על הספר "סוכן שינוי: המבקר הפנימי בעידן של שיבושים"

מאת ריצ'רד צ'יימברס (עם רוברט פרז)

בהוצאת IIA Foundation (2021)

ריצ'רד צ'יימברס מכה שנית

מבקרים פנימיים כבר לא יכולים להרשות לעצמם להיות רק ספקי הבטחה וייעוץ. עליהם לשאוף להפוך לחדשנים ונועזים עבור הארגונים שלהם ולהניע שינוי חיובי, במיוחד לאור מהירות הסיכון הגוברת, הרחבת הדרישות לניהול ומינוף יעיל של סיכונים, והצורך לזהות ולצפות סיכונים שמתעוררים. ריצ'רד צ'יימברס, לשעבר נשיא הIIA- העולמי, ומזה שנים גם חוקר והוגה דעות המשפיע על המקצוע באמצעות הבלוג הקבוע שלו וטרילוגיית הספרים שפרסם, מציב הפעם יעד חדש ושאפתני למבקרים הפנימיים. אם בספרו הקודם מ-2017 הוא עודד את המבקרים להשיג עמדת "יועץ נאמן" ,(Trusted Advisor) הרי שכעת הוא מעלה את הרף ומאתגר אותם להפוך ל"סוכן שינוי" של הארגון.

מה ההבדל בין סוכן שינוי ליועץ נאמן? "סוכן שינוי חייב להיות יועץ נאמן, אבל לא כל יועץ נאמן הוא גם סוכן שינוי" אומר צ'יימברס. סוכן שינוי לא מסתפק בלייעץ ולהשמיע את דעתו בהנהלה, אלא נוטל חלק פעיל בשינוי שהוא ממליץ עליו, כמאיץ שינוי ומייצר ערך. יובהר מיד: זה לא תפקיד חדש לביקורת הפנימית, אלא גישה חדשה, יוזמת יותר, מעורבת יותר ומעודדת שינוי, אבל קריטית להמשך האבולוציה של המקצוע.

ה"אני" של המבקר הפנימי

הספר הוא למעשה מסע מרתק אל ה"אני" של המבקר הפנימי והתפתחותו לאורך הזמן. הוא מחולק לשלושה חלקים:

• החלק ראשון – סוקר את האופן שבו התפתח מקצוע הביקורת הפנימית לאורך ההיסטוריה הארוכה שלו (כ-6,000 שנה לטענת המחבר!), ומבהיר מדוע יש צורך בשינוי קיצוני במקצוע הביקורת בסביבת הסיכון ההפכפכה של ימינו.
• החלק השני – עוסק בצורך של הביקורת הפנימית עצמה להשתנות, בעיקר בגישתה ובהתייחסותה לתהליכי העבודה, לשילוב טכנולוגיה ולתקשורת בין-אישית בארגון.
• החלק השלישי – מסביר מה נדרש כדי להפוך מבקרים לסוכני שינוי, ומתאר את החזון לגבי אופן הפעולה של המבקרים כסוכני שינוי.

זהו לא ספר הדרכה סטנדרטי. לא תמצאו בו כלים לעבודת הביקורת, הנחיות, תוכניות ביקורת או רשימות תיוג. זהו ספר עיון שבוחן לעומק את המהות של המקצוע ומציע כיוון התפתחות. הספר עשיר בעובדות, בציטוטים ובמראי מקום, וכן בממצאים מאלפים מתוך סקרים מקצועיים. בספר אף מוצג סקר עצמאי שנערך במסגרת כתיבת הספר, שכלל כמעט 600 מבקרים פנימיים ראשיים מרחבי העולם.

בין השאר, הסקר חושף כי תשעה מכל עשרה נשאלים סבורים כי ראוי שהביקורת פנימית תפעל כסוכן שינוי, כלומר הם תומכים בגישה. עם זאת, התמיכה עדיין לא מתורגמת לפעולה משמעותית: רק שניים מתוך עשרה נשאלים אכן רואים את עצמם בפועל כסוכני שינוי השותפים להנהלה הבכירה בהנעת שינוי שיוצר ערך. כ-15% נוספים אומרים שהם אומנם מסייעים בשינוי, אבל הנעת השינוי היא תפקיד ההנהלה. לעומת זאת, כמעט מחצית מהנשאלים ענו כי הם מתמקדים בשירותי הבטחה וייעוץ לשם מתן ערך ותמיכה בשינוי, אך אינם פועלים כסוכני שינוי.

השינוי מתחיל בתוכנו

"השינוי מתחיל בבית", גורס המחבר. "אם לא תהיה מוכן לשנות את הגישות והתהליכים שלך, לא סביר שאי פעם תהיה סוכן של שינוי".

בספר מפורטים התחומים שבהם השינוי של הביקורת הפנימית הוא החשוב ביותר:

שינוי בתהליכים: נדרש מעבר לביקורת אג'ילית שנועדה לזרז ולהגמיש את תהליך הביקורת. עדיין לא קיים תקן מקצועי מקובל המגדיר כיצד נערכת ביקורת אג'ילית, ולמעשה הפרקטיקה שאומצה מבוססת על מניפסט האג'יליות מעולם פיתוח תוכנה. עם זאת, ישנם מספר מאפיינים נפוצים, ובהם שילוב של לקוחות הביקורת כחברים מלאים בצוות הביקורת, גישה שמביאה יתרונות ברורים בצמצום אי הסכמות בין הצדדים לגבי הממצאים והמסקנות, ותורמת להפקה מהירה של תוצרי ביקורת רלוונטיים בזמן אמיתי. ביקורת אג'ילית מתאפיינת גם בזמן קבוע מראש לסיום – Time boxing”", תיעוד מופחת ועוד.

שינוי בתוצרי העבודה: נדרשת חשיבה מחודשת על דוח הביקורת: "למעשה, הדוח עצמו הוא לא ה'מוצר' של העבודה שלנו אלא רק האריזה שלה, בדיוק כמו שקופסת דגנים אינה המוצר של יצרנית דגנים אלא רק האריזה. המוצר שלנו הוא מסירה בזמן של מידע מדויק, אמין ורלוונטי לבעלי העניין". בסביבת העסקים הדינמית בעלי העניין שלנו דורשים לקבל את המידע הנכון בזמן הנכון. אם אנו ממשיכים להתעקש לקבור מידע עדכני, אמין ורלוונטי בדוחות ארוכים מדי, אנו מסתכנים במהירות בהפיכתנו לבלתי רלוונטיים.

שינוי במיומנויות: ההתקדמות המהירה של הטכנולוגיה מציבה אתגר לשמירה על המיומנויות שלנו כרלוונטיות לצרכי הארגונים שלנו. לדוגמה, סייבר הוא אחד הסיכונים הבולטים העומדים בפני ארגונים כיום. עם זאת, פונקציות ביקורת מתקשות לגייס מומחים כדי לבקר סיכוני סייבר. מצב זה מחייב פתרונות כגון גידול במה שהמחבר מכנה "ביקורות אוּבֶּר" – גיוס מומחים חיצוניים (פרילנסרים) כמבקרים ארעיים לעבודה בהתאם לצורך במקום העסקה קבועה. זה גם יחייב "העברת הלפיד" לדור חדש של מבקרים פנימיים בעלי הבנה וכישורי למידה של טכנולוגיה, שיוכלו גם לשלב ולמנף אותה לעריכת השינויים הנדרשים בעבודה.

"ספוטיפיי" כמשל

הרעיונות המובעים בספר נתמכים גם בסיפורי הצלחה של שינוי הלכה למעשה. לדוגמה, הביקורת הפנימית המתקדמת בחברת "ספוטיפיי" בהנהגתו של קנט צ'אן, משייכת את הצוותים שלה ליחידות עסקיות באופן המבטיח תקשורת מתמדת, כולל פגישות רבעוניות עם ראשי מחלקות כדי לעדכן הערכות סיכונים. השקעה זו היא קריטית כדי להיתפס כשותף בתוך הארגון. השילוב וההתמחות ביחידות מאפשרים למבקרים לעזור ליחידות לטפל בסיכונים לאורך הדרך. "בספוטיפיי, כמו בכל חברת היי-טק", אומר צ'אן, "הרבעון הקודם מהווה רק זיכרון רחוק. אנו צריכים להישאר עדכניים בפרויקטים אסטרטגיים".

טיפול נפשי למבקר הפנימי

כדי להפוך לסוכן שינוי ולשכנע אחרים נדרשת רמה גבוהה של אמון. זה דורש התמודדות עם תדמית המבקר בארגון: "אתה רק מבקר פנימי, למה אני צריך להקשיב לך כשזה מגיע לביצוע שינוי יסודי או קריטי לעסק שלי?". זה קשה עוד יותר כאשר המבקרים הפנימיים עצמם מפנימים את התדמית שלהם. פרק שלם מוקדש לצורך בהגברת הפרופיל של הביקורת הפנימית בארגון – "לספר את הסיפור של הביקורת הפנימית". הפרק מנחה את המבקר הפנימי כיצד ניתן בדיפלומטיות, באמפתיה ומתוך כוונה חיובית ליצור תקשורת אפקטיבית אישית עם עמיתים ובעלי עניין כדי לשתף את הארגון בערך ובחשיבות של עבודתו, בהישגיו ובכישוריו. בדרך צ'יימברס ממש יורד לנבכי הנפש של המבקר, משחרר ממנו חסמי ענווה וצניעות יתרה, ומעודד אותו לספר אודות עצמו בגאווה ובמקצועיות וללא חשש. "סוכן שינוי אינו יכול להיות סוכן חשאי" הוא מסכם.

היזהרו מ"מלכודת העצמאות"

חשוב גם לראות כיצד אחרים בארגון רואים את תפקידה של הביקורת הפנימית כסוכנת שינוי. בסקר נמצא כי כמעט 80% מהמשיבים מאמינים כי מועצת המנהלים/ועדת הביקורת שלהם תומכת באופן מלא או בינוני בכך שביקורת פנימית תפעל כסוכן שינוי. לגבי ההנהלה הבכירה, 76% השיבו שהם מאמינים שהנהלת הארגון תומכת בתפיסת הביקורת הפנימית כסוכן שינוי באופן מלא או בינוני. כלומר נראה שבעלי העניין מקבלים את התפיסה הזו.

אם כך, מה מעכב את המבקרים? מדוע כל כך הרבה מבקרים פנימיים לא מסוגלים להצטרף בפועל לשורות סוכני השינוי? מדוע רוב המבקרים הפנימיים נותרים מגיבים במקום פרואקטיביים? נראה כי ההתנגדות נובעת ממה שצ'יימברס מכנה "מלכודת העצמאות" – החשש לאובדן העצמאות והאובייקטיביות של הביקורת הפנימית, שמטרפדת מעורבות בעשייה ופרואקטיביות. אולם לטענתו בידוד והפרדה של הביקורת הפנימית מעשייה אינם הפתרון הרצוי ואפילו להיפך – הבידוד מהארגון עלול לחשוף את הביקורת לפגיעה. דווקא מעורבות ויצירת תקשורת חזקה עם בעלי עניין יכולים להגן טוב יותר על האובייקטיביות והעצמאות.  

סוכני שינוי – החזון

צ'יימברס מסכם את חזון המבקרים הפנימיים המצליחים להפוך לסוכני שינוי: "הם מסגלים דפוסי חשיבה של צמיחה בעידן שבו השינוי הוא מהיר, דינמי, ובלתי פוסק; הם מכירים בחסרונותיהם כמקצוע וכפרטים ומחויבים לשפר אותם; הם נוטשים את התהליכים הנוחים והמיושנים ומאמצים דרכי חשיבה חדשניות; הם מעודדים שימוש בטכנולוגיה באופן שבו הם מבצעים את עבודת הביקורת; הם מרחיבים את המיומנויות שלהם בתקשורת, בחדשנות ובחשיבה פרואקטיבית; הם רואים באי-תלות ובאובייקטיביות כלים לשינוי ולא חסמים; הם לוקחים על עצמם ברצון להיות סוכני שינוי".

סיכום

לא רק ביקורת אג'ילית, כמעט כל מילת "באז" ורעיון ביקורת חדשני נדון בספר: ה"מקום בשולחן" (seat at the table), ביקורת אסטרטגית, מודל "שלושת הקווים" (לא רק של הגנה), טכנולוגיות בביקורת, AI אנליטיקס, ביקורת מתמשכת, עידן של "שיבושים" וכדומה. הערך של הספר הוא לא בהצגת רעיונות חדשים אלא ביצירת פסיפס מרהיב מכל ה"חומרים" האלה לצורך רקיחת חזון כולל, שאפתני ומרתק, הממצב את הביקורת הפנימית כגורם שמשיא ערך מהותי בהובלת הארגון להצלחה בעולם זרוע סיכונים.    

The post סוכן שינוי: מסע מרתק אל ה"אני" החדש של המבקר הפנימי (ביקורת ספר) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: ד"ר יוסי נטוביץ | רו"ח מנכ"ל טיוב יועצי מערכות בע"מ

זהירות, תרבות רעה!

הסקנדלים נחתו על חברת אוּבּר ( (Uberבמפתיע. זה החל בשנת 2017, כאשר אובר, שעד אז נחשבה חברה גלובלית מצליחה לשיתוף היסעים, השווה עשרות מיליארדי דולרים, הואשמה בבלוג שפרסמה עובדת בהתנהלות סקסיסטית פרועה ובאפליה. בהמשך, תחקיר הניו יורק טיימס חשף כי עשרות עובדות נוספות באובר חוו הטרדה מינית וזכו להתעלמות ההנהלה מתלונותיהן. הדירקטוריון פתח בחקירה עצמאית שבמסגרתה נפתח "קו חם", שעד מהרה הוצף בדיווחי עובדים על הטרדות מיניות, בריונות, חשש מאלימות, נקמנות מצד מנהלים ואפליה. החקירה פתחה תיבת פנדורה של התנהלות תאגידית חסרת מעצורים במגוון תחומים: עבירות על חוקי תעבורה, פגיעה בזכויות עובדים ובקניין רוחני, מהלכים נצלניים כגון העלאת מחירים בזמן פיגועים ומתקפות טרור, ופעולה יזומה נגד עיתונאים. רצף הפרסומים פגע קשות בתדמית החברה ובעקבותיהם היא נאלצה לשלם מיליוני דולרים פיצויים לנפגעים. כחלק מתהליך השיקום, בשנת 2018 נאלצו המנכ"ל והצוות הבכיר של החברה לפרוש בזה אחר זה.

עד לכאן להציג בצורה בולטת

ביקורת מאתגרת מאוד

המקרה של אוּבר העלה את המודעות לסיכוני התרבות הארגונית. במקביל, מחקרים שפורסמו לאחרונה מצאו כי תרבות ארגונית חזקה מגבירה אפקטיביות והצלחה עסקית. כתוצאה מכך בקהילה העסקית עלה העניין בתרבות הארגונית וגברה ההכרה בחשיבותה. "התרבות אוכלת את האסטרטגיה לארוחת בוקר", קבע היועץ העסקי האגדי פיטר דרוקר.

גם הביקורת הפנימית החלה להבין שיש כאן תחום חדש ובעל ערך אסטרטגי, אך מאתגר ולא פשוט. תרבות ארגונית היא מכלול של התנהגויות אנושיות, ובניגוד לתחומי הביקורת המסורתיים היא פחות מוגדרת ומוחשית, ונעדרת מדדים כמותיים להערכה. איך למשל ניתן לבקר אווירה, אמונות וערכים? כדי לעמוד באתגר, הביקורת הפנימית נדרשת להרחיב את סט המתודולוגיות והכלים שלה. הספר "מסע לתוך ביקורת תרבות" הוא אחד המסמכים המקיפים הראשונים שנכתב בתחום. המחברים, סו ג'קס ואדי בסט, בכירים בניהול סיכונים וניהול משאבי אנוש מפירמת גרנט ת'ורנטון בריטניה, מציעים בו מתודולוגיה ופרקטיקה המבוססות על לקחים מהניסיון החלוצי שצברו בשטח.

המפתח לביקורת שיטתית: מניעי תרבות

אחת ההגדרות המקובלות של תרבות ארגונית היא "שילוב של ערכים, גישות והתנהגויות שהחברה מקיימת בפעילותה וביחסיה עם אלה המושפעים מהתנהלותה, כגון עובדים, לקוחות, ספקים והקהילה".

"תרבות צריכה להיות מנוהלת ומפוקחת", מדגישים המחברים, "ולא רק תאונה של ההיסטוריה או של מי שבמקרה יוצא לו לעבוד בארגון. אין תרבות נכונה או שגויה – אבל יש תרבות נכונה או לא נכונה לאסטרטגיה של הארגון". תפקיד ההנהלה הוא לתכנן ולערוך תוכנית שינוי שתנחיל תרבות נכונה ותואמת למטרות העסקיות שקבעה. כדי לעשות זאת, להנהלה יש כמה דרכים להתערבות הנקראות מניעי תרבות (drivers of culture”").

אז מהם אותם מניעי תרבות שבשימוש ההנהלה? אסטרטגיה היא מניע מרכזי המהווה נקודת מוצא קריטית שרותמת את התרבות בתפקיד מפתח להשגת המטרות העסקיות. מנהיגות גם היא מניע מרכזי. מנהיגים בארגון ברמות שונות של הנהגה, נדרשים לעסוק באופן פעיל בתרבות הארגונית, בין היתר על ידי מתן דוגמה אישית (אבל לא רק). ניהול אנשים מהווה מניע נוסף המשפיע על העובדים ומקדם ומעודד את ההתנהגויות הנכונות ברחבי הארגון. מניעי תרבות נוספים הם ניהול משאבים שונים, כמו שרשרת האספקה, נוכחות באינטרנט, מוניטין ותקשורת, וכן אחריות חברתית וסביבתית.

המתודולוגיה המוצעת לביקורת הפנימית היא התייחסות שיטתית לכל אחד ממניעי התרבות, תוך בחינה והערכה של שני שלבים: הראשון – תכנון ועיצוב התרבות הארגונית, והשני – האפקטיביות התפעולית שלה. גישה זו מאפשרת זיהוי של היעדר תיאום ושל חוסר עקביות, וכפועל יוצא גם זיהוי של נושאים שאינם מוטמעים בתרבות הכוללת ופוגעים ביכולת הארגון להשיג את המטרות העסקיות שלו. אומנם כל מניע תרבות לכשעצמו מהווה גם יעד לביקורת מסורתית, אולם ביקורת התרבות שונה מזו המסורתית בהתמקדות שלה: לא בוחנים את הממשל התאגידי ואת הבקרות, אלא את האפקטיביות של התרבות המוטמעת.

סיפור, הנחיות ורשימת תיוג

בשונה מהספרות המקצועית המקובלת שהיא עיונית באופייה, הספר מספר סיפור עלילתי. הגיבור הוא אלכס, מנהל הביקורת הפנימית בחברת "שייפרס". אלכס מקבל מסאם, הCEO- של החברה, בסיכום עם יו"ר ועדת הביקורת, מטלה לעריכת ביקורת על התרבות הארגונית, כאשר בתחילת הדרך אין לו מושג כיצד לערוך אותה. הספר מלווה את אלכס במסע הביקורת שהוא עורך, בדילוגיו בין הסניפים של החברה בבריטניה והעולם ובפגישותיו עם עובדי החברה. הקורא מתוודע להתלבטויות, להחלטות, לפעולות ולתובנות של אלכס בשלבי הביקורת השונים עד (זהירות "ספוילר") לסיומה המוצלח.

בין שלב לשלב, הספר מניח לעלילה ועובר להדרכה מעשית בסוגיה ספציפית שבה אלכס מתלבט. לדוגמה, בפרק העוסק במנהיגות נמצא הנחיות כגון "מנהיגים צריכים לא רק לעצב תרבות שפועלת כמאפשרת של מטרות עסקיות, הם צריכים למקד את תשומת ליבם בהטמעתה. אלכס היה מודע לכך מההתבוננות שלו בהתנהגות המנהיגות הבכירה… במהלך הביקורת אנו מצפים ממנהיגים להיות מסוגלים לדבר על ההשקעה האישית שלהם בזמן, על הדוגמה האישית שלהם, ומה הם עושים עם הצוותים שלהם במונחים של הכרה בתרומות התנהגותיות חיוביות מאחרים שמסייעים בהטיית התרבות, כמו גם על האופן שבו הם מעוררים השראה בהתנהגות זו באחרים".

גם רשימת התיוג המוכרת ("צ'ק ליסט") אינה נעדרת מהספר. כל פרק נחתם ברשימת גורמי הצלחה מרכזיים וברשימת שאלות חשובות שעל המבקר לשאול לגבי נושא הפרק. רשימות אלה מספקות לחסרי ניסיון בביקורת תרבות נקודות התחלה מועילות ביותר לתכנון הבדיקה.

להמחשה, הפרק העוסק באסטרטגיה מציג שאלות כאלו:

• האם יש אסטרטגיה עסקית כתובה? אם כן, האם היא מכסה הן את המטרות העסקיות והן את התרבות?
• האם הארגון שלך מייחס חשיבות רבה לעובדים כפי שהוא חשוב ללקוחות ובעלי המניות?
• האם הערכים, ההתנהגויות, האתיקה ודרישות ההתנהגות מועברים בבירור לכל העובדים?

ביקור חשוב במטבחון

נושא ביקורת מיוחד דורש גם כלים ושיטות ביקורת מיוחדות. בספר מוצגות מספר שיטות אפקטיביות לביקורת בנושא "רך" כמו תרבות. אחת מהן היא ניתוח סנטימנטים, כלי המשתמש בבלשנות חישובית לבחינת שפה וטקסט במטרה לזהות עמדות ודעות משתנות בארגון. הוא מיושם בדרך כלל לניתוח עמדות הלקוח במשובים וסקירות מוצר במדיה החברתית בתחומים שונים, החל משיווק, דרך שירות לקוחות ועד רפואה קלינית, אבל אין שום סיבה לא להשתמש בו גם במסגרת ביקורת תרבות. למשל, במסגרת ביקורת על המנהיגות, ניתן לנתח את אוסף המסרים שמעבירים המנהלים לעובדים בערוצי התקשורת האלקטרונית השונים בתקופות מסוימות, ולזהות שם התייחסויות לתרבות, לערכים ולהתנהגות. ניתוח כזה יספק מגמות ונתונים שיכולים לשמש את המבקר בביסוס מסקנותיו.

שיטה מעניינת אחרת, פשוטה יותר, מוצעת לביקורת ניהול המשאבים – סקירת סביבת המשרדים והמטבחון… להתבונן איך מעוצב החלל, ובמיוחד מה מוצג בלוחות המודעות. לדוגמה, המחברים נזכרים כי "באחד הארגונים המבוקרים המשרד הראשי היה נוצץ, נקי ומסביר פנים, אבל המשרד האחורי היה מלא בארגזים, קישוטי חג מולד, ספלי קפה מוכתמים, ובלאגן אחר. איזה מסר תרבותי העובדים מקבלים מכך? הלקוחות חשובים, ואנחנו לא!"

מדריך פרקטי למתחילים

הספר שומר לכל אורכו על טון של מדריך פרקטי וטכני לעריכת ביקורת. לא נמצא כאן דיונים בתפיסות ניהוליות ובביקורת. זה לא מפתיע מפני שהספר הוא למעשה ספרון בן פחות מ-80 עמודים ומחציתו מוקדש לעלילה הפיקטיבית, לכן ברור כי אינו יכול להיות ספר עיון מעמיק.

שילוב עלילותיו של המבקר הפנימי אלכס בספר הוא חידוש מרענן העוזר היטב להמחיש את המתודולוגיות המוצעות בספר. אליה וקוץ בה. בסיפור משולבים יותר מדי קטעי "צבע" שכנראה נועדו להחיות את הדמויות בסיפור אך הם חסרי ערך מוסף מקצועי. לדוגמה: "מחר, ביום שבת, הוא תכנן יום חופשי. לא היו לו תוכניות מלבד להירגע ולאחר מכן לארוז את תיק הטיולים שלו לנסיעה להולנד ביום ראשון ולניו יורק כמה ימים לאחר מכן. זו באמת הייתה תקופה ממלאת עבורו, אבל הוא היה צריך להמשיך, להתקדם עם משימת חקר התרבות".

בנוסף, לפי הספר הביקורת מתבוננת במניעי התרבות ובוחנת את התיאום בינם ובין מטרות הארגון, אולם היא פחות מתייחסת לממשל של התרבות הארגונית, האחראי לתפעול מניעים אלה – ובכלל זה בעלי התפקידים, השיטות והתהליכים והבקרות, כמקובל בביקורת פנימית מודרנית. על אף כל זאת, זהו מסמך עדכני, חשוב ומעניין מאוד בתחום חדש ומרתק זה, והוא יכול לשמש לעזר רב למבקרים פנימיים בצעדיהם הראשונים בתחום ביקורת התרבות הארגונית.

The post קצת תרבות גבירותיי ורבותיי: כיצד עורכים ביקורת תרבות ארגונית? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: ד"ר יוסי נטוביץ' רו"ח, מנכ"ל טיוב יועצי מערכות

האומנם "יועץ נאמן"?

זה למעלה מעשור, במטרה להעלות את ערך הביקורת הפנימית, ראשי המקצוע מעודדים את המבקרים לאמץ את מודל "היועץ הנאמן" ("trusted advisor") – מבקר פנימי "אידיאלי" שבעיקר בזכות יחסי אמון קרובים שהוא משכיל לרקום עם ההנהלה יש לו הרבה השפעה והוא בעל ערך לארגון. לשם כך נדרש המבקר לפתח כישורים "רכים" במישור האישי והבינאישי.

אלא שבמציאות פני הדברים שונים. בסקר שערכה לאחרונה PWC נמצא כי רק  9%מבעלי העניין רואים במבקרים הפנימיים יועץ נאמן. חלק מהסיבה לכך נעוץ בקונפליקט המובנה הקיים בין "מבקר" לבין "יועץ", שכן הצורך לשמור על עצמאות ואובייקטיביות אינו עולה תמיד בקנה אחד עם יחסי הנאמנות הנדרשים מיועץ נאמן. בנוסף, מחקר עכשווי גילה שמרבית המבקרים הפנימיים נדרשים להתמודד באופן יומיומי עם לחצים פוליטיים כבדים. בהתחשב בכך, קצת קשה לצפות מהם לרקום יחסי אמון עם ההנהלה.

יצוין כי תפיסת "היועץ הנאמן" פותחה עוד בשנת 2000 על ידי Galford, Green& Maister בתחום הייעוץ הארגוני כאסטרטגיה שמעניקה ליועץ יתרון כלכלי-תחרותי, ומאז הוצעה גם לבעלי מקצועות נוספים כגון אנשי שיווק וסוכני ביטוח. ספק אם ראוי שגם הביקורת הפנימית תאמץ אסטרטגיה מסחרית כזו.

ההתקדמות הטכנולוגית מאפשרת כיום להציע מודל חלופי מלהיב למבקר הפנימי – מודל "החוקר הנאמן", שלדעתי תואם יותר למעמדו ולכישוריו ומעניק לו הזדמנות להתקדם לעידן חדש ומבטיח.

מחקר נתונים

הפריצה של טכנולוגיית המידע בעשור האחרון אפשרה להגדיל את היקף הנתונים הנאגר במערכות הארגוניות, ולפתח שיטות מתקדמות לניתוח נתונים. כתוצאה מכך הביקוש למומחים בתחום ניתוח ומחקר של נתונים מרקיע שחקים. Harvard Business Review וגם Forbes זיהו את תחום מחקר הנתונים – – Data Science כ"מקצוע הסקסי והחם" ביותר כיום. אתר השמת כוח אדם glassdoor דירג אותו כמקצוע המבוקש ביותר בארה"ב לשנת 2019. אלא שכיום התחום עדיין בהתגבשות – אפילו שם מקצועי מקובל לעוסקים בתחום טרם נקבע, ובמודעות הדרושים פונים אליהם כסטטיסטיקאים, מנתחי נתונים, מדעני נתונים, כורי נתונים וכדומה. כעיסוק רב-תחומי אין עדיין מסלולי הכשרה מסודרים, ותוכניות לימוד שונות מוקמות אד-הוק עבור אוכלוסיות שונות. הביקוש לחוקרי נתונים בארגונים קיים כיום בעיקר בחברות טכנולוגיות מובילות כמו גוגל ופייסבוק, אך צפוי להתחזק גם במגזרים מסורתיים יותר כגון בתעשייה ובקמעונאות, ולחדור גם למגזר הציבורי. לסיכום, התחום אמנם צעיר יחסית, אך יש עדויות שככל שישוכללו כלי הניתוח הממוחשבים ויורחב מעגל העוסקים בו, ילך ויגדל פוטנציאל הערך שלו לארגונים.

המבקר הפנימי כ"חוקר נאמן"

מחקר נתונים מהווה הזדמנות מצוינת לביקורת הפנימית לבסס באמצעותו את הערך שלה לארגון. בשלב זה עוד לא נקבעו מסמרות בנוגע לאיזו יחידה ארגונית אחראית לעריכת מחקר נתונים – האם יחידת ה-IT שהיא בעלת הידע הטכנולוגי, חטיבת הכספים שאמונה על הדיווח הכספי, או גוף עצמאי חדש שבראשו סמנכ"ל? יש גם שטוענים כי המחקר צריך להשתלב כחלק בלתי נפרד מהפעילות בכל יחידות הארגון. לדעתי הביקורת הפנימית עשויה להתאים מאד כגוף הביצועי המרכזי של מחקר הנתונים בארגון, וזאת כפועל יוצא מהייחוד של כישורי העובדים בשילוב מעמד היחידה, בשל הסיבות הבאות:

סיבה ראשונה: מתודולוגיית המחקר אינה זרה למבקר, תהליך הביקורת דומה באופן מפתיע לתהליך מחקרי – גם הוא מבוסס על תהליך שיטתי של איסוף נתונים במטרה לבסס ממצאים שיתנו תשובה לשאלה. כמו במחקר גם ביקורת אוספת נתונים אמפיריים מתוך מאגרי המידע של הארגון ו/או על בסיס תצפיות, בחינת מסמכים, סימולציה של חישובים וכדומה. אמנם הביקורת הפנימית עוסקת בדרך כלל בשאלות מתחום ההבטחה (Assurance), אך עדיין אותה מתודולוגיה תתאים גם לגבי בחינת שאלות בכלל תחומי ניהול.

סיבה שנייה: לרוב המבקרים הפנימיים יש הכשרה כלכלית וניהולית, והעיסוק בביקורת הפנימית מעניק גם הזדמנות ייחודית להיכרות מעמיקה עם ההיבטים העסקיים השונים של הארגון. היכרות זו מקנה למבקרים יכולת לספק תובנות, מסקנות והמלצות קונקרטיות ומעשיות על סמך ממצאי הניתוח.

סיבה שלישית: בשנים האחרונות מתרחבת המודעות של הביקורת הפנימית לצורך בכלים אנליטיים ממוחשבים  מתקדמים, סטטיסטיים ולוגיים, להגברת אפקטיביות הביקורת. יותר מבקרים פנימיים רוכשים ידע בכלים אלה והשימוש בהם הולך וגובר. ניתוח נתונים בביקורת אינו חדש אבל כעת המבקרים נחשפים גם לכלים מתקדמים יותר של אנליטיקה – המאפשרים ויזואליזציה, לימוד מכונה, וכריית מידע. על פי סקר מ-2018, בשני שלישים מהארגונים הביקורת הפנימית כבר החלה לשלב analytics בעבודת השטח, אם כי רובם המכריע בשלב ראשוני.

סיבה רביעית: הגישה לנתונים ארגוניים ממקורות רחבים ככל האפשר מכל זרועות הארגון מקנה יתרון חשוב בעריכת המחקרים. גם כאן המבקר הפנימי במעמד מוביל – אין עוד גורם אחר בארגון הנהנה מגישה כה רחבה לנתונים.

סיבה חמישית ואחרונה: מעמדו של המבקר הפנימי כבלתי תלוי ואובייקטיבי, רלוונטי גם למחקר נתונים. על פי כללי האתיקה המחקרית, חוקר צריך לפעול באובייקטיביות מרבית ואסור לו להימצא בפוזיציה ביחס לנשוא המחקר – דעות קדומות, תלות פיננסית או אג'נדה רעיונית, שכן אלה עלולות באופן טבעי להטות את התוצאות. לדוגמה, החשדנות הקיימת בעולם הרפואה ביחס לאמינות מחקרים הבוחנים אפקטיביות של תרופות, שנערכים במימון חברות הפארמה שמייצרות את התרופות. אי תלות המבקר הפנימי מקנה יתר אמינות ואובייקטיביות לדוחות המחקר שלו, לעומת יחידות אופרטיביות שחוקרות את נתוניהן הן. המבקר הפנימי יכול בהחלט להיחשב ל"חוקר נאמן".

כ"חוקר נאמן" המבקר הפנימי ימשיך לספק שירותי הבטחה (Assurance), אבל באמצעות אותם כלים וכישורים יוכל להעלות את ערך עבודתו בשירותי מחקר (Research). לשם כך לא יהיה עליו להתפשר בנושא אי התלות והאובייקטיביות, להיפך – הן מהוות ערך בסיסי גם בביצוע עבודות מחקר.

בטור צדדי (Side Bar) מוצגות להמחשה דוגמאות ידועות מעולם העסקים של שימוש במחקר נתונים לגילוי הונאות וחריגות. – צריך להתאים המלל בהתאם להצגת הדוגמאות

גישור על פערי ידע

למרות כל האמור לעיל, איני סבור שהכשרת המבקר הפנימי המקובלת ונהוגה כיום מספקת גם לביצוע עבודת המחקר. לשם כך הביקורת הפנימית תידרש להשלים את פערי הידע ולחזק את המיומנות בתחום טכנולוגיות המידע. עליה להגביר את שיתוף הפעולה עם אנשי ה-IT בארגון, ולהתמחות בשימוש מושכל בכלי אנליטיקה מתקדמים, כריית נתונים, ויזואליזציה ולימוד מכונה. כאמור, כבר כיום הביקורת הפנימית צועדת בכיוון זה גם בשירותי ההבטחה, אבל כניסה לשירות המחקר תדרוש מאמץ מרוכז ומהיר יותר.

בנוסף, רמת המיומנות הסטטיסטית בקרב מבקרים פנימיים תידרש להשתדרג. על המבקרים יהיה להעמיק את הידע בשיטות לבניית מודלים סטטיסטיים ולניתוח נתונים, ובכלל זה הרצת רגרסיות, קורלציות וניתוחי מובהקות.

לבסוף, המבקרים יידרשו להרחיב את הפריזמה שדרכה הם מביטים בארגון, ובין היתר:

• להתייחס בעבודה למכלול היבטים עסקיים, להיות ממוקדי ערך ולא רק ממוקדי סיכונים.
• לבצע הערכות, תחזיות ומגמות לעתיד ולא רק לדווח על העבר.
• לספק תובנות והמלצות ברמה העסקית-האסטרטגית ולא רק ברמה התפעולית-בקרתית.

סיכום

הביקורת הפנימית, שמנסה זה שנים לחזק את מעמדה ולהשיא ערך לארגון, ניצבת לפני הזדמנות להשתלב במחקר נתונים ארגוני – תחום חדש ומוערך המתפתח במהירות. המבקרים הפנימיים מצוידים לשם כך במרב הכישורים, ככל הנראה יותר מכל גורם אחר בארגון, אבל אם לא ייערכו במועד הם יגלו עד מהרה כי גורמים אחרים בארגון שיבצעו מחקר נתונים יספקו ערך להנהלה במקומם ויותירו את עבודתם המסורתית נטולת ערך ממשי. לכן על ראשי המקצוע להיערך בתוכניות מתאימות להגברת המודעות ולהכשרת המבקרים הפנימיים במחקר נתונים, ובכך לשפר באופן דרמטי את מעמדה וערכה של יחידת הביקורת הפנימית העתידית.

דוגמאות ליישומי מחקר נתונים בביקורת

מובאות כאן דוגמאות בולטות מתוך עבודות חוקרים באקדמיה שפורסמו בציבור בנושא גילוי הונאות בתחום העסקי. דוגמאות אלה ממחישות את הפוטנציאל העצום של מחקר נתונים להגדלת ערך הביקורת הפנימית לארגונים.

דוגמה 1: Backdating בהכרזת אופציות לעובדים

בשנת 2005 פרסם ד"ר דיוויד לי (Lie) מאוניברסיטת איווה מאמר שחשף שערוריית ענק. הוא גילה כי חברות בורסאיות נוהגות לקבוע רטרואקטיבית ובאופן לא חוקי את מועד הכרזת האופציות לעובדים ליום שישיא להם את הרווחים הגבוהים ביותר (Backdating). החברות ניצלו פרצה שהייתה קיימת בחוקי רשות ני"ע האמריקאית (SEC) עד שנת 2002, פרצה שאפשרה להם להודיע לבורסה על חלוקת האופציות בתוך 45 יום, כך שהם יכלו לבחור לעצמם בדיעבד את היום המתאים ביותר מבחינתם בתוך חלון הזמן הנ"ל, כלומר היום שבו ערך המניות הוא הנמוך ביותר.

במחקרו ניתח ד"ר לי שערי המניות של אלפי חברות 30 יום לפני ואחרי מועד ה-0 (יום ההכרזה), וגילה כי מבחינה סטטיסטית יום ההכרזה הוא אכן היום שבו השער היה הנמוך ביותר. התופעה מחריפה עם הזמן ובולטת ביותר בשנים 2002-1999 (תרשים 1).

בעקבות המחקר פיתחה הSEC- בחקירה שהובילה לתשלום קנסות ענק של חברות שנתפסו בביצוע Backdating, ובין היתר גם לבריחתו הממושכת של הישראלי מייסד קומברס, קובי אלכסנדר, לנמיביה. לאחר שחזר לארה"ב הורשע אלכסנדר והוטל עליו עונש של שנתיים וחצי מאסר וקנס של עשרות מיליוני דולרים.

תרשים  1 – תשואות מניות לפני ואחרי יום הכרזת האופציות

דוגמה 2 – רמאויות במבחני המיצ"ב האמריקאיים

מערכת מבחני המיצ"ב הנהוגה בארה"ב מודדת את הישגי תלמידי בתי הספר היסודי, ובהתאם לכך מעריכה את תפקוד בית הספר ומתגמלת או מענישה אותו בתקציבי השנים הבאות. בשנת 2003 פרסמו  חוקרי הכלכלה Jacob  and Levitt מחקר שהראה כי בכ-5% מן הכיתות המורים מרמים ומתקנים באופן שיטתי את תשובות התלמידים כדי שהערכת בית הספר שלהם לא תיפגע.

החוקרים הניחו כי מורים שמרמים יתקנו באופן חוזר ונשנה את התשובות כך שתהיינה תשובות זהות לתלמידים בכיתה לכל השאלות או לחלקן. לכן הם הפעילו אלגוריתם ממוחשב לזיהוי תבניות קבועות בגיליונות התשובות של  התלמידים בכל כיתה.

בתרשים 2 מוצגים גיליונות תשובות של כיתה לדוגמה שבה יש חשד לתרמית. כל שורה מציגה גיליון תשובות של תלמיד אחד. המבחן נערך בשיטת רב ברירה – ספרות מייצגות תשובות נכונות לשאלה, ואותיות מייצגות תשובות שגויות. בתרשים ניתן להיווכח כי קיימות בגיליונות תבניות חוזרות ונשנות של תשובות שאינן מתקבלות כאקראיות (מוקפות בקו), ומכאן עולה חשד של זיוף התשובות על ידי המורה האחראי.

כדי לאושש את המסקנה נערכו במקרים החשודים בדיקות נוספות, בין היתר השוואה לציונים בשנה העוקבת ובשנה הקודמת. בדוגמה בתרשים 2 ניתן לראות כי הציונים היו נמוכים יותר ביחס למבחן. בנוסף נערכו מבחנים חוזרים, הפעם בנוכחות מורה שלא מבית הספר הנבדק, ואז נמצא פער משמעותי מול המבחן החשוד. תוצאות המחקר הובילו, מלבד ענישה של המורים שסרחו, גם לשינוי מהותי בתהליך הערכת בתי הספר בארה"ב.

תרשים 2 – גיליון תשובות עם תרמית

The post Assurance VS Research   – יועץ נאמן? אולי עדיף חוקר נאמן appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות גדל מספר הארגונים המודעים לחשיבות החדשנות להבטחת המשכיותם והצלחתם, ותוכניות לניהול ועידוד החדשנות מתרבות בארגונים בארץ ובעולם. בהקשר הזה נבחנת השאלה מה מקומה של הביקורת הפנימית. יש שחוששים כי ביקורת פנימית הנתפסת כ"הורגת" יצירתיות וחשיבה מחוץ לקופסה – תכונות שכה נדרשות לחדשנות  – לא תביא ערך ואף יכולה להזיק. במאמר זה אני מבקש להביע דעה הפוכה ולעודד עריכת ביקורת פנימית בנושא חדשנות, אולם זו מצריכה היכרות עם הנושא והבנת הייחודיות של סביבת הסיכונים שלו.

מדוע לבצע ביקורת פנימית על תוכניות חדשנות? ראשית, בארגונים רבים זהו נושא אסטרטגי שהארגון מקצה לו שיעור הולך וגדל ממשאביו, ולכן לביקורת בתחום זה ערך גבוה. שנית, תוכניות חדשנות כרוכות בסיכונים בולטים עליהם נעמוד בהמשך, ומטבע הדברים ביקורת פנימית ממוקדת סיכון נדרשת לעסוק בהם. לבסוף, עריכת ביקורת תקופתית על ידי גורם אובייקטיבי היא פעילות הנדרשת גם על פי מתודולוגיות ניהול חדשנות ומהווה מרכיב חשוב להבטחת ההצלחה.

מהי חדשנות?

כשעוסקים בחדשנות בדרך כלל עולים במחשבה שינויים טכנולוגיים – כניסת טכנולוגיה חדשה, החלפת מערכות מחשוב וכדומה. זה נכון אבל זה לא הדבר היחידי. חדשנות היא גם שינוי במודל העסקי, כלומר שינוי בדרך שבה ארגון יוצר, מוכר ומעביר ערך ללקוחותיו, ובדרך כלל הא בהא תליא – שינוי טכנולוגי גורר גם שינוי במודל העסקי. מידת החדשנות של מיזמים נעה על הציר שבין רדיקליות לבין אינקרמנטליות.

חדשנות "רדיקלית" היא חדשנות פורצת דרך הגורמת לשינוי כללי המשחק בשוק, לדוגמה: מכונית אוטונומית או מטבע קריפטוגרפי. לעומת זאת, חדשנות "אינקרמנטלית" היא חדשנות "תוספתית", המשפרת במעט את הקיים: לדוגמה: מכשיר אוטומטי חדש המאפשר הפקדת מספר שיקים ביחד ולא כפי שהיה מקובל – כל שיק בנפרד.

ניהול חדשנות  

יצירתיות ודמיון של עובדים מוכשרים עשויים לייצר פיתוחים ופטנטים חדשים שמקדמים את הארגון, אך הארגון אינו יכול להסתמך על כך. בעולם התחרותי אי אפשר לעצור ולו לרגע, יש לשנות ולחדש באופן מתמיד. ההנהלה צריכה לקיים חדשנות מתמשכת כדי להמשיך ולצמוח, ולעיתים רק כדי לשרוד בשוק.

ההיסטוריה מלמדת שגם ארגונים מובילים בתחומם שלא השכילו ליישם כראוי חדשנות – התמוטטו, משום שטכנולוגיה "משבשת" שהגיעה כמעט "משום מקום” הפתיעה אותם והפכה אותם לבלתי רלוונטיים. לדוגמה: חברת הענק לציוד צילום קודאק קרסה משום שלא הצליחה להתמודד עם טכנולוגיית הצילום הדיגיטלי. גם רשת החנויות להשכרת סרטי וידאו בלוקבאסטר נפלה עם עליית טכנולוגיית ה"סטרימינג" וה-VOD.

פרופ' Clayton Christianson מאוניברסיטת הרווארד מצא שככל שארגונים בוגרים ומבוססים יותר, כך הם מתקשים יותר לאמץ חדשנות. הסיבות לכך הן:

• פעילות על פי נהלים והגדרת תהליכים קשיחים וקשים לשינוי.
• תלות בלקוחות קיימים הכובלים אותם למוצרים קיימים ולדרישות שלהם.
• מחויבות להתמיד בשיעור צמיחה גבוה המחייב התמקדות במה שמביא ערך רב במהירות.
• הימנעות מנטילת סיכונים.

ניהול חדשנות נועד להתגבר על חסמים אלה. לשם כך יש לנהל תהליך מתמיד שנראה לינארי, בשלבים מוגדרים, אבל בפועל מתנהל במעגלים וחזרות (איור 1).

איור 1 – תהליך ניהול החדשנות

התהליך פועל כמשפך. בתחילתו הוא רחב – נוצרות ונבחנות יוזמות חדשנות רבות, וככל שהוא מתקדם הוא הופך לצר. יוזמות שנמצאו בלתי מתאימות מסוננות החוצה ורק מעטות – המבטיחות ביותר – מתקדמות לעבר מימושן המלא.

שלבי התהליך הם:

• רעיונאות

רעיונות טובים נובעים מזיהוי בעיות, כלומר קיום פערים בין המוצר לבין הציפיות ממנו (מצד הלקוחות). רעיונות עולים בדרך יזומה על ידי סיעור מוחות, עידוד עובדים ותגמולם על העלאת רעיונות מוצלחים, ועוד. אבל צריך להיות מודעים לכך שרעיונות לפעמים מגיעים במקרה מ"תאונות משמחות".

• בחינה וניתוח

שלב זה נועד לבחון, למיין ולתעדף את הרעיונות הטובים לביצוע ובמסגרתו מבוצעות הערכות כלכליות לגבי היקף השוק, דרישות הלקוחות ועוד, וכן היערכות טכניות – ישימות טכנולוגית, משאבים נדרשים וכדומה.

• בנייה

שלב מימוש הרעיונות – רכש, פיתוח, בנית אבטיפוס, פיילוט, עריכת בדיקות וכן בדיקות ראשוניות אצל לקוחות.

• יצירת הערך

מסחור המוצר או השירות – הקמת פס ייצור, התקשרות עם ספקים, שותפים והקמת שרשרת אספקה, שיווק פנימי וחיצוני ודיאלוג עם לקוחות לקבלת משובים והמשך פיתוח ושיפור.

לאורך כל הדרך נאספים ונרשמים מדדים שונים, פיננסיים ותפעוליים, בגישת ה-Balanced Scorecard, ומתבצעת הערכה שלהם ביחס ליעדים מוגדרים. כמו כן מתבצעת למידה מההצלחות ובמיוחד מהכישלונות כדי להימנע מחזרה מתסכלת על שגיאות עבר.

ניהול סיכונים וניהול חדשנות

לכאורה ניהול סיכונים וניהול חדשנות נראים כמו שתי תפיסות הפוכות: ניהול סיכונים מבוסס על שנאת סיכון, ואילו גישת ניהול חדשנות מעודדת השקעות בפרויקטים בסיכון גבוה שסביר להניח שרובם יכשלו. בנוסף, בניהול חדשנות היחס לכישלון הוא סלחני, לא מחפשים "אשמים" ולא מענישים את האחראים לו.

אלא שבהסתכלות מעמיקה מבחינים כי ניהול חדשנות אינו מתעלם מסיכונים אלא נוקט אסטרטגיות פחות שגרתיות של ניהול הסיכונים. העיקרון המנחה הוא "כישלון מהיר". אין הכוונה להרמת ידיים מהירה מול מכשול שנתקלים בו, אלא הגבלת הסיכון על ידי בחינת הרעיון החדשני במבחן המעשיות מהר ככל האפשר, למשל באמצעות פיתוח אב-טיפוס מוגבל וממוקד. אם תישלל היתכנותו הוא ייפסל בנזק נמוך יחסית ויימנע הסיכון להמשך בזבוז משאבים וזמן לריק על רעיון כושל.

ניהול הסיכונים בעולם החדשנות מאופיין בעיקר באסטרטגיות הבאות:

• שיתוף הסיכון:

לעומת הגישה המסורתית הקרויה "חדשנות סגורה", ומתבססת על יחידת מחקר ופיתוח פנימית הדורשת משאבים עצמיים רבים והסיכון בה גבוה, צומחת במהירות גישת "החדשנות הפתוחה", שעיקרה ביצוע מיזמי חדשנות בשיתוף פעולה עם גורמים חיצוניים ואגב כך השגת שליטה ברמת הסיכון הרצויה.

• חממה ארגונית – הארגון בוחר לעצמו בקפידה שותפים – בדרך כלל חברות הזנק בשלבים ראשונים מאוד בתחומים המתאימים לו, ומספק להן מנגנון תמיכה הכולל גישה לידע וללקוחות.
• קרן הון-סיכון פנימית – תקציב מנוהל להשקעה בפורטפוליו של חברות הזנק חיצוניות בתחומי העניין של הארגון.
• קונסורציום (מאגד) – פלטפורמה משותפת של מספר גופים בעלי אינטרס משותף שמשקיעים בחדשנות. למשל קונסורציוםR3 המאגד עשרות בנקים בראשות Goldman Sachs ו- P. Morgan וגייס יותר מ-100 מיליון דולר ליישומי בלוקצ'יין בנקאי.

• לימוד הסיכון

באסטרטגיה זו מגבילים את רמת הסיכון של המיזם באמצעות "שערי שלבים"  – קביעת מספר נקודות מבחן לאורך מסלול המיזם, שבהן הוא נבחן על פי קריטריונים הולכים ומחמירים ככל שהוא מתקדם. בכל שער כזה מתקבלת החלטה אם להמשיך את המיזם או לבטלו. ניתן גם להחליט להקפיא אותו או לחזור לשלב קודם.

• פיזור הסיכון

באסטרטגיה זו, שאומצה מעולם ההשקעות הפיננסיות, מנהלים את תיק המיזמים של הארגון בדומה לתיק השקעות, ודואגים לפיזור ולגיוון הולמים בנושאים העסקיים, בסוגי הטכנולוגיות, בהיקפי המשאבים ובזמן ההבשלה הצפוי שלהם, בהתאמה לאסטרטגיה הארגונית.

ביקורת החדשנות בארגון

במתודולוגיה של ניהול חדשנות יש הבנה רבה לכך שדרושות ביקורות תקופתיות על ידי גורמים חיצוניים אובייקטיביים. מטרתה של הביקורת היא לבחון איפה נמצאת כיום החדשנות בארגון ולעמת את המצוי עם היעדים שנקבעו, לזהות פערים ולגבש המלצות לטיפול בהם. המתודולוגיה אינה מציינת מיהו עורך הביקורת, אך לדעתי המבקר הפנימי הוא בהחלט מועמד טבעי וראוי.

כיצד עורכים את הביקורת? יש לכך מספר גישות. אציין כאן את הגישה המקובלתPentathlon  ("קרב החמש") של Goffin and Mitchell (2016). לפי גישה זו קיימים חמישה מרכיבי מפתח של ניהול חדשנות המשפיעים על התפוקות, ובהם יש להתמקד בביקורת (איור 2):

• אסטרטגיית חדשנות – באיזו מידה קיימת אסטרטגיית חדשנות ברורה, אפקטיבית ומתוקשרת?

• חילול רעיונות – באיזו מידה קיימת גישה חיובית ושיתופית לחילול רעיונות ממוקדי לקוח?
• תעדוף – באיזו מידה הרעיונות המתאימים ביותר נבחרים ליישום?
• יישום – באיזו מידה רעיונות מיושמים במהירות ובהצלחה?
• אנשים תרבות וארגון – באיזו מידה קיימת בארגון תרבות חדשנות?
• תפוקות – באיזו מידה מספר המוצרים והשירותים החדשנים שמפותחים הוא מספק?

איור 2 – גישת "קרב חמש" Pentathlon (ע"פ Goffin and Mitchell, 2016)

הביקורת תכלול ניתוח כמותי של מדדים שנאספים באופן שגרתי במסגרת ניהול החדשנות. המדדים הרלוונטיים הם ברמה הפרויקטלית עבור כל מיזם ומיזם, וברמה האסטרטגית – אגרגטיבית לכלל המיזמים. דוגמאות לכך ניתן לראות באיור 3.

איור 3 – מדדים כמותיים לניהול חדשנות (על פי Davila et al., 2013)

כמו כן, הביקורת תכלול איסוף וניתוח מידע איכותי סובייקטיבי באמצעות ראיונות עם מדגם מנהלים ועובדים העוסקים בחדשנות. במסגרת זו המרואיינים יחוו את דעתם על המצב הנוכחי של החדשנות. כמובן שראיונות אלה יהיו אפקטיביים ככל שהמבקר ישכיל לרכוש את אמונם של המרואיינים כדי שיסכימו לחלוק את דעותיהם בפתיחות.

סיכום

לחדשנות יש חשיבות הולכת וגוברת באסטרטגיה הארגונית, אך היא אינה יכולה להתבסס על "הברקות" חד פעמיות אלא מחייבת ניהול שיטתי ומתמיד. רוב מיזמי החדשנות הם מסוכנים מטבעם וסופם להיכשל, ולכן ניהול חדשנות מחייב ניהול סיכונים שיטתי באמצעות אסטרטגיות מותאמות. על פי המתודולוגיה של ניהול החדשנות, ביקורת פנימית היא פעילות מתבקשת שעשויה לתרום ערך רב לשיפור האפקטיביות של ניהול החדשנות ולהצלחתו.

The post ביקורת על ניהול החדשנות בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מחבר: יוג'ין סולטֵס Eugine Soltes))

בהוצאת: Public Affairs New York, 2016

חידת המנהלים העבריינים

בחודש דצמבר האחרון נפל דבר בעולם הניהול, נוחי דנקנר הורשע בגין עבירת הרצת מניות ונידון לשנתיים מאסר. דנקנר, שנחשב עד לא מזמן לאיש החזק ביותר בכלכלה הישראלית, הוא אולי דוגמה בולטת אבל בהחלט אינו המורשע היחיד – בספטמבר נשלח למאסר ג'קי בן זקן, איש עסקים מתוקשר המכונה ה"כריש", בגין הרצת מניות. גם אפי רוזנהויז ואלי גידור, המנכ"ל וסמנכ"ל הסחר של שופרסל, נשלחו בשנת 2015 למאסר בגין פגיעה בתחרות, כאשר רק מספר שנים קודם לכן, בשנת 2009, הוכתר רוזנהויז על ידי גלובס כ"איש השנה". וזו רק רשימה חלקית. תופעת המנהלים המצליחים והנערצים שהופכים לעבריינים מתפשטת בארץ ובעולם. מה מניע מנהלים בכירים שהשיגו בעמל של שנים רבות מוניטין, כסף וכוח, לסכן את כל הישגיהם ולבצע עבירות כלכליות?

שאלה זו אינה נשאלת מתוך סקרנות בלבד. התשובה עליה חשובה לכל הלוחמים בעבריינות כלכלית. כבר לפני כשישה עשורים, הסוציולוג דונלד קרסי כיתת את רגליו בין בתי כלא בארה"ב וראיין מאות אסירי צווארון לבן שביצעו הונאות ומעילות במטרה להבין את מניעיהם. ספרו "כסף של אנשים אחרים" (Other People’s Money) הניח את היסודות למודל הידוע כיום בשם "משולש ההונאה"  – תנאים שבהתקיימם נוטה אדם לבצע מעילה: לחצים שלא ניתנים לשיתוף, קיום הזדמנות טכנית, והצדקה עצמית. מודל זה מהווה עד היום אבן יסוד בפרקטיקה למניעה וגילוי של הונאות ומעילות.

דרישת שלום מבית הסוהר

והנה כעת, אולי בהשראתו של קרסי, ערך יוג'ין סולטס מבית הספר למנהל עסקים באוניברסיטת הרווארד מחקר, שבמסגרתו איתר בבתי הכלא כ-50 מנהלים בכירים שהורשעו בעבירות כלכליות חמורות והתכתב איתם תקופה ממושכת בדואר האלקטרוני ובדואר, רכש את אמונם והם שיתפו אותו בגילוי לב בסיפורם האישי. בין המרואיינים יש גם מורשעים מפורסמים כגון ברני מיידוף, וכן מנהלי החברות אנרון ו-Tyco. העבירות שביצעו המנהלים מגוונות – רישומים כוזבים בספרי תאגיד, דוחות כספיים מטעים, מסירת הודעות שקריות לבורסה, תשלומי שוחד, מעילות ענק, וכמובן הונאות "פונזי" ועוד מעשים "טובים" אחרים.

באופן בהיר וקולח, בלי לוותר על העומק הלמדני, סולטס מביא את הסיפורים ומנתח אותם. אחת התופעות הבולטות שהוא מזהה אצל המנהלים העבריינים היא חוסר המודעות לחומרת העבירה בשעת מעשה. המעשים החריגים שלהם כלל לא נתפסים בעיניהם כפליליים, אלא כניצול לגיטימי, לעתים "מבריק", של פרצה שזוהתה בחוק, כפעילות בשטח ה"אפור" בלי לחצות את הקו הפלילי, וגם אם כן – העבירה שנעברה נתפסה כטכנית, קלה ובלתי מזיקה.

מיליון דולר למסיבת יום הולדת לאישה

לדוגמה, סולטס מביא את סיפורו של דניס קוזלובסקי, המנכ"ל לשעבר של חברת Tyco, שלמרות היותו אחד המנהלים המתוגמלים באמריקה, לא נמנע מלבצע מעילה של כ-100 מיליון דולר על ידי מחילה לא תקינה של הלוואות שהוא עצמו היה חייב לחברה. קוזלובסקי מספר: "כאשר המנכ"ל נמצא בחדר, כל הדירקטורים נוטים לנסות ולרצות אותו. הדירקטוריון היה נותן לי כל מה שביקשתי. הכול". לא מפתיע שהדבר יצר אצלו תחושה של "מגיע לי" – "האמנו בפרסומים של עצמנו… אתה מתחיל להיכבש על ידי הארוגנטיות של עצמך ובאמת מאמין שאתה יכול לעשות כל דבר, ללא כל התנגדות מצד אחרים בחברה". קוזלובסקי לא הרגיש צורך לוודא את תקינות מעשיו. "לא שמתי לב לענייני האישורים", הוא אומר, "מה שהייתי באמת צריך לעשות זה פשוט לקחת פיסת נייר ולהחתים את הדירקטוריון לכל בונוס שביקשתי. זה משהו שאתה לא חושב עליו ונעשה במהלך הבנייה של החברה. אתה חושב על איפה נמצא הרווח וההפסד, מה קורה עם 260,000 המועסקים, כלומר אנו עשינו מכירות של 350-250 מיליון דולר ביום. עם מספרי ענק כאלה אתה לא יושב וחושב על הטכניקה שבה יאושר הבונוס שלך".

הארוגנטיות של קוזלובסקי הייתה חסרת גבולות: בחשבון ההוצאות שלו נמצאו תשלומים של 6,000 דולר על וילון מקלחת, 15,000 דולר לרכישת מעמד למטריות בצורת כלב, ומיליון דולר עבור מסיבת יום הולדת בסגנון רומאי באי סרדיניה שערך לכבוד אשתו. מה שהפיל את קוזלובסקי בסופו של דבר הוא קנאה שעורר תשלום של כ-20 מיליון דולר, ללא אישור, לדירקטור יחיד על חלקו בארגון רכישת חברת בת. דירקטור אחר ששמע על המענק לחברו במסיבת קוקטייל נמלא כעס והעמיד לראשונה את הדירקטוריון בעימות עם המנכ"ל.

מדאיג עוד יותר להיווכח כיצד חוסר מודעות לפגמים אתיים חמורים בעשייה עלולים לדבוק בקלות לא במנהל אחד בלבד אלא בקבוצת עובדים שלמה. לשם המחשה, בשנת 2014, מול משרדי חברת הפארמה גלקסו-סמית-קליין (GSK) בשנגחאי הפגינו עשרות אנשי מכירות, הם מחו על החלטת החברה שלא לשלם להם יותר החזר בגין שוחד שנהגו לתת באופן קבוע לרופאים ולבתי חולים לקידום מוצרי החברה. במשך שנים הם הגישו חשבוניות הוצאה מזויפות בגובה השוחד ששילמו, והחברה אישרה את החשבוניות ושילמה להם החזרים בגינן. הם טענו כי החברה עצמה היא זו שהנחתה אותם לפעול בדרך זו. בהפגנה נשאו העובדים שלטים שבהם נכתב  "החזירו לנו את כספנו שעשינו בעבודה קשה". מסתבר שאת הפרקטיקה – הן של תשלום השוחד והן של קבלת ההחזר באמצעות קבלות מזויפות – הם למדו למעשה מהמנהלים שלהם.

מודעות נמוכה לתוצאות

אף אדם שבוחר בקריירה ניהולית לא מתכנן להפוך לעבריין, אומר סולטס. אז מה משתבש בדרך? סולטס מנתח את הגורמים למעשיהם העברייניים של המנהלים מהיבטים ביולוגיים, פסיכולוגיים, חברתיים וכלכליים. בין היתר הוא מסביר שמנהלים מקבלים החלטות על סמך אינטואיציה ותחושות בטן. אלא שבעולם העסקים המודרני "המצפן המוסרי" הפנימי של מנהלים שהנחה אותם בעבר להבחין בין טוב לרע, נוטה כיום "להתבלבל" ממספר סיבות:

• היעדר קשרים בין המנהל העבריין לבין הנפגעים ממנו – הגלובליזציה של העסקים מרחיקה פיזית ומפרידה ביניהם, ומגמדת את החומרה שבה הוא תופס את מעשיו ("רחוק מהעין רחוק מהלב").
• שינויים מהירים ברגולציה – מה שהיה רק לפני כמה שנים מותר – היום אסור, ולא תמיד התפיסה האתית הניהולית משתנה במקביל.
• עומס העבודה המטורף גורם למנהל לקבל החלטות ללא הקדשת זמן מספיק למחשבה וללא מודעות מספקת למלוא ההשלכות.
• מנגנון של דיסוננס קוגניטיבי מייצר צידוקים ורציונליזציות שמסייעים למנהל להתגבר על אי הנוחות שלו, אם קיימת, ממעשיו הבלתי מוסריים.

נראה לי, מהיכרותי את הנושא ומניסיוני בביקורת פנימית, כי ייתכן שסולטס עושה קצת "הנחות" לעברייני הצווארון הלבן, ומקבל את תירוציהם כעובדות בלתי מעורערות. ייתכן גם שההתחככות שלו איתם במשך תקופה ארוכה כפי שתיאר, גורמת לו לאמפתיה כלפיהם. קשה להאמין שאנשים נבונים, ומניפולטיביים, המודעים היטב למעשיהם ולהחלטותיהם – שהרי אם לא היו כאלה לא היו מגיעים לעמדות הניהוליות הבכירות שמילאו – מאבדים מודעות ושוגים בנאיביות באופן סלקטיבי רק ביחס למעשים האסורים שביצעו. עם זאת, אני מוכן לקבל שהתיאור הזה נאמן לאופן שבו מעשיהם נתפסים במחשבתם.

המבקר הפנימי ו"דיסוננס אי הנוחות"
מבקרים פנימיים, בין אם יקבלו את התיאוריה המרתקת של סולטס ובין אם לאו, ימצאו עניין רב בספר אף שאין בו התייחסות ישירה לביקורת פנימית. התיאורים המפורטים בספר של מהלכי ביצוע העבירות וכשלי הבקרה הפנימית יספקו להם תובנות על תפקידם ועל האתגרים שניצבים בפניהם. הקורא יוכל להעריך עד כמה חשוב לארגון מבקר פנימי עצמאי, מקצועי ובלתי תלוי, הנאמן לתפקידו גם כאשר "רוח מפקד" קלוקלת נושבת מחדר ההנהלה.

גם הפתרונות שבהם דן הספר עשויים לעניין מבקרים. לדוגמה, כדי למנוע ממנהל להגיע למצבים של החלטות שגויות, סולטס מציע בין היתר לקיים בארגון מה שהוא מכנה "דיסוננס אי נוחות" – הצבת חסמים שימנעו קבלת כל הצעת החלטה של המנהל בהנהלה באופן אוטומטי, וידרשו ממנו להאט, לחשוב ולשקול יותר לעומק את עמדתו, לדוגמה על ידי שמיעת דעות מנוגדות ועצמאיות מצד גורמים אחרים, מעין "איפכא מסתברא". דיסוננס כזה, אם היה קיים בTyco-, היה מחייב את קוזלובסקי לעצור ולבחון בשיקול דעת את החלטותיו ואולי להימנע מהוצאה ללא אישור של מיליון דולר על יום הולדת לאשתו ושל 20 מיליון דולר לדירקטור. האתגר הגדול הוא כיצד לייצר מצבי אי נוחות כאלה. הביקורת הפנימית תהיה מן הסתם חייבת לוודא שהממשל התאגידי של הארגון עומד באתגר ואכן מייצר "אי נוחות" ברמה מספקת באמצעות תרבות אתית של שקיפות ונשיאה באחריות מצד המוסדות המנהלים, ואולי אף ליטול בעצמה חלק ביצירת "אי נוחות" זו.

לסיום, סולטס מזהיר את קוראיו שלא ללקות בהרגשת עליונות מוסרית ובשיפוטיות כלפי המנהלים שמעדו, שכן זה עלול לקרות לכולנו. רק אם ננהג בענווה ונכיר בחולשות האנוש שלנו, לא נקבל החלטות על סמך תחושות בטן, נפעיל כלפי עצמנו יותר ביקורת עצמית, ונסכים לשמוע דעות מנקודות מבט אחרות ועצמאיות ונתחשב בהן, רק אז נוכל להרחיק עצמנו במידה מסוימת מסיכון זה. לא ניתן לתאר טוב מזה את חשיבותה של הביקורת הפנימית במניעת עבירות כלכליות בארגון.

The post ביקורת ספר: מדוע הם עושים את זה (Why they do it) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

פיתוח טכנולוגיית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[1] עורר התעניינות מחקרית רבה ביכולות השימוש של הטכנולוגיה הזאת גם ככלי בקרה המזהה, בין היתר, הפרות אבטחת מידע[2], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[3], לזיהוי הונאות ומעילות[4] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[5]. מהתוצאות המעודדות של המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית התהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים. בחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.

מהי כריית תהליכים?

כריית תהליכים היא שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים, גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[6].

במערכות ממוחשבות מתקדמות המשמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכדומה, קיימים "יומני אירועים" (קובצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance), כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע הכולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו. לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים, ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים וכן לזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, והוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, כלומר את מסלול האירועים שלו, וכך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control), כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).

אף שבכל תהליך מוגדר מסלול אירועים נורמלי, המערכות עדיין מאפשרות, ובצדק, גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא ייגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים ייתכן שיתרחשו מקרים הנוגדים את כללי הארגון, ועל המבקר הפנימי לזהות מקרים אלו ולבחון אותם.

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל שבמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[7]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 שלהלן.

תרשים 1: תהליך רכש בבנק אירופי מוביל. מקור:Jans et al. (2011)

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה (2) ושחרור (3) משני מאשרים שונים. שלבי קבלת הטובין (4) וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה, ניתן לשנות את הזמנת הרכש לאחר הפקתה, אבל אז תידרש חתימה חוזרת ושחרור חוזר. כמו כן, טובין יכולים להתקבל לשיעורין בכמה משלוחים, ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך שהושלמו עד סופם, כלומר כשסולק מלוא התשלום בגין הרכש – סך הכול כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery  

מטרת אלגוריתם זה היא ללמוד כיצד מבוצע התהליך בפועל במופעים השונים ולזהות את אלה החורגים מהדגם הנורמלי שלו.

בשלב הראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך, כלומר את המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה, נוסח נורמלי של התהליך הוא: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ועלולים להוות סיכון. לדוגמה, באחד הנוסחים שנמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" בלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי על פי החוקים, בתנאים מסוימים אכן לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.

דוגמה נוספת: בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן בכך מדובר.

הנוסחים ה"מעניינים" ביותר למבקר הם אלה שתדירותם נמוכה. לדוגמה, בניתוח נמצאו שלושה מקרים שבהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת.

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה היא להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב-26 אלף המופעים של תהליך הרכש. כאשר מספר העובדים גדול, העובדים מבצעים כמה תפקידים במקביל וקיימת תחלופה דינמית בתפקידים. לכן גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP-, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בשלב הראשון של ניתוח התפקידים על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי עובד מסוים. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש. (2) קבלת חשבונית וקבלת טובין. (3) שחרור הזמנת רכש וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic), ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהן מעורבים שלושה מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)  

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית, ולנסח תובנה על המוטיבציה והמשמעות של פעילותם. כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה מעמיקה יותר. לדוגמה, באמצעותו ניתן לזהות מקרים שבהם מופעים של התהליך מבוצעים בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

ניתוחים אלו אינם מתמקדים במסלול הפעילויות או במבצעים בלבד, אלא במשולב עם מאפיינים אחרים של הפעילויות שעשויים להיות מתועדים ביומן התנועות עצמו או בטבלאות מסד הנתונים של המערכת. באמצעות מספר מזהה של כל אירוע, יכולה תוכנת הניתוח לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור, באמצעות אלגוריתם הגילוי נמצא שב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נוהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הוא עד 12,500 אירו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי, או שסכום ההזמנה הוא 125,000-12,500 אירו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות, הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק הצליחה כריית תהליכים על יומן האירועים של מערכת ה-ERP לאתר באופן אוטומטי הפרות של הפרדת תפקידים והיעדר אישורים וחתימות הדרושים להזמנת רכש שלא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.

שילוב כריית תהליכים עם טכניקות ממוחשבות אחרות לביקורת תהליכים

הצגת טכניקת ביקורת ממוחשבת חדשה מעלה באופן טבעי את השאלה כיצד היא משתלבת עם כלי הביקורת הממוחשבים הקיימים ולאילו משימות ביקורת מתאים כל כלי. בפרק זה נסקור בקצרה את הכלים העיקריים התומכים כיום בביקורת תהליכים עסקיים: ביקורת מתמשכת Continuous Auditing)) וכן ניתוח ותִחקור נתונים ((Data Analysis, ונבחן כיצד כריית התהליכים משתלבת עם כלים אלה.

ביקורת מתמשכת וכריית תהליכים

ביקורת מתמשכת מבוססת על תוכנה שסורקת ומנטרת באופן קבוע ואפילו בזמן אמת את הפעילויות המתבצעות במערכות רגישות בארגון, וכאשר היא מזהה בתוך כך אירועים חריגים או פעולות שבוצעו ונרשמו במערכות הארגון שלא על פי נהלים היא מיד מעבירה דיווח על כך למבקר[8]. בין היתר, התועלת במערכת זו היא קיצור פרק הזמן של הבאת אירועים חריגים למודעוּת הביקורת ולטיפולה[9]. סביב תפיסת הביקורת המתמשכת התפתח פולמוס עקרוני. יש שהתנגדו לשימוש בטכנולוגיה זו ככלי של הביקורת הפנימית בשל  החשש שהשימוש יהפוך את המבקר לאחראי דה פקטו על הבקרה המתמשכת על טיב הפעולות, במקום שהאחריות תוטל כנדרש על ההנהלה. לעומת זאת, המצדדים בביקורת מתמשכת מדגישים כי אין הכוונה שהמבקר יחליף את המנהלים באחריות לבקרה השוטפת של הפעילות בגזרתם ושהמבקר יתערב בכל חריגה או כשל, אלא המטרה היא שהמבקר יוכל להפעיל את שיקול דעתו לביצוע ביקורת במקרים שבהם תוכנת הביקורת המתמשכת תזהה הצטברות של כשלים וחריגות בנושא מסוים. למרות הבעייתיות המסוימת בשימוש המשותף של ההנהלה ושל הביקורת, העניין בביקורת המתמשכת הולך וגובר[10].

בדומה לביקורת מתמשכת, גם כריית תהליכים מזהה כשלים וחריגות, אולם ברמת כלל התהליך ולא ברמת אירוע. בשונה מתפיסת הביקורת המתמשכת, אין בכריית תהליכים דגש על תכיפות עריכתה וסמיכותה למועד האירועים הנבדקים.  היא מבוצעת על נתונים היסטוריים שנגזרים באופן תקופתי מהמערכת הנבדקת, ונערכת בסביבת מחשבים נפרדת ובלתי תלויה, כגון מחשבו האישי של המבקר, ולכן אין עוררין על התאמתה ככלי לעריכת ביקורת בלתי תלויה.

עם זאת, במערכות בעלות אוריינטציה תהליכית, ניתן לשלב במסגרת כלי ניטור וביקורת מתמשכת גם אלגוריתמים של כריית תהליכים מסוימים שישמשו לניטור מתמשך של תקינות תהליכים ויעבו בכך את מערך זיהוי החריגות וההתרעות. לדוגמה, ניתן להפעיל באופן תכוף אלגוריתם לניתוח תפקידים שיזהה בצורה מיידית הפרות של הפרדת תפקידים בתהליכים ויתריע על כך. אלגוריתמים אלה ישפרו את הבקרה הפנימית של התהליכים שבאחריות ההנהלה, ובמקביל יספקו מידע חיוני למבקר בהערכת סיכוני התהליכים שעליו להתחשב בהכנת תכניות העבודה שלו.

כלי ניתוח ותחקור נתונים וכריית תהליכים

כלים ממוחשבים לתחקור וניתוח קובצי נתונים כגון IDEA ו-ACL הנמצאים בשימוש המבקר הפנימי מאז שנות השמונים, מאפשרים ניתוחים אנליטיים וזיהוי שגויים וחריגים המביאים תועלת רבה בהערכת הבקרות הפנימיות[11]. אולם כלים אלה יעילים בעיקר לניתוחי בקרה פנימית ברמת הטרנזקציה (Transaction Level Control), כלומר בקרות הקשורות לאירוע מסוג מסוים. לדוגמה, במסגרת ניתוח אנליטי ניתן לזהות באמצעותם סכומי מינימום ומקסימום של הזמנות רכש בתקופה מסוימת, במטרה לבחון האם הם חורגים מהסכומים המצופים. כמו כן, במסגרת ניסוי הבקרות ניתן לתחקר קובץ של חשבוניות מכירה, ולאתר חשבוניות שבהן שיעורי ההנחה חורגים מהמקסימום המותר או לזהות אי רציפות של מספרי החשבוניות.

בביקורת של תהליכים עסקיים, לעומת זאת, ניתוח ברמת הטרנזקציה איננו מספיק למבקר והוא נדרש לבדוק ולהעריך גם את טיב הבקרות הפנימית המתפרשות על כלל התהליך (Process Level Control). לדוגמה, קיום של "הפרדת התפקידים" בתהליך או ביצוע של סדרת האישורים המתאימה על ידי הגורמים המתאימים בהתאם לחוקי הארגון. טכניקת כריית תהליכים מתאימה יותר לביצוע ניתוחים אלה כפי שהראנו בפרק הקודם.

ברמה הפרקטית, האלגוריתמים לכריית התהליכים (שחלקם הוצג במאמר) עדיין אינם זמינים כתוכנת מדף  למשתמשים. עם זאת, הניסיון מלמד כי טכניקות ביקורת ממוחשבות חדשות שהוצעו והוכחו כיעילות שולבו בסופו של דבר כשיטת ניתוח במסגרת תוכנות הביקורת וניתוח הנתונים הקיימות. כך למשל אירע עם הליך הניתוח הספרתי המבוסס על חוק בנפורד (Benford's Law)[12]. לכן אני מעריך כי גם אלגוריתמים אלה ישולבו באופן דומה בחבילות תוכנה מסחריות לביקורת (ACL, IDEA וכדומה) ויגבירו את התועלת של כלים אלה לביקורת.

סיכום

כפי שהוכח לאחרונה במחקרים, כריית תהליכים שמטרתה לספק תובנות ניהוליות כלליות על תהליכים עסקיים, מצליחה גם בהערכת בקרות פנימיות ברמה תהליכית שכלים ממוחשבים קיימים מתקשים בביצועה. לכן הערכתי היא שהטכניקה החדשה עתידה להשתלב ב"ארגז הכלים" של המבקר הפנימי הן במסגרת תפריט הפעולות בתוכנות לניתוח ותחקור נתונים (כגון ACL או IDEA) והן במסגרת יישומי ביקורת מתמשכת, ולתרום להגברת האפקטיביות של הביקורת.

מקורות

[1]van der Aalst, W. M., Reijers, H. A., Weijters, A. J., van Dongen, B. F., Alves de Medeiros, A. K., Song, M., & Verbeek, H. M. W. (2007). Business process mining: An industrial application. Information Systems, 32(5), 713-732.

[2] van der Aalst, W. M., & de Medeiros, A. K. A. (2005). Process mining and security: Detecting anomalous process executions and checking process conformance. Electronic Notes in Theoretical Computer Science, 121, 3-21.

[3] Caron, F. Vanthienen,J. & Baesens B. (2013),  A comprehensive investigation of the applicability of process mining techniques for enterprise risk management, Computers in Industry, 64,  464–475

[4] Jans, M., van der Werf, J. M., Lybaert, N., & Vanhoof, K. (2011). A business process mining application for internal transaction fraud mitigation. Expert Systems with Applications, 38(10), 13351-13359.

[5] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), A Field Study on the Use of Process Mining of Event Logs as an Analytical Procedure in Auditing. The Accounting Review, September, (89:5), 1751-1773.

[6] Natovich, J. (2009). Business process management systems: The internal control perspective. ISACA Journal, 6, 51.

[7] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), שם

[8] שחר א. (2011) פנים אל פנים, רואה החשבון, ספטמבר

[9] Sparks D.E. (2011), The value of Timely Reporting, Internal Auditor, June, p. 72

[10] Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. Journal of Information Systems, 22(2), 195-214

[11] Debreceny, R., Lee, S. L., Neo, W., & Toh, J. S. (2005). Employing generalized audit software in the financial services sector: Challenges and opportunities. Managerial Auditing Journal, 20(6), 605-618.

[12] Durtschi, C., Hillison, W., & Pacini, C. (2004). The effective use of Benford’s law to assist in detecting fraud in accounting data. Journal of forensic accounting, 5(1), 17-34.‏

בחינת הבקרות הפנימיות בארגון בכלל ובתהליכים עסקיים בפרט הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות, ומורכבותם, במיוחד בארגונים גדולים, מקשה על יכולת המבקר לבצע עליהם ביקורת אפקטיבית ללא אמצעים ממוחשבים.

פיתוח טכנולוגיית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[1] עורר התעניינות מחקרית רבה ביכולות השימוש של הטכנולוגיה הזאת גם ככלי בקרה המזהה, בין היתר, הפרות אבטחת מידע[2], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[3], לזיהוי הונאות ומעילות[4] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[5]. מהתוצאות המעודדות של המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית התהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים. בחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.

מהי כריית תהליכים?

כריית תהליכים היא שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים, גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[6].

במערכות ממוחשבות מתקדמות המשמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכדומה, קיימים "יומני אירועים" (קובצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance), כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע הכולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו. לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים, ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים וכן לזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, והוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, כלומר את מסלול האירועים שלו, וכך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control), כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).

אף שבכל תהליך מוגדר מסלול אירועים נורמלי, המערכות עדיין מאפשרות, ובצדק, גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא ייגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים ייתכן שיתרחשו מקרים הנוגדים את כללי הארגון, ועל המבקר הפנימי לזהות מקרים אלו ולבחון אותם.

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל שבמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[7]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 שלהלן.

תרשים 1: תהליך רכש בבנק אירופי מוביל. מקור:Jans et al. (2011)

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה (2) ושחרור (3) משני מאשרים שונים. שלבי קבלת הטובין (4) וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה, ניתן לשנות את הזמנת הרכש לאחר הפקתה, אבל אז תידרש חתימה חוזרת ושחרור חוזר. כמו כן, טובין יכולים להתקבל לשיעורין בכמה משלוחים, ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך שהושלמו עד סופם, כלומר כשסולק מלוא התשלום בגין הרכש – סך הכול כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery  

מטרת אלגוריתם זה היא ללמוד כיצד מבוצע התהליך בפועל במופעים השונים ולזהות את אלה החורגים מהדגם הנורמלי שלו.

בשלב הראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך, כלומר את המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה, נוסח נורמלי של התהליך הוא: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ועלולים להוות סיכון. לדוגמה, באחד הנוסחים שנמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" בלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי על פי החוקים, בתנאים מסוימים אכן לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.

דוגמה נוספת: בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן בכך מדובר.

הנוסחים ה"מעניינים" ביותר למבקר הם אלה שתדירותם נמוכה. לדוגמה, בניתוח נמצאו שלושה מקרים שבהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת.

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה היא להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב-26 אלף המופעים של תהליך הרכש. כאשר מספר העובדים גדול, העובדים מבצעים כמה תפקידים במקביל וקיימת תחלופה דינמית בתפקידים. לכן גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP-, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בשלב הראשון של ניתוח התפקידים על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי עובד מסוים. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש. (2) קבלת חשבונית וקבלת טובין. (3) שחרור הזמנת רכש וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic), ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהן מעורבים שלושה מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)  

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית, ולנסח תובנה על המוטיבציה והמשמעות של פעילותם. כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה מעמיקה יותר. לדוגמה, באמצעותו ניתן לזהות מקרים שבהם מופעים של התהליך מבוצעים בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

ניתוחים אלו אינם מתמקדים במסלול הפעילויות או במבצעים בלבד, אלא במשולב עם מאפיינים אחרים של הפעילויות שעשויים להיות מתועדים ביומן התנועות עצמו או בטבלאות מסד הנתונים של המערכת. באמצעות מספר מזהה של כל אירוע, יכולה תוכנת הניתוח לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור, באמצעות אלגוריתם הגילוי נמצא שב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נוהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הוא עד 12,500 אירו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי, או שסכום ההזמנה הוא 125,000-12,500 אירו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות, הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק הצליחה כריית תהליכים על יומן האירועים של מערכת ה-ERP לאתר באופן אוטומטי הפרות של הפרדת תפקידים והיעדר אישורים וחתימות הדרושים להזמנת רכש שלא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.

שילוב כריית תהליכים עם טכניקות ממוחשבות אחרות לביקורת תהליכים

הצגת טכניקת ביקורת ממוחשבת חדשה מעלה באופן טבעי את השאלה כיצד היא משתלבת עם כלי הביקורת הממוחשבים הקיימים ולאילו משימות ביקורת מתאים כל כלי. בפרק זה נסקור בקצרה את הכלים העיקריים התומכים כיום בביקורת תהליכים עסקיים: ביקורת מתמשכת Continuous Auditing)) וכן ניתוח ותִחקור נתונים ((Data Analysis, ונבחן כיצד כריית התהליכים משתלבת עם כלים אלה.

ביקורת מתמשכת וכריית תהליכים

ביקורת מתמשכת מבוססת על תוכנה שסורקת ומנטרת באופן קבוע ואפילו בזמן אמת את הפעילויות המתבצעות במערכות רגישות בארגון, וכאשר היא מזהה בתוך כך אירועים חריגים או פעולות שבוצעו ונרשמו במערכות הארגון שלא על פי נהלים היא מיד מעבירה דיווח על כך למבקר[8]. בין היתר, התועלת במערכת זו היא קיצור פרק הזמן של הבאת אירועים חריגים למודעוּת הביקורת ולטיפולה[9]. סביב תפיסת הביקורת המתמשכת התפתח פולמוס עקרוני. יש שהתנגדו לשימוש בטכנולוגיה זו ככלי של הביקורת הפנימית בשל  החשש שהשימוש יהפוך את המבקר לאחראי דה פקטו על הבקרה המתמשכת על טיב הפעולות, במקום שהאחריות תוטל כנדרש על ההנהלה. לעומת זאת, המצדדים בביקורת מתמשכת מדגישים כי אין הכוונה שהמבקר יחליף את המנהלים באחריות לבקרה השוטפת של הפעילות בגזרתם ושהמבקר יתערב בכל חריגה או כשל, אלא המטרה היא שהמבקר יוכל להפעיל את שיקול דעתו לביצוע ביקורת במקרים שבהם תוכנת הביקורת המתמשכת תזהה הצטברות של כשלים וחריגות בנושא מסוים. למרות הבעייתיות המסוימת בשימוש המשותף של ההנהלה ושל הביקורת, העניין בביקורת המתמשכת הולך וגובר[10].

בדומה לביקורת מתמשכת, גם כריית תהליכים מזהה כשלים וחריגות, אולם ברמת כלל התהליך ולא ברמת אירוע. בשונה מתפיסת הביקורת המתמשכת, אין בכריית תהליכים דגש על תכיפות עריכתה וסמיכותה למועד האירועים הנבדקים.  היא מבוצעת על נתונים היסטוריים שנגזרים באופן תקופתי מהמערכת הנבדקת, ונערכת בסביבת מחשבים נפרדת ובלתי תלויה, כגון מחשבו האישי של המבקר, ולכן אין עוררין על התאמתה ככלי לעריכת ביקורת בלתי תלויה.

עם זאת, במערכות בעלות אוריינטציה תהליכית, ניתן לשלב במסגרת כלי ניטור וביקורת מתמשכת גם אלגוריתמים של כריית תהליכים מסוימים שישמשו לניטור מתמשך של תקינות תהליכים ויעבו בכך את מערך זיהוי החריגות וההתרעות. לדוגמה, ניתן להפעיל באופן תכוף אלגוריתם לניתוח תפקידים שיזהה בצורה מיידית הפרות של הפרדת תפקידים בתהליכים ויתריע על כך. אלגוריתמים אלה ישפרו את הבקרה הפנימית של התהליכים שבאחריות ההנהלה, ובמקביל יספקו מידע חיוני למבקר בהערכת סיכוני התהליכים שעליו להתחשב בהכנת תכניות העבודה שלו.

כלי ניתוח ותחקור נתונים וכריית תהליכים

כלים ממוחשבים לתחקור וניתוח קובצי נתונים כגון IDEA ו-ACL הנמצאים בשימוש המבקר הפנימי מאז שנות השמונים, מאפשרים ניתוחים אנליטיים וזיהוי שגויים וחריגים המביאים תועלת רבה בהערכת הבקרות הפנימיות[11]. אולם כלים אלה יעילים בעיקר לניתוחי בקרה פנימית ברמת הטרנזקציה (Transaction Level Control), כלומר בקרות הקשורות לאירוע מסוג מסוים. לדוגמה, במסגרת ניתוח אנליטי ניתן לזהות באמצעותם סכומי מינימום ומקסימום של הזמנות רכש בתקופה מסוימת, במטרה לבחון האם הם חורגים מהסכומים המצופים. כמו כן, במסגרת ניסוי הבקרות ניתן לתחקר קובץ של חשבוניות מכירה, ולאתר חשבוניות שבהן שיעורי ההנחה חורגים מהמקסימום המותר או לזהות אי רציפות של מספרי החשבוניות.

בביקורת של תהליכים עסקיים, לעומת זאת, ניתוח ברמת הטרנזקציה איננו מספיק למבקר והוא נדרש לבדוק ולהעריך גם את טיב הבקרות הפנימית המתפרשות על כלל התהליך (Process Level Control). לדוגמה, קיום של "הפרדת התפקידים" בתהליך או ביצוע של סדרת האישורים המתאימה על ידי הגורמים המתאימים בהתאם לחוקי הארגון. טכניקת כריית תהליכים מתאימה יותר לביצוע ניתוחים אלה כפי שהראנו בפרק הקודם.

ברמה הפרקטית, האלגוריתמים לכריית התהליכים (שחלקם הוצג במאמר) עדיין אינם זמינים כתוכנת מדף  למשתמשים. עם זאת, הניסיון מלמד כי טכניקות ביקורת ממוחשבות חדשות שהוצעו והוכחו כיעילות שולבו בסופו של דבר כשיטת ניתוח במסגרת תוכנות הביקורת וניתוח הנתונים הקיימות. כך למשל אירע עם הליך הניתוח הספרתי המבוסס על חוק בנפורד (Benford's Law)[12]. לכן אני מעריך כי גם אלגוריתמים אלה ישולבו באופן דומה בחבילות תוכנה מסחריות לביקורת (ACL, IDEA וכדומה) ויגבירו את התועלת של כלים אלה לביקורת.

סיכום

כפי שהוכח לאחרונה במחקרים, כריית תהליכים שמטרתה לספק תובנות ניהוליות כלליות על תהליכים עסקיים, מצליחה גם בהערכת בקרות פנימיות ברמה תהליכית שכלים ממוחשבים קיימים מתקשים בביצועה. לכן הערכתי היא שהטכניקה החדשה עתידה להשתלב ב"ארגז הכלים" של המבקר הפנימי הן במסגרת תפריט הפעולות בתוכנות לניתוח ותחקור נתונים (כגון ACL או IDEA) והן במסגרת יישומי ביקורת מתמשכת, ולתרום להגברת האפקטיביות של הביקורת.

מקורות

[1]van der Aalst, W. M., Reijers, H. A., Weijters, A. J., van Dongen, B. F., Alves de Medeiros, A. K., Song, M., & Verbeek, H. M. W. (2007). Business process mining: An industrial application. Information Systems, 32(5), 713-732.

[2] van der Aalst, W. M., & de Medeiros, A. K. A. (2005). Process mining and security: Detecting anomalous process executions and checking process conformance. Electronic Notes in Theoretical Computer Science, 121, 3-21.

[3] Caron, F. Vanthienen,J. & Baesens B. (2013),  A comprehensive investigation of the applicability of process mining techniques for enterprise risk management, Computers in Industry, 64,  464–475

[4] Jans, M., van der Werf, J. M., Lybaert, N., & Vanhoof, K. (2011). A business process mining application for internal transaction fraud mitigation. Expert Systems with Applications, 38(10), 13351-13359.

[5] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), A Field Study on the Use of Process Mining of Event Logs as an Analytical Procedure in Auditing. The Accounting Review, September, (89:5), 1751-1773.

[6] Natovich, J. (2009). Business process management systems: The internal control perspective. ISACA Journal, 6, 51.

[7] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), שם

[8] שחר א. (2011) פנים אל פנים, רואה החשבון, ספטמבר

[9] Sparks D.E. (2011), The value of Timely Reporting, Internal Auditor, June, p. 72

[10] Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. Journal of Information Systems, 22(2), 195-214

[11] Debreceny, R., Lee, S. L., Neo, W., & Toh, J. S. (2005). Employing generalized audit software in the financial services sector: Challenges and opportunities. Managerial Auditing Journal, 20(6), 605-618.

[12] Durtschi, C., Hillison, W., & Pacini, C. (2004). The effective use of Benford’s law to assist in detecting fraud in accounting data. Journal of forensic accounting, 5(1), 17-34.‏

The post שווה זהב: כריית תהליכים (Process Mining) – טכניקת ביקורת להערכת בקרות פנימיות בתהליכים עסקיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

"מנכ"לים או יו"רים שלא מבינים שהמבקר הוא קודם כל נכס וכלי ניהולי עבורם – לא מבינים את מהות התפקיד"

"אני נמצא בהתדיינות עם הממשלה לקידום חוק המבקרים הפנימיים בהתאם למסקנות ועדת זיילר. כרגע קיימת מחלוקת בין גופי הביקורת ונציגיהם לגבי כישוריו, הכשרתו  ומעמדו של המבקר. אנו רוצים להגיע כעת להבנות גם לגבי הגוף שייצג את המבקרים"

"הצעתי לשרת המשפטים להעניק לתפקיד המבקר במשרדים ממשלתיים תקן של סמנכ"ל. אני מאמין שאם אנו נציב רף גבוה לתפקיד המבקר במשרד ממשלתי, חשיבה זו תרד גם לשטח ונראה שינויים גם שם"

 הוא אינו מרבה להתראיין בתקשורת, אולם ח"כ אמנון כהן (ש"ס) הוא כבר למעלה מעשור איש מפתח בעל השפעה רבה על מקצוע הביקורת הפנימית בישראל. הוועדה שהוא עומד כיום בראשה וחבר בה משנת 2003 (עם הפסקה קצרה) עוסקת לא רק בענייני ביקורת המדינה אלא גם במעמדם ובסמכויותיהם של המבקרים הפנימיים. בנוסף הוא גם חבר בוועדת הכספים. לכן לא פלא כי בגיליון הבכורה של כתב העת ביקשנו לראיין את האיש ולשמוע ממנו בגוף ראשון על פעילות הוועדה לענייני ביקורת המדינה בכלל ובקידום מעמד המבקרים הפנימיים בפרט. ח"כ כהן מתגלה בריאיון כאיש ציבור בקיא שמכיר בחשיבות הביקורת הפנימית ורואה בה סוג של שליחות, הוא אינו נרתע לתבוע מהנהלות לתקן ליקויים, ויש לו גם תכניות לשיפור מעמדם של המבקרים הפנימיים אם כי הוא נמנע מלנקוב בלוח זמנים. האם אנו יכולים להיות אופטימיים? תשפטו בעצמכם.

נפתח בשאלה אישית – אתה מכהן כבר כמה קדנציות כחבר או כיו"ר בוועדה לענייני ביקורת המדינה. מה מביא אותך להתעניין ולפעול דווקא בתחום זה?

מבחינתי העניין המיוחד בתחום הביקורת הוא היכולת לעקוב, לעמוד ולוודא אחר תיקון ליקויים. הקו המנחה שלי הוא – לא עוזבים נושא עד שתוקנו כל הליקויים. אם תסתכלו בפרוטוקולים של הדיונים שאני מנהל תראו שאני דואג בסיכום הדיון לבקש מהגוף המבוקר לנקוב בתקופת זמן שבה יתוקנו הליקויים, ואם הדבר לא מבוצע אני דואג לערוך דיון נוסף אצלנו בוועדה בכנסת עד למיצוי הנושא.

כשאתה בוחן את פעילותך במסגרת הוועדה עד כה, אילו הישגים אתה רואה כ"גולת הכותרת" של פעילות פרלמנטרית זו? אילו נושאים עומדים לטיפול כיום בראש סדר יומה של הוועדה?  

זו שאלה מעניינת שדורשת מחשבה. להבדיל מוועדות אחרות שבהן שימשתי כיו"ר (ועדת כלכלה, ועדת פנים והגנת הסביבה, ועדת פניות הציבור) שבהן תחומי העיסוק מוגדרים לרוב סביב כמה נושאים, הרי שבוועדה לביקורת ספקטרום הפעילות אינו מוגבל. אנחנו מתעסקים בחינוך, בביטחון, ברווחה, בבריאות וכמעט בכל תחום שקיים, מקטן עד גדול. תחת הביקורת שלנו נמצאים כל משרדי הממשלה, החברות הממשלתיות וכל השלטון המקומי.

כן אציין כמה נושאים שהצלחנו להוביל בהם שינוי – העלינו על סדר היום הציבורי את תקציבי הרזרבות חסרי התקדים שהחביא שר האוצר בתקציב הקודם, שהיו גבוהים ב-13.2 מיליארד ש"ח מהמקובל. בתחום הספורט עזרנו להביא לבחירות דמוקרטיות בבחירות ליו"ר ההתאחדות לכדורגל לפני כשנה.

בתחום מוסדות ההשכלה הגבוהה – נושא שחברי כנסת נזהרים מלגעת בו בשם המושג העמום "חופש אקדמי" – קיימנו דיונים רבים בשלל תחומים, בין היתר בפיקוח על ניהול ובקרת התקציבים, דיווח למדינה מה עושים המוסדות עם הכסף, מימון של קליניקות משפטיות באוניברסיטת חיפה על ידי גופים (שלכאורה) מעודדים פעילות טרור נגד מדינת ישראל ועוד.

בתחום הביטחון – בעקבות "צוק איתן" נכנסנו לעובי הקורה בחודשים האחרונים במסגרת דיוני הוועדה החסויים, ובדקנו את נושא היערכות המדינה לאיום המנהרות בעשור וחצי האחרון. אני מקווה שבעקבות הגילויים שם יימנעו טעויות כאלה בעתיד.

אף שהדיונים הללו לרוב חסויים וסגורים, אנו מבקרים את המקומות הכי רגישים במערכות הביטחון, כולל סיורי שטח רבים שאני עורך בארגונים כדי לעמוד על תיקון הליקויים.

זכית באות "אביר איכות השלטון" לשנת 2006 מטעם התנועה לאיכות השלטון. כיצד אתה מעריך את איכות השלטון בישראל לנוכח פרשיות השחיתות והפלילים המתגלות בצמרת השלטון ובמינהל הציבורי, פרשיות שבהן מעורבים ראשי ממשלה, שרים, ראשי רשויות מקומיות וכן רשויות ממשלתיות כגון משטרת ישראל, נמלי ישראל ופקידים בכירים בשלטון המקומי? בכלל זה נבקש את התייחסותך: מה נעשה עד כה ומה יש עוד לעשות לחיזוק איכות השלטון ולחיזוקם של הגורמים המופקדים על השקיפות ועל איכות השלטון?

לשאלה הראשונה – ישראל היא מדינת חוק. יש לנו מערכת אכיפת חוק חזקה שלא נרתעת לטפל בשום מקרה או גוף ללא הבדל מעמד, ואנחנו עדים לכך בשנים האחרונות. קודם כל זו בהחלט סיבה להיות מרוצים. כתוצאה, אי אפשר תמיד לתפוס בזמן אמת עבריינים שסרחו בצמרות של ארגונים, אבל בהחלט אפשר להיות בטוחים שהמערכת לא מרפה גם לאחר סיום תפקידם.

לחלק השני – כיו"ר ועדת ביקורת אני עד להגברת הפיקוח על בעלי משרות בכירות וארגונים בישראל. זה מתבטא בחיזוק מעמדה של הביקורת, בעין הציבורית שנמצאת בכל מקום, ובתקשורת שלא מרפה ומרחרחת בכל פינה וטוב שכך.

מצד שני חשוב לזכור שזהו חבל דק מאוד – העובדה שנבחרי ציבור או בכירים אחרים בשירות המדינה נמצאים תמיד תחת זכוכית מגדלת, שלעתים רבות חודרת לחייהם האישיים בלי פרופורציה – יכולה להבריח את הטובים מהמקומות הללו. דווקא היום, ודווקא מפני שבשנים האחרונות ראינו אנשים שסרחו ומעלו באמון הציבור שניתן להם, אנו צריכים לעודד את הצעירים הטובים ביותר להיכנס למערכות הציבוריות. להוביל ולשנות מתוך המערכות – ולא לשבת על הגדר ולהתלונן ולדבר על המילקי בברלין. הפתרון הוא בשינוי מבפנים, ושינוי מבפנים צריכים לבוא על ידי הכנסת הכוחות הצעירים והמוכשרים ביותר שיש לעם הזה להציע.

אתה משוחח ונפגש עם מבקרים פנימיים ועם הנהלות של ארגונים שונים. כיצד אתה מוצא את תפקיד ומעמד הביקורת בארגונים בארץ? איך אתה מעריך את האיכות והמקצועיות של עבודת המבקרים? אילו דברים לדעתך דורשים שיפור ותיקון מצדם של המבקרים הפנימיים וגם מצד ההנהלות? 

מנכ"לים ויו"רים שלא מבינים שהמבקר הוא קודם כל נכס וכלי ניהולי עבורם – לא מבינים את מהות התפקיד. העובדה שלצד המנכ"ל יש מבקר פנים חזק שיודע את העבודה, יכולה לשפר את תהליך זרימת העבודה, לגלות מבעוד מועד צווארי בקבוק ולמקסם תהליכים – זה נכס. אני מאמין שכדי שנקבע תפיסה זו, גם לממשלה יש תפקיד ייצוגי בכך: כפי שהצעתי לשרת המשפטים, אני מבקש להעניק לתפקיד המבקר במשרדים ממשלתיים תקן של סמנכ"ל. אני מאמין שאם אנו נציב רף גבוה לתפקיד המבקר במשרד ממשלתי, חשיבה זו תרד גם לשטח ונראה שינויים גם שם.

בציבור קיימת תחושה שלאחר הגשת הדוח השנתי של מבקר המדינה, התקשורת עוסקת יום-יומיים בממצאים החמורים ואחר כך מוכנס הדוח למגירה ונשכח. מהי התייחסותך? כיצד ובאיזו מידה פועלת הוועדה לתיקון הליקויים ולמימוש ההמלצות של דוחות המבקר?

כמי שנושם ביקורת מהבוקר ועד הערב, וגם מכיר קצת את עבודת הכנסת והתקשורת כאן במשכן, אני רוצה להעביר לך מסר – הציבור חייב להבין שההד הציבורי בעיתונות לא משקף תמיד את המציאות כהווייתה. השאלה שהעלית היא דוגמה מצוינת לכך: התקשורת לא תמיד מתעניינת בדיון שאני עורך בפעם השנייה או השלישית על בטיחות בגני ילדים (לדוגמה). למה? – כי זה לא מעניין לדווח אילו תקנות תיקן הפקיד הרלוונטי במשרד החינוך ואילו לא. מצד שני, אני יודע שאם התקנות לא ישתנו – עתידם של ילדים רבים בגני הילדים הוא הפקר. לכן אני מתעקש ועושה דיונים חוזרים ועוקבים עד שהמלצות דוח המבקר ייושמו. התקשורת מצדה, ואולי בצדק, מתעסקת בדברים אחרים שעל סדר היום הציבורי. לכן התחושה היא כאילו הנושא נשכח, אך בפועל אין זו המציאות. הוועדה לביקורת המדינה בסופו של דבר מעלה לסדר היום 90%-80% מהנושאים שבדוח המבקר.

מאז שנות השמונים מונו לכהונת מבקרי המדינה רק שופטים בדימוס מבית המשפט העליון והמחוזי, ולא מונו מבקרים בעלי שם מהמינהל הציבורי או העסקי (כפי שמקובל בארצות העולם), ולא מונו מבקרים מקצועיים שצומחים מתוך המערכת עצמה (כפי שמקובל בדרך כלל במערכות מקצועיות דומות כגון בנק ישראל ופרקליטות המדינה). ה"מסורת" הזאת לא רק מטרידה, אלא גם  שמה דגש משפטני יתר על המידה על חשבון דגש מינהל ציבורי-חברתי-כלכלי-עסקי, ואינה מוסיפה למעמד עובדי הביקורת המסורים הן במשרד מבקר המדינה והן בגופים הממשלתיים ובכלל. מהי דעתך בנושא?

סביב השאלה – האם מבקר המדינה חייב להיות בהכרח שופט? – שווה אולי לקיים דיון שיכול להיות מעניין. בכל הנוגע למבקר הנוכחי אני יכול להגיד שהדוחות שלו דווקא מאוד רבגוניים, ולא ניתן להרגיש רק את הפן המשפטני. קיימת התעסקות רבה מאוד בצד הכלכלי-עסקי-חברתי סביב כל הנושאים הנוגעים ביוקר המחיה בישראל. המבקר כמעט שלא משאיר אבנים לא הפוכות ועל כך הערכתי לפועלו.

הוועדה, על פי הגדרתה, גם עוסקת ודנה במעמדם ובסמכויותיהם של מבקרים פנימיים. נודה על סקירת ההצלחות ואי ההצלחות בעניין קידום מעמדם וסמכויותיהם של המבקרים הפנימיים.

בשלב זה אני נמצא בהתדיינות עם הממשלה לקידום חוק המבקרים הפנימיים בהתאם למסקנות ועדת זיילר. כרגע קיימת מחלוקת בין גופי הביקורת ונציגיהם לגבי כישוריו, הכשרתו ומעמדו של המבקר. אנו רוצים להגיע כעת להבנות גם לגבי הגוף שייצג את המבקרים. כשם שיש איגודים שונים שהם ת"פ של משרדי ממשלה, גם כאן צריך למצוא את הגוף הרלוונטי, בין אם זה משרד משפטים ובין אם זה גוף אחר.

יעדי הוועדה לשנים הקרובות בנושאי הביקורת הפנימית: מהן המטרות והיעדים שהוועדה שואפת לקדמם וכיצד היא פועלת ותפעל להשגת יעדים אלה?

מטרתנו היא לקדם את חוק הביקורת הפנימית שחוקק בשנת 1992 אך תקנותיו לא הוטמעו, וכמובן שבשגרה להמשיך ולטפל בדוחות מבקר המדינה.

קיימת תחושה ואף יש אירועים המצביעים על כך שיש אי הידברות ולפעמים אף נתק בין  חלק מהמנכ"לים של משרדי הממשלה לבין המבקרים הפנימיים באותם משרדים. מהי התייחסותך לעניין?

אני חושב שזה מצב לא תקין. כפי שציינתי קודם, תדמיתו של המבקר כיום בעיני חלק מהמנכ"לים במשרדי הממשלה הוא של מישהו שיכין עליו תיק ביקורת לא מחמיא. זו אי הבנה ובורות לגבי תפקיד המבקר. מנכ"ל שלא מנצל את מרב הכלים שנמצאים בידיו – לדעתי חוטא באפשרות למקסם את פעילות משרדו.

מחקרים וניתוחים שנעשו העלו שחברות עסקיות רבות שחלה עליהן חובת מינוי מבקר פנימי פועלות להקצות לביקורת הפנימית שעות מועטות ובלתי סבירות, כיצד אתה רואה מצב זה?

אני רואה בזה דבר חמור. חלק מאותן החברות הן הגדולות במשק, מנהלות מיליארדים של שקלים מכספי הפנסיה שלנו ולא מבצעות כנראה את הביקורת המצופה מהן. רק בשנים האחרונות היינו עדים לקריסה של תאגידי ענק בינלאומיים. הארגונים הללו נכנסו לשאננות תפעולית וניהולית, ללא שומר סף שיתריע על כשלים מבניים או על צווארי בקבוק. כאן בדיוק מתחדדת חשיבותו של המבקר.

כיום אנו מחכים להוראות שיוציא נציב שירות המדינה לגבי השעות הנדרשות למילוי תפקיד המבקר במשרדי הממשלה.

לאחרונה התקבל בכנסת תיקון לחוק החברות ולחוק העמותות, שבמסגרתו הורחבה חובת הביקורת הפנימית על עמותות וגופים נוספים תוך חיזוק מעמד המבקרים הפנימיים ושל ועדת הביקורת בארגונים אלה. האם לדעתך קיימות עוד נישות במגזר הממשלתי והעסקי שבהן דרושים תיקוני חוק דומים-משלימים?

בהמשך לתשובתי הקודמת, אני מציע לשקול החלת חובת העסקת מבקר ומנגנון ביקורת פנימי בכל ארגון המנהל כספי ציבור בהיקף מסוים, כגון קרנות פנסיה וכדומה.

האם וכיצד הוועדה מקיימת קשר עם נציגות המבקרים הפנימיים? כיצד ניתן להרחיב את ערוצי ההידברות בין המבקרים הפנימיים לבין הוועדה המופקדת על סמכויותיהם ומעמדם?

הוועדה מקיימת קשר ישיר עם נציגי איגוד המבקרים. הם מוזמנים לכל דיון שרלוונטי עבורם ומוזמנים גם לדיונים שבהם דעתם העקרונית כנציגי המבקרים יכולה להוסיף. אני משתדל להגיע לאירועים השנתיים של ארגוני המבקרים ויחדיו אנו מקדמים מול הכנסת ומשרד המשפטים את מעמד המבקרים הפנימיים.

לסיכום הריאיון, איזה מסר אתה רוצה להעביר לציבור המבקרים הפנימיים שרואים בך כנציג המקצועי הבכיר של הרשות המפקחת והמחוקקת, וכמי שאמור לפעול להגברת השקיפות, הבקרה והביקורת במדינה ולפעול הגנתם של המבקרים הפנימיים?

במשפט אחד – אתם חוד החנית. אתם שומרים על הקופה הציבורית, אתם שומרים על השקיפות, על הניהול התקין ועל ביצוע המדיניות הלכה למעשה של הארגונים שלכם; בין אם זה בממשלה, במגזר השלישי, או בארגונים עסקיים שיש להם השפעה רבה על הציבור. תפקיד המבקר אינו מתאים לכל אדם – יש חשיבות להיות בעל דעת איתנה ולדעת לעמוד בפני לחצים מקצועיים וחברתיים בתוך הארגון. זה לא דבר פשוט ללכת נגד הזרם, לדעת לשאול את השאלות הקשות ולנסות לערער על המצב הקיים.

אני רוצה לחזק את ידיכם בברכת הצלחה בפועלכם, ולציין שאני עומד כאן לרשותכם אם אתם נתקלים בהתנכלויות או באי יכולת לבצע את עבודתכם נאמנה.

* הריאיון נערך בנובמבר 2014 , עוד בטרם סיימה הממשלה האחרונה את כהונתה.

The post "מבקר פנים חזק זה נכס": ריאיון עם ח"כ אמנון כהן – יושב ראש הוועדה לענייני ביקורת המדינה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.