הקדמה

בשנים האחרונות מתפתחת תפיסה של בנקאות פתוחה, שבבסיסה עומד העיקרון של פתיחת ממשק בין נותן השירותים הפיננסיים לבין צדדי ג', שבאמצעותו ניתן, בהסכמת הלקוח, לשתף מידע על הלקוח או ליזום תשלומים בחשבונו של הלקוח. לדוגמה, בדרך זו יכולים צדדים שלישיים (בהסכמת הלקוח) להציע לו לשירותי אגרגציה של מידע מכלל חשבונותיו, שירותי תשלום, ומוצרים פיננסיים המותאמים לצרכיו.

תפיסה זו מוּנעת על ידי כוחות רגולטוריים השואפים לקדם תחרות, על ידי התפתחויות טכנולוגיות המאפשרות לשחקנים חדשים להיכנס לזירת התחרות של השירותים הפיננסיים, ועל ידי השינוי שחל בטעמי הלקוחות, שהיום מורגלים לצרוך שירותים דיגיטליים בתחומים שונים ובסטנדרטים גבוהים של שירות וחוויית לקוח.

בתחום הרגולציה הגלובלית נזכיר את 2PSD – הדירקטיבה האירופית בנושא שירותי תשלום, את קבוצת ברלין, שהיא יוזמת תקינה אירופאית ומסגרת API המסייעת לבנקים לציית לרגולציית ה-PSD2, ואת הדוח של ה-BIS  (The Basel Committee on Banking Supervision)בנושא בנקאות פתוחה ו-API מנובמבר 2019.

API – Application Programming Interface הוא סט של פונקציות המסופקות על ידי מקור המידע ומאפשרות לארגונים חיצוניים להתחבר ולהשתמש בנתונים או בשירותים המוחזקים על ידו.

במקביל נוצרים בעולם מודלים עסקיים חדשים הבאים לידי ביטוי בשיתופי פעולה בין בנקים מסורתיים או דיגיטליים לבין חברות פינטק וכניסה של הביג-טק לזירת השירותים הפיננסיים. התרחבות המגמה של בנקאות פתוחה מהווה עבור המערכת הבנקאית איום והזדמנות כאחד,     המחייבים אותה לצעוד קדימה ולהיערך לשינוי המערכות הפיננסיות.

בהתאמה להתפתחויות אלה ובמסגרת גישה של תמיכה בחדשנות ועידוד התחרות, גיבש בנק ישראל  הוראה שפורסמה בפברואר 2020 בנושא יישום תקן לבנקאות פתוחה בישראל, המבוסס על API (להלן "ההוראה"). בהוראה מוגדרים החובות והכלים לניהול הסיכונים הן עבור מקורות המידע ומנהלי חשבון התשלום והן עבור ספקי צד ג'. ההוראה חלה על בנקים וחברות כרטיסי האשראי ונקבע בה כי התשתית של בנקאות פתוחה בישראל תיפתח לצדדים שלישיים כשתושלם חקיקה בנושא בנקאות פתוחה ותוחל עליהם רגולציה בעניין זה.

גם הביקורת הפנימית נדרשת להתפתח ולהתאים את עצמה בהיבטים שונים על מנת להישאר רלוונטית ואפקטיבית, לרבות: היכרות עם עולמות התוכן העסקיים, הטכנולוגיות החדשות, ורכישת מיומנויות, כלים ושיטות חדשים.

בהמשך המאמר נסקור את הסוגיות והאתגרים העיקריים הכרוכים ביישום בנקאות פתוחה המבוססת על API, ובפרט את האתגרים העומדים לנוכח זאת בפני הביקורת הפנימית:

• התאמת האסטרטגיה העסקית והטכנולוגית

בנקים מתמודדים עם אימוץ האסטרטגיות הנחוצות על מנת להישאר תחרותיים ורווחיים בסביבה הדיגיטלית הדינמית והמשתנה. סביבה זו דורשת אימוץ מהיר של טכנולוגיות, התמודדות עם שחקנים חדשים בזירה, ודרישות רגולציה.

הביקורת צריכה לבחון את תהליכי התאמת האסטרטגיה ואת יצירת המסגרות ליישומה – מדיניות, תוכניות עבודה, הקצאת משאבים ליישום וניהול הסיכונים וכדומה.

• הגנת הפרטיות וניהול הסכמת הלקוח

הגישה שאומצה על ידי ה- GDPR((EU’s General Data Protection Regulation ובאה לידי ביטוי גם בהוראה היא שהבעלות והשליטה על המידע הן של הלקוח. לפיכך נקבעו כללים לקבלת הסכמת הלקוח, לשיתוף המידע ולניהול ההסכמות, לרבות זכות ביטול ההסכמה והחובה לחדשה מדי שנה.

על הביקורת לבחון את אפקטיביות התהליכים והאמצעים הטכנולוגיים הננקטים לצורך עמידה בהוראות הגנת הפרטיות וכפי הנגזר מהוראות בנק ישראל. יש לציין כי מערכת נתוני אשראי שעלתה לאוויר באפריל 2019 מציבה אתגרים דומים בפני הבנק הן כספק נתונים למאגר והן כמשתמש בו, ובהתאמה בפני הביקורת.

• הסדרים עם צדדים שלישיים, סיכוני מוניטין וגבולות האחריות

ההסדרים עם צדדים שלישיים תלויים ברגולציה ובמסגרת היחסים החוזית בינם לבין הבנקים.

לכן התפתחות שיתוף הנתונים עם צדדים שלישיים תלויה בהתפתחות התיאום הרגולטורי בין רשויות הפיקוח השונות (למשל: רשות שוק ההון, רשות ני"ע, הרשות להגנת הצרכן), וצמצום פערים ברגולציה.

בעולם של בנקאות פתוחה, שבו צדדים נוספים מעורבים, הקצאת אחריות במקרה של נזק כספי או של שיתוף שגוי או דלף מידע היא מורכבת יותר. סוגיה זו מעלה גם את סיכון המוניטין עבור הבנק, שכן במקרים של תלונות וסכסוכים לקוחות נוטים לפנות לישות מוסדרת, כלומר הבנק שלהם, גם אם צד שלישי אחראי לעסקה השגויה או לדלף המידע.

הביקורת צריכה בהתאמה לבחון את ההסדרים של הבנק עם צדדים שלישיים, התאמתם לדרישות הרגולציה, ותהליכי ניהול הסיכונים והבקרות המשולבים ביישומם.

• פיתוח ותחזוקה של ממשקי API

יישום בנקאות פתוחה כרוך בהתמודדות עם אתגרים של יצירה והפעלה של ממשקי Api, במונחי עלות, זמן, תעדוף ורמות שירות (בעיקר כאשר הם נעשים על בסיס דו-כיווני עם ארגונים מרובים). הוראת בנק ישראל קובעת רף מינימלי של רמת השירות הנדרשת, בין היתר בהיבטי זמינות, זמני תגובה, עדכניות הנתונים, אחידות ונתיבי ניטור ובקרה.

יצירה והפעלה של ממשקי Api כרוכות בדרך כלל באימוץ של מתודולוגיות Agile ו-DevOps, שנועדו להאיץ את אספקת התוצרים תוך הפחתת התקורה. בנוסף, הן כרוכות בהתמודדות עם יצירת ממשקים של מערכות התשתית המיושנות הקיימות ככלל בתאגידים הבנקאיים מול שירותים/יישומים חדשים.

הביקורת צריכה להיות בעלת הבנה במתודולוגיות החדשות לפיתוח, בדיקה וניהול גרסאות. עליה לוודא כי בקרות מיושמות כחלק מתהליכי עבודה אלה. כמו כן, עליה לקצר את טווחי הזמנים ולבצע ביקורות ממוקדות ומהירות תוך כדי תהליך.

• אתגרי הבטחת הנתונים והגנת הסייבר

השיתוף של נתוני לקוחות והקישוריות הגוברת בין הבנקים לישויות שונות, מגבירים את החשיפה לגניבת נתונים או שיבוש בנתונים. שיתוף הנתונים מגדיל את המרחב עבור התקפות סייבר – בעת שהנתונים נאגרים אצל צדדים שלישיים ובממשקים שלהם עם הבנקים.

בשל כך גדל האתגר העומד בפני הבנקים בהיבטי הגנת הסייבר, וכנגזרת מכך גם בהיבטי המשכיות עסקית. בנושא זה, ההוראה קובעת בין היתר את חובת השימוש בפרוטוקולי תקשורת מאובטחים ואת החובה של ספק צד ג' להזדהות בפני מקור המידע באמצעות תעודה חתומה דיגיטלית שהונפקה על ידי ממשל זמין, לצורך פעילות בבנקאות פתוחה ("סרטיפיקט").

הביקורת צריכה לרכוש את המומחיות הנדרשת על מנת לבחון את אפקטיביות התהליכים והאמצעים הטכנולוגיים הננקטים לאימות חזק של לקוחות וצדדי ג', קיום תקשורת מאובטחת, וקיום מנגנוני ניטור התראה ותגובה אפקטיביים ויעילים.

סיכום

על מנת להיות אפקטיבית ורלוונטית, הביקורת נדרשת להיערך ליישום הבנקאות פתוחה. במקביל להיערכות התאגידים הבנקאיים, פונקציות הביקורת הפנימית נדרשות לפתח או להאיץ פיתוח של יכולות וכלים לבחינה של טכנולוגיות ומתודולוגיות פיתוח חדישות, להבנה של מערך היחסים והכללים שחלים על השחקנים/השותפים בתהליכי הבנקאות הפתוחה, ושל הסיכונים ואמצעי ההגנה הנדרשים ליישום. הדבר מהווה תנאי לכך שהביקורת הפנימית תוכל לספק הערכה בלתי תלויה ולהמשיך להביא ערך לארגון.

The post הביקורת בעידן הבנקאות הפתוחה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה:  ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

 האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

• תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
• בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
  • התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
  • קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
  • קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
• ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
• בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
  • הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
  • התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
  • התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
  • סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
• להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
  • קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
  • אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
  • התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
  • עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
• לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
  • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
  • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
  • הפרעות לאחסון חיצוני של מידע.
  • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
  • הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
  • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
  • האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
  • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
• בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
• מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
• מה עושים ב"יום שאחרי"?
  • ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
  • ברמת הביקורת הפנימית-
    • מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
    • בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

The post קווים מנחים – התנהלות הביקורת הפנימית בעת משבר (הקורונה) – הוועדה המקצועית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.