי מסייעת לארגון לשפר את פעילותו. בהיעדרו, לא יהיה גורם אשר יבדוק את עבודת החברה באופן שיטתי ובתדירות מספקת.
• פגיעה בבעלי המניות – המבקר הפנימי מהווה נושא משרה לפי חוק ניירות ערך, התשכ"ח-1968. בהתאם לכך, חלות עליו חובות החלות על כל נושאי משרה, כאשר בשילוב עם שיטת עבודתו והדרישות החלות עליו, הוא פועל גם לטובת בעלי המניות. אלו יודעים כי קיים אורגן הפועל לטובתם.
• לנוכח שורת ההקלות שמוצעות במסגרת הדוח, ביטול חובת מינוי מבקר הנה בלתי מידתית – כמפורט לעיל (ובפירוט בדוח עצמו), הדוח מציע הקלות רבות, אשר יקלו על הפעילות של חברות אלה מחד גיסא, אך יפחיתו את ההגנות הדרושות על חברות ציבוריות. IIA ישראל סבור כי ביטול החובה למינוי מבקר הפנימי תביא לכך שהארגון לא יבדוק את פעולותיו בצורה תקינה ובתדירות קבועה, כאשר חברות אלה תהיינה בעלת מנגנונים מופחתים מעבר לנדרש.
• ריבוי ההקלות יניעו חברות רבות לעבור לבורסה המשנית- כתוצאה מהמודל המוצע, חברות רבות יעדיפו להוריד את רמת ההוצאות ואת רמת הפיקוח עליהן. כתוצאה מכך, ייווצרו מצבים בהן חברות בעלות סיכון רב לא יפוקחו.
• השוואה לעמותה – בהצעה דנן לגבי בורסה לחברות קטנות ובינוניות מדובר בשווי של עד 300 מש"ח. לשם השוואה, חוק העמותות תוקן[14] כך שאם מחזור העמותה עולה על 10 מיליון ₪ (בלבד!), עליה למנות מבקר פנימי. למותר לציין, כי אין כל פרופורציה בהצעה דנן לגבי הבורסה החדשה.
• כיום לא קבועות הוראות בדבר היקף ביקורת פנימית ראוי לחברות – כידוע, לא קיימת כיום הגדרה הנוגעת להיקף ראוי של שעות ביקורת פנימית בארגון. יחד עם זאת, לשוק יש מנגנונים לווסת את עצמו, כאשר בחברות גדולות קיימת ביקורת פנימית בהיקפים משמעותיים, ואילו בחברות קטנות יותר, ההיקפים נמוכים יותר. מכך עולה כי אין כאן כשל שוק, אשר מצריך התערבות של הרגולטור.
• עקיפת הוראות חוק קיימות – למותר לציין, כי התיקון המוצע עוקף הוראות חוק (חוק החברות, חוק הביקורת הפנימית).

9. סיכום

רשות ניירות ערך חרטה על דגלה את נושא הממשל התאגידי, ואימצה המלצות בנושא זה.

מאידך, ההצעה החדשה, מפחיתה את עצמת הממשל התאגידי, ובד בבד עם הפחתה זו, לרבות צמצום עצמת שומרי הסף, היא מציעה גם לבטל את הביקורת הפנימית (בתנאים מסוימים): " חובת מינוי מבקר פנימי רק מעל שווי או מספר עובדים שייקבע."

IIA ישראל סבור כי ביטול החובה למינוי מבקר פנימי מהווה טעות מהותית, אשר תפגע בממשל התאגידי של חברות אלה. כתוצאה מכך, לא יהיה גורם אחראי ואובייקטיבי שיוכל לפעול בחברה, תוך בחינה, כי פעולותיה מבוצעות לטובת החברה, ובהתאם לחוק. בהיעדר מנגנון אחר, החברות יוכלו להתנהל ללא שומר סף אובייקטיבי, והסיכון בפעילותם של תאגידים אלו יגבר.

לחלופין, IIA ישראל מציע לבחון את היקפי הביקורת הפנימית היעילה לחברות אלה, כך שיהיה איזון ראוי בין מאפייני חברות אלה ובין היקף השעות.

יתרה מכך, אם המגמה היא לצמצם חלקים מהותיים של הממשל התאגידי ושומרי הסף בחברות קטנות ובינוניות, הרי שבמקביל דווקא יש להגביר את הביקורת הפנימית ולא לבטלה לחלוטין; בבחינת – "מוטב לסגור את דלת האורווה לפני שהסוסים יברחו".

[1] ראה סעיף 2 להלן.

[2] מתוך ויקיפדיה

[3] מתוך אתר מעלה [http://www.maala.org.il]

[4] מתוך אתר אנטרופי [http://entropy-frs.co.il]

[5] מתוך אתר אנטרופי [http://entropy-frs.co.il]

[6] פורסם ב"מחלקה ראשונה News1" ביום 21.6.2015 [http://www.news1.co.il/Archive/001-D-365794-00.html]

[7] דוח מבקר המדינה "הביקורת הפנימית במגזר הציבורי" [http://www.mevaker.gov.il/he/Reports/Report_114/070159b2-3d4e-4142-9f30-0b274bd8251a/7919.pdf]

[8] https://www.boi.org.il/he/BankingSupervision/SupervisorsDirectives/DocLib/307.pdf

[9] https://www.calcalist.co.il/local/articles/0,7340,L-3723531,00.html.

[10] https://www.calcalist.co.il/local/articles/0,7340,L-3614806,00.html

[11] http://www.globes.co.il/news/article.aspx?did=1000048561

[12] http://www.globes.co.il/news/article.aspx?did=1001203099

[13] http://www.nrg.co.il/online/1/ART2/250/879.html

[14] תיקון 14

The post נייר עמדה – בנוגע לדוח הביניים של הצוות הבין משרדי לבחינת הקמתה של בורסה ייעודית לחברות קטנות ובינונית בישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA) משמשים בעבודתם כ-193 אלף מבקרים פנימיים חברי ה-IIA, בכ-180 מדינות. תקנים אלה אומצו גם על ידי האו"ם, ה-OECD ו-IFAC (שבהם מדינת ישראל חברה), על ידי ה-EU (שאליו מדינת ישראל נספחת), ועל ידי ה-INTOSAI – איגוד מבקרי המדינה בעולם (שבו חבר משרד מבקר המדינה הישראלי). התקנים נמצאים בשימוש ארגונים בינלאומיים גדולים רבים, כגון הבנק העולמי, וככל שמתרחבת הפעילות הכלכלית הגלובלית, כך גדל מספר המשתמשים. התקנים תורגמו ליותר מ-20 שפות (ובהן עברית), והם יוצרים אחידות מושגית ומקצועית, התורמת רבות לשחקנים בשווקים הבינלאומיים בהערכת האפקטיביות של הביקורת הפנימית בגוף מבוקר.

מטרות התקנים הן: לסייע בעמידה בדרישות החובה של מסגרת הכללים המקצועיים, לספק מסגרת לביצוע ולקידום היקף רחב של שירותי ביקורת פנימית מוסיפי ערך, לייסד בסיס להערכת ביצועי הביקורת הפנימית, ולטפח פעולות ותהליכים ארגוניים משופרים.

מקצוע הביקורת הפנימית אינו קופא על שמריו, ולכן גם התקנים המקצועיים מתעדכנים בהתאם להתפתחות המקצוע ולציפיות המשתמשים בתוצריו. העדכון האחרון לתקנים חל בינואר 2017.

מאמר זה יסקור את תמצית השינויים והעדכונים שנערכו לאחרונה בתקנים.

התקנים המקצועיים עד יולי 2015

עד יולי 2015, מבנה התקנים המקצועיים כלל את: הגדרת מקצוע הביקורת הפנימית, הקוד האתי, והתקנים המקצועיים (תקני תכונות 1000, ותקני ביצוע 2000). נוסף על התקנים המחייבים כאמור, היו קיימות הנחיות מקצועיות מומלצות מאוד (לא מחייבות): נוהלי ייעוץ (Practice Advisories), הנחיות לפרקטיקה (Practice Guides) וניירות עמדה (Position Papers).

תמצית השינויים בתקנים המקצועיים החל מיולי 2015

השינויים העיקריים שבוצעו בתוכן ובמבנה התקנים הם:

• הצגת משימת הביקורת הפנימית המהווה בסיס למסגרת ותומכת בה, כדי לתאר באופן ברור ותמציתי את מטרת העל של הביקורת הפנימית בארגונים שבהם היא פועלת.
• הצגת עקרונות ליבה של הביקורת הפנימית, כדי לבטא את האלמנטים העיקריים המתארים את אפקטיביות הביקורת הפנימית.
• שינוי מינוח ההנחיות – "הנחיות לפרקטיקה" (Practice Guide) ו"נוהלי ייעוץ" (Practice Advisory) ל"הנחיות יישום" (Implementation Guidance) ו"הנחיות משלימות" (Supplemental Guidance) בהתאמה, כדי לבטא מה כל שכבה כזו אמורה להשיג – סיוע ביישום של התקנים או השלמת המסגרת בדוגמאות ספציפיות. הנחיות היישום וההנחיות המשלימות הן מומלצות (Recommended), להבדיל מ-"Strongly Recommended" לפני השינוי.
• הוצאת ניירות העמדה ממסגרת הכללים (PP) – בראש ובראשונה ניירות עמדה אלו כללו מידע בדבר תפקיד הביקורת הפנימית בארגון. למרות חשיבותם, הם אינם צריכים להיות חלק מהמסגרת המוכוונת להנחות את העוסקים במקצוע בהוצאה לפועל של האחריות שלהם.

משימת הביקורת הפנימית ((Mission Statement

משימת הביקורת הפנימית נועדה לתמוך במקצוע הביקורת הפנימית. היא נועדה לבטא את מה שהביקורת הפנימית שואפת להשיג בארגון.

מיקומה של הצהרת המשימה ב-IPPF מכוון להבהיר כיצד ראוי שהעוסקים בביקורת פנימית ימנפו את המסגרת בכללותה כדי לסייע ליכולת שלהם בהשגת המשימה.

משימת הביקורת הפנימית הוגדרה כדלהלן:

לחזק ולהגן על ערך הארגון על ידי מתן הבטחה (Assurance), עצה (Advice) ותובנה (Insight) אובייקטיביים מבוססי סיכון.

השגת המשימה נתמכת באמצעות המסגרת הכוללת – עקרונות הליבה של הביקורת הפנימית, הגדרת מקצוע הביקורת הפנימית, הקוד האתי, התקנים המקצועיים, וההנחיות המקצועיות.

זה המקום להזכיר את הוויכוח עתיק היומין באשר לתפקידיו של המבקר הפנימי: אין חולק כי תפקידו העיקרי (ויש האומרים היחיד) של המבקר הפנימי הוא ביצוע ביקורת פנימית. חוק הביקורת הפנימית, המיוחד למדינת ישראל, מאפשר למבקר הפנימי, בנוסף על תפקידו ככזה, להיות גם הממונה על תלונות הציבור או הממונה על תלונות העובדים (אם מילוי תפקיד נוסף כאמור לא יהיה בו כדי לפגוע במילוי תפקידו העיקרי)[1].

בגופים רבים המבוקרים על ידי מבקר המדינה, מוטלת על המבקר הפנימי המשימה להוות איש הקשר עם משרד מבקר המדינה, ולעתים אף להיות מעורב בצוות תיקון הליקויים, במיוחד לגבי המעקב אחר תיקון הליקויים. נושא זה, שנמצא שבמחלוקת, נדון בימים אלה בוועדה לענייני ביקורת המדינה בכנסת ישראל.

כידוע, חברי כנסת מגישים הצהרת הון ליו"ר הכנסת, והצהרות אלו חסויות ומופקדות בכספת של יו"ר הכנסת. ברוח עניין זה, לאחרונה נחקק חוק הצהרת הון של בעלי תפקידים בכירים בשירות המדינה, שמכוחו הוטל על מבקרים פנימיים במשרדי ממשלה מסוימים להיות "גורם מפקח" שאצלו יופקדו הצהרות ההון של בעלי התפקידים כאמור, והוא יוודא עדכונן ועניינים נוספים.

התרחבות מורכבות הארגונים והפיכתם לבינלאומיים, בד בבד עם הגברת הציפיות ממקצוע הביקורת הפנימית והעומדים בראשו, תרמו לכך שמבקרים פנימיים נדרשים לתת ערך מוסף אמיתי לארגון, שמשמעותו היא ייעוץ. חלק מהמבקרים הפנימיים סבורים שאסור למבקר לעסוק ב"יעוץ" לארגון, אולם גם אותם מבקרים פנימיים כוללים בדוחותיהם המלצות, המהוות למעשה סוג של ייעוץ. בשל כך, תוקנו התקנים המקצועיים הבינלאומיים כך שבמקום המילה "ייעוץ" (Consulting), יופיע "מתן עצה" (Advice).

לדעתי, בין אם אנו כמבקרים פנימיים מסכימים לכך ובין אם לאו, הציפייה מאיתנו היא להתקדם עם העולם ולדאוג למתן ביקורת בונה עם ערך מוסף לארגון; ביקורת שמלבד הצגת הממצאים, תביא גם המלצות אופרטיביות ותיתן עצה (Advice) ותובנה (Insight).

עקרונות הליבה של הביקורת הפנימית ((Core Principles

הצגת עקרונות הליבה של הביקורת הפנימית באה לבטא את האלמנטים העיקריים המתארים את אפקטיביות הביקורת הפנימית.

עקרונות הליבה, בכללותם, מבטאים את מועילות (אפקטיביות) הביקורת הפנימית. כדי שפונקציית ביקורת פנימית תיחשב אפקטיבית, ראוי שכל העקרונות יתקיימו ויפעלו באפקטיביות. יישום עקרונות הליבה על ידי מבקר פנימי או יחידת ביקורת פנימית, יכול להיות שונה מארגון לארגון, אך מכֶּשֶל ביישום עיקרון כלשהו עלול להשתמע כי פעילות הביקורת הפנימית אינה אפקטיבית כפי שיכלה להיות בהשגת משימת הביקורת הפנימית.

להלן עקרונות הליבה של הביקורת הפנימית:

1. מפגינה יושרה.
2. מפגינה כשירות וזהירות מקצועית ראויה.
3. אובייקטיבית ומשוחררת מהשפעה בלתי הולמת (בלתי תלויה).
4. תואמת את האסטרטגיות, את היעדים ואת הסיכונים של הארגון.
5. ממוקמת באופן הולם בארגון ובעלת משאבים מספקים.
6. מפגינה איכות ושיפור מתמשך.
7. מְתקשרת באופן אפקטיבי.
8. מספקת הבטחה מבוססת סיכונים.
9. בעלת תובנה, פרואקטיבית (נוקטת יוזמה) וממוקדת בעתיד.
10. מקדמת שיפור ארגוני.

הצגת עקרונות אלו תקל על העוסקים במקצוע להבין ולהתמקד בנושאים החשובים. העקרונות אמורים גם לייעל את התקשורת עם בעלי עניין, כולל רגולטורים, באשר לעדיפויות המגדירות ביקורת פנימית אפקטיבית.

העקרונות אינם מסודרים לפי סדר חשיבותם, אלא מסודרים בקבוצות כדי לספק פילוח הגיוני:

עקרונות 3-1 מתייחסים למבקר הפנימי כפרט ולפעילות הביקורת הפנימית בכלל (Input).

עקרונות 7-4 מתייחסים לפעילות הביקורת הפנימית ותהליכיה (Process).

עקרונות 10-8 מתייחסים לתוצרים של פעילות הביקורת הפנימית (Output).

לסיכום – לאחר השינויים (יולי 2015)

השינויים העיקריים בתקנים החל מינואר 2017

• תקן 1110 – "אי תלות ארגונית":

בתקן 1110.A1 כתוב כך: "הביקורת הפנימית חייבת להיות חופשית מהתערבות בקביעת היקף הביקורת הפנימית, ביצוע העבודה, ודיווח התוצאות". נוסף משפט: המבקר הפנימי הראשי חייב בגילוי התערבות כזו לדירקטוריון ולדון בהשלכות הנובעות מכך.

• נוסף תקן חדש 1112 – "תפקידי המבקר הפנימי הראשי מעֶבֶר לביקורת פנימית": כאשר למבקר הפנימי הראשי יש תפקידים או מצופה ממנו לבצע תפקידים ו/או אחריות מחוץ לביקורת פנימית, חייבים לנקוט אמצעי זהירות כדי להגביל פגיעות באי התלות או באובייקטיביות.

ביאור

המבקר הפנימי הראשי עשוי להתבקש לקבל תפקידים נוספים ואחריות מחוץ לביקורת פנימית, כגון אחריות על פעילויות ציות או ניהול סיכונים. תפקידים כאלה עשויים לפגום, או להיראות כפוגמים, באי התלות הארגונית של פעילות הביקורת הפנימית או באובייקטיביות של המבקר הפנימי. אמצעי זהירות הם פעילויות פיקוח, שבדרך כלל הדירקטוריון נוטל על עצמו, כדי לטפל בפגמים אפשריים אלה, ויכולים לכלול פעילויות כמו הערכה תקופתית של קווי הדיווח והאחריות וכן פיתוח תהליכים חלופיים להשגת הבטחה הקשורה לתחומי אחריות נוספת.

• נוסף תת-תקן חדש A3 – "תפקידי המבקר הפנימי הראשי מעֶבֶר לביקורת פנימית": פעילות הביקורת הפנימית יכולה לספק שירותי הבטחה במקום שבו קודם לכן ביצעה שירותי ייעוץ, בתנאי שאופי הייעוץ לא פגם באובייקטיביות ובתנאי שהאובייקטיביות של המבקרים המעורבים מנוהלת כאשר מקצים משאבים למטלת ההבטחה.
• בביאורים לתקן 1300 – "תוכנית שיפור והבטחת איכות" נוסף משפט: המבקר הפנימי הראשי צריך לעודד פיקוח מצד הדירקטוריון באשר לתוכנית להבטחת איכות ושיפור.
• בביאור לתקן 1312 – "הערכוֹת חיצוניות" נוספו שני משפטים:
  • המעריך החיצוני חייב להסיק לגבי עמידה בקוד האתי ובתקנים; ההערכה החיצונית יכולה גם לכלול הערות תפעוליות או אסטרטגיות.
  • המבקר הפנימי הראשי צריך לעודד פיקוח מצד הדירקטוריון באשר להערכה החיצונית, כדי להפחית ניגוד עניינים נתפס או אפשרי.
• בתקן 1320 – "דיווח על תוכנית הבטחת האיכות והשיפור" כתוב כך: "המבקר הפנימי הראשי חייב לדווח להנהלה הבכירה ולדירקטוריון על תוצאות התוכנית להבטחת איכות ושיפור". לכך נוסף פירוט: הגילוי יכלול:
  • ההיקף והתדירות של ההערכוֹת הפנימיות והחיצוניות.
  • הכשירות ואי התלות של המעריך/ים או צוות המעריכים, לרבות ניגוד עניינים אפשרי.
  • מסקנות המעריכים.
  • תוכניות לתיקון.
• תקן 2050 – "תיאום" הפך ל"תיאום והסתמכות". הנוסח החדש: ראוי שהמבקר הפנימי הראשי יחלוק מידע, יתאם פעילויות, וישקול הסתמכות על עבודתם של נותני שירותי הבטחה וייעוץ פנימיים וחיצוניים אחרים על מנת להבטיח כיסוי נאות וצמצום כפל מאמצים.

ונוסף ביאור: בתיאום פעילויות, המבקר הפנימי הראשי יכול להסתמך על עבודתם של נותני שירותי הבטחה וייעוץ אחרים. יש לייסד תהליך עקבי לביסוס הסתמכות זו, והמבקר הפנימי הראשי יתייחס לכשירות, לאובייקטיביות, ולזהירות המקצועית הראויה של נותני שירותי ההבטחה והייעוץ. למבקר הפנימי הראשי צריכה להיות הבנה ברורה של ההיקף, היעדים, ותוצאות העבודה שבוצעה ע"י נותני שירותי הבטחה וייעוץ אחרים. היכן שקיימת הסתמכות על עבודתם של אחרים, המבקר הפנימי הראשי עדיין אחראי ונושא באחריות לוודא שיש תימוכין מספקים למסקנות ודעות אליהן הגיעה פעילות הביקורת הפנימית.

• בתקן 2060 – "דיווח להנהלה הבכירה ולדירקטוריון", עודכן (בין היתר) הביאור, ונוסף בו פירוט: הדיווח והתקשורת של המבקר הפנימי הראשי להנהלה הבכירה והדירקטוריון חייבים לכלול מידע על:
  • כתב האמנה של הביקורת הפנימית.
  • אי תלות פעילות הביקורת הפנימית.
  • תוכנית העבודה של הביקורת הפנימית וההתקדמות לעומת התוכנית.
  • דרישות למשאבים.
  • תוצאות של פעילויות ביקורת.
  • עמידה בקוד האתי ובתקנים, ותוכניות פעולה להשגת עמידה זו.
  • תגובת ההנהלה לסיכון אשר, על פי שיקול דעתו של המבקר הפנימי הראשי, יכול להיות בלתי מקובל על הארגון.

אלה, ודרישות תקשורת אחרות מהמבקר הפנימי הראשי, מוזכרים לאורך התקנים.

• תקן 2100 – "אופי העבודה":

הנוסח החדש: הביקורת הפנימית חייבת להעריך ולתרום לשיפור תהליכי הממשל התאגידי, ניהול הסיכונים ותהליכי הבקרה של הארגון, באמצעות שימוש בגישה שיטתית, ממוסדת ומבוססת סיכונים. אמינות וערך הביקורת הפנימית מִתְגברים כאשר המבקרים פרואקטיביים, והערכותיהם מציעות תובנות חדשות ומתייחסות להשפעה עתידית.

הערה: התוספת היא לשם התאמה לעקרון ליבה מספר 9.

• תקן 2200 – "תכנון מטלת ביקורת":

הנוסח הקיים: "מבקרים פנימיים חייבים לפתח ולתעד 'תוכנית ביקורת' לכל מטלת ביקורת, לרבות מטרות מטלת הביקורת, היקפה, מועדה והקצאת המשאבים". נוסף משפט: התוכנית חייבת להתייחס לאסטרטגיות, ליעדים ולסיכוני הארגון הרלוונטיים למטלת הביקורת.

הערה: התוספת היא לשם התאמה לעקרון ליבה מספר 4.

• בתקן 2230 – "הקצאת משאבים למטלת ביקורת" כתוב כך: "מבקרים פנימיים חייבים לקבוע משאבים הולמים ומספקים להשגת מטרות מטלת ביקורת, ואשר מתבססים על הערכת האופי והמורכבות של כל מטלה, אילוצי זמן וזמינות משאבים". לכך נוסף ביאור:

הביטוי "הולמים" מתייחס לתמהיל הידע, מיומנויות ויכולות אחרות הנדרשים לביצוע מטלת הביקורת. הביטוי "מספקים" מתייחס לכמות המשאבים הנדרשים להשלים מטלת ביקורת בזהירות מקצועית ראויה.

קיימים עדכונים נוספים, רובם טכניים. את התקנים המעודכנים בעברית אפשר למצוא באתר האיגוד[2] (https://theiia.org.il/) בלשונית: תקינה מקצועית.

סיכום

כמבקרים פנימיים, עלינו לפעול לפי תקנים מקצועיים שמטרתם בין היתר לשמור עלינו. לכן חשוב להקפיד שעבודת הביקורת תהא לפי התקנים המקצועיים.

[1] סעיף 8 (א) בחוק הביקורת הפנימית, התשנ"ב-1992

[2] לינק: https://theiia.org.il/, לשונית: תקינה מקצועית.

The post חידושים בתקנים המקצועיים הבינלאומיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאז שנות השמונים של המאה העשרים, הפכו מחשבים מאמצעי טכנולוגי חדשני לאחד מגורמי הייצור ואמצעי התקשורת החשובים והנפוצים ביותר בכלכלה של ימינו. אם בעבר בוצעו רוב האינטראקציות העסקיות בין בני האדם בטלפון, בדואר או שיחה, כיום המגמה השתנתה לחלוטין. רוב התקשורת והאינטראקציה בין בני אדם מבוצעות באמצעות מחשבים ורשתות מחשב. יותר מזה, חלק ניכר מהכלכלה, תשתיות המדינה ואפילו תשתיות הביטחון מושתות כיום על מחשבים.

עם הרחבת השימוש באינטרנט, החלו להתרבות ולהשתכלל מעשי החדירה למחשבים ואבטחת המידע באינטרנט הפכה מאמצעי טקטי לקונספט אסטרטגי.

ככל שהתרחבו והתפתחו המחשבים, החומרות, התוכנות, היישומים (האפליקציות), הרשתות, התקשוב, הציוד הפריפריאלי, הטלפונים החכמים, הטאבלטים וכל עולם הסייבר (האקדמיה ללשון העברית חידשה מונח זה בעברית ל-סב"ר = סביבת רשת), כך גם התרחבה הסכנה של זליגת ודֶלֶף מידע, והאמצעים הישנים ששימשו נגדה חייבים היו להשתכלל. השכלולים מתבטאים בתוכנות חדשות להגנת מידע, לחסימת דואר זבל, להגנה מפני וירוסים, בשכלולים פיזיים ולוגיים, וכן באמצעי הגנה חדשים לאבטחת מידע.

כיום, חברות הכבלים והלוויין משנות לנו את השעון במֵמִיר בעת החלפת שעון חורף לשעון קיץ ובחזרה. גישה דומה יש גם לחברות המעניקות לנו שירותי אינטרנט. בעת הזזת השעון, המחשב שלנו מתעדכן אוטומטית על ידי נותני השירות. במילים אחרות, גופים זרים נמצאים במחשבים שלנו.

למעשה, כל ארגון/מפעל/עסק חשוף לחדירה למחשביו. הבעיה היא שהחדירה למחשבים שלנו מתגלית רק לאחר שהנזק כבר נגרם. אנחנו צריכים למנוע מראש את הנזקים ואת החדירה למחשבינו.

יש מנהלי ארגונים החוששים להוציא סכומי כסף נאותים לאבטחת מידע, או שאינם מוּדעים לחשיבות הנושא. החיסכון הכספי שהם חוסכים עלול לגרום לארגון נזק שאין לתארו. אובדן נתונים, שיבושם, פגיעה בתפעול, חוסר אפשרות גבייה בשל חוסר ידע ממי וכמה לגבות, פורמולות ייצור שאבדו, כמויות מלאי קיים או חוסר, גילוי סודות מקצועיים למתחרים.

כשאנו מדברים על טכנולוגיות המידע, אנו מתייחסים לחומרה, לתוכנה, למערכת ההפעלה, לתקשורת, לרשתות, לנתונים ולאחסונם, לעיבודם, לתפעולם, להעברתם ולפלטי נתונים.

נתונים סטטיסטיים לפתיח

לפי דיווחי האינטרפול, מדינת ישראל נתונה ל-10,000 מתקפות בדקה. לפי סקר של סימנטק (24 מדינות, 20 אלף משתמשי רשת): 14 איש בעולם חווים מתקפת סייבר מדי שנייה, יותר ממיליון מדי יום. הסיכוי לגולש לחוות מתקפה מקוונת עומד על 1 ל- 2.27 (להבדיל, הסיכוי לתאונת מטוס 1 ל-10.7 מיליון, מוות בתאונת דרכים 1 ל-6,279). עלות פשעי הסייבר היא 388 מיליארד דולר (בשנת 2011). פרק הזמן למותקף לטפל בבעיית אבטחת מידע הוא 10 ימים בממוצע. 54% ניזוקו ממתקפות משולבות, נוזקות או וירוסים. 10% חוו מתקפות בטלפונים החכמים, כולל Smishing (כלומר  Phishingבאמצעות SMS – מסרונים).

מרחב הסייבר הולך וצובר תאוצה

תחום הסייבר הולך וצובר תאוצה בזירה הממוחשבת. יותר ויותר ארגונים נוכחים לדעת כי יש צורך בכלים ובנהלים כדי להתמודד עם אירועי אבטחת מידע, העלולים להגיע ולשתק את הארגון וסביבתו הקרובה. היכולת להגיב בזמן אמת למתקפות סייבר היא קריטית להתנהלותו העסקית של הארגון.

כחלק ממלחמה בהרחבת מעשי הפריצוֹת, גופים גדולים או עסקים עם סניפים רבים, מקימים מרכז להפעלת אבטחת מידע שמטרתו להוות מרכז לניהול ותגובה לאירועי אבטחת מידע המתבסס על נתונים מדויקים ומהימנים. בעסקים שהמידע בהם קריטי, קיימים כבר בארץ ארגונים שבהם המרכז הזה עובד 24 שעות ביממה, 7 ימים בשבוע. לעומתם, ישנם ארגונים המפעילים את המרכז רק בשעות העבודה.

מרחב הסייבר, גאדג'טים רבים שנוספו, הרחבת האינטרנט, הפייסבוק, הטוויטר, הווטסאפ וכדומה, מעלים לאוויר נתונים רבים. מכאן שיש להרחיב ולהגביר את אבטחת המידע להגנה על הארגון מבחוץ ומבפנים.

השפעת סיכוני התשתיות הלאומיות על סיכוני סייבר

רובנו מודעים כיום לסיכוני הסייבר, מי יותר ומי פחות. אבל האם אנו מודעים באותה מידה להשפעת סיכוני התשתיות הלאומיות על סיכוני הסייבר?

המשל – אפרט באמצעות כמה דוגמאות:

1. ארה"ב נ' ברה"מ: צינור הגז הטרנס סיבירי (אפריל 1982): במסגרת המלחמה הקרה ברה"מ-ארה"ב, סוכן כפול של ה-CIA שתל תוכנה עם וירוס, וגרם לפיצוץ הכי גדול מבין הלא-גרעיניים שנראה מהחלל. הפסד ישיר של מיליארדים לברה"מ, וברה"מ גם הפסידה את השוק האירופאי שרכש ממנה גז.[1]
2. רוסיה נ' אסטוניה: אינטרנט (2007): ברה"מ שחררה את אסטוניה מהנאצים במלחמת העולם השנייה. לאחר המלחמה נשארו מאות אלפי רוסים באסטוניה, והם התיישבו שם. ב-1991 הייתה אסטוניה הראשונה שהתנתקה עקב נפילת ברה"מ. עם השנים הפכה אסטוניה למדינה המתקדמת ביותר מבין מדינות סקנדינביה והמדינות הבלטיות בנושא אינטרנט, והפכה למעשה למדינת אוטומציה: רישות של מעל 95%, כל פעילות הבנקים באינטרנט וכדומה. ב-2007 הסירה אסטוניה את פסל החייל הרוסי ממרכז העיר טאלין, והעבירה אותו לבית הקברות. מיד החלה מתקפה על אתרי האינטרנט של אסטוניה. כל הפעילות שותקה על ידי Bot-Net (רובוטים נשלטים – שקיבלו פקודה "להפציץ בדוא"ל" וכדומה), שגרמו ל-DOS (Denial of Service).[2]
3. ארה"ב וישראל (?) נ' אירן: כור גרעיני – פרשת Stuxnet (יוני 2010): חברה אלמונית מבלארוס דיווחה על וירוס סוס טרויאני או תולעת שמצאה אצל לקוח שלה באירן, שככל הנראה הוחדר לתחנת כוח מקומית באמצעות הֶתְקֵן USB נייד, תָקַף מערכות שליטה ובקרה של מערכות חשמל והכור הגרעיני (לרבות מערכות ההפעלה של הצנטריפוגות בכורים האטומיים באירן). קוד הנוזקה בגודל 0.5MB. מקורות זרים (מומחה גרמני והניו-יורק טיימס) טענו שהעקבות מובילים לארה"ב וישראל (יחידה 8200) ששיתפו ביניהן פעולה. ארה"ב וישראל הכחישו קשר לכך. נפגע מפעל העשרת דלק בעיר נתאנז (אירן), וכתוצאה מכך עוכבה התפתחות הגרעין באירן.[3]
4. (?) נ' ישראל: מנהרות הכרמל (ספטמבר 2013): סוס טרויאני חדר למערך ה-IT או למערכת המצלמות. מתקפת סייבר זו גרמה לשיתוק מנהרות הכרמל לשעות רבות במשך יומיים.[4]
5. סין נ' ארה"ב: חשיפת זהות עובדים בשירות הממשל (מאי 2015): הסינים פרצו למאגר עובדים בשירות הממשל האמריקני, וחשפו את זהותם של 4 מיליון עובדים בשירות הממשל. חוקרים סבורים כי סין אוספת מידע כדי לגייס מרגלים.[5]
6. רוסיה (?) נ' ארה"ב: מתקפת סייבר רחבת היקף על הפנטגון (יולי 2015): המתקפה הגדולה בהיסטוריה נגד הפנטגון. חדירה לרשת הדוא"לים (מיילים) הלא מסווגת של הכוחות המשולבים. הרשת הושבתה והורדה מהאוויר לשבועיים. פריצת הסייבר המתוחכמת השפיעה על 4,000 חיילים ואזרחים שעובדים במטות המשולבים. כפי הנראה בוצעה המתקפה באמצעות מערכת אוטומטית כלשהי, שמשיגה נתונים עצומים תוך זמן קצר, ושבתוך דקה בלבד מעבירה את כל המידע לאלפי חשבונות באינטרנט.[6]

הנמשל:

פירטתי כמה דוגמאות לגבי תשתיות לאומיות. השאלה היא – מה הקשר אלינו? מה הקשר לארגון שבו אנו עובדים ו/או נותנים לו שירותים? התשובה ברורה, אם תשובשנה תשתיות לאומיות (כגון חשמל, תקשורת וכדומה), לא נוכל לתפקד.

ואז נשאלת השאלה – מה אנו יכולים לעשות בנושא זה, הרי הטיפול בנושא אמור לכאורה להיות ברמת מדינה, ולא ברמת הארגון הבודד? התשובה היא שאנו חייבים להיערך: גיבויים, אתר חלופי, אל-פסק ועוד. הדירקטוריון יקבע מדיניות בנושא (לרבות תיאבון הסיכון), ההנהלה תיישם את המדיניות הלכה למעשה, מנהל הסיכונים ייקח בחשבון נושא זה כחלק מניהול הסיכונים הכולל של הארגון, והמבקר הפנימי ישלב את הנושא בתכנית העבודה שלו.

לדוגמה, הנושא העכשווי שמטריד את תושבי תל-אביב בפרט וגוש דן בכלל הוא עבודות החפירה של הרכבת הקלה. חלק מהסיכונים האפשריים הם סיכונים תפעוליים כלליים ולאו דווקא בתחום הסייבר, כגון תנועה ותחבורה (פקקים, חוסר אפשרות להגיע ממקום למקום וכדומה), מפגעים סביבתיים (אבק, רעש, חולדות, ואולי הצפות – "תעלת בלואמילך") ועוד. אבל קיימים גם סיכונים שקשורים לתחום הסייבר ואבטחת המידע, כגון עבודות חפירה שעלולות לפגוע בקווי תקשורת וטלפוניה. לכך אנו חייבים להיערך (אין הכוונה כמובן שנחזור בזמן ונתקין שובך יונים בכל ארגון/בית ונשתמש בתקשורת באמצעות יוני דואר, או שנשתמש בקופסאות גבינה מחוברות בחוטים…). לשם כך ראוי שמבקרים פנימיים ירכשו ידע מתאים בנושא זה, ובמידת הצורך יתייעצו עם מומחי ביקורת ואבטחת טכנולוגיות מידע. אין ספק כי נושא הסייבר תופס ויתפוס חלק מהותי יותר ויותר בתכנית העבודה של הארגונים השונים, ומכאן גם של הביקורת הפנימית באותם ארגונים. ההשפעה על הביקורת הפנימית היא גם לגבי עיתוי הביקורת; מעבר מביקורת בדיעבד לביקורת תוך כדי תהליך, ביקורת בזמן אמת, ביקורת מתמשכת וכדומה.

סיכום

מילת המפתח היא מוּדעות. ככל שארגונים יהיו יותר מודעים, כך הם יוכלו לנהל את הסיכונים השונים באופן מושכל יותר. אין ספק שאנו והארגונים שלנו מודעים כיום לסיכוני הסייבר, וחשוב שכולנו נהיה מודעים באותה מידה גם להשפעת סיכוני התשתיות הלאומיות על סיכוני הסייבר. וחשוב מכול – שנדע להיערך לכך בהתאם, תוך התחשבות בתיאבון הסיכון (טווח הסיכון הקביל) של הארגון.[7]

 [1] https://en.wikipedia.org/wiki/At_the_Abyss

"CIA plot led to huge blast in Siberian gas pipeline", Alec Russell, The Telegraph UK, 28.2.2004

https://www.telegraph.co.uk/news/worldnews/northamerica/usa/1455559/CIA-plot-led-to-huge-blast-in-Siberian-gas-pipeline.html

[2]

https://he.wikipedia.org/wiki/%D7%97%D7%99%D7%99%D7%9C_%D7%94%D7%91%D7%A8%D7%95%D7%A0%D7%96%D7%94_%D7%A9%D7%9C_%D7%98%D7%90%D7%9C%D7%99%D7%9F

"חשד: רוסיה תוקפת וירטואלית את אסטוניה", הארץ, 17.5.2007 (https://news.walla.co.il/item/1108477)

"Russia accused of unleashing cyberwar to disable Estonia", Ian Traynor, the Guardian, 17.5.2007

[3] מאמר  Stuxnet" – העתיד כבר כאן", בועז ארד, News1 מחלקה ראשונה, 8.10.2010

[4]  "האם האקרים התקיפו את מצלמות האבטחה במנהרות הכרמל?", עומר כביר, כלכליסט, 27.10.2013

"דיווח: מנהרות הכרמל נסגרו בחודש שעבר בעקבות מתקפת סייבר", nana10, 27.10.2013

[5] "פריצת ענק למחשבי הממשל האמריקאי: נחשפו פרטי מיליוני עובדים", הארץ (אי-פי, ניו יורק טיימס), 5.6.2015 ו- 13.6.2015

 [6]"מתקפת סייבר עצומה: רוסיה פרצה לפנטגון", ynet, 7.8.2015

[7]  תקן מקצועי 2600

The post סיכוני סייבר – והפעם זרקור על תשתיות לאומיות האם נערכת לחפירות הרכבת הקלה בתל-אביב? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.