The post מדידת איכות הביקורת הפנימית- כנס 17.01.19 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

The post Enterprise Risk Management- כנס 05.01.17 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

עם השנים הופכת הביקורת הפנימית לתפקיד מרכזי יותר ויותר בארגונים השונים. בעבר המבקר הפנימי היה פונקציה מבודדת שתפקידה לייצר דוחות ביקורת לוועדת הביקורת, על פי דרישת החוק. כיום, כתוצאה מהעלייה במודעות לחשיבות הבקרה ככלי המקדם את מטרות הארגון, ההנהלות מעריכות הרבה יותר את תפקידו של המבקר הפנימי, ויותר מבקרים פנימיים ברחבי העולם מוגדרים כבכירי הארגון (סמנכ"ל, משנה למנכ"ל וכדומה). גורמי ניהול בכירים אלו מקבלים על פי רוב תגמול על פי ביצועים. אך טבעי הוא שההנהלות יהיו מעוניינות לתמרץ גם את המבקר הפנימי. גם בעלי המניות מעוניינים לקשור את תגמול המנהלים להצלחה הפיננסית של הארגון, כדי שלאלה יהיה תמריץ יתר לשפר אותה. אם כן, מה רע בכך? המתנגדים לשיטת תגמול זו טוענים כי היא עלולה לפגוע באי-תלותו של המבקר הפנימי. בין שתי גישות אלו ניטש מאבק שמשמעותו הכספית רבה, והוא נובע בין השאר מתפיסות עולם שונות. אם כן, מי צודק?

מחקרים בעולם

בשנים האחרונות נעשו בעולם מחקרים רבים בנושא זה במטרה לבחון שיטות חדשות לתמרוץ מבקרים פנימיים על יתרונותיהן וחסרונותיהן. להלן ממצאי חלק מהמחקרים שנעשו:

• מחקר בנושא זה פורסם בשנת 2015 על ידי International Journal of Auditing, בשיתוף פעולה של Multimedia University, Malaysia ושל בית הספר למינהל עסקים באוניברסיטת גריפית, אוסטרליה. המחקר דגם 191 מבקרים משתי מדינות שונות במקביל (מלזיה ואוסטרליה), ובמסגרתו נבדקו דיווחים של מבקרים המקבלים תגמול מבוסס ביצועי חברה, אל מול דיווחיהם של מבקרים המקבלים תגמול המבוסס על ביצועים אישיים. המחקר מצא כי תמריץ המבוסס על ביצועי החברה מהווה איום על אובייקטיביות המבקר הפנימי. עם זאת, תמריץ המבוסס על ביצועים אישיים (כגון עמידה בתוכנית העבודה, איכות דוחות הביקורת לפי חוות הדעת של ועדת הביקורת וכדומה) משפיע פחות על אובייקטיביות המבקר. המחקר קבע כי יש שיטות תגמול אישיות שהן פחות "כשרות" מאחרות (ראו טבלה בסוף המאמר). עוד קבע המחקר כי להבדלי תרבות אין השפעה מהותית על תוצאות המחקר. אולם נמצא כי נשים נטו פחות להטות את דיווחיהם מגברים, וכי מבקרים ותיקים נטו להטות את דיווחיהם פחות ממבקרים חדשים. מסקנת המחקר היא כי ארגונים צריכים לנקוט משנה זהירות בעת עיצוב תוכנית התגמולים למבקריהם הפנימיים, ולהיות מודעים לאיומים פוטנציאליים על האובייקטיביות שלהם כאשר התמריצים מבוססים על ביצועי הארגון. עוד קובע המחקר כי עדיף לתגמל את המבקר פנימי על סמך אינדיקטורים של ביצועים אישיים, כגון שביעות רצון המבוקרים מתהליך הביקורת (הכוונה היא לרמה המקצועית של המבקרים והערך המוסף של דוח הביקורת, ולא מהדוח עצמו ומחומרת הממצאים), וכן קבלת המלצות הביקורת.
• במחקר שנעשה על ידי מחלקת החשבונאות באוניברסיטת קליפורניה בשנת 2016, נבדק האם יש קשר סטטיסטי בין שכר הטרחה של המבקר החיצוני לבין שכר תלוי ביצועים של המבקר הפנימי. המחקר מצא שיש קשר כזה. בחברות שבהן שכר המבקר היה תלוי ביצועי החברה, שכר טרחת רואה החשבון המבקר היה גבוה יותר. החוקרים הסיקו שכאשר המבקר הפנימי מתוגמל על פי ביצועי החברה, רואה החשבון המבקר נוטה פחות להסתמך עליו, מכיוון שהוא חושש שהמבקר הפנימי אינו אובייקטיבי דיו. המחקר מסיק כי על ועדת הביקורת לעשות שימוש זהיר בתגמול המבקר הפנימי באמצעות תמריצים המבוססים על ביצועי החברה.
• מחקר שנערך באוניברסיטת ניירובי בשנת 2015, בדק את אובייקטיביות פונקציית הביקורת הפנימית ב-31 חברות ביטוח בקניה באמצעות שאלונים שמולאו על ידי עובדי הביקורת בעילום שם וכוללים תרחישים שונים. נמצא כי גידול בתמריצים מבוססי ביצועי החברה המוענקים למבקרים הפנימיים, גורם לירידה באובייקטיביות ובעצמאות בדיווח. עם זאת, המִתאם לא היה מובהק סטטיסטית.
• בניסוי שנעשה על ידי כתב העת של נושאים ניהוליים של המכון הטכנולוגי בג'ורג'יה בשנת 2003, נבדקו 172 מבקרים לפי ארבע הקבוצות הבאות:
  • תגמול המבוסס על משכורת בסיס בלבד.
  • תגמול המבוסס על משכורת בסיס בתוספת מענק משמעותי הקשור לרווחים חשבונאיים.
  • תגמול המבוסס על משכורת בסיס בתוספת בונוס משמעותי הקשור למחיר המניה.
  • קבוצת ביקורת הכוללת באופן שווה מבקרים משלוש הקבוצות לעיל.

הניסוי מצא כי כאשר תגמול התמריצים היה קשור למחירי המניות או לרווחים חשבונאיים, החלטות הדיווח של המבקר הפנימי נפגעו. עם זאת, קבלת בונוס הקשור למחיר המניה לא השפיעה על החלטות הדיווח של המבקר (במקרים שבהם הבונוס ניתן במניות, ייתכן שהמבקרים מתייחסים למניותיהם כאל השקעה לטווח ארוך, והאמינו כי אין לדיווחיהם השפעה ארוכת טווח על מחיר המניה).

• במחקר שנעשה ב-2003 במחלקה לכלכלה באוניברסיטת פיטסבורג בקרב 117 מבקרים פנימיים ברחבי ארצות הברית, נערך ניסוי שבו המבקרים התחלקו לשלוש קבוצות שהשוני ביניהן היה שיטת התגמול, התמריצים ובעלות על מניות. המשתתפים התבקשו לקבל החלטות מקצועיות שונות על דיווח. המחקר מצא כי קבוצת המבקרים הפנימיים שתגמולם היה קשור למחירי המניות, נתנו דיווח מוטה ופגום שנבע מאופי התמרוץ.
• מנגד, בנובמבר 2014 פורסם על ידי CGMA Magazine Chartered Global Management) Accountant), סקר שנערך בקרב 1,600 מבקרים פנימיים, מנהלי ביקורת ועובדי ביקורת בצפון אמריקה. הסקר קבע שמבקרים פנימיים המקבלים תמריצים המבוססים על רווחי החברה דיווחו על שביעות רצון גבוהה יותר, נאמנות גבוהה יותר והזדהות גבוהה יותר עם הארגונים שלהם, מבלי לפגוע באובייקטיביות שלהם.

המצב בישראל

חברות ציבוריות – מסקר שערכנו בישראל, המבוסס על נתוני 23 חברות בורסאיות שבהן פועל מבקר פנימי שכיר, עולה על פי מערכת המגנא כי חלק משכרם של כ-35% מהמבקרים מותנה בתוצאות פעילות הארגון באמצעות אופציות או מניות. לא ניתן לדעת על פי מערכת המגנא מה שיעור המבקרים המתוגמלים על ביצועים אישיים.

גופים מוסדיים – רשות שוק ביטוח וחיסכון אינה אוסרת על קבלת תגמול מבוסס מניות, וקבעה כי "שכרם ותגמולם של מבקר פנימי של גוף מוסדי ושל עובדי מערך הביקורת הפנימית לא יותנה בביצועי הגוף המוסדי, אלא אם מדובר במדיניות תגמול כללית שחלה על כל עובדי הגוף המוסדי". הרשות אף מתירה "רכיב משתנה" במדיניות הגמול ל"פונקציות בקרה" (לרבות עובדי יחידת ניהול סיכונים, בקרה, ציות ואכיפה, אקטואריה, חשבות, ניהול כספים, ייעוץ משפטי, או ביקורת פנימית). בחוזר גופים מוסדיים 2014-9-2, הרשות מגבילה את הרכיב המשתנה כך ששיעורו לא יעלה על 100% מהרכיב הקבוע בחישוב שנתי. לגבי בעלי תפקיד מרכזי בפונקציות בקרה, היחס בין התגמול המשתנה לתגמול הקבוע ייטה לטובת התגמול הקבוע בהשוואה ליחס זה אצל בעלי תפקיד מרכזי אחר.

עם זאת, רשות שוק ההון ביטוח וחיסכון קבעה בחוזר גופים מוסדיים 2015-9-31 כי "דירקטור, לרבות יושב ראש הדירקטוריון, יקבל רק רכיב קבוע בשל כהונתו בגוף המוסדי, ולא יקבל רכיב משתנה בשל כהונתו זו". לדעתנו, אם הרגולטור קבע ששכרו של יו"ר הדירקטוריון אינו יכול להיות תלוי בביצועי החברה, מן הראוי להחיל הנחיה זו על כל ישות שכפופה ליו"ר הדירקטוריון, כולל המבקר הפנימי.

מסקר שערכנו עולה כי חלק משכרם של כ-29% מהמבקרים הפנימיים בגופים מוסדיים מותנה בתוצאות פעילות הארגון באמצעות קבלת אופציות או מניות.

בנקים  –חוזר "מדיניות תגמול בתאגיד בנקאי" קובע כי "התגמולים של עובדים העוסקים בניהול סיכונים, בקרה וביקורת ייקבעו לפי סטנדרטים המתחשבים בחשיבות וברגישות התפקידים המוטלים על פונקציות אלו. עובדים אלו יתוגמלו בצורה הולמת, על מנת שהתאגיד הבנקאי יוכל להעסיק עובדים בעלי הכשרה וניסיון מתאימים. מדידת הביצועים של עובדים אלו תתבסס על השגת היעדים של הפונקציות שבהן הם משמשים. תגמולי עובדים אלו לא יהיו תלויים בתוצאות העסקיות של התחומים העסקיים שאת פעילותם הם מנטרים, מבקרים או מפקחים".

למרות האמור, החוזר אינו אוסר על קבלת תגמול משתנה אלא קובע כי "עבור עובדים בפונקציות ניהול סיכונים, בקרה, ביקורת ופונקציות תומכות שונות, היחס בין התגמול המשתנה לתגמול הקבוע ייטה יותר לטובת התגמול הקבוע, בהשוואה ליחס זה אצל העובדים בפונקציות העסקיות".

בנוסף, החוזר קובע כי במקרים שבהם קיים רכיב של תגמול משתנה, יש לפרוס את תשלום התגמול המשתנה לאורך זמן, משום שהסיכונים הפיננסיים מתממשים לרוב על פני מספר שנים, וגם השגת היעדים נמשכת מספר שנים, ולפיכך נדרשת ראייה ארוכת טווח. הנחיה זו אמורה למנוע משומר הסף שקיבל את כל תגמולו ללא פריסה, למכור את כל אחזקותיו ורק אז לדווח מידע שעלול להזיק לשווים.

מסקר שערכנו עולה כי שכרם של כ-50% מהמבקרים הפנימיים השכירים בבנקים מותנה בתוצאות פעילות הארגון באמצעות קבלת אופציות או מניות.

נציין כי רשות החברות הממשלתיות ורשות ניירות ערך אינן מתייחסות לנושא אופי תגמול המבקר הפנימי. חוק הביקורת הפנימית קובע כי אל לו למבקר הפנימי להימצא במצב של ניגוד עניינים בתפקידו.

תקני ה-IIA (איגוד המבקרים הפנימיים העולמי) לא מתייחסים לאופי תגמול המבקר הפנימי.

סוגי התגמול והשפעתם על המבקר

המונח "תמריץ מבוסס תגמול" יכול להתייחס למספר שיטות שונות של תגמול, קצרות או ארוכות טווח. בדרך כלל, חבילת תמריץ מבוסס תגמול כוללת מספר סוגים, כגון בונוס, אופציות למניות, ושיתוף רווחים. תוכניות המבוססות על הצלחת החברה יקשרו את התגמול עם מדדי ביצוע שונים, כגון רווח למניה, תשואה על נכסים או תשואה להון.

להלן טבלה המפרטת את סוגי התגמול השונים שבאפשרות החברה להעניק למבקר ואת מידת השפעתם על אובייקטיביות המבקר, על פי המחקרים שסקרנו:

לסיכום, לשכת המבקרים הפנימיים העולמית (IIA) אמנם לא קבעה כללים בנושא, אך המחקרים שנעשו בשנים האחרונות בחנו את הנושא לעומק וקבעו בבירור אילו שיטות תגמול עלולות לפגוע באי-תלותו של המבקר הפנימי ובאפקטיביות עבודת הביקורת.

אמנם בישראל לא ידוע לנו על דיון בנושא, אך בעולם נערכים דיונים מפותחים על כך ונעשו מחקרים רבים בנושא. מאמר זה הוא בבחינת פורץ דרך ומטרתו להציג את הממצאים שעלו מהמחקר בנושא זה בעולם, ולפלס את הדרך למאמרים נוספים שירחיבו את היריעה.

The post האם תגמול מבוסס הישגים משפיע על אי-תלותו של המבקר הפנימי? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

The post ניהול סיכונים COSO -מצגת כנס 5.1.17 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

"אין התחמקות מסיכונים. יש להכיר אותם, לנהל אותם ולהחליט את מי מהם ניתן להשאיר בעוצמתו ומי דורש טיפול להקטנתו או סילוקו"  פרופ' טרוור קלץ. משפט זה מתמצת את הצורך בניהול סיכונים אפקטיבי בארגון. אם לא ננהל את הסיכון, הסיכון ינהל אותנו. אם ננהל אותו, נשלוט בו ונקטין את ההסתברות שיפגע בנו. משפט זה נכון למנהלי סיכונים בדיוק כמו שהוא נכון למבקרים פנימיים.

עד לאחרונה, מנהלי סיכונים פעלו בעיקר בגופים פיננסיים ובחברות ממשלתיות, זאת מתוקף רגולציות[1] המחייבות אותם לפעילות זו. מנהל סיכונים, בארגונים אשר אינם נדרשים להעסיק כזה, היה נדיר. כתוצאה מכך, לא היו ארגונים רבים בהם מבקר פנימי ומנהל סיכונים עבדו בכפיפה אחת והיו צריכים לשתף פעולה ביניהם ואילו בארגונים בהם פעלו שני נושאי משרה אלו, פעמים רבות התקשורת ביניהם התמצתה בממשקים ספציפיים, כגון עזרה למיישם ה-SOX או שיתוף מידע נקודתי.

לאחרונה, יותר ויותר ארגונים אשר אינם נדרשים למשרת מנהל סיכונים סטטוטורית, החלו להעסיק מנהלי סיכונים. כתוצאה מכך, ומהעובדה ששני נושאי משרה אלו משחקים תפקיד מרכזי בממשל התאגידי של הארגון ומחזיקים במידע רב ערך על סיכוני הארגון והבקרות שבו, נוצר צורך מוגבר בשיתוף פעולה.

ראיינו בעניין זה את גב' רונית בירן, המבקרת הפנימית של שיכון ובינוי מקבוצת אריסון, אשר בראיון שקיימנו עמה פירטה מניסיונה "כיום, יותר ויותר מבקרים פנימיים משכילים להבין את היתרון שבשיתוף פעולה עם מנהל הסיכונים של הארגון. בשיכון ובינוי אנחנו דואגים לקיים פגישות חודשיות שוטפות בין מחלקת הביקורת לבין מחלקת ניהול הסיכונים. רמת שיתוף הפעולה גבוהה, ומתקיים תהליך קבוע של הפריה הדדית והיזון חוזר בין המחלקות. הביקורת הפנימית נעזרת בסקר הסיכונים אשר בוצע על ידי מנהלת הסיכונים לצורך קביעת תוכנית העבודה השנתית. במקביל, מחלקת ניהול הסיכונים נעזרת במחלקת הביקורת לצורך הערכת סבירות הסיכון המבוססת גם על הערכת אפקטיביות הבקרות הקיימות בארגון המבוצעת ע"י הביקורת. כמו כן, בכוונת הארגון להקים פורום מקצועי משותף אשר יכלול את הביקורת הפנימית, ניהול סיכונים, ציות ואכיפה ומנהלת הבקרה. בתחומי הביקורת וניהול סיכונים קיימת חפיפה מסוימת בין שתי המחלקות והחכמה היא לדעת כיצד לנצל את אגירת הידע מבלי להעיק על היחידות המבוקרות, מתוך מטרה משותפת לעזור לארגון לעמוד במטרותיו."

במאמר משנת 2005 של לשכת המבקרים הפנימיים העולמית (IIA) בנושא תפקיד הביקורת הפנימית ביישום סעיפים 302 ו-404 ל-SOX[2], נכתב כי התקנים הבינלאומיים למקצוע הביקורת הפנימית, דורשים מהמבקר הפנימי להעריך את תהליכי ניהול הסיכונים, הבקרה והניהול של הארגון באמצעות פעילויות ייעוץ וביקורת, וכן לתרום לשיפור תהליכים אלו. הכותבים ידעו כבר אז כי לא ניתן להתעלם מהמטרות הדומות של הביקורת הפנימית וניהול הסיכונים. לפיכך, קבעו התקנים תפקיד דואלי למבקר הפנימי בהיבט של ניהול סיכונים: ייעוץ וביקורת. לדוגמה, כאשר מתבצעת ביקורת בנושא רכש, ייבדקו היבטי ניהול הסיכונים של החברה בתהליך זה. במקביל על המבקר הפנימי לייעץ להנהלה כיצד לשפר את תהליך ניהול הסיכונים.

בשנת 1992 פרסם ארגון ה-COSO מסמך[3] ראשון הנוגע ליישום של בקרות פנימיות בארגונים. במסמך זה הופיעו לראשונה 5 רכיבי בקרה אשר חיוניים למערכת בקרה פנימית טובה. מכיוון שרוב רובן של החברות אשר נדרשו ליישם SOX בחרו ב-COSO כמתודולוגית הבקרה שלהן, הן נדרשו לתעד ולהעריך את טיב ניהול הסיכונים כרכיב בקרה מרכזי. בשנת 2013 פרסם ארגון ה-COSO מסמך מעודכן בנוגע לבקרות העל בחברות[4]. מסמך זה הרחיב את 5 רכיבי הבקרה ל-17 עקרונות, מתוכם ארבעה עקרונות הרחיבו את מושג ניהול הסיכונים, והם:

• הארגון מזהה סיכונים הקשורים ליעדיו;
• הסיכונים מנותחים על מנת לקבל החלטה כיצד לנהלם;
• הארגון שוקל את החשיפה למעילות בהערכת הסיכונים שביצע;
• הערכת הסיכונים כוללת זיהוי השינויים העלולים לפגוע באפקטיביות מערך הבקרה הפנימית.

בעקבות מסמך זה, ניהול הסיכונים התקדם צעד נוסף לקדמת הבמה. יש לציין כי המסמך נועד לשימוש ההנהלה וגורמי הבקרה בארגון (כולל המבקר הפנימי ואחראי ה-SOX) אך לא למנהלי הסיכונים.

בשנת 2016 ארגון ה-COSO פרסם טיוטת מסמך[5] ייעודי לעניין ניהול סיכונים הכולל 23 עקרונות לעניין ניהול אפקטיבי של תהליך ניהול סיכונים בארגון. העקרונות במסמך מחולקים לחמש קבוצות – סיכוני ממשל תאגידי, סיכונים אסטרטגיים, סיכוני ביצוע, סיכוני תקשור מידע וסיכונים הנוגעים לניטור מערכת ניהול הסיכונים של הארגון. מסמך זה הוא המשך ישיר למסמך[6] אשר פורסם על ידי הארגון בשנת 2004 והיווה בסיס לניהול הסיכונים של ארגון. מעיון בטיוטת המסמך משנת 2016, אנו יכולים לזהות דפוס לתוצרי ארגון ה-COSO אשר כוללים חלוקה לקבוצות ושיוך של תתי תהליכים לתהליכי על. כמו כן, ניתן לזהות כי ארגון ה-COSO נותן דגש רב בניהול הסיכונים לאסטרטגיה ויעדיו העסקיים של הארגון, כפי שמשתקף בתרשים המסביר את עקרון ניהול הסיכונים של הארגון:

כידוע, אחת ממטרותיה של הביקורת הפנימית היא לאפשר לארגון לעמוד ביעדיו על ידי זיהוי סיכונים, מעקב אחר צמצומם ושיפור מערך הבקרה. עולה השאלה האם קם לפונקציית הביקורת הפנימית מתחרה? והאם על המבקר הפנימי להימנע מניהול סיכונים? שהרי חוק הביקורת הפנימית קובע במפורש כי "מבקר פנימי לא ימלא, בגוף שבו הוא משמש מבקר, תפקיד נוסף על הביקורת הפנימית, זולת תפקיד הממונה על תלונות הציבור או הממונה על תלונות העובדים, ואף זאת – אם מילוי תפקיד נוסף כאמור לא יהיה בו כדי לפגוע במילוי תפקידו העיקרי"[7]. יתרה מכך, תקני ה-IIA, אשר נוגעים לעניין אי תלותו של המבקר הפנימי, קובעים כדלקמן:

• תקן 1100 בדבר אי תלות ואובייקטיביות קובע כי "פעילות הביקורת הפנימית חייבת להיות בלתי-תלויה, ומבקרים פנימיים חייבים להיות אובייקטיביים בביצוע עבודתם".
• תקן 1110 בדבר אי תלות ארגונית קובע כי "המבקר הפנימי הראשי חייב לדווח לרמה הארגונית, המאפשרת לביקורת הפנימית למלא את אחריותה. המבקר הפנימי הראשי חייב לאשרר בפני הדירקטוריון, לפחות אחת לשנה, את אי התלות הארגונית של הביקורת הפנימית".

מהאמור בתקנים לעיל ופירושם, ניתן להבין כי על מנת שעבודת הביקורת תיעשה בצורה ראויה, מקצועית ונאותה, על המבקר הפנימי להיות נקי מכל תלות ארגונית ואפילו נפשית.

תקן 2120 של לשכת המבקרים הפנימיים העולמית (IIA) בנושא ניהול סיכונים קובע כי: "הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים".

ה-IIA דן בסוגיה זו במסמך[8] טיוטה אשר עתיד להיכנס לתוקף בשנת 2017. יש להסתייג ולהגיד כי טיוטת תקן זו עשוייה לעבור עוד שינויים וכי הוועדה המקצועית של IIA ישראל טרם תרגמה את התקן לעברית והתאימה אותו לישראל. אחד מהתקנים החדשים המפורטים במסמך עוסק בתפקידיו של המבקר הפנימי מעבר לביקורת הפנימית. מדובר בתקן מקצועי 1112 ""Chief Audit Executive Roles Beyond Internal Auditing. התקן מספק דוגמאות לתפקידים נוספים אשר לעיתים מצופה מהמבקר הפנימי לבצע בארגון כגון – תפקידי ציות וניהול סיכונים. ה-IIA השכיל להבין כי המקצוע דינמי וכאשר הפרקטיקה דורשת, יש לעדכן את התקנים המקצועיים בהתאם. הארגון מבקש להכין את המבקר הפנימי לעולם החדש, מצייד אותו בסט כלים חדישים ועדכניים אשר עתידים לספק לו את היכולת לבצע את עבודתו בצורה מיטבית ומאפשר לו לממש את יעדי הביקורת בצורה הטובה ביותר עבורו ועבור הארגון בו הוא פועל. להלן ההסבר שנותן ה-IIA לתקן החדש:

חוק הביקורת הפנימית קובע כי "המבקר הפנימי יערוך את הביקורת על פי תקנים מקצועיים מקובלים"[9]. מכיוון שתקנים אלו נקבעים ומעודכנים באופן שוטף על ידי ה-IIA, אשר מאפשר סיוע של המבקר הפנימי להנהלה בתחומים נוספים, חוק הביקורת הפנימית מאפשר סיוע של המבקר הפנימי לארגון בתחום ניהול הסיכונים.

יחד עם זאת, אל לו למבקר הפנימי לקבל על עצמו סיוע להנהלה בתחום ניהול הסיכונים אם הוא נעדר את הכישורים המתאימים בתחום זה. ואכן, תקן C1.1210 קובע כי המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הדרושים לביצוע פעילות הייעוץ או חלקים ממנה.

לדעתנו, אין בכוונת ה-IIA לטעון כי מבקר פנימי יכול וצריך לשמש גם כמנהל סיכונים של ארגון. אך המצב כיום הוא כזה שברוב הארגונים לא קיימת פונקציית ניהול סיכונים. בארגונים אלו, אל לו למבקר הפנימי להמתין עד שיאויש תפקיד זה, ובינתיים להותירו פרוץ. מכיוון שממילא תפקידו כרוך בהערכת סיכונים וצמצומם, שומה עליו לסייע להנהלת הארגון באמצעות התייחסות לנושא של ניהול הסיכונים אגב ביצוע ביקורות פנימית. ראשית, עליו לוודא שמבוצע סקר סיכונים אשר אמור לתת מענה לכלל סיכוני הארגון. לאחר מכן, כאשר המבקר מבצע ביקורת בחברה, עליו לזהות את מטרות היחידה המבוקרת, לאתר סיכונים פוטנציאלים לאי עמידה ביעדים אלו, ולבדוק את עיצוב ואפקטיביות הבקרות שנועדו לטפל בסיכונים אלו.

התרשים הבא לקוח מתוך נייר עמדה שפורסם על ידי לשכת המבקרים הפנימיים העולמית. הוא מתאר את מגוון פעילויות ניהול הסיכונים התאגידי ומציין אלו פעילויות רצוי שיבוצעו על ידי הביקורת הפנימית, כאלה שהן לגיטימיות לביצוע על ידי הביקורת הפנימית וכאלה שרצוי כי הביקורת הפנימית לא תבצע. אל למבקר הפנימי לבצע את הפעילויות המופיעות מימין, כיוון שהן כרוכות בנטילת אחריות ניהולית. עליו לבצע את הפעילויות המופיעות משמאל, כחלק מתפקידו כמבקר פנימי. הפעילויות שבמרכז מסייעות להנהלה בהיבט ניהול סיכונים, הן לגיטימיות לביצוע על ידי המבקר הפנימי בתנאי עמידה בכלל אי התלות ובהינתן שיש בידיו את הכישורים המקצועיים לבצען 10.

כאשר קיים מנהל סיכונים בארגון, המבקר הפנימי חייב לשתף עמו פעולה באופן שוטף ומלא. לא עוד שני תהליכים שונים ונפרדים אלא תהליכים משיקים ושלובים. על מנת להמחיש את הסיטואציה, יש לחשוב על מרוץ שליחים כאשר הביקורת הפנימית ומחלקת ניהול הסיכונים הינם שני רצים באותה הקבוצה. שיתוף פעולה מושלם יתקיים כאשר המקל יעבור מהרץ הראשון לשני, שיתוף פעולה כושל יהיה כאשר שניהם ירוצו במקביל ויתחרו ביניהם. קביעת תוכנית עבודה שנתית אינה עוד נגזרת של סקר סיכונים עצמאי שביצע המבקר, במנותק מסקר הסיכונים הכלל ארגוני שביצע מנהל הסיכונים, אלא תוצאה של חשיבה משותפת אשר אמורה לשקף התחשבות בזוויות הראייה השונות. גם לאחר קביעת תוכנית העבודה של המבקר הפנימי, עליה להיות דינמית וכאשר עולה הצורך, יש לשקול לשנותה, בעקבות ממצאים חריגים הנובעים מניהול הסיכונים השוטף של החברה. בנוסף, כאשר ניגשים להוציא ביקורת לפועל, בטרם יושבים עם המבוקרים לשיחת פתיחה, יש להבין כיצד התייחס תהליך ניהול הסיכונים של החברה לנושא המבוקר ומה היו ממצאיו. כמובן שהיזון חוזר דומה יבוצע בעבודת ניהול הסיכונים – על מנהל הסיכונים לעיין בדוחות המבקר הפנימי כדי לזהות השלכות על מערך ניהול הסיכונים בארגון. בארגונים המבצעים SOX, על המבקר הפנימי ומנהל הסיכונים לעיין בתוצאת תיקוף הבקרות, אשר תעשיר את עבודתם. על שיתוף הפעולה להחל ביצירת יחסי אמון, על מנת שפונקציית ניהול הסיכונים תהיה נכונה לחשוף בפני הביקורת את תהליכי ניהול הסיכונים שהיא מבצעת, ועל מנת שניהול הסיכונים ירצה בקבלת ערך מוסף מהביקורת הפנימית. עם זאת, יש לזכור כי יתכן שלא קל יהיה למנהל הסיכונים לקבל את העובדה כי המבקר, אשר עמו הוא משתף מידע באופן קולגיאלי, עשוי להדרש לבצע עליו ביקורת בעתיד.

לסיכום, במאמר זה ביקשנו להראות כי רב הדומה על השונה בתהליכי ביקורת פנימית וניהול סיכונים. שיתוף פעולה בין תהליכים אלה והגורמים האחראים עליהם יכול להניב לארגון ערך רב. האם יום אחד התחומים ישתלבו לאחד? כנראה שלא. המבקר הפנימי מחזיק בתפקיד בקרת העל בארגון. זוהי בקרה הבודקת את כל שאר הבקרות. ניהול הסיכונים הינו אחת מבקרות הארגון, וכשכזה, הוא כפוף לביקורתו של המבקר הפנימי. עם זאת, כתוצאה מכלי העבודה והמטרות הדומות, על מבקרים פנימיים ומנהלי סיכונים לשתף פעולה ככל הניתן, להבין את הצרכים זה של זה ולסייע במקרה הצורך, להיעזר בדוחותיו האחד של השני ולהבין כיצד המידע המשותף יכול לעזור לארגון לעמוד במטרותיו ויעדיו.

קישורים להערות השוליים:

1. חוזר בנושא ניהול סיכונים בחברות הממשלתיות, יוני 2009 https://www.gca.gov.il/NR/rdonlyres/EA45788F-1DB6-4BFE-B7AD-56A3E38EF6DC/0/18.pdf

חוזר 2006-1-14, משרד האוצר אגף שוק ההון, ביטוח וחיסכון "תפקידי אקטואר ממונה ומנהל סיכונים של מבטח, ומארג היחסים שלהם עם בעלי תפקידים אחרים", אוקטובר 2006

www.mof.gov.il/hon/documents/הסדרה-וחקיקה/insurance/memos/2006-1-14.doc

2. Internal Auditing Role In Sections 302 And 404 Of The U.S Sarbanes-Oxley Act Of 2002

https://na.theiia.org/standards-guidance/Public%20Documents/Act%20Internal_Auditings_Role_in_Sections_302__404__FINAL.pdf

3. Internal Control—Integrated Framework

https://www.coso.org/documents/Internal%20Control-Integrated%20Framework.pdf

4. The 2013 COSO Framework & SOX Compliance.

https://www.coso.org/documents/COSO%20McNallyTransition%20Article-Final%20COSO%20Version%20Proof_5-31-13.pdf

5. Enterprise Risk Management – Aligning Risk with Strategy and Performance (Draft June 2016)

https://erm.coso.org/Documents/COSO-ERM-FAQ.pdf

6. Enterprise Risk Management — Integrated Framework (September 2004)

https://www.coso.org/documents/coso_erm_executivesummary.pdf

7. חוק הביקורת הפנימית, תשנ"ב-1992, סעיף 8(א)

https://www.nevo.co.il/law_html/Law01/041_001.htm

8. Markup Version – Proposed Changes to the Standards – 1112 Chief Audit Executive Roles Beyond Internal Auditing

https://na.theiia.org/standards-guidance/Public%20Documents/2016-Standards-Exposure-Markup-English.pdf

9. חוק הביקורת הפנימית, תשנ"ב-1992, סעיף 4(ב)

https://www.nevo.co.il/law_html/Law01/041_001.htm

10. הביקורת הפנימית וניהול הסיכונים בארגון- דרור בר משה ואורי גלאור, עיונים בביקורת פנימית https://theiia.org.il/upload/articles/%D7%94%D7%91%D7%99%D7%A7%D7%95%D7%A8%D7%AA%20%D7%94%D7%A4%D7%A0%D7%99%D7%9E%D7%99%D7%AA%20%D7%95%D7%A0%D7%99%D7%94%D7%95%D7%9C%20%D7%94%D7%A1%D7%99%D7%9B%D7%95%D7%A0%D7%99%D7%9D%20%D7%91%D7%90%D7%A8%D7%92%D7%95%D7%9F-%20%D7%94%D7%99%D7%9B%D7%9F%20%D7%A2%D7%95%D7%91%D7%A8%20%D7%94%D7%92%D7%91%D7%95%D7%9C.pdf

[1] חוזר בנושא ניהול סיכונים בחברות הממשלתיות, יוני 2009 / חוזר 2006-1-14; משרד האוצר אגף שוק ההון, ביטוח וחיסכון "תפקידי אקטואר ממונה ומנהל סיכונים של מבטח, ומארג היחסים שלהם עם בעלי תפקידים אחרים", אוקטובר 2006

[2] Internal Auditing Role In Sections 302 And 404 Of The U.S Sarbanes-Oxley Act Of 2002

[3] Internal Control—Integrated Framework

[4] The 2013 COSO Framework & SOX Compliance.

Enterprise Risk Management – Aligning Risk with Strategy and Performance (Draft June 2016) [5]

[6] Enterprise Risk Management — Integrated Framework (September 2004)

[7] חוק הביקורת הפנימית, תשנ"ב-1992, סעיף 8(א)

[8] Markup Version – Proposed Changes to the Standards – 1112 Chief Audit Executive Roles Beyond Internal Auditing

[9] חוק הביקורת הפנימית, תשנ"ב-1992, סעיף 4(ב)

10 הביקורת הפנימית וניהול הסיכונים בארגון- דרור בר משה ואורי גלאור, עיונים בביקורת פנימית

The post ניהול סיכונים – תפקיד פונקצית ניהול הסיכונים ותפקיד הביקורת – COSO 2016 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ניצה רוגוז'ינסקי (המבקרת הפנימית של חברת החשמל, נכנסה לתפקיד במהלך 2014): הגעתי למקצוע באופן אקראי. בהשכלתי אני רואת חשבון. בשעתו, מקצוע הביקורת הפנימית לא היה חלק מלימודי ראיית חשבון. כשסיימתי את לימודיי,  הגעתי לריאיון עבודה בפירמה פאהן קנה. במהלך הריאיון, רו"ח יוסי גינוסר, שותף ואחראי על תחום הביקורת בפירמה, הלהיב אותי בתיאורו את מקצוע הביקורת הפנימית והפוטנציאל הגלום בו, מקצוע שאכן מאפשר להטביע חותם, להוסיף ערך ולהביא לשינויים משמעותיים חיוביים בארגון.

בהתבוננות לאחור ושחזור הריאיון איני יודעת האם הוקסמתי יותר מהמקצוע או מעצם העבודה עם יוסי. הוא סחף אותי.

לאחר תקופה בתחום הביקורת הפנימית במשרד פאהן קנה, החלטתי שאני חייבת להתנסות גם בביקורת חיצונית. החלטתי לעבור לפירמה דלויט, מכיוון שידעתי שאם אשאר בפאהן קנה, הפיתוי להמשיך בתחום הביקורת הפנימית יהיה גדול מדי.

לא צפיתי שגם בדלויט לא אצליח לעמוד בפיתוי, ואתמגנט חזרה לתחום הביקורת הפנימית, וזאת גם הודות לרו"ח דן הלפרן, שותף מנהל בפירמת דלויט, שניהל את תחום הביקורת הפנימית והניע אותי להשתלב בביקורת הפנימית בדלויט. דן הלפרן לא הרפה, ויש לו חלק מהותי בכך שהיום אני בתחום הזה.

בסופו של דבר, אנשים ואינטראקציה בין-אישית הם חלק משמעותי ממקצוע הביקורת, ולכן מדובר בתחום שמתאים לאנשים שאוהבים אנשים – דבר שאולי נשמע  מפתיע, כי מבקר פנימי עשוי להיתפס אחרת.

איריס תבל (המבקרת הפנימית של מכבי שירותי בריאות, נכנסה לתפקיד במהלך 2015): מגיל צעיר אני מאלה שאינם חוששים לומר את דעתם, גם אם זו דעת מיעוט, זאת בצד היכולת שלי ליצור יחסי אמון והערכה. תחילת הדרך סומנה עוד בתקופת ההתמחות שלי כרואת חשבון. מצאתי עניין רב יותר בניתוח תהליכים ארגוניים, בחקר נתונים, באלמנטים של חקירה וגילוי ובכתיבת דוחות ביקורת, מאשר במסלול של ביקורת על דוחות כספיים.

באופיי אני אדם סקרן מאוד, שיטתי, דעתן, יש לי הסתכלות ניהולית רחבה ויש בי רצון בלתי נדלה לתיקון דברים, להוצאת עיקר מטפל. אני נהנית מעצם המעורבות בכלל התהליכים הארגוניים, בקִרבה למוקד קבלת ההחלטות הארגוני.

במהלך הקריירה שלי עשיתי אתנחתא לטובת תפקידים ניהוליים ביצועיים, כולל תפקידי ניהול כספים בכירים. הניסיון שצברתי חידד את הצורך שלי בהבאת ערך לארגון כמבקרת הפנימית שלו, ותרם לצורת ההסתכלות שלי דרך "משקפי" המבוקרים.

אני מרגישה שבאמצעות הביקורת הפנימית יש לי הזדמנות להשפיע על הארגון לבחור בדרכים היעילות, האתיות והאפקטיביות ביותר להשגת היעדים שלו. בנוסף, אני אוהבת לכתוב, ולכן האפשרות לסכם בדוח כתוב את תהליך הביקורת המורכב, את הממצאים שעלו במהלכה ואת המלצותיה היא אתגר עבורי, ואני רואה בכך סוג של יצירה. היכולת להעביר מסרים בכתב, למצוא את הנוסח הנכון – הבהיר, הפשוט, הממוקד והמשכנע – הוא מבחן תוצאה שאני מאוד מתחברת אליו.

שאול דבי (המבקר הפנימי של התעשייה האווירית, נכנס לתפקיד במהלך 2015): הבחירה הראשונה שלי הייתה במשרד שבו התחלתי לעבוד עוד כסטודנט. משם זה כבר היסטוריה…

ד"ר עקיבא שטרנברג (ראש אגף הביקורת הפנימית, בנק אגוד לישראל, נכנס לתפקיד במהלך 2014): עד למינוי שלי כמבקר הפנימי, שימשתי במשך למעלה משבע שנים כמנהל הסיכונים הראשי של הבנק. במשך תקופה זו פונקציית מנהל הסיכונים הראשי התפתחה בצורה מהותית וקיבלה העצמה פנימית וחיצונית, וכן התפתחו מתודולוגיות ותהליכי עבודה שלא היו קיימים קודם לכן לצורך זיהוי, ניטור והערכת הסיכונים. לעומת זאת, בביקורת הפנימית לא חלה התפתחות מקבילה או מספקת בתחומים אלו. היה ברור שעל הפער הזה יהיה צורך לגשר.  לאור זאת, נראה לי טבעי שלאחר תפקידי הקודם אעבור לביקורת הפנימית.

2. כיצד מתמודדים עם תכנית ביקורת שנתית ורב-שנתית שעליה החליט המבקר הקודם?

שאול: עם כניסתי לתפקיד, ירשתי מטבע הדברים צוות ביקורת, תכניות עבודה שנתית ורב-שנתית ועבודות בתהליך. מובן שלא הכול אידיאלי.

את תכנית הביקורת השוטפת לשנה הנוכחית השארתי כפי שהיא, והתחלתי לעבוד על תכנית עבודה לשנה הבאה, המבוססת על התכנית הרב-שנתית הקיימת, סקר סיכונים שבוצע לאחרונה בחברה, פגישות עם הנהלת החברה, פגישות עם ועדת הביקורת וניסיונם של המבקרים.

עקיבא: עם כניסתי לתפקיד ביצעתי, יחד עם המנהלים והעובדים בביקורת הפנימית, תהליך רחב של בחינה מחודשת של מיפוי תהליכי הביקורת. התהליך התבסס אמנם על תכנית העבודה הרב-שנתית שהייתה קיימת בביקורת הפנימית, אך ביצענו עדכון נרחב מעבר למה שהיה קיים קודם לכן.

בחנו מחדש את המבנה הארגוני של הבנק תוך ירידה לפרטים לגבי תחומי האחריות בכל היחידות, במטה והסניפים, וביצענו הערכה של הסיכונים הגלומים בפעילויות השונות תוך התייחסות למגוון מקורות מידע המצביעים על סיכונים אלו.

התהליך אפשר לנו לבנות "עולם ביקורת" חדש, השם את הדגש על הסיכונים העומדים בפני הארגון, ובכך ממקד את עבודת הביקורת בתחומים החושפים את הבנק לסיכונים המהותיים.

פועל יוצא של התהליך היה עלייה באפקטיביות של עבודת הביקורת הפנימית בכך שהביקורת מפנה את עיקר תשומת הלב לסיכונים העומדים בליבת הפעילות.

ניצה: בעת כניסתי לתפקיד ביקשתי לקבל את תכניות העבודה וכן סטטוס מפורט של יישומן. מידע זה חיוני לצורך הבנת המצב הקיים ומיפויו, ובחינת  הצורך בתעדוף  מחדש של המשאבים והמטלות.

לתפיסתי, בחינת התכנית צריכה להיעשות באופן מתמשך, כחלק ממהלך העבודה השוטף, ושיפור צריך להיות תהליך מתמיד. אני פועלת באותו האופן הן לגבי תכניות שגובשו על ידי קודמיי והן לעניין תכניות שגובשו בתקופתי.

זאת ועוד, דיווח סטטוס תכנית עבודה נערך מול הממונה באופן שוטף, ולא רק אחת לשנה. בארגון גדול כמו הארגון שבו אני פועלת יש הרבה אי ודאות, והסביבה היא דינמית ורוויית שינויים. על כן, צריך לבחון את הצורך בהתאמות ותעדוף בשוטף.

איריס: אני מאלה המאמינים שעבודת מטה כזו היא הזדמנות והזמנה לראייה מחודשת של תהליכים, של תרבות ניהולית ושל ריענון. מאידך, דווקא כאשר מדובר בכניסה לתפקיד המבקר הפנימי של ארגון – אני רואה חשיבות בלימוד קפדני ואחראי של הנכסים שהשאיר אחריו המבקר היוצא ובכלל זה תכנית העבודה שלו.

התפיסה שלי היא שמבקר הנכנס במהלכה של שנת ביקורת יידרש להתאמות מוגבלות בלבד להמשך יישומה. התאמות ושינויים יידרשו כאשר, למשל, ישתנו נסיבות שיביאו לעדכונים בתכולת הסיכונים, בהסתברות למימושם או במידת הנזק שהם עלולים להסב לארגון.

כמבקרת הנכנסת לתפקיד עליי ללמוד עוד בטרם אתייחס לתכנית העבודה הקיימת  את מפת הארגון, את היעדים הארגוניים, את התהליכים והפעילויות העיקריים, את סביבת העבודה שבה הוא פועל, את סקר הסיכונים שעליו מבוססת תכנית העבודה הרב-שנתית והשנתית, את הפרוטוקולים של ישיבות הוועדה שליוו את אישורה, ומה בוצע מתוך תכנית העבודה, אילו נושאים נמצאים בתוך מהלך עבודת הביקורת, ולאילו נושאים טרם נכנס המבקר הקודם.

בצד כל אלה, עליי לבחון את האמצעים העומדים לרשותי לביצוע יתרת התכנית.

3. מה התכנית שלך לקידום הרמה המקצועית של העובדים?

שאול: ככלל, ברצוני לגבש צוות ביקורת ותכנית עבודה רב-שנתית שישקפו את צורכי החברה ואת פעילותה.

בעיניי, מחלקת הביקורת הפנימית צריכה להיות תמונת מראה קטנה של החברה, מחוזקת באלמנטים האופייניים לביקורת.

איריס: המושגים "מצוינות", "מקצועיות" ו"מקצוענות" הם מבחינתי תנאי הכרחי למערך ביקורת אפקטיבי בארגון. ידע הוא כוח בכל תחום, ובוודאי בתחום הביקורת הפנימית – בו אנחנו נדרשים לעמוד בקצב השינויים בעולם שבו מתנהל הארגון שעליו אנו מופקדים. לא פחות מזה, אנחנו נדרשים להכיר היטב את הכללים וההנחיות המקצועיות בעולם הביקורת הפנימית ולהישאר מעודכנים כל העת. בעולם הבריאות קיימות גם הנחיות קפדניות הנוגעות לשמירה על מקצועיות המבקרים, לתפקיד הדירקטוריון בכך, בדיקת איכות העבודה וביצוע הדרכות כנדרש.

בהתאם לכך, במהלך התקופה הקרובה לכניסתי אני מתכננת למסד בניית תכנית הכשרה והעשרה לעובדי מערך הביקורת, שתורכב מקורסים מקצועיים רלוונטיים בביקורת פנימית, בדגש על קורסים הניתנים במסגרת הסמכת CIA, כמו גם קורסים במיומנויות החשובות לתפקודם כמבקרים, כגון בנושאי תקשורת בין אישית, כתיבת דוחות, ניהול סיכונים, ניתוח נתונים ועוד. במסגרת ישיבות הצוות של המחלקה אנחנו מקדישים זמן ללמידה משותפת, להפקת לקחים, ולדיווח על תכנים מימי עיון ומכנסים מקצועיים. בנוסף, אני מעודדת הפצת חומר מקצועי ומאמרים מעולם הביקורת הפנימית בין עובדי המחלקה.

ניצה: עובדי יחידת הביקורת בחברת החשמל הם ברמה מקצועית ואישית גבוהה ביותר, ורובם ככולם בעלי תארים מתקדמים. חלקם אף הועסקו קודם לכן ביחידות אחרות של החברה או בחברות ובארגונים חיצוניים.

לשמחתי, חברת החשמל ידועה במיקוד הרב בהון האנושי, ולכן מתקיימות הכשרות, הדרכות, העצמת ידע, הקניית כלים והגברת מיומנויות של עובדים, הן במישור המקצועי והן במישורים נוספים, כגון מיומנות ניהול ועוד. בנוסף על הדרכות אלה, בניתי, בשיתוף צוות מחטיבת משאבי אנוש, תכנית הדרכות המותאמת ספציפית לצורכי עובדי הביקורת. התכנית, המשולבת כחלק מתכנית העבודה של הביקורת, כוללת 12 מפגשים בתחומים שונים (תקנים מקצועיים, ביקורת מערכות מידע, ניהול סיכונים, כתיבת דוחות, תשאול מבוקרים ועוד).

מעבר לכך, קידום הרמה המקצועית נעשה במישורי ההדרכה, כגון ישיבות שוטפות של הנהלת הביקורת עם עובדי היחידה, וישיבות תקופתיות של כל העובדים והנהלת הביקורת. בקרת איכות: הגדרת אבני דרך המחייבות עיון וסקירה של מנהלי הביקורת והמבקרת הפנימית, עיון צולב – במסגרתו דוחות ביקורת מהותיים מועברים לעיון נוסף של עובדי ביקורת שאינם מעורבים במטלה, והפצה שוטפת של דוחות הביקורת והבדיקה הסופיים לכל עובדי היחידה (למעט דוחות בעלי רגישות).

בתום דיוני ועדות הביקורת, בהתאם לצורך, אנו עורכים דיון והפקת לקחים באשר לנושאים שנידונו בוועדה ומהות הדיון שהתקיים לגביהם.

עקיבא: קידום הרמה המקצועית של העובדים בביקורת הפנימית נעשה בכמה דרכים ומישורים: במהלך התקופה האחרונה עסקנו בעדכון המתודולוגיות המשמשות לעבודת הביקורת הפנימית, שהתייחס, בין היתר, ל-COSO 2013, מיכון תהליכי עבודה, שיפור אופן הכנת מפרטי ביקורת, הכנת מיפוי סיכונים ועוד. תהליכים אלו בוצעו בשיתוף צוות המנהלים והעובדים, ובכך הביא להפנמה של תהליכי העבודה החדשים והעלאת הרמה והאפקטיביות של עבודת הביקורת.

בנוסף, יישמנו תהליך של בקרת איכות בתהליכי הביקורת. במסגרת זו, בסוף כל תהליך ביקורת מתבצע תהליך של "הפקת לקחים". מסקנות אלו מוצגות לכלל העובדים ובכך מביאים לשיפור מתמיד באיכות העבודה.

בנוסף, אחת לשנה אנו מבצעים מיפוי של צורכי ההדרכה של העובדים בביקורת הפנימית, המתבסס על תכנית העבודה הרב-שנתית תוך בחינת הכישורים והידע המקצועי הנדרשים מהמבקרים לצורך ביצוע עבודתם. על בסיס מיפוי זה, אנו מכינים ומיישמים תכנית הדרכה רב-שנתית לסגירת פערי ידע של צוות העובדים.

4. איזו פעולה הוכחה כחשובה ביותר בתהליך כניסתך לתפקיד (כגון קריאת דוחות ביקורת, שיחות עם מנהלים ועובדים בארגון, ועוד)?

עקיבא: הקשבה. קיימת חשיבות גבוהה להקשיב למגוון המעגלים הנוגעים לעבודת הביקורת. זה מתחיל מהעובדים בביקורת עצמה. יש להבין מה חשוב להם ואיך ניתן לעזור להם להשיג את היעדים של הביקורת.

מעבר לכך, צריך להקשיב להנהלה הבכירה ולהבין מהן התפוקות העיקריות החשובות להם מעבודת הביקורת.

נדרשת גם הקשבה לגורמים חיצוניים, בין אם מדובר בגורמים מפקחים ובין אם מדובר באנשי מקצוע שיש להם זוויות מבט נוספות על עבודת הביקורת הפנימית. 

ניצה: אין פעולה אחת שניתן להכתיר כחשובה ביותר. חובה לשלב בין כל הפעולות. כל פעולה היא תורמת ובעלת ערך מוסף.

שאול: בעיקר שיחות עם בעלי תפקידים בחברה בכל הרמות, ושיחות עם צוות הביקורת הפנימית.

איריס: זו שאלה מורכבת. הכניסה לתפקיד הצריכה למידה בכמה גזרות בו-בזמן.

בשונה ממבקרים חדשים אחרים, אני מכירה היטב ולאורך שנים את מכבי שירותי בריאות, את עולם הבריאות ואת רוב התהליכים ותחומי התוכן הנלווים להם, והדבר מקל על כניסתי לתפקיד. אני רואה בזה נכס שמקל עליי ומאפשר לי מיקוד אפקטיבי במשימה החשובה והקריטית ביותר, והיא עדכון סקר הסיכונים ובניית תכנית עבודה תלת שנתית. "על הדרך", אני מחדשת היכרות עם כלל מנהלי הארגון, כולל הצגת ה"אני מאמין" שלי כמבקרת, תוך דגש על עשייה משותפת למען אותה מטרה ארגונית. אני לומדת את הצוות שלי ומאפשרת הצגה של מתווה ביקורת חדש ומותאם יותר להשקפותיי בפני ועדת ביקורת ודירקטוריון הארגון. אציין עוד כי גם מפגשים עם עמיתים למקצוע בארגונים אחרים תרמו לי לא מעט בסלילת הדרך עם כניסתי לתפקיד – ואני רואה בהם חשיבות רבה.

5. איך מתמודדים עם פוליטיקה פנימית בארגון?

איריס: אין ארגון שבו אין פוליטיקה ארגונית. לא ניתן ולא נכון להתעלם ממנה, וצריך לבחון את השלכותיה הן על הארגון שבו אני פועלת והן על הפרטים הפועלים בתוכו. כמבקרת פנימית אני רואה בלמידה של טקטיקות ההשפעה, עמדות הכוח, הקואליציות הארגוניות וכן היררכיית העוצמה בארגון – כלי חשוב להערכת הסיכונים הארגוניים ועוצמתם.

מצד אחד המבקר הפנימי חייב לעמוד כל העת על משמר האובייקטיביות שלו – ומתוך כך להישמר שלא "ליפול" במלכודות הפוליטיקה הארגונית. מנגד, היכרות טובה עם הכוחות המניעים את הארגון תסייע לו להבחין מתי היא אינה לגיטימית ועלולה לפגוע בתרבות הארגונית ומתי היא כלי לגיטימי לקידום יעדים ארגוניים מסוימים.

ניצה: עשיית דברים ביושרה, במקצועיות, באובייקטיביות, בשקיפות ובהוגנות, וכמובן בהתאם להוראות הדין וסדרי מינהל תקינים זוהי ה-"פוליטיקה" של המבקר הפנימי, והפוליטיקה שלי.

לתפיסתי, קיומה של פוליטיקה ארגונית בפני עצמה אינה מהווה טעם לפגם והיא כורח המציאות. בכל ארגון יש כוחות שפועלים מעל פני השטח ומתחת לו.

עקיבא: האמת, מתעלמים. עבודה הביקורת הפנימית צריכה להיות חפה מפוליטיקה ארגונית. עם זאת, לא ניתן להתעלם מהמתחים שעלולים להיות בין הביקורת לבין הארגון.

כדי להתמודד עם חיכוך אפשרי זה, הגדרנו סוג של "אמנת שירות" בין הביקורת לבין ההנהלה. באמנה זו הגדרנו את הציפיות ההדדיות בין הביקורת לבין הארגון. חשוב להגדיר לא רק את מה שהביקורת מצפה מההנהלה, אלא גם מה שההנהלה יכולה לצפות מהביקורת. אנו פועלים על פי "אמנת השירות" הזו, ומצאנו כי כתוצאה מכך המתחים פחתו ורמת הקשב לביקורת עלתה, כמו גם האפקטיביות של העבודה שלנו.

6. איך לומדים את הרצונות של בעלי העניין (יו"ר הדירקטוריון, מנכ"ל, חברי ועדת הביקורת וכדומה)?

ניצה: סעיף 150 לחוק החברות מגדיר וקובע: "יו"ר הדירקטוריון ו/או יו"ר ועדת הביקורת רשאים להטיל על המבקר הפנימי לערוך ביקורת פנימית בנוסף על תכנית העבודה בעניינים שמתעורר צורך בבדיקה דחופה".

במהלך שנת העבודה מתקבלות בקשות יזומות לביצוע מטלות ביקורת ובדיקה, לעתים בקדימות למטלות אחרות, מצד יו"ר הדירקטוריון, יו"ר ועדת הביקורת, המנכ"ל, חברי הדירקטוריון והמבקר הפנימי. כל דרישה כאמור מקבלת ביטוי בתכנית העבודה של הביקורת, שמתעדכנת ומובאת לאישור ועדת הביקורת והדירקטוריון.

תכנית העבודה של הביקורת בחח"י כוללת מלכתחילה שעות עבודה שמוקצות לטובת מטלות מסוג זה, מה שמאפשר גמישות ויכולת התאמה.

איריס: אני מאמינה שזהו תהליך למידה, תהליך של ניסוי וטעייה. אתה לומד ויורד לעומקם של דברים בעבודה שיטתית – ביצירת יחסי אמון, במפגשים רשמיים ובשיחות בלתי אמצעיות.

עם כניסתי לתפקיד קיימתי כמה פגישות בארבע עיניים ובהרכבים שונים עם יו"ר הדירקטוריון, עם המנכ"ל ועם יו"ר ועדת ביקורת – פגישות שבהן הושם דגש על תיאום ציפיות, על תפיסתי את התפקיד, ועל יעדים שהצבתי לעצמי כמבקרת. הקשבתי קשב רב לנושאים שהם העלו ולדגשים שלהם, סימנתי לעצמי נקודות שיהיה עליי להתמודד איתן, שיתופי פעולה אפשריים, נושאים שארצה לערוך בהם שינויים, וכן מחלוקות אפשריות לעתיד לבוא.

בנוסף, אני מוזמנת דרך קבע, ברוב המקרים כמשקיפה, לדיוני הנהלה, לישיבות דירקטוריון, לישיבות ועדות דירקטוריון נבחרות  – וגם שם יש לי הזדמנות להקשיב, ללמוד על הלך המחשבה והרוח של בעלי העניין. 

שאול: לומדים אותם מתוך שיחות עמם (לא אחת או שתיים) וגם מתוך ניסוי וטעייה.
עם זאת, מנהל מנוסה, ובוודאי מבקר מנוסה, חייב לדעת "לנהל את מנהליו" ולהביא בפניהם את האלטרנטיבות הנכונות. 

עקיבא: מדו-שיח מתמשך. צריך להעלות את הנושאים על סדר היום ולדבר עליהם.  כאשר אנחנו נתקלים בקושי מסוים בביצוע משימות או בצורך בעדכון תהליכי עבודה או מתודולוגיות, אנחנו מציפים את הנושאים מראש בפני ועדת הביקורת או בפני יו"ר הדירקטוריון. כך מתקיים דיון ענייני שמוביל לפתרונות ולדרכי פעולה מוסכמות.  ככל שמתקיים דיון פתוח יותר, כך ניתן לוודא כי כל בעלי העניין משקפים את דעותיהם ומקבלים מענה לציפיות שלהם.

The post ריאיון מבקרים פנימיים חדשים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

1. חוק סרביינס אוקסלי בארה"ב יצר מצב שבו במקביל לעבודת המבקר הפנימי נבדק מערך הבקרה של חלק מהותי מפעילות הארגון באופן שנתי. לצורך יישום חוק זה, החברות נדרשו לאמץ מתודולוגיית בקרה, כאשר רובן המוחלט בחרו במודל COSO. בחיבור מסמך COSO השתתף גם ה-IIA שמאוחר יותר גם אימץ את המודל.
2. התגברות הרגולציה גרמה למבקר להפנות משאבי ביקורת ניכרים לבדיקת ציות הארגון לחוקים ותקנות.
3. המבקר, שהיה בעבר הגורם הפנימי היחיד כמעט שבדק את מערך הבקרה בארגון, משתף עתה אחריות זו עם נושאי משרה נוספים, כגון מנהל הסיכונים הראשי, האחראי על האכיפה והאחראי על ה-SOX. תכנית עבודת המבקר הפנימי מושפעת מתכנית עבודתם של נושאי משרה אלו ותוצאות בדיקותיהם.
4. מערכות המידע תופסות משקל רב יותר ויותר בפעילותם של ארגונים. כתוצאה מכך עולה משקלם של סיכונים טכנולוגיים כגון סייבר, אבטחת מידע במכשירים סלולריים, פרטיות המידע ועוד. המבקרים נדרשו כתוצאה מכך לשנות את הרכב צוות הביקורת לטובת מבקרי מערכות מידע, ולהקצות משאבים לבדיקת הסיכונים שמשקלם עלה.
5. כתוצאה מתביעות משפטיות נגד דירקטורים, גברה המודעות לחשיבות ניהול הסיכונים בארגון, אפקטיביות מערכות בקרה, והתובנה כי המבקר הפנימי הוא כלי חשוב בידי הדירקטוריון. שינוי חיובי זה העצים את המבקר הפנימי ואת מקומו בארגון. עם זאת, הוא גם העמיד מבקרים פנימיים תחת זכוכית מגדלת של הנהלות ודירקטוריונים.

כתוצאה משינויים אלו ואחרים, מקצוע הביקורת הפנימית השתנה משמעותית בעשור האחרון. לכן מעניין לבדוק לאן פניו מועדות. לצורך כך, נעזרנו בכמה סקרים רחבי היקף שנערכו בשנתיים האחרונות, ובהם נשאלו מבקרים פנימיים ראשיים מגוון שאלות הנוגעות למגמות במקצוע.

במאמר זה נעשה שימוש בכמה סקרים בינלאומיים ובסקר ישראלי, כמפורט בפרק המקורות בסוף הדוח.

1. סיכונים שבהם תתמקד תכנית עבודת הביקורת

בסקר שבוצע על ידי ה- ,‎ (1)IIAנשאלו מבקרי הפנים באילו נושאים הם עתידים לשים דגש בשנים הקרובות. התשובות התחלקו כדלקמן:

• תפעוליים – 28%
• פיננסיים – 21%
• ציות – 14%
• SOX – 12%
• מערכות מידע – 9%
• ניהול סיכונים – 7%
• הונאות ומעילות – 5%
• אסטרטגיה – 5%
• אחר – 11%

מהרשימה לעיל עולה המשקל המשמעותי שנותנים מבקרים לתחומי פעילות שהושפעו מהרגולציה בנושא ממשל תאגידי: SOX, ציות, ואולי גם פיננסי.

בסקר דומה שבוצע על ידי הרשת הבינלאומית Grant Thornton (2), נשאלו מבקרי פנים מהם "תחומי הסיכון" בארגונך שעלולים לפגוע בצמיחתו. להלן טבלה המציגה את תוצאות הסקר:

מהאמור לעיל עולה כי נושאי מחשוב הם מקור לדאגה ל-CAE (מבקרים פנימיים ראשיים) ומהווים גורמי סיכון מרכזיים. פרטיות מידע ואבטחת מידע הוגדרו כגורם סיכון מס' 1 לצמיחת הארגון, ובסך הכול 5 מתוך 11 הסיכונים שהועלו הם סיכוני IT.

כמו כן נשאלה השאלה, אילו תחומי סיכון כלולים בתכנית הביקורת הפנימית שלך? להלן תשובות מבקרי הפנים כפי שפורסמו בסקר:

סיכוני IT בולטים ברשימת הסיכונים שבהם מתמקדים המבקרים. נושא מחשוב ענן, גיבויים ושחזורים, מדיה חברתית ואבטחת המידע, עתידים לתפוס נפח משמעותי מהביקורות בשנים הקרובות. הדבר מראה על מיקוד הביקורות בסיכונים טכנולוגיים שמטרידים את ההנהלה.

עם זאת, הנושאים ה"חמים" ביותר הם עדיין רגולציה ומניעת מעילות (שני נושאים אלו קשורים זה בזה, מכיוון שהרגולציה של SOX ומודל COSO 2013 דורשים מנגנון אפקטיבי למניעת מעילות בחברות). נושאים "חמים" נוספים הם ביקורת צד ג' (ראה דיון מורחב בהמשך) ואבטחה ופרטיות מידע.

2. אילו כישורים יידרשו ממבקרי המחר?

כדי לממש את מיקודי הביקורת העתידיים, יש לבצע גם שינוי בכישורי צוותי מבקרי הפנים. האם ההשכלה והניסיון הנדרשים כיום ממבקרי הפנים לא יהיו רלוונטיים בעוד שנים ספורות? שני סקרים, אחד של ה-IIA (1) והשני של המבקר הפנימי של אל-על (3), מנסים לענות על שאלה זאת.

בסקר ה-IIA דירגו מבקרי הפנים את הכישורים הנדרשים על פי סדר חשיבות. להלן תוצאות הסקר, המוצגות לפי בסיס של 100%:

בסקר המבקר הפנימי של אל-על (3), נמצא כי כישורי ומיומנות צוות הביקורת הנדרשת היא כדלקמן:

• רואי חשבון, עורכי דין ובעלי תואר במנהל עסקים ממשיכים להוות את הבסיס ליחידות הביקורת. עם זאת, ניכר כי השכלות ומקצועות נוספים מתווספים ליחידות הביקורת.
• בכ-60% מצוותי הביקורת קיים מבקר מערכות מידע שהוא חלק מהצוות.
• 80% מצוותי הביקורת נעזרים בכלי ביקורת ממוחשבים. שלושת הכלים השכיחים ביותר הם – ACL, IDEA ו-BO.

מהאמור לעיל עולה כי קבוצת הכישורים שהיו חיוניים תמיד למבקרים פנימיים, כגון כושר ניתוח, תקשורת בינאישית, הבנה עסקית והבנת הענף, ממשיכים להוות את הכישורים המרכזיים הנדרשים ממבקרי העתיד. עם זאת, כיום נדרשים המבקרים גם לכישורים חדשים ופחות מוכרים: כריית מידע (שחשובה לצורך שימוש בכלי ביקורת ממוחשבים עבור שליפת מידע החשוב לביקורת ממערכות מידע מרובות נתונים) ידע חשבונאי (שחשיבותו עלתה כתוצאה מהצורך לסייע בבדיקת ה-SOX), וביקורת חקירתית (שכאמור נדרשת הן כתוצאה מה-SOX והן מכיוון שהנהלות כיום מעוניינות למנוע מעילות, ומשקיעות משאבים בתחום חדש זה).

3. המבקר הפנימי וניהול סיכונים כולל

3.1 בשלות ניהול הסיכונים בארגון

בסקר 2015 של ה-IIA (4), נבדקה מערכת היחסים בין המבקר הפנימי לבין מערך ניהול הסיכונים הכולל בארגון. כאשר נדרשו מבקרי הפנים לתאר את "בגרות" תהליך ניהול הסיכונים של הארגונים שבהם הם עובדים, ענו 37% מהם כי ניהול הסיכונים בארגונם אינו רשמי, או לחילופין, מתפתח. 29% ענו כי הארגון מחזיק בתהליך ניהול סיכונים "פורמלי" ובנהלים רלוונטיים, ואילו 24% ענו כי ארגונם מחזיק במערך ניהול סיכונים מקיף הכולל מנהל סיכונים ייעודי. 10% הנותרים הצהירו כי ארגונם אינו מחזיק בתהליך פורמלי או לא פורמלי של ניהול סיכונים.

בהכללה ניתן לומר כי למחצית מהחברות אין תכנית ניהול סיכונים או שהתכנית אינה פורמלית, ולמחצית החברות קיימת תכנית פורמלית.

כאשר נבקש לבחון את ציפיות הדירקטוריון וההנהלה ביחס למבקר הפנים בהקשר של הבאת ערך מוסף, התחום המוביל הוא תחזוקת הסיכונים של הארגון. כך נקבע בסקר שנערך על ידיGrant Thornton (2). נושאים נוספים שעלו בסקר הם: זיהוי של הזדמנויות לשיפור תהליכים, חיזוק של הממשל התאגידי, הגברת היעילות של הארגון ועוד.

מבקרי הפנים נשאלו באיזה נושא הדירקטוריון וההנהלה מבקשים מהם לספק ערך מוסף, התשובה הברורה הייתה "הפחתת סיכונים". להלן הרשימה המלאה של התחומים הנפוצים ביותר שבהם  מתבקש מבקר הפנים על ידי הדירקטוריון וההנהלה לספק ערך מוסף, על פי סדר חשיבותם:

3.2 חוות דעת על סיכונים

47% ממבקרי הפנים והמנהלים שענו על הסקר מספקים חוות דעת על סיכונים ספציפיים, 46% מספקים חוות דעת על תהליך ניהול סיכונים בכללו, ו-56% מהם מספקים ייעוץ בנושאים הרלוונטיים לניהול סיכונים.

3.3 ביקורת פנימית וניהול סיכונים כולל (ERM)

המשיבים על הסקר דיווחו גם על קשר בין הביקורת פנימית ותהליך ניהול הסיכונים בארגונם. 12% ממבקרי הפנים דיווחו כי ביקורת פנימית ותהליך ניהול הסיכונים בארגונם הם פונקציות נפרדות ללא כל אינטראקציה. 66% נוספים דיווחו כי למרות היותם פונקציות נפרדות, הביקורת הפנימית ותהליך ניהול הסיכונים הם בעלי מכנה משותף ונעזרים זה בזה בהקשר של תיאום ושיתוף ידע. 15% ממבקרי הפנים ציינו כי המבקר הפנימי אחראי גם על ניהול הסיכונים בארגון, ו-7% אמרו כי המבקר הפנימי אחראי גם על ניהול הסיכונים, אך קיימת כוונה להעביר את האחריות על ניהול הסיכונים לגורם אחר.

עצמאות ואובייקטיביות של אותם 22% מהמבקרים שדיווחו כי הם כיום אחראים על ניהול הסיכונים בארגונם, ימנעו מהם לבצע ביקורת בנושא, שכן ביקורת פנימית לא יכולה לבקר תהליכים שעליהם היא אחראית.

מהאמור לעיל עולה כי למבקר הפנימי רמת מעורבות גבוהה בתחום ניהול הסיכונים בחברות, תחום שמתפתח ומתעצב כל העת. כמחצית מהמבקרים בודקים את ניהול הסיכונים בארגון, וכמחצית גם מייעצים להנהלה בתחום זה. רק במקרים מעטים מחלקת הביקורת הפנימית ומחלקת ניהול הסיכונים אינן מְתקשרות ביניהן. ברוב המקרים האינטראקציה רבה, עד כדי מצב לא רצוי שבו המבקר הפנימי עצמו הוא מנהל הסיכונים הראשי. עם זאת, נראה כי זהו מצב ביניים, וככל שתחום ניהול הסיכונים מקבל הכרה בארגונים, כך גם האחריות עליו עוברת מהמבקר הפנימי לגורם ייעודי. נראה כי בשנים הבאות נראה יותר ויותר יחסי גומלין מורכבים בין שתי מחלקות חזקות ועצמאיות: ביקורת פנימית וניהול סיכונים. שתי המחלקות מטפלות בסיכונים, משתמשות בבסיס נתונים משותף, מחליפות ידע ביניהן, מתאמות תכניות עבודה ומחליפות תוצרים.

4. עדכניות תכניות העבודה וסקרי סיכונים

בסקר שערך ה-IIA (4) נבדקה עדכניות כלי העבודה שבהם מסתייע המבקר הפנימי, ולהלן התוצאות:

• בהקשר של עדכון סקר הסיכונים בצורה שוטפת, כלומר סקר סיכונים מתמשך, רק 23% ממבקרי הפנים ענו כי הם מיישמים שיטה זו של סקר סיכונים. 36% נוספים מסרו כי נערך סקר סיכונים שנתי עם עדכונים תקופתיים. 32% מסרו כי נערך סקר סיכונים שנתי ללא עדכונים פורמליים. 9% מסרו כי סקר הסיכונים אינו מתעדכן.
• בנוגע לתכנית הביקורת של המבקר הפנימי, המצב טוב יותר. הרוב המוחלט של מבקרי הפנים ענו כי תכנית הביקורת מתעדכנת לפחות פעם או פעמיים בשנה. כלומר, תכניות הביקורת גמישות ומתאימות את עצמן לשינויים. למרות האמור לעיל, רק 16% ממבקרי הפנים הצהירו כי יש להם את היכולת להגיב, בתכנית הביקורת, לסיכונים המתגלים "מעכשיו לעכשיו".

אם בעבר סקר הסיכונים היה מתעדכן אחת למספר שנים, ותכנית העבודה הייתה נקבעת אחת לשנה ולעתים רחוקות מתעדכנת במהלכה, מהסקר עולה כי קצב השינויים כיום דורש עדכון מהיר יותר וגמישות רבה בתקציבים ובתכניות העבודה.

5. דיווחים והעברת מידע לאורגנים בחברה

בסקר שערך ה-IIA (4) נבדקה מעורבות המבקר הפנימי במתודולוגיות דיווח חדשניות.

5.1Combined Assurance

גורמים שונים בארגון מספקים חוות דעת להנהלה. אמנם חוות הדעת שמספק המבקר הפנימי היא מהיותר אובייקטיביות שבהן, אולם חוות הדעת שמספקים גורמים אחרים כגון רואה החשבון המבקר, בקרי איכות, מנהל הסיכונים, יועצים סביבתיים, בקרי בטיחות, ממונה האכיפה הפנימית, מבקר המדינה וגורמי ביקורת ממשלתיים אחרים, אינן פחות חשובות להנהלה.

נוצר מצב שבו ההנהלה מקבלת דוחות חוות דעת מגורמים שונים שיש ביניהם חפיפה, ולעתים הם אף סותרים אחד את השני. מתודולוגיית King III פותחה כדי לתת מענה לבעיה זו.

להלן תרשים המתאר את המתודולוגיה:

מבקרי פנים ומנהלים נשאלו האם בארגוניהם מיושם מודל רשמי של Combined Assurance. 49% דיווחו כי המודל יושם או מתוכנן להיות מיושם בעתיד. 26% דיווחו כי הם לא מתכננים לאמץ מודל זה, ו-25% הנותרים ציינו כי הם כלל לא מכירים את המודל.

ראוי לציין כי 57% ממבקרי הפנים ומהמנהלים דיווחו גם כי אחד מתפקידי הביקורת הפנימית הוא לפרסם חוות דעת משולבת מסוג זה.

למרות האמור לעיל, כאשר משלבים חוות דעת של גורמים שונים, יש לזכור שחוות דעת שניתנה על ידי ההנהלה של הארגון אינה דומה לחוות דעת שניתנה על ידי גורם מבקר אחר, פנימי או חיצוני, אשר להם דרגת עצמאות ואובייקטיביות שונה.

5.2 דיווח משולב (integrated reporting)

כאמור, מגמות הניהול העכשוויות נוטות להיעזר בדיווח המשלב תוצאות מכמה דוחות כדי לשקף את ערך הארגון בצורה הטובה ביותר. שיטה נוספת הנותנת מענה לצורך זה נקראת "דיווח משולב". מדובר במסמך תמציתי המתאר כיצד ארגון מתכנן ליצור ערך בטווח הבינוני, בטווח הקצר ובטווח הארוך.

פעמים רבות מתבקשים המבקרים הפנימיים לסייע בהכנת הדיווח המשולב. להלן תרשים המתאר את יחסי הגומלין בין סוגי הדיווחים במסגרת דיווח משולב:

מסקר ה-IIA (4) עולה כי 30% ממבקרי הפנים והמנהלים הצהירו כי חברתם מתכננת לפרסם דוח משולב עוד השנה או בעתיד הקרוב. הגשת דוח זה עומדת להיות מטלה נוספת שבטיפול המבקר הפנימי.

5.3 דוח קיימות  ((sustainability report

דוח קיימות כולל מידע על ההשפעות הכלכליות, הסביבתיות והחברתיות שנגרמו על ידי פעילותו היומיומית של הארגון. בנוסף, דוח קיימות מציג את מודל הערכים והממשל של הארגון, ומראה את הקשר בין האסטרטגיה ובין מחויבות הארגון לכלכלה עולמית בת-קיימא.

בסקר שערך ה-IIA בקרב מבקרי פנים ראשיים (4), כמעט מחציתם מסרו כי ארגונם עתיד לפרסם דוח קיימות השנה או בזמן הקרוב.

לסיכום, ניתן לומר כי עם עצמאות ארגונית מתאימה ועם הבנה עמוקה של הארגון שבה הוא פועל, המבקר הפנימי יכול להגדיל את אמינותו של הדיווח המשולב. הדבר נכון באותה מידה גם לגבי דוחות קיימות.

6. בדיקה אחת למספר מטרות (One-to-many approach)

הרעיון ב- One-to-many approach  הוא שניתן להשתמש בטסטים שעורך המ"פ לצורך מטרות נוספות  מלבד ביקורת פנימית. מדובר בבדיקות שאינן מפרות את אי-תלות המבקר ותפקידן לחוות דעה, כגון ביצוע בדיקת אפקטיביות הבקרות במסגרת פרויקט ה- SOX,  בדיקות ציות לחוקים במסגרת עמידה בתכנית אכיפה וכו'. מדובר במשימות שמבקרים פנימיים לוקחים על עצמם, מעבר לתוכנית עבודתם בחברות רבות ברחבי העולם. בחברות בהן המבקר הפנימי אינו מבצע פעולות אלו, וברצונו להגדיל את הערך שהוא מביא להנהלת החברה, ביכולתו להציע שאותן בדיקות ירוכזו בידיו, תוך כדי חיסכון במשאבים.

בסקר הנ"ל (2) 92% ,מהמשיבים מאמינים כי הם יכולים ליישם את עקרון One-to-many לעד כ- 50% מבדיקות שנמצאות בשליטתם.

7. שימוש בכלי Data analytics כדי לחסוך במשאבים ולבצע ביקורת יעילה יותר

Data analytics הוא שם כולל לניתוח והסקת מסקנות מנתוני בסיסי מידע גדולים. ככל שגדלים בסיסי המידע בחברות, נדרשים כלים חזקים יותר כדי לשלוף את המידע, לנתח אותו ולהסיק מסקנות שבהן ניתן להשתמש בעבודת הביקורת.

בסקר הנ"ל (2) דיווחו 60% ממבקרי הפנים כי הם נעזרים בכלים ממוחשבים לצורך ניתוח נתונים, וכפועל יוצא מכך לשיפור תפוקות הביקורת.

לשאלה: האם אתה נעזר בכלים ממוחשבים לניתוח נתונים לצרכים נוספים? ענו מבקרי הפנים כדלקמן:

מתשובות CAE לסקר, עולה כי הערכת ביצועי יחידות ארגוניות וביקורת חקירתית הן שני היישומים המובילים, מלבד ביקורת פנימית, ביישומי דטה אנליטיקס.

לשאלה, מהן שלוש התועלות המשמעותיות ביותר בשימוש בכלים ממוחשבים לניתוח נתונים? ענו מבקרי הפנים כדלקמן:

• ביקורת פנים יעילה יותר.
• זיהוי מהיר של דפוסים, מגמות ויחסים.
• כיסוי גדול יותר של הארגון על ידי הביקורת הפנימית.

מבקר הפנים של אל על ערך סקר (3) שבדק שימוש בכלי ביקורת ממוחשבים לצורך שליפת נתונים. נמצא כי כ-80% מצוותי הביקורת נעזרים בכלים כאלו בביצוע הביקורת.

ככל שיגדלו בסיסי הנתונים בחברות, לא יוכלו המבקרים להסתמך על ביצוע מדגמים ידניים. גם שימוש בכלי תוכנה הפופולריים כיום בקרב מבקרים, כגון IDEA ו-ACL, עלולים להתגלות כלא חזקים מספיק. כלי data analytics מצויים כיום בשימוש מחלקות אחרות בארגונים רבים (כגון תוכנת ClickView), ועל המבקר ללמוד להסתייע בהם, הן כדי לבצע ביקורת מתמשכת  (continuous auditing) והן כדי לבצע ביקורות סטנדרטיות.

8. ביקורת צד ג' ((Third-party testing

המדובר בסיכונים הנובעים מנותני שירותים לארגון, בעיקר בנושאי אבטחת מידע, כתוצאה מהתחברות גורמים אלו למערכות המידע של הפירמה, לצורך מתן השירותים. לדוגמה, ארגון המשתמש בחברה חיצונית למיקור חוץ, שירותי help desk או שירות לקוחות, נחשף לסיכונים שבגישה מרחוק של מערכות הספק למערכות הארגון.

כשנשאלו מבקרי הפנים האם יש לצדדים שלישיים את הפוטנציאל להשפיע על הצמיחה של הארגון שלהם, 22% מהנשאלים בסקר אמרו שצדדים שלישיים הם הסיכון הגדול ביותר לארגון שבו הם עובדים, עלייה גדולה מ-14% שהשיבו כך בשנה שעברה.

כאשר נשאלו מה הארגון עושה כדי לצמצם סיכונים אלה, ענו 70% ממשתתפי הסקר כי נעשית בדיקת נאותות לפני כניסה למערכת יחסים עסקיות עם צד שלישי. 64% מסרו כי הארגון מבקש בדיקת נאותות של צד ג' על מערך הבקרה של הספק (כגון SOC 1). 63% מסרו כי הארגון עומד על הכללת סעיף בהסכם המאפשר לו ביצוע ביקורת בעתיד במערכות הספק. 55% מסרו כי הם מבצעים ביקורת בו מושווים הביצועים בפועל מול התחייבויות הספק בהסכם.

תחום מיקור החוץ מתגבר והולך, כתוצאה ממגמה של חברות להתמקד בפעילויות הליבה שלהן (כגון שיווק וקשרי לקוחות), ולהעביר למיקור חוץ תהליכים שאין לחברה יתרון יחסי בהם (כגון שירות לקוחות, מחלקת מסים, הנהלת חשבונות, מחלקת IT ועוד). המבקר הפנימי אמור לבדוק סיכונים מסחריים בפעילותם של נותני שירותים אלו לארגון (למשל: האם השירותים שניתנו הם בהתאם להסכם שנחתם עמם?) סיכונים תפעוליים (האם לספק יש את הבקרות הנאותות כדי למנוע טעויות ומעילות?) וסיכונים למערכות הארגון כתוצאה מההתקשרות עם הספק (לדוגמה: האם יש בקרות למניעת חדירת האקרים למערכות המידע של הארגון דרך חיבורי הגישה מרחוק של מערכות הספק?). נראה כי על מבקרים פנימיים יהיה לפתח מיומנות בתחום ביקורת זה, ככל ששיעור מיקור החוץ יגדל.

סיכום

מטרת הביקורת הפנימית היא לבדוק התממשותם של סיכונים המסכנים את השגת מטרות הארגון. כתוצאה משינויים תכופים בסביבה העסקית, משתנה מערך הסיכונים של החברות באופן תדיר. בנסיבות כאלו, אין המבקר יכול עוד להסתמך על סקר סיכונים שנערך לפני כמה שנים וטרם עודכן מאז ועל תכנית עבודה קשיחה. עליו להתאים את עצמו לסביבה העסקית המשתנה ולחזק את כישוריו בתחומים כגון data analytics, ביקורות צד ג' , ציות, חשבונאות וניהול סיכונים כולל. המבקר הסטנדרטי רגיל היה להיות אחד מגורמי הביקורת היחידים בארגון. לא עוד, המבקר נדרש לתאם ולתזמן את עבודתו עם גורמי בקרה וביקורת שונים בארגון, כגון רואה החשבון החיצוני האחראי על האכיפה הפנימית, מנהל הסיכונים הראשי האחראי על ה-SOX ועוד. יותר מזה, עליו לתת מענה לדרישות גוברות והולכות מצד ההנהלה לקבלת דוח ביקורת אחד המתואם בין גורמי הביקורת והבקרה השונים, באמצעות מתודולוגיות דווח חדשניות, כגון integrated auditing  ו- combined assurance.

אולי קצת אירוני שהמבקר הפנימי שהוא המטיף הראשי לשינוי בארגונים, הוא זה שנדרש עתה לבצע שינויים בהיערכותו, במהירות שלא תפחת ממהירות השינויים העוברים על מבוקריו. זהו מבחן מעניין שתוצאותיו ייתנו מענה לשאלה האם המבקר יישאר כלי ניהולי מוביל ועוצמתי עבור ההנהלה או לא.

מקורות

1. "The Pulse of the Profession, a look ahead at 2013 " by The IIA’s Audit Executive Center, (2013)
2. "Adding internal audit value: Strategically leveraging compliance activities", Grant Thornton (2014)
3. "הביקורת הפנימית בארגונים גדולים בישראל" אוקטובר 13, באדיבות יח' הביקורת של אל על נתיבי אוויר לישראל.
4. PULSE OF INTERNAL AUDIT", IIA (2015)"
5. The Grant Thornton Corporate General Counsel Survey is available at www.grantthornton.com/CGCSurvey.

The post מגמות עתידיות בביקורת הפנימית – בדגש לביקורת ממוקדת סיכונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתום שנה לכהונתך, האם תוכל לסקור את היעדים המרכזיים שהשקעת בהם עד כה ולסמן את יעדיך להמשך הדרך?

בשנה החולפת התמקדתי בלהחזיר את הביקורת הפנימית לחזית הבמה הציבורית והמקצועית. מטרתי הייתה הגברת היכרות הציבור עם ארגון IIA והשבת ההכרה הבינלאומית לאיגוד הישראלי, ואכן התקבלנו חזרה כחברים בארגון ה-IIA העולמי ובשלוחה האירופית. חשוב לא פחות: שיפור הקשר של האיגוד עם מבקרים פנימיים במגזרי המשק השונים: משרדי ממשלה, בנקים, רשויות מקומיות, גופים פיננסיים אחרים, חברות ממשלתיות, תאגידים סטטוטוריים ואחרים. ראיתי לנכון לחזק גם את הקשר למוסדות השלטון – לרגולטורים בישראל, וכן לפעול לשיווק תקשורתי של הביקורת הפנימית ושל איגוד המבקרים. משימה חשובה הייתה ועדיין – חיזוק מעמד המבקר הפנימי בשירות הציבורי ובחברות הציבוריות.

באשר ליעדים לעתיד: אנו פועלים לחיזוק הביקורת הפנימית כמקצוע אקדמי. פעלנו ליצירת מסלול של לימודי מינהל עסקים במסלול ביקורת פנימית בקריה האקדמית אונו, ואנו פועלים ליצירת קשר עם גופים אקדמיים נוספים. השאיפה והדגש שלנו הם לקשור את מקצוע הביקורת הפנימית עם מסלולי מינהל עסקים, כלכלה ומינהל ציבורי; אלה המסלולים הראויים.

מישור חשוב אחר: פעולות לשיפור השקיפות וטוהר המידות בחברה הישראלית, והעמדת הביקורת הפנימית והמבקר הפנימי במרכז ההוויה הזו. על העומד בראש הארגון להעביר מסר לארגון כולו של חובת שקיפות ודוגמה אישית. תרבות ארגונית טובה ודוגמה אישית מתחילות בצמרת. על המבקרים הפנימיים לבדוק זאת.

היקף תעסוקה: אנו ערים לבעיית היקפי השעות המועטות שארגונים מסוימים מקצים למשימות ביקורת פנימית. כאן המקום להדגיש: הבעיה היא מערכתית והיא בראש ובראשונה במגרשו של הרגולטור שחייב לטפל בכך, תוך הפעלת מנופים וכלים רגולטוריים להסדרה. גם אם הרגולטור טרם מיצה את כליו בנידון, על ועדות הביקורת לעשות זאת, מכיוון שהן אמונות על הבטחת הכלים למבקר הפנימי למיצוי תפקידו. ולבסוף, גם האיגוד אינו פטור מעשייה בנידון. תפקידו הוא לסייע לרגולטור ואף להמריץ אותו לקבוע קווים מנחים להיקף השעות הראוי.

 פעילות האיגוד במגזרי הביקורת הפנימית

תוכל לתאר את פעולותיך ואת פעולות האיגוד לקידום הביקורת הפנימית במגזרים פרטניים כגון משרדי הממשלה, השלטון המקומי, תאגידים ציבוריים-סטטוטוריים וצה"ל?

כולנו ערים לבעייתיות של הביקורת הפנימית במשרדי הממשלה. קיימת חולשה מהותית של הביקורת הפנימית ברבים ממשרדי הממשלה מכיוון שאין למבקר גוף תומך, דמוי ועדת ביקורת בחברות ובתאגידים, ולכן הוא נמצא במצב בלתי סביר של תלות בהנהלת המשרד הממשלתי ויש לו בעיות של תקציב, דרגה ושכר ראוי. הוקמה ועדה בראשות רוני פרידמן שריכזה המלצות מקיפות וראויות וכעת הגיע הזמן ליישום ולחקיקה. יש כבר הסכמה והבנה על דרכי הפעולה, ועתה על הרגולטורים – משרד המשפטים ונציבות שירות המדינה, לפעול נמרצות לקידום תיקוני חקיקה ראשית, תקנות והנחיות. הדבר הוא בר ביצוע והמבחן הוא בביצוע.

באשר לביקורת ברשויות המקומיות – תמונת המצב מורכבת יותר, מעמד המבקר והמשאבים העומדים לרשותו מושפעים מאופי הרשות והעומדים בראשה. הנהלת משרד הפנים ערה לכך ופועלת גם במישור ההשבחה וההדרכה המקצועית של המבקרים הפנימיים בשלטון המקומי. הנהלת משרד הפנים אף ביקשה מהאיגוד נייר עמדה באשר לביקורת הפנימית בשלטון המקומי. לשם כך אנו פועלים יחד עם איגוד מבקרי הרשויות המקומיות ואני צופה להתקדמות בנידון.

באשר לקידום מעמד המבקר הפנימי בתאגידים הציבוריים – יש תזכיר חוק התאגידים הציבוריים, אך עדיין לפנינו דרך חתחתים ומכשולים רבים.

באשר לביקורת בצה"ל – לאחר שנות המתנה רבות בציפייה להסדרה, מוסד מבקר צה"ל יצא לדרך ואני ער לעשייה הרבה והמקצועית אצל מבקר צה"ל. ברכותיי לעוסקים במלאכת קודש זאת, ואנו כאיגוד מברכים על העשייה.

במבט כללי – איגוד המבקרים עוקב אחר העשייה והקשיים במגזרי ביקורת פנימית אלה ואחרים. האיגוד פועל בכמה ערוצים, ובמיוחד ביצירת קשר עם הרגולטורים ועם מבקר המדינה, כדי להשפיע, לייצר דעה ולקדם פתרונות. כאן המקום גם לציין כי הקשר של האיגוד עם הארגון העולמי IIA מסייע לנו לקידום מטרות אלה.

סוגיות של הדרכה והשבחת מקצוע הביקורת הפנימית

לפי דעתך, כיצד יש לשפר את הידע המקצועי של המבקרים הפנימיים?

מקצוע הביקורת נמצא בהתחדשות קונספטואלית וטכנולוגית מהירה. על המבקרים להשתלם ולהתעדכן כל הזמן, ותפקידו של האיגוד לסייע להם בכך. גם הרגולטור צריך לתת דעתו לחשיבות המקצועיות והעדכון, שלא לדבר על הדירקטורים וועדות הביקורת שידרבנו את המבקרים הפנימיים להשתלם. האיגוד מסייע למבקרים בשיפור בסיס הידע שלהם באמצעות ייזום לימודים אקדמיים, הסמכות בינלאומיות, ימי עיון והשתלמויות רבות. לבסוף, על כל מבקר פנימי לעקוב אחר ההתפתחויות במקצוע בארץ ובחו"ל, אם דרך ספרות מקצועית וביטאון ה-IIA ואם דרך כתב העת החדש שמוציא כעת האיגוד, ועליו אני מברך. אני משוכנע שכתב עת זה, על המאמרים המעמיקים והמגוונים שבו, ישיא תרומה נכבדת לקידום הביקורת הפנימית בישראל.

The post ריאיון עם דורון כהן, נשיא IIA ישראל – איגוד מבקרים פנימיים בישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.