דוחות המבוססים על נתונים יכולים לעיתים להיות מטעים, מה שעלול להוות בעיה כאשר ארגונים מסתמכים עליהם בקבלת החלטות עסקיות קריטיות. דוחות בלתי מהימנים עלולים גם לשבש את הבקרות הניהוליות השוטפות, דבר שעלול למנוע איתור או מניעה של טעויות מהותיות או של אי סדרים. לפיכך, ארגונים צריכים לוודא את הלימת הדוחות המשמשים לקבלת החלטות או לבקרות מפתח.

מבקרים פנימיים יכולים ליישם כלים וטכניקות שיטתיות כדי להבטיח את מהימנותם של דוחות מידע ונתונים.

השפעתם השלילית של נתונים בלתי מהימנים

מחקר של גרטנר מגלה שאיכות נתונים ירודה גררה הפסד ממוצע של 15 מיליון דולר לשנה לארגון. איכות נתונים ירודה הינה גם הסיבה העיקרית לכך ש-40% מכלל היוזמות העסקיות נכשלות בהשגת מטרותיהן. דוחות שאינם מהימנים יכולים להשפיע על:

• החלטות אסטרטגיות – כגון ביצוע מיזוגים ורכישות, שינוי מבנה ארגוני, התרחבות של הפעילות העסקית לאזורים חדשים, או בפיתוח מוצרים חדשים.
• החלטות תפעוליות – כגון תמחור פרויקטים, החלטות הקשורות בתקציב וקביעת סדרי עדיפויות, תחזית מכירות, ייצור, דרישות מלאי ומשאבים נדרשים.
• החלטות פיננסיות – כגון דיווח כספי, אשראי והלוואות, גביה והשקעות.
• רגולציה וציות – כגון דיני עבודה, קניין רוחני, פרטיות ורישוי תוכנה.

לעיתים השפעתם השלילית של נתונים בלתי מהימנים יכולה להגיע עד לכדי תביעות אזרחיות או פליליות, סנקציות, קנסות ופגיעה המוניטין.

הצעד הראשון :  הערכת סיכונים

באופן טבעי לא ניתן לבדוק לעומק את מהימנותם של כלל הדוחות הניהוליים ודוחות הבקרה בארגון. לפיכך, הצעד הראשון הוא לבצע הערכת סיכונים אשר תקבע אילו דוחות צריך לבדוק ואיזה עומק בדיקה נדרשת. על הערכה זו לכלול סקירה של סוג הדוח, השפעת הדוח על קבלת החלטות, הערכה בנוגע לבקרות מפתח, תהליך ניהול השינויים והגבלת גישה.

באופן כללי, ניתן לסווג דוחות לשלושה סוגים: "דוחות מקור", "דוחות מותאמים" ו-"דוחות ידניים". דוחות מקור מופקים ממערכת ללא מעורבות של גורמים חיצוניים למערכת. הסיכון לטעות בדוחות אלה הוא בדרך כלל נמוך בהיבטים של שלמות ודיוק וזאת בהנחה שהנתונים שמהם מורכב הדוח עברו טיוב ובדיקות הלימה.

לא דומה הדבר ב-"דוחות מותאמים" המפותחים בהתאם לדרישות המשתמש והם בעלי סיכון גבוה יותר בהיבטים של שלמות ודיוק. דוחות ידניים נוצרים על ידי משתמש קצה ולא עברו תהליך של ניהול שינויים פורמלי. הם בדרך כלל בעלי הסיכון הגבוה ביותר.

היות שכל סוג של דוח מייצג רמת סיכון שונה, זיהוי סוג הדוח הינו חיוני להערכת מהימנותו. כל סוג דוח ידרוש בדיקות שונות.

גורמים אחרים שיש לקחת בחשבון בעת ​​קביעת דוחות לבדיקה כוללים:

• שימוש בנתונים – האם הדוח והנתונים הכלולים בו מתייחסים להחלטות אסטרטגיות, פיננסיות, תפעוליות או רגולטוריות?
• השפעת הדוח – האם טעות בדוח תגרור סיכון פוטנציאלי אסטרטגי, פיננסי, תפעולי, או רגולטורי לארגון?
• שיקולי בקרה – האם הדוח משמש לביצוע של בקרות מפתח כדי להפחית סיכונים משמעותיים?
• ניהול שינויים – עד כמה יעיל ניהול השינויים ליצירת הדוח?
• הגבלות גישה – אילו מנגנוני הגבלת גישה, כגון סיסמה או הרשאות, קיימים?

בדיקת שלמות הנתונים

מבקרים פנימיים צריכים לזהות את סוג הדוח ולהבין את הפרמטרים המשמשים ליצירתו. פרמטר אחד לא נכון עלול להשפיע בצורה מהותית על אמינות הדוח. היות שלרוב יש מספר פרמטרים המשמשים ליצירת דוח, המבקר הפנימי צריך להבין מבעל הנתונים (DATA OWNER) מה עומד מאחורי כל אחד מהפרמטרים שעל בסיסם נבנה הדוח.

בנוסף לכך, מבקרים פנימיים צריכים לבדוק האם חריגים כלשהם הוגדרו בממשק המשתמש של היישום או ברמת הקוד. אם חריגים הוגדרו ברמת הקוד, יתכן שיידרש סיוע מהמפתחים.

מבקרים צריכים גם להיזהר מאוד שלא "ללכת על עיוור" אחר שם או כינוי הדוח. דוח רכש בשם "סך ההוצאה לספקים" יכול להציג רק הוצאות הקשורות ברכש, אבל לא את כל ההוצאות.

מבקרים פנימיים צריכים לבצע מספר בדיקות כדי לקבוע את מידת המהימנות והשלמות של דוחות:

• בדקו מתי הדוח שונה לאחרונה – בדיקת תאריך השינוי האחרון יכולה להצביע על שינויים שנעשו בדוח.
• במקרים רבים הרשאות הגישה של משתמשים מוגבלות לצפייה או שינוי של נתונים מסוימים על בסיס "Need to know" (לדוגמא: כרטיסי אשראי של לקוחות). הגבלות אלו עלולות לשבש את הדוחות המופקים ע"י משתמשים שהרשאתם מוגבלת. לפיכך, רצוי תמיד לגשת ל"בעל" המערכת.
• יש לערוך השוואת בין דוחות שונים שאמורים להציג את אותם הנתונים – היות שכל דוח בנוי עם לוגיקה שונה, זו דרך טובה לבדוק את מהימנות הדוח. השוו אותו מידע ממקורות שונים ושאלו בעלי עניין שונים את דעתם על סבירות הנתונים.
• השתמשו בשיטת "Full and False Inclusion" (שיטה בה יש לוודא כי כל מה שהיה אמור להילקח בחשבון נילקח בחשבון ולא נכלל משהו שלא היה צריך להילקח בחשבון). קחו מדגם של עסקאות שאמורות ואשר אינן אמורות להיכלל בדוח, ואמתו בהתאם.
• בדקו האם בדיקות ידניות או בדיקות מערכת כלשהן מונעות רשומות כפולות. כדי לזהות מקרים כאלה, בצעו בדיקת כפילות פשוטה אך יעילה עבור מדגם של שדות נתונים.
• בדקו שדות נתונים ריקים. נתונים חסרים הינם אינדיקציה טובה לכך שיש לבצע בדיקות נוספות.
• בעת שימוש בכלי דיווח, כגון יישום בינה עסקית, הבטיחו כי נעשה שימוש בגרסה האחרונה של היישום. שדרוגים בדרך כלל פותרים פגמים טכניים, וממשקים למחסן הנתונים יכולים להיות שונים.

בדיקת דיוק הנתונים

בבדיקת דיוק, מבקרים פנימיים צריכים להבין איזה אמצעי קלט או שיטת לכידת נתונים (Data Capture) הייתה בשימוש, שכן לכל קלט או שיטה יש רמת סיכון שונה למהימנות הנתונים: על גבי טופס נייר, על ידי משתמשים שהזינו נתונים ישירות, או על ידי מערכת. חשוב גם כי המבקרים יזהו את סוג הבקרות על הזנת הנתונים במערכת, כגון מניעת הקלדה כפולה.

פרטים נוספים שעל המבקרים לבדוק בנוגע לדיוק הנתונים כוללים:

• המשמעות של שדה נתונים – אסור למבקר הפנימי להניח, בהתבסס על תיאורי העמודות, שברור לו מהו הנתון.
• נתוני המקור של שדות מפתח – ניתן לבצע על ידי התחקות אחר נתוני המקור.
• סבירות המידע – לדוגמה, האם זה סביר כי הושכרה מכונית תמורת 2,000 דולר ללילה?
• שדות תאריך – בתבניות תאריך כפולות עלולות להשפיע על ניתוח מבוסס תאריך. לדוגמה, תאריך בדוח כגון 03/05/2019 עשוי לייצג את ה-5 במארס 2019, או ה-3 במאי 2019, זאת בהתאם לאזור הגאוגרפי של המשתמש.

סיכום הדברים: היזהרו מאמונה עיוורת בדוחות ניהוליים

נתונים לא מהימנים יכולים להשפיע לרעה על החלטות עסקיות מהותיות. במקרים רבים, ארגונים אינם מודעים לדיווחים בלתי מהימנים, וכתוצאה מכך בעלי העניין מתמודדים עם נתונים פגומים, אשר בסופו של דבר, עלולים להוביל להחלטות שגויות או לא-אופטימליות. חוסר המודעות עלול להוביל ארגונים רבים לסמוך באופן עיוור על הנתונים שלהם, וזה עלול להיגמר לעיתים באסון.

ביקורת בנושא מהימנות דוחות ניהוליים הינה הזדמנות מיוחדת למבקרים פנימיים להוסיף ערך משמעותי להנהלות ולמועצות מנהלים בארגון שעשויות למנוע נזקים מהותיים ובלתי הפיכים.

The post הערכת מהימנות נתונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מגוון האיומים שבפניהם עומדים כיום ארגונים הולך ומתרחב. יחד עימם גדלה ההסתברות להיווצרותם של שיבושים/משברים שעלולים לשבש את מהלך העסקים הרגיל עד לכדי איום ממשי על המשך קיומם.

בסקר שפורסם כמה חודשים לפני COVID-19 – Global Risk Management Survey שבוצע ע"י דלויט, 23% מהמשיבים הציבו את הסיכון לאירוע משברי כסיכון השישי בדירוג הסיכונים שבפניהם עומד הארגון.

בסקר נוסף של דלויט, Staying Relevant – 2020 Hot Topics for Internal Audit in Financial Services, סווג הנושא "חוסן תפעולי" (Operational Resilience) כנושא השני בחשיבותו לבדיקה על ידי הביקורת הפנימית.

מהו משבר?

משבר הוא אירוע או סדרה של אירועים בלתי צפויים היוצאים משליטה ומשבשים באופן מהותי את מהלך העסקים של הארגון. זהו אירוע שלרוב יקבל הד תקשורתי רחב מאוד, השפעותיו השליליות תורגשנה בטווח המיידי, ולפיכך יהיו במוקד תשומת הלב של בעלי המניות. מסיבה זו התוכניות וההכנות של הארגון להתמודדות עם משברים הן בעלי חשיבות עליונה להנהלה הבכירה, לבעלי המניות ולמחזיקי עניין אחרים (כמו לקוחות וספקים, מוסדות פיננסיים וכדומה).

משברים מאופיינים לרוב בעיתוי ובאופן שהם מופיעים: משברים בדרך כלל מתרחשים במפתיע, אינם בשליטת הארגון, דורשים תגובה מיידית, וכל טעות בקבלת החלטות עלולה להיות בלתי הפיכה, כלומר לארגון ולתדמיתו עלול להיגרם נזק לזמן ארוך ובמקרים קיצוניים גם יש איום לשרידותו.

כאן טמון ההבדל המהותי בין "משבר" לעוד אירוע של "המשכיות עסקית" – מונח המוכר לנו זה מכבר. נדגיש כי אירוע מקומי ומוגבל בהיקפו שנהגנו לשייך לאירוע DR או BCP איננו משבר. עם זאת, ככל הנראה גם אירוע נקודתי של המשכיות עסקית ועימו כשל בניהול, עלול להפוך למשבר אם הוא לא מטופל כיאות.

ישנן מספר מתודולוגיות לניהול משברים. המובילות שבהן הן תקן ניהול משברים של מכון התקנים הבריטי (BS 11200 : 2014 Crisis Management – Guidance and Good Practice) וכן סיפרו של Otto Lerbinger, “The Crisis Manager”, שנחשב לגורו בתחום.

סוגי משברים

על פי הספרות והפרקטיקה המקובלת בניהול משברים, נהוג לחלק את עולם המשברים ל-7 קבוצות עיקריות:

1. אסון טבע – למשל: רעידות אדמה, הוריקנים, סערות, התפרצות הר געש, שיטפונות, צונאמי, בצורת, התפרצות מחלות.
2. משבר טכנולוגי – למשל: דליפת חומרים מסוכנים (כמו דליפת נפט לים), תאונות תעשייתיות, כשלי תוכנה.
3. עימות – למשל: חרם, אולטימטומים, חסימות, כיבוש מבנים, התנגדות או אי ציות למשטרה.
4. זדון או חבלה – למשל: חבלה של מוצרים, חטיפות, שמועות זדוניות, טרור, פשעי רשת וריגול.
5. פשעים ארגוניים – למשל: הונאה, סילוף, הטעיה, רמייה, התנהלות הנהלה פסולה.
6. אלימות – למשל: אלימות של עובד או עובד לשעבר כלפי עובדים אחרים.
7. שמועות – למשל: מידע כוזב המופץ על ארגון ו/או על מוצריו וגורם נזק נרחב למוניטין של החברה.

ניהול הסיכון

היכולת לנהל משברים קובעת בסופו של דבר את מידת עמידותו של הארגון. ארגון בעל יכולת עמידות גבוהה יהיה חסין יותר במהלך המשבר.

חוסן ארגוני מחייב ניהול אפקטיבי של משברים שיש להתכונן לקראתו מראש. הפרקטיקה של ניהול משבר "על הדרך", לאחר שהוא פורץ, הוכחה כדרך שגויה. אומנם קשה לתכנן מראש מענה ותוכניות לכל סוגי "תסריטי אסון", אולם ניתן לבנות תבניות כלליות עם עקרונות פעולה המתאימים לרוב המשברים. ברור שהמאמץ הנדרש להתאמת משבר ספציפי למסגרת הבנויה מראש הוא קטן לאין ערוך מאשר לבנות מהיסוד, עם פרוץ המשבר, את כל מסגרת המענה.

בנייה מראש של מענים סבירים דורשת גישה צופה פני עתיד וראייה שיטתית היוצרת מסגרות, תבניות, תוכניות הכשרה, תרגול ותחזוקה שוטפת.

פיתוח יכולת ניהול משברים צריכה להיות פעילות ממוסדת/קבועה ופרופורציונאלית לגודלו ויכולתו של הארגון. הדבר רלוונטי לכל ארגון ללא קשר למיקום, גודל, סוג, ענף או מגזר.

פרקטיקה לפיתוח יכולת ניהול משברים כוללת בדרך כלל ארבעה שלבים: זיהוי, הכנה, תפעול וחזרה לשגרה. שלבים אלה כוללים את האלמנטים הבאים:

• מיפוי סיכונים וסוגי המשברים הפוטנציאליים.
• ניתוח הפגיעה הפוטנציאלית בפעילות.
• פיתוח ותחזוקה של תוכניות לתרחישים מזוהים.
• מעקב אחר בעיות מתהוות.
• עריכת תרגילים ועדכון התוכניות.
• קביעת צוות לניהול משברים.
• תקשור.
• נקיטת פעולות חזרה לשגרה.
• הערכת ההשפעה לטווח הארוך.
• עריכת סקירה שלאחר המשבר ושינוי תוכניות בהתאם.

מניסיוננו, לרוב הארגונים ישנה תוכנית המשכיות עסקית לטיפול במשבר שמקורו באסון טבע (פגיעה בתשתיות פיזיות-לאומיות או ארגוניות או שתיהן), ולחלק מהארגונים אף קיימת תוכנית לטיפול במשבר שמקורו באירוע סייבר (פגיעה בתשתיות המידע), אך המציאות של המאה ה-21 הוכיחה שישנם משברים אחרים שלא כרוכים דווקא בפגיעת תשתיות פיזיות או דאטה. הנה כי כן התוכניות להמשכיות עסקית דורשות מחשבה ורענון.

לדוגמה, בעידן של רשתות חברתיות השולטות על חלק נכבד מחיינו, ראוי להדגיש במיוחד את נושא הפגיעה במוניטין ואת הצורך בהיערכות לתגובה ארגונית – תגובה תקשורתית פנים ארגונית וחוץ ארגונית. בהקשר הזה ראוי להזכיר את המשבר התדמיתי-תקשורתי שאליו נקלעה חברת התעופה יונייטד איירליינס בשנת 2017, כאשר רופא שקנה כרטיס טיסה במיטב כספו הורד מהטיסה לאחר שבטיסה היה אובר-בוקינג. הרופא נבחר בהגרלה וסירב להתפנות מהמטוס. הוא נגרר בכוח החוצה ובתוך מספר שניות התפרסמו ברשתות החברתיות סרטונים שבהם נראה הרופא נגרר מהמטוס בכוח כשפניו מדממות. האירוע היה דרמטי – ניהול המשבר בכלל וניהול ההד התקשרותי בפרט לא יכול היה להיות קלוקל יותר: ההצהרות הראשוניות של המנכ"ל לתקשורת היו הרסניות, דבר שהפך משבר נקודתי לחמור יותר והביא אותו לראש מבזקי החדשות בכל העולם. מניית החברה כמובן צנחה בעקבות האירוע.

מנגד, האירוע הטראגי של אייר-אסיה, שבו מצאו את מותם 162 אנשים בהתרסקות, מוזכר במאמרים רבים כדוגמה להתנהלות תקשורתית טובה בזמן משבר. מנכ"ל החברה בעצמו השתמש במדיה החברתית כדי לתקשר עם הציבור ולמזער סיכון של הפצת מידע שגוי. ה"ציוצים" שלו גילו מלכתחילה חמלה ודאגה ומינפו יחסי אמון. ראוי לציין כי לחברה הייתה אסטרטגיה למדיה חברתית שפותחה מבעוד מועד, ולמנכ"ל היו חשבונות/פרופילים פעילים מאומתים במדיה החברתית.

ואם במגזר התעופה עסקינן, ניתן גם לציין משבר מסוג אחר שאליו נקלעה חברת בואינג. ניתן לסווג משבר זה כמשבר טכנולוגי, שבו מהנדסים וטייסים התלוננו שהם מתקשים "להשתלט" על מטוס ה-737-מקס, והזהירו מקטסטרופה ובעייתיות של מערכת הבטיחות. כל זה לא מנע מבואינג להשיק בחופזה את המטוס. מותם של 346 אנשים בשתי התרסקויות גרמו למשבר החמור ביותר בחברה מאז הקמתה ב-1916. המנכ"ל הודח, המניה קרסה, ואמון הציבור בחברה שנחשבה לגאוותה של ארה"ב נפגע בצורה אנושה.

ראוי לציין כי היום יש חברות בין-לאומיות גדולות הנותנות שירותי ניהול משבר. ניתן להתקשר עם חברות אלה עם קרות המשבר (עלויות גבוהות) או בתשלום חודשי/שנתי למקרה שנכפה משבר (בעלות נמוכה יותר).

ביקורת פנימית על תהליך ניהול משברים

הדוגמאות שתיארנו לעיל, ועוד עשרות מקרים שהתרחשו לאחרונה, בעיצומו של עידן הקורונה, מאפשרים לנו להבין את גודל הסיכון שטמון באי היערכות של הארגון להתמודדות עם משברים.

לפיכך זוהי הזדמנות בלתי רגילה למבקרים הפנימיים בארגונים השונים להביא ערך להנהלה הבכירה ולדירקטוריון בנושא כה מהותי וקיומי לארגון.

כנושאים אופציונליים לתוכניות עבודה שנתיות, אנו מציעים לציבור המבקרים לכלול נושאים אלו:

1. הערכת הממשל התאגידי של ניהול משברים, כולל היערכות ובניית מסגרת ומבנה ארגוני לניהול משברים, פיקוח ותרגול.
2. בדיקת ניהול משברים מבוסס סיכונים, כולל סקר סיכונים תקופתי וזיהוי תרחישי משבר אפשריים.
3. בחינת תוכנית לניהול סיכוני משברים – בנייה מראש של הנהגת משבר, הערכת אירוע ראשונית, ניהול כוח אדם, בניית ערוצי דיווח פנים ארגוניים, תקשורת ודיווח.
4. בדיקת תרגול התוכנית לניהול משברים.
5. בחינת הערכה ותחזוקה של תוכניות ניהול משברים.

סיכום

כפי שנוכחנו לדעת במשבר הקורונה, סיכון של התפרצות משברים הוא סיכון מהותי וקיומי, וצריך להיות חלק מניהול הסיכונים התאגידי. סיכונים אלה נתמכים גם בסקרים שונים שבוצעו בעולם עוד לפני משבר הקורונה.

חשוב שהארגון ייערך מראש על מנת לתת מענה לסוגי משברים מגוונים.

תרגול מעת לעת של התוכנית הוא קריטי להצלחה גבוהה יותר ומהירה יותר בעת משבר.

מודעות לסיכון היא צעד ראשון וחשוב. הַראו שהנושא הוא באג'נדה של הביקורת הפנימית. שוחחו עם ההנהלה ועם עדת הביקורת אודות סיכון זה, ושתפו ועדכנו את ההנהלה לאורך הדרך. זוהי הזדמנות לביקורת הפנימית להוספת ערך משמעותי.

The post ביקורת פנימית על תהליך ניהול משברים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מודל בשלות הוא כלי עסקי המשמש להערכת אנשים/תרבות, תהליכים/מבנים וטכנולוגיה.

מדוע כדאי לעשות שימוש במודל בשלות?

• שימוש בכלי אחיד, שיטתי ורציף להערכת רמת הממשל התאגידי, ניהול הסיכונים ומערך הבקרות בתהליכים וביחידות עסקיות.
• יכולת להשוות את רמת הבשלות בין תהליכים עסקיים שונים ובין יחידות עסקיות שונות.
• יכולת לקבוע את רמת הבשלות הקיימת והרצויה, לתכנן את צעדי השיפור, ולעקוב אחר התקדמות ביישום השיפורים.
• מאפשר ביצוע הערכה עצמאית ליחידות הארגון.
• הערכה אובייקטיבית ומקובלת על הארגון תוך שימוש בפרקטיקה מקובלת ו-benchmark.

הערכת בשלות על ידי מבקרים פנימיים

לצורך מתן הערכה לתהליך מבוקר, מבקרים פנימיים משתמשים לעיתים קרובות בהערכות איכותיות "סובייקטיבית" ולא שיטתיות, העלולות להיתפס אצל המבוקר כמוטות ולא מייצגות בשל היעדר מתודה ושיטתיות שתגבה את תוצאות ההערכה.

הערכה שניתנת על בסיס מודל בשלות מובנה, באופן אובייקטיבי, מקצועי ושיטתי, תזכה להסכמה רחבה של ההנהלה, המבוקרים, ועדת הביקורת, וכמובן של הביקורת הפנימית.

לאורך ההיסטוריה של הביקורת הפנימית פותחו מודלים רבים להערכת בשלות, כאשר רובם התבססו על מדדי "הסיכון" שטמון בכל אחד מהממצאים המוצגים בדוח הביקורת. לדעתנו גישה זו היא פשטנית למדי ואינה מאפשרת לקבל תמונה רחבה וכוללת על אופן ניהול הסיכונים, על ההתנהלות, ועל הממשל התאגידי ביחידה המבוקרת.

מאמר זה מציג מודל ייחודי המבוסס על COSO 2013 (בקרה פנימית), ומושתת על הרכיבים הבאים: סביבת הבקרה, הערכת סיכונים, פעולות בקרה, מידע ותקשורת ופעולות ניטור.

מסגרת ה-COSO

חלק זה מבוסס על מודל “Internal Control — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013.

מודל COSO הוא מסגרת שיטתית להערכת הסיכונים והממשל התאגידי. אנו מניחים כי קוראי המאמר מכירים את מודל ה-COSO ולכן נתאר אותו בקצרה בלבד:

מודל COSO מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: יעדים תפעוליים, יעדי דיווח ויעדי ציות. בכל אחד מאלו נבדקת ומוערכת סביבת הבקרה, ניהול הסיכונים, פעילויות בקרה, מידע ותקשורת, ומערכות ניטור.

בנוסף על העקרונות, נקבעו נקודות מיקוד לכל עיקרון שנועדו להבהיר את דרכי היישום המצופים של כל עיקרון.

יישום מודל בשלות מבוסס COSO

כאמור, הרעיון הכללי הוא לקחת את מודל COSO המפורט ולהפוך אותו לבסיס שלדי להערכת הבשלות של תהליך הנבדק במסגרת משימת הביקורת הספציפית. לצורך כך, נפרוס את מרכיבי ה-COSO ונצמיד לכל אחד מהם משקל לפי החשיבות שניתנת בארגון לכל רכיב. בשלב השני נקבע מדרג של ציונים מ-0 ועד 5 כדי להעריך כל סעיף וסעיף במודל בהתאם לממצאים ולמסקנות של בדיקת הביקורת.

משקל רכיב בקרה פנימית

על מנת להמיר את מסגרת COSO לתוך מודל בשלות, נוסיף משקל לכל רכיב.

כברירת מחדל, משקל כל רכיב הוגדר באופן שווה.

דירוג רמת הבשלות (מבוסס על COBIT)

לצורך דירוג רמת הבשלות נעשה שימוש במודל הדירוג שנקבע ב-COBIT. דירוג זה מבוסס על סולם בין 0 (לא קיים) ל-5 (אופטימלי).

רמת הבשלות עקרונות ומשקל

הטבלה שלהלן מפרטת את עקרונות ה-COSO עבור כל אחד מחמשת המרכיבים, מגדירה את המשקל הניתן לכל עיקרון (וניתן לשינוי) ואת הדירוג:

הצעדים המומלצים

על מנת להבטיח יישום מוצלח של מודל בשלות מבוסס COSO:

• הדריכו את צוות הביקורת הפנימית על מסגרת COSO 2013 ועל מודל הבשלות המבוסס על COSO.
• הציגו את המודל ודונו בו עם בעלי העניין העיקריים (הדירקטוריון וההנהלה).
• השתמשו בעקרונות ובנקודות למיקוד בעת הכנת תוכנית הביקורת.
• הגדירו את המשקל של כל עיקרון.
• ודאו את קיומו ותפקודו של כל עיקרון (ואת נקודות המיקוד).
• הקצו דרגת בשלות לכל אחד מהעקרונות, בהתבסס על ממצאי הביקורת ועל עמידה בנקודות המיקוד.
• דונו עם המבוקרים על ממצאי הביקורת ומסקנותיה, וכיצד היא משתקפת בפועל במודל הבשלות.

יישום מודל הבשלות בביקורת פנימית

היתרונות של אימוץ COSO 2013

היתרון העיקרי של שימוש במודל בשלות המבוסס על COSO – הוא משרת את משימת הביקורת הפנימית ואת הגדרת הביקורת הפנימית.

בנוסף, מודל בשלות המבוסס על COSO יכול לסייע ביישום ושיפור סביבת בקרה פנימית ארגונית על בסיס יעדי החברה, תוך מתן הנחיות להבטחת תהליכים ובקרות יציבים ובשלים.

המודל יכול לשמש בכל דוחות הביקורת הפנימית (ללא שינויים בעקרונות המוערכים), דבר שמקל על יישומו.

ראוי להדגיש כי מסגרת COSO מוכרת היטב ומאומצת על ידי ה-IIA העולמי. כמו כן המסגרת מאומצת על ידי רוב החברות לצורך יישום דרישות SOX.

יתרונות השימוש במודל הבשלות בביקורת הפנימית

עם תחילת משימת ביקורת, עומדים בפני הביקורת הפנימית מספר אתגרים הקשורים באופן הגדרת היקף הביקורת ותוכנית הביקורת, על מנת להבטיח שאלה יכסו את הסיכונים העיקריים לארגון. עם השלמת הביקורת קיים אתגר נוסף – דירוג ההערכה הכוללת של התהליך המבוקר.

שימוש במודל בשלות יכול לסייע בהגדרת היקף הביקורת ותוכנית הביקורת. מודל בשלות מבוסס COSO "מכריח" את המבקר לסקור את 17 עקרונות COSO.

בנוסף, רמת הבשלות יכולה לספק להנהלה מידע לגבי הפונקציות המבוקרות, ולעזור להשוות לביקורות קודמות אחרות שבוצעו בפונקציות אלו או בפונקציות מבוקרות אחרות.

המודל גם מספק לפונקציות המבוקרות מנגנון מדידה לשיפור של תהליך עסקי לאורך זמן.

סיכום

מודל בשלות מבוסס COSO נמצא בשימוש על ידי מחברי מאמר זה למעלה משלוש שנים בהצלחה רבה. רמת הבשלות המוגדרת עבור כל תהליך ביקורת מסייעת לדירקטוריון ולהנהלת החברה לתעדף את המלצות הביקורת.

ערך נוסף לחברה הוא צמצום הקונפליקטים בין הביקורת הפנימית לבין המבוקר כתוצאה מהתבססות על מודל מקיף, מוכר ומקובל.

מסגרת COSO 2013 מסייעת בהערכת אפקטיביות הבקרה הפנימית, שמטרתה להבטיח את הישגי הארגון. מבקרים פנימיים שישתמשו במודל הבשלות על בסיס מסגרת זו יכולים להפיק ממנה תועלת לאורך כל תהליך הביקורת, ולהבטיח גישה שיטתית להערכת הבקרה הפנימית וחיזוקה בארגון.

The post מודל בשלות מבוסס COSO בשירות הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

סקר להערכת הונאות שנערך בשנת  2016 שנערך על ידי- ACFE  Association of Certified Fraud Examiners וכלל מעל 110 מדינות ובחינה של כ-2,400 מקרי הונאה, העלה כי ארגונים יאבדו בממוצע כחמישה אחוזים מהכנסותיהם השנתיות כתוצאה מהונאות.

סך כל ההפסד שנוצר במקרים שנבחנו עמד על יותר מ-6.3 מיליארד דולר, כאשר הפסד ממוצע למקרה אחד עומד על 2.7 מיליון דולר. שימוש לרעה בנכסי הארגון אפיין 83% מהמקרים, אולם הביא להפסד חציוני נמוך יחסית של 125 אלף דולר בלבד. לעומת זאת, הונאות בדוחות הכספיים של הארגון מאפיינים פחות מ-10% מהמקרים, אך ההפסד החציוני שגרמו נאמד בכ-975 אלף דולר. מקרי שחיתות נצפו ב-35% לערך מהמקרים עם הפסד חציוני של 200 אלף דולר.

עוד נציין כי ככל שההונאה מתבצעת על פני תקופה ארוכה יותר, כך הנזק הפיננסי והתדמיתי גדול יותר. בעוד שמשך זמן ההונאה החציוני שנרשם בסקר עמד על 18 חודשים עם הפסד חציוני של 150 אלף דולר, כאשר בחנו את מקרי הקצה של הסקר זוהו מקרי הונאה שהתרחשו במשך יותר מ-5 שנים וגרמו להפסד חציוני של 850 אלף דולר.

אין ספק שהעולם העסקי הופך למורכב יותר מיום ליום. לפיכך נדרשת נקודת מבט רחבה בבואנו לבחון וליישם תהליכים לניהול סיכונים בארגון כחלק מהממשל התאגידי שההנהלה אחראית לו. הדברים אמורים לגבי ניהול סיכונים בכלל וסיכוני הונאה בפרט.

פרסומי ה-COSO

בשנת 2013 פרסם ארגון ה-COSO את מודל הבקרה הפנימית Internal Control – Integrated Framework. המודל מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: (1) יעדים תפעוליים (2) יעדי דיווח (3) יעדי ציות. לצידם קובע המודל את חמשת מרכיבי הבקרה הפנימית: (1) סביבת הבקרה (2) הערכת סיכונים (3) פעולות בקרה (4) מידע ותקשורת (5) פעולות ניטור. מודל זה זכה לאימוץ ושימוש רב לאומי והוכר כמודל מוביל לעיצוב ויישום של בקרה פנימית ולהערכת האפקטיביות של הבקרה הפנימית.

המודל קובע 17 עקרונות המקושרים אל חמשת מרכיבי הבקרה הפנימית שתוארו לעיל, ומבהיר כיצד יש להבין, להשתמש ולהטמיע את מערכות הבקרה הפנימית בצורה אפקטיבית. הארגון מדגיש שעל מנת שמערכת בקרה פנימית תהיה אפקטיבית, כל אחד מ-17 העקרונות צריכים להתקיים ולפעול יחד באופן משולב.

העיקרון השמיני מבין 17 העקרונות הנ"ל קובע שיש לבחון האם:

"הארגון מתייחס לפוטנציאל להונאה בהערכת הסיכונים להשגת יעדיו".

Fraud Risk Management Guide, שפורסם על ידי COSO בספטמבר 2016, מפרט כיצד ניתן ליישם עיקרון זה הלכה למעשה.

הונאה מוגדרת כפעולה מכוונת או השמטה/מחדל, המיועדת להטעות אחרים ומובילה לגרימת הפסד לקורבן או רווח למועל.

מעבר למידע שנדרש כדי להעריך את הסיכון להונאות, מדריך ה-COSO מספק הנחיות המורכבות מחמישה עקרונות ונקודות מיקוד הנדרשים להקמת מסגרת לניהול סיכוני הונאות. המדריך גם מתאר כיצד ארגונים בגדלים וסוגים שונים יכולים להקים תוכניות משלהם לניהול אפקטיבי של סיכונים אלה.

המודל מציע ראייה רחבה, שלפיה האחריות חלה הן על הדרג התפעולי והן על מועצת המנהלים וההנהלה. בכך יוצר המודל אחריות מערכתית כלל ארגונית.

המדריך גם מכיל אינפורמציה חשובה למשתמשים שמטמיעים תהליך לניהול הסיכון להונאות, כגון תפקידים ואחריות, שימוש בניתוח מידע ונתונים, ופיקוח על ניהול הסיכון.

כעיקרון כל ארגון חשוף להונאות. אין אפשרות למנוע לחלוטין את הסיכון, אולם הטמעה של העקרונות המוצעים בתדריך עשויה להעלות את ההסתברות שהונאות יימנעו או יזוהו תוך זמן סביר ואף ייצרו אפקט הרתעתי.

יישום מודל 2013 COSO בניהול הסיכון להונאות

המודל מציע כי יישום העיקרון השמיני יהיה בהתאמה לחמשת העקרונות המופיעים לעיל במודל 2013 COSO:

על פי המודל לעיל, חמשת העקרונות לניהול הסיכון להונאות הם:

1. סביבת 
2. בקרה (Control Environment) – "הארגון מייסד ומתקשר תוכנית לניהול הסיכון להונאות אשר ממחישה את הציפיות של מועצת המ
3. נהלים וההנהלה הבכירה ואת מחויבותם לרמת יושרה גבוהה וערכים אתיים בנוגע לניהול הסיכון להונאות".
4. הערכת סיכונים (Risk Assessment) – "הארגון מבצע הערכה מקיפה של הסיכון להונאות כדי לזהות תבניות וסיכוני הונאות מסוימים, מעריך את הסבירות והמהותיות שלהן, מבצע אומדן של בקרות ההונאה הקיימות ומיישם פעולות לצמצום הסיכון השיורי להונאות".
5. פעולות בקרה (Control Activities) – "הארגון בוחר, מפתח ומיישם פעילויות בקרה למניעה וזיהוי הונאות כדי לצמצם את הסיכון של התרחשות אירוע הונאה או חוסר זיהוי בזמן סביר".
6. מידע ותקשורת (Information and Communication) – "הארגון מייסד תקשורת להשגת מידע בדבר הונאות אפשריות ומאמץ גישה לתיאום לביצוע חקירה ופעולות תיקון כדי לטפל בהונאות באופן הולם ובזמן סביר".
7. פעולות ניטור (Monitoring Activities) – "הארגון בוחר, מפתח ומבצע הערכות שוטפות כדי לוודא האם כל אחד מחמשת העקרונות לניהול הסיכון להונאות קיים ופועל, ומתקשר ליקויים בתוכנית לניהול הסיכון להונאות בזמן סביר לצדדים האחראים לנקיטת פעולות לתיקון, לרבות הנהלה בכירה ומועצת המנהלים".

כאמור, לכל אחד מחמשת העקרונות קיים פירוט לגבי אופן יישומו (נקודות למיקוד). להלן דוגמה לנקודות למיקוד שיש לקחת בחשבון ביישום העיקרון הראשון (סביבת הבקרה):

• מחויבות הארגון לניהול הסיכון להונאות.
• תמיכה במנגנון פיקוח על הסיכון להונאות.
• כינון מדיניות מקיפה לניהול הסיכון להונאות.
• הגדרת תפקידים והאחריות ברחבי הארגון לפיקוח על הסיכון להונאות.
• תיעוד מדיניות ניהול הסיכון להונאות.
• תקשור ניהול הסיכון להונאות בכל דרגי הארגון.

תיאור תהליך שוטף ומקיף של ניהול הסיכון ההונאה:

גישה מקיפה זאת מזהה ומדגישה את ההבדל המהותי בין חולשות בבקרה הפנימית שעלולות להוביל ל"טעות" לבין החולשות שעלולות לאפשר "הונאות". ההבדל המהותי הוא הכוונה (פעולות מכוונות/עם כוונת זדון). ארגון שמסתפק בהוספת הערכת הסיכון להונאות להערכת הבקרה הפנימית הקיימת, עלול שלא לבחון באופן יסודי ולזהות אפשרויות לפעולות מכוונות המיועדות ל:

• הצגה מוטעית של המידע הפיננסי.
• הצגת מוטעית של מידע לא פיננסי.
• מעילה בנכסים.
• מבצעי פעולות לא חוקיות או מושחתות.

סביר שגישה מקיפה זו תניב הערכה יעילה ומקיפה יותר של הסיכון להונאות.

נספחים הכלולים במדריך

במדריך ישנם נספחים רבים בעלי ערך רב, הכוללים בין היתר תבניות, כלים פרקטיים, מודלים ונהלים לדוגמה שיכולים לסייע רבות ביישום המודל הלכה למעשה. המדריך כולל: סקר לדוגמה לניהול הסיכון להונאות שתוצאותיו עשויות להדגיש את הנושאים שבהם כדאי להתמקד ביישום ניהול הסיכון; דוגמה לנוהל ניהול הסיכון להונאות; כלי מפורט (מבוסס אקסל) למיפוי והערכת הסיכון להונאות, ושלל כלים נוספים ותבניות אחרות.

הביקורת הפנימית וניהול הסיכון להונאות

מעורבות המבקרים הפנימיים בתהליכי העיצוב והיישום של ניהול הסיכונים בארגון עשויה להיות מאתגרת ביותר. מבקרים בעלי המיומנות והניסיון המתאימים, יכולים להוסיף ערך ולסייע להנהלה בעצם העלאת המודעות והדגשת החשיבות של ניהול הסיכונים להצלחת הארגון. בכך ממלא המבקר הפנימי תפקיד מפתח כייעוץ מהימן (Trusted Advisor) המסייע להנהלה בשיפור ביצועיה בכלל ובשיפור הממשל התאגידי בפרט.

סיכום

בעשורים האחרונים גובר הדיון בסיכונים העלולים לפגוע ביעדי הארגון ולפגום בפעילותו. על הרקע הזה גוברת חשיבות ניהול הסיכונים בכלל וניהול הסיכון להונאות בפרט.

תרומתה של הביקורת הפנימית היא בהוספת הערך ושיפור הבקרה הפנימית. המודל המוצע כאן ליישום מערך לניהול סיכוני הונאות, מאפשר למבקרים הפנימיים להביא להנהלות ולדירקטוריונים גישה שיטתית ומעשית שניתן להסבירה וליישמה בפשטות. כמו כן, המבקר הפנימי יכול לנצל את הידע הרב שצבר על התהליכים בארגון כדי לסייע בניהול הסיכון להונאות.

מבקרים פנימיים שיבחרו שלא להיות מעורבים בתהליך ניהול הסיכונים הארגוני, עלולים להחמיץ הזדמנות להוסיף ערך לארגון ולפתח קשר חזק יותר עם הדירקטוריון.

ביבליוגרפיה

• Fraud Risk Management Guide, September 2016 by COSO
• Fraud- Risk Management Guide, Executive Summary, September 2016 by COSO
• COSO’s Internal Control- Integrated Framework (May 2013) (2013 COSO Framework)

The post חמשת העקרונות לניהול סיכוני הונאות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

בשנת 2004 פרסם ארגוןCOSO  מסגרת כוללת לניהול סיכונים. מטרת המסגרת היא לאפשר לארגון להגן על עצמו ולהוסיף לו ערך באמצעות ניהול סיכונים אפקטיבי ויעיל. אחת מהנחות היסוד בניהול הסיכונים היא שמקסום הערך של הארגון מושג כאשר ההנהלה: (1) מגדירה אסטרטגיה ויעדים ברורים. (2) פועלת לאיזון אופטימלי בין צמיחה ויעדי החזר ההשקעה. (3) מתפעלת ביעילות את משאביה. (4) מנהלת את סיכוניה.

המודל לניהול סיכונים של COSO חדר בהצלחה גדולה לארגונים רבים, גדולים כקטנים, הן במגזר הציבורי והן במגזר העסקי, ושימש כמודל אחיד ומקובל ברמה גלובלית.

ההבנה והניהול של הסיכונים הארגוניים התפתחו מאוד במהלך העשורים האחרונים. בעקבות השינויים הרבים שחלו בספקטרום ובאופיים של הסיכונים הארגוניים, ביוני 2017 פורסמה מסגרת COSO מעודכנת שזכתה לכינוי "ניהול סיכונים תאגידי – שילוב עם אסטרטגיה וביצועים". המסגרת החדשה משלבת את ניהול הסיכונים הקיימים במהלך העסקים הרגיל יחד עם אלה שבהתהוות. בנוסף, היא מדגימה כיצד שילוב ניהול הסיכונים התאגידי מסייע להאיץ את הצמיחה, לשפר את ביצועי הארגון, ומספקת מסגרת אחידה לקבלת החלטות למועצת המנהלים ולהנהלה. המסגרת מכילה עקרונות שניתן ליישם, החל מקבלת ההחלטות האסטרטגיות ועד ליישום אסטרטגיה זו באמצעות הפעולות התפעוליות השונות של הארגון.

השינויים העיקריים במסגרת החדשה לעומת הקודמת הם אלה:

• מספקת תובנה מקיפה יותר על הערך שיש בניהול הסיכונים התאגידי בעת הגדרת האסטרטגיה.
• משפרת את ההתאמה בין ביצועי הארגון וניהול הסיכונים, ובכך מאפשרת קביעה מושכלת יותר של היעדים ושל הבנת השפעות הסיכונים על ביצועי הארגון.
• מכירה בגלובליזציה של השווקים ובצורך ליישום גישה המתחשבת בתרבויות ובאזורים גאוגרפיים שונים.
• מציגה דרכים חדשות להצגת סיכונים, הגדרת יעדים והשגתם.
• מרחיבה את היקפי הדיווח על מנת לענות על הציפיות של בעלי העניין, תוך יצירת שקיפות גדולה יותר כלפיהם.
• מתאימה את עצמה להתפתחויות הטכנולוגיות, לגידול בכמות המידע הזמין, ולתמיכה בקבלת החלטות.
• קובעת הגדרות ליבה, רכיבים ועקרונות לכל רמות הניהול המעורבות בתכנון, ביישום ובניהול סיכונים תאגידי.

במאמר זה נפרט את מרכיבי המסגרת החדשה לניהול הסיכונים של COSO, ונדון באופן שבו ניהול סיכונים תאגידי משפיע על האסטרטגיה של הארגון ועל ביצועיו.

תפקידי ההנהלה בניהול סיכונים תאגידי

ככלל, ההנהלה נושאת באחריות הכוללת לניהול הסיכונים בארגון. ההנהלה גם אחראית להביא לדיון בדירקטוריון את הסוגיות הקשורות לסיכונים התאגידי ולכרוך אותם בדיונים לבחינת נושאים אסטרטגיים ותחרותיים.

ניהול סיכונים תאגידי אפקטיבי מעשיר את הדיאלוג בהנהלה באמצעות הוספת נקודות מבט לדיון בחוזקות ובחולשות של הארגון. הסתכלות זו הכרחית לדיון באסטרטגיות בתנאים משתנים ולבחינת התאמתה לארגון, בעיקר בזמנים שבהם ההנהלה בוחנת שינויים אסטרטגיים מהותיים.

תפקידי הדירקטוריון בניהול סיכונים תאגידי

תפקידו של הדירקטוריון הוא בראש ובראשונה לפקח על פעילות ההנהלה, על החלטותיה ועל נאותות ניהול הסיכונים בארגון. הדירקטוריון, בהיותו מורכב מאנשים בעלי ניסיון עשיר ומיומנויות מגוונות, גם מסייע להנהלה בעיצוב האסטרטגיה הארגונית ובתוכניות לקידום יעדי הארגון.

מסגרת ניהול הסיכונים התאגידי מספקת חומר גלם רב לדיון ולטיפול בנושאים שבאחריות הדירקטוריון, לדוגמה:

• הממשל התאגידי והתרבות הארגונית.
• אסטרטגיה ובחינת ביצועים.
• מידע, תקשורת ודיווח.
• תהליכים לשיפור ביצועי הארגון.

תפקיד הפיקוח של הדירקטוריון בנושא נאותות ניהול הסיכונים בארגון כולל בין השאר סקירה ובחינה של כל אלה:

• האסטרטגיה ותוכניות העבודה המוצעות על ידי ההנהלה.
• התיאבון לסיכון (RISK APETITE).
• התאמתם של היעדים האסטרטגיים והעסקיים ליעדים ולערכים המוצהרים של הארגון.
• בחינת החלטות עסקיות מהותיות, כולל רכישות ומיזוגים, הקצאות הון, מימון והחלטות הקשורות לדיבידנד.
• תגובה לתנודות בולטות בביצועי הארגון הנובעות משינויים במפת הסיכונים הארגונית.
• תגובה למקרים של חריגה מערכי הליבה של הארגון.

היתרונות של ניהול סיכונים תאגידי יעיל 

ארגונים המשלבים ניהול סיכונים תאגידי בפעילותם השוטפת נהנים מהיתרונות הבאים:

• הגדלת טווח ההזדמנויות: על ידי מיפוי נכון של הסיכונים, ההנהלה יכולה לזהות הזדמנויות חדשות ואתגרים ייחודיים.
• זיהוי וניהול הסיכונים: ההנהלה מזהה ומנהלת את הסיכונים הנרחבים ומשפרת את הביצועים.
• הגדלת התוצאות החיוביות והיתרונות תוך צמצום ההשלכות השליליות: ניהול סיכונים תאגידי מאפשר לגופים לשפר את יכולתם לזהות סיכונים ולספק להם מענה הולם.
• צמצום התנודות בביצועים: ניהול סיכונים תאגידי מאפשר לצפות את הסיכונים ולצמצם תנודתיות לא רצויה בביצועים.
• שיפור השימוש במשאבים: מידע על הסיכון מאפשר ניהול יעיל יותר של המשאבים ותעדוף פעילויות.
• שיפור עמידות הארגון: יכולת הקיום בטווח הארוך והבינוני של הארגון תלויה ביכולתו לצפות ולהגיב לשינויים, להתפתח ולשגשג. ניהול סיכונים יעיל מסייע להשיג מטרות אלו, וככל שקצב השינויים מואץ יותר והמורכבות העסקית עולה, כך ניהול הסיכונים הופך לקריטי יותר.

התחשבות בסיכונים בבחירת האסטרטגיה

בחירת אסטרטגיה נכונה היא אחד התהליכים המהותיים ביותר בארגון. יישום תהליכים של ניהול סיכונים תאגידי בקבלת החלטות אסטרטגיות עשוי לשפר באופן משמעותי את יכולת הבחירה של החלופות הטובות ביותר להשגת יעדי הארגון.

קיימים שני היבטים נוספים לניהול סיכונים תאגידי, העשויים להשפיע על הארגון:

• זיהוי מקרים שבהם האסטרטגיה אינה מתיישבת עם החזון, היעדים והערכים המרכזיים של הארגון.
• זיהוי טוב יותר של מגוון ההשלכות של האסטרטגיה שנבחרה.

על הדירקטוריון וההנהלה לוודא שהאסטרטגיה שנבחרה תואמת את הערכת הסיכונים והתיאבון לסיכון של הארגון, וכי ניהול הסיכונים התאגידי מתיישר לא רק עם האסטרטגיה אלא גם עם ביצועי הארגון.

האיור שלהלן ממחיש את השיקולים לעיל בהקשר של משימה, חזון, ערכי יסוד וביצועי הארגון.

[1] Committee of Sponsoring Organizations of the Treadway Commission.

מסגרת ממוקדת לניהול סיכונים תאגידי
מסגרת ניהול הסיכונים התאגידי כוללת חמישה מרכיבים הקשורים זה בזה:

1. ממשל ותרבות: ההנהלה קובעת את הצביון/האווירה (Tone) בארגון, מחזקת את חשיבות ניהול הסיכונים התאגידי וקובעת אחריות ופיקוח על תהליך זה. תרבות קשורה לערכים אתיים, להתנהגויות רצויות ולהבנת הסיכונים בארגון.
2. אסטרטגיה והגדרת יעדים: ניהול סיכונים תאגידי, אסטרטגיה והגדרת יעדים, משולבים במסגרת תהליך התכנון האסטרטגי. התיאבון לסיכון מבוסס ותואם לאסטרטגיה, והיעדים העסקיים מממשים את האסטרטגיה ומשמשים בסיס לזיהוי, להערכה ולתגובה לסיכון.
3. ביצועים: סיכונים שעלולים להשפיע על השגת האסטרטגיה והיעדים העסקיים צריכים להיות מזוהים ומוערכים. הסיכונים מדורגים לפי חומרתם, על פי התיאבון לסיכון. בהמשך הארגון בוחר את התגובה לסיכון, ועושה הערכה כוללת של כמות הסיכונים שנלקחו. התוצאות של התהליך הזה מדווחות לבעלי העניין בארגון.
4. סקירה ושינוי: על ידי סקירת ביצועי הארגון, הארגון יכול לשקול עד כמה רכיבי ניהול הסיכונים התאגידי פועלים לאורך זמן ולאור שינויים משמעותיים, ואילו שינויים נדרש לעשות.
5. מידע, תקשורת ודיווח: ניהול סיכונים תאגידי מחייב תהליך מתמשך של השגה ושיתוף מידע נחוץ, הן ממקורות פנימיים והן חיצוניים, הזורם כלפי מעלה וכלפי מטה וחוצה את הארגון.

חמשת המרכיבים הנ"ל, שהם חלק מהמסגרת החדשה של COSO, נתמכים על ידי מספר עקרונות (שיפורטו להלן). רמת הציות לעקרונות האלה מהווה אינדיקטור למדידת רמת הקיום או האי קיום של חמשת המרכיבים הראשיים של המסגרת החדשה לניהול הסיכונים הארגוניים.

רכיבים ועקרונות

המודל מפרט לכל אחד מחמשת הרכיבים הראשיים מספר עקרונות (20 עקרונות בסך הכול), שעל הארגון לקיים:

ממשל ותרבות

1. פיקוח של הדירקטוריון – הדירקטוריון מפקח על קביעת האסטרטגיה ועל אופן יישומה, הוא נושא באחריות על ממשל תאגידי, ותומך בהנהלה בהשגת האסטרטגיה והיעדים העסקיים.
2. מקים יחידות תפעוליות – הארגון מקים יחידות תפעוליות להשגת האסטרטגיה והיעדים העסקיים.
3. מגדיר את התרבות הרצויה – הארגון מגדיר את ההתנהגויות הרצויות המאפיינות את התרבות הרצויה בו.
4. מדגים מחויבות לערכי ליבה – הארגון ממחיש מחויבות לערכי הליבה שלו.
5. מושך, מפתח ומשמר עובדים בעלי יכולת – הארגון מחויב לפיתוח ההון אנושי בהתאם לאסטרטגיה וליעדים העסקיים.

אסטרטגיה והגדרת יעדים

6. מנתח הֶקשר עסקי – הארגון שוקל את ההשפעות האפשריות של הקשר עסקי על פרופיל הסיכון.
7. מגדיר תיאבון לסיכון – הארגון שוקל את התיאבון לסיכון בהקשר של יצירה, שימור ומימוש ערך.
8. מעריך אסטרטגיות חלופיות – הארגון מעריך אסטרטגיות חלופיות ואת השפעתן האפשרית על פרופיל הסיכון.
9. מפתח יעדים עסקיים – הארגון מעריך את הסיכון תוך קביעת היעדים העסקיים ברמות שונות, המיושרים עם האסטרטגיה ותומכים בה.

ביצועים

10. מזהה סיכון – הארגון מזהה סיכון המשפיע על ביצוע האסטרטגיה והיעדים העסקיים.
11. מעריך את חומרת הסיכון – הארגון מעריך את חומרת הסיכון.
12. מתעדף סיכונים – הארגון מתעדף סיכונים כבסיס לבחירת תגובות לסיכונים.
13. מיישם תגובות לסיכון – הארגון מזהה ובוחר תגובות לסיכון.
14. מפתח תיק סיכונים – הארגון מפתח ומבצע הערכה של תיק הסיכונים.

סקירה ושינוי

15. מעריך שינוי מהותי – הארגון מזהה ומעריך שינויים העשויים להשפיע באופן מהותי על האסטרטגיה ועל היעדים העסקיים.
16. סוקר סיכון וביצועים – הארגון סוקר את ביצועי היחידה הארגונית ומתייחס לסיכון.
17. שואף לשיפור ניהול הסיכונים התאגידי – הארגון שואף לשיפור ניהול הסיכונים התאגידי.

מידע, תקשורת ודיווח

18. ממנף מערכות מידע – הארגון ממנף את המידע והמערכות הטכנולוגיות של היחידה הארגונית על מנת לתמוך בניהול הסיכונים התאגידי.
19. מתקשר מידע על סיכון – הארגון משתמש בערוצי תקשורת לתמיכה בניהול הסיכונים התאגידי.
20. מדווח על סיכון, תרבות וביצועים – הארגון מדווח על סיכון, תרבות וביצועים ברמות השונות שלו ולרוחבו.

הקשר בין מסגרת ניהול הסיכונים התאגידי לבין מודל הבקרה הפנימית

בנוסף על מסגרת ניהול הסיכונים התאגידי, בשנת 2013 פרסם ארגון ה-COSO מסגרת אחידה לבקרה הפנימית (Internal Control – Integrated Framework)[1]. מודל זה שואף לאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית כדי לתמוך בהשגת יעדי הארגון ובהתאמת פעולותיו לשינויים בסביבה העסקית והתפעולית.

המודל זוכה לאימוץ ולשימוש נרחב ברחבי העולם, והוא מוכר כמודל המוביל לתכנון של הבקרה הפנימית, לעיצובה, ליישומה ולהערכת האפקטיביות שלה בארגון.

חשוב להדגיש ששתי המסגרות, המסגרת לניהול סיכונים תאגידי והמסגרת לבקרה הפנימית, שונות זו מזו במיקוד. הן אינן תחליפיות, אלא דווקא משלימות.

ההזדמנות לביקורת הפנימית

מסקרים על תפקידי המבקר הפנימי בארגונים שונים, עולה כי רק חלק מיחידות הביקורת הפנימית מעורבות בתהליך ניהול הסיכונים. האופנים שבהם מעורבת הביקורת הפנימית בתהליך שונים מארגון לארגון, החל מסיוע לאיסוף נתונים וכלה במעורבות פעילה יותר בתכנון המערך ויישומו.

נייר עמדה של ה-IIA בנוגע לתחומי הסמכות והאחריות בניהול סיכונים תאגידי, מספק מדריך שימושי לאפשרויות ולמגבלות של המבקר הפנימי בנוגע למעורבותו בניהול הסיכונים התאגידי.

מבקר פנימי השואף ליצור ערך לארגון ולביקורת הפנימית, צריך להבין את עקרונות ניהול הסיכונים התאגידי ולשלבם בתהליכי הביקורת הפנימית השוטפים.

המסגרת החדשה לניהול סיכונים תאגידי מספקת הזדמנות למבקר הפנימי להתמחות בתחום ולהפוך לאיש מפתח, כיועץ להנהלה בכל הנוגע לארגון, לתכנון וליישום של המסגרת החדשה לניהול הסיכונים התאגידי.

מבט לעתיד
אין ספק כי גם בעתיד ארגונים ימשיכו להתמודד עם תנודתיות, מורכבות ועמימות. ניהול סיכונים תאגידי יהיה חלק חשוב ובלתי נפרד מניהול הארגון והצלחתו. הארגון צריך להציג יכולת תגובה יעילה לשינוי, כולל קבלת החלטות ויכולת הסתגלות מהירות, תוך שמירה על רמות גבוהות של אמון בקרב בעלי העניין. כאשר אנו בוחנים את העתיד, המגמות הבאות ישפיעו על ניהול הסיכונים התאגידי:

·         התמודדות עם ריבוי נתונים ומידע: בעידן שבו כמות המידע הזמין גדל לממדים עצומים, ובו-בזמן המהירות שבה ניתן לנתח נתונים חדשים עולה, ניהול הסיכונים בארגון חייב לעבור התאמה. הנתונים יגיעו הן מהארגון והן מחוצה לו, ויהיו מובנים בדרכים חדשות. כלי ניתוח מתקדמים וכלים להדמיית תסריטים שונים יתפתחו ויעזרו מאוד בהבנת הסיכון והשפעותיו – הן החיוביות והן השליליות.·         מינוף אינטליגנציה מלאכותית ואוטומציה: העולם המודרני מרגיש היטב את השפעת תהליכי הדיגיטציה והאינטליגנציה המלאכותית. חשוב לשקול את ההשפעה של הטכנולוגיות הקיימות והעתידיות, ולמנף את יכולות ניהול הסיכונים בהתאם.·         ניהול עלות ניהול הסיכונים: מנהלים רבים מביעים דאגה לגבי העלות הכרוכה בניהול סיכונים, במיצוי תהליכי ציות ובפעולות בקרה. לפיכך עולה השאלה של ROI או עלות-תועלת. ככל שיתפתחו תהליכי ניהול הסיכונים התאגידי, כך תגבר התועלת לארגון והתשואה להשקעה בו תלך ותגדל. התפתחות זו עשויה ליצור הזדמנויות עבור ניהול סיכונים תאגידי ולהגדיר מחדש את חשיבותו לארגון.·         בניית ארגונים חזקים יותר: ככל שהארגונים משתפרים בהטמעת תהליכי ניהול סיכונים תאגידי, כך הארגון מתחזק. היכרות והבנה של הסיכונים בארגון (ובמיוחד סיכונים שההשפעה שלהם מהותית), וכן שימוש בתהליכי ניהול סיכונים תאגידי, מסייעים ליכולת הארגון לשרוד, לתת מענה אפקטיבי ומהיר לסיכון, ואף ליצור הזדמנויות חדשות. 

סיכום

ניהול הסיכונים התאגידי יצטרך לעבור שינוי מהותי ולהתאים את עצמו לעתיד כדי לתמוך באופן עקבי ושיטתי בקבלת החלטות ניהוליות, הן בתחום האסטרטגי והן בתחום התפעולי השוטף. עם המיקוד הנכון, היתרונות הנגזרים מניהול סיכונים תאגידי יעלו בהרבה על ההשקעות ויספקו לארגונים אמון ביכולתם להתמודד עם אתגרי העתיד.

[1] חידוש למודל משנת 1992.

The post ניהול סיכונים תאגידי – שילוב אסטרטגיה וביצועים – COSO13 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.