סוגים רבים של הטיה עלולים לגרום למבקרים פנימיים להסיק מסקנות לא נכונות בעת ביצוע הערכות סיכונים

אחת הפעילויות המבוצעות לעיתים קרובות על ידי מבקרים פנימיים היא הערכת סיכונים, הן כדי להגיע לחלוקת משאבים דלילים בצורה היעילה ביותר והן כדי לזהות סיכונים לארגון הקשורים למטלות הביקורת. אופן הביצוע של הערכות סיכונים בארגונים נתון לשיקול דעתם של מנהלי הביקורת הפנימית. שיטות ביצוע הערכות סיכונים הן מגוונות כמו המבקרים הפנימיים המיישמים אותן, אך יש דבר אחד קבוע: כל מבקר מושפע מתופעת ההטיה הקוגניטיבית, ללא קשר לאופן ביצוען של הערכות סיכונים.

מבקרים פנימיים מתגאים באובייקטיביות שלהם בעת ביצוע מטלותיהם המקצועיות ואינם מרשים לאמונותיהם ולחוויותיהם האישיות להשפיע באופן מוטה על שיקול דעתם בכוונה. אף על פי כן, הטיה קוגניטיבית היא "חיה אחרת" שבכוחה להוביל למסקנות לא נכונות אפילו בקרב המבקרים הפנימיים הזהירים ביותר.

מה זה הטיה קוגניטיבית?

הטיה קוגניטיבית היא קיצור דרך שמוחנו עושה בו שימוש  כדי  להגיע להחלטות באופן יעיל יותר. הבעיה היא שלקיצור הדרך המנטלי יש נטייה להסתמך על מידע חלקי או על מידע קל להשגה כדי לחסוך זמן על חשבון הדייקנות. חמור מזה, בדרך כלל אנשים אינם מודעים להטיות הקוגניטיביות שלהם עד  שמסיבים את תשומת ליבם לכך.

מעצם טבען, הערכות סיכונים לצורכי תכנון ביקורת הן מטלות סובייקטיביות התלויות בהפעלת מידה רבה של שיקול דעת, כשגם ככה הוא מושפע מהשערות לא מדויקות. כשהטיה קוגניטיבית נכנסת למשוואה, מידת הדיוק של התהליך עשויה לרדת אף יותר. זהו היבט העלול לגרום לחוסר מהימנות בתוצאות הערכת הסיכונים. מנהלי  ביקורת פנימית יכולים למזער את השפעתה של הטיה קוגנטיבית באמצעות פעולות להגברת המודעות לתופעה בעזרת יישום פרקטיקות מובילות.

סוגי הטיה רבים

השלב הראשון הנדרש לפתרון בעיה כלשהי הוא זיהוי הבעיה  והכרה בקיומה. חיפוש זריז באינטרנט מעלה סוגים שונים של הטיה קוגניטיבית. על אף שאין רשימה מקיפה של הטיות קוגניטיביות, מומחים ופסיכולוגים שונים זיהו יותר ממאה כאלה.

ללא קשר למספרם, הטיות מסוימות רלוונטיות יותר לתהליך הערכת סיכונים מאשר אחרות. על מבקרים פנימיים ללמוד את הנושא ולהכיר בהטיות מסוימות העלולות להשפיע לרעה על תוצאות הערכות סיכונים.

הטיה הנובעת מזיכרון טרי – תופעה שלפיה אדם זוכר אירוע שקרה לאחרונה טוב יותר מאשר אירוע שקרה מזמן. לדוגמה: כשל חמור בשרשרת האספקה שהתרחש אצל מתחרה בחודש האחרון עלול לגרום להקפצת נושא סיכוני שרשרת האספקה לראש רשימת הסיכונים להערכה. זה עלול לקרות גם אם לא היה שום שינוי בתנאי הסיכון או בנסיבות המשפיעות על המצב אצל המתחרה.

הטיה פסימית – העדפת העבר על מהלך העניינים היום. לדוגמה: שקלול סיכונים הקשורים לחששות בקשר למגפת הקורונה באופן לא פרופורציונלי על אף הראיות המצביעות על התגברות מוצלחת על המגפה כתוצאה מקמפיין החיסונים ומפעולות אחרות למזעור סיכונים.

אפקט פורר – רואים הטיה זו לעיתים קרובות במבחני אישיות, אך הטיה זו מתייחסת גם לדרך שבה אנשים נוטים למלא את החסר בהבנתם עם נימוקים שהם רואים כהגיוניים. זאת הטיה מסוכנת עבור מבקרים פנימיים כשבאים להעריך סיכונים בתחומים חדשים או בתחומים שבהם הידע שלהם מוגבל. לדוגמה: מבקרים המניחים כי איומי סייבר בעסק אינם מהותיים כי העסק אינו מקבל תשלומים באמצעות כרטיסי אשראי או אינו שומר מידע אישי רגיש על אנשים הכפוף לחקיקה בנושא הגנת הפרטיות  – בעוד הם אינם מבינים או לוקחים בחשבון סוגים אחרים של איומי סייבר, כמו כופרה (ransomware).

אפקט התיקוף העצמי – הנטייה של אנשים לחשוב שמשהו נכון אם יש לו משמעות עבורם באופן אישי. לדוגמה: מבקר המקבל כאמת טענה שלילית שמשמיע אדם שהוא מראיין בקשר למבוקר לשעבר שלו שהיה קושי לעבוד מולו.

הטיית קבוצת הייחוס האישית – הנטייה להעדיף באופן לא הוגן חברים מקבוצת הייחוס  שאליה אנו משתייכים. הטיה זו רלוונטית, למשל, כשמעריכים סיכונים בתחום אשר בניהולו של עמית לשעבר מהביקורת הפנימית.

אפקט ההילה – הנטייה להרשות להתרשמויות חיוביות להשפיע על שיקול דעתנו. לדוגמה: כאשר נותנים משקל רב יותר להתרשמותנו   מהמרואיין  במהלך הערכת סיכונים מאשר לעובדות העולות במהלכה. הטיה זו יכולה לקרות כאשר המרואיין ידידותי, מביע את עצמו באופן רהוט ועושה רושם שיש לו יותר מומחיות בתחום מאשר למבקר.

אפקט דאנינג־קרוגר – מצב שבו אדם בעל ידע מועט בתחום מסוים מאמין בטעות שרמת הידע שלו היא גבוהה מרמתה האמיתית. כמו אפקט פורר, מדובר במקרה קלאסי של הערכת יתר באשר ליכולות החשיבה שלנו.

דרך טובה להגביר את המודעות להטיות קוגניטיביות אלה ואחרות היא הקמת פעילות לימוד משותפת עבור צוותי הביקורת הפנימית. לדוגמה: פעם בחודש חבר אחר בצוות מעלה סוג אחד של הטיה קוגניטיבית לדיון של הצוות בפעילות המשלבת ארוחת צהריים וקבוצת דיון.

זיהוי הטיה פוטנציאלית

יש להקשיח שיטות ותהליכי הערכות סיכונים כדי לזהות את ההשפעה הפוטנציאלית של הטיה קוגניטיבית ולהפחית אותה. להלן כמה "מעקות ביטחון" העשויים לסייע למבקרים פנימיים להבטיח שהחלטותיהם לגבי הערכות סיכונים יישארו אובייקטיביות ככל האפשר:

Ÿ מבחני לחץ – יש לזהות הטיות קוגניטיביות נפוצות בקרב מבקרים ולבקש מצד שלישי לפתוח דיון כדי לבדוק האם תוצאות של הערכות סיכונים אכן הושפעו מהטיות.

Ÿ אסור להחליט החלטות בוואקום – יש למנף מספר נקודות נתונים ומספר מקורות ראיה. בנוסף, יש לכלול את נקודת המבט של אחרים בתהליכי הערכת הסיכונים, אך להיות מודע לאפשרות שהטיות עלולות להופיע גם ברמת הקבוצה.

Ÿ יש למנף מקורות מידע אובייקטיביים – עקב העובדה שהטיות קוגניטיביות מטבען מתעלמות מנתונים אמפיריים או מפספסות אותם, ההגנה הטבעית מפני סיכון זה היא לשלב אלמנטים מבוססי נתונים כדי לבצע תיקוף של תוצאות הערכות סיכונים ככל שאפשר.

Ÿ יש להשתמש בתוכניות ומטרות אסטרטגיות בתור "כוכב הצפון" שלכם- על תוכניות הביקורת לשקף את הכוונות האסטרטגיות ואת המטרות העסקיות של הארגון. במצב שבו תוצאות הערכת הסיכונים אינן מתיישבות עם האסטרטגיות והמטרות, זהו סימן שהמבקרים צריכים לבדוק האם התוצאות הושפעו מהטיה קוגניטיבית.

מיסוד תהליך להחלטות אובייקטיביות

כשמדובר בשיטות הערכות סיכונים, על הביקורת ליצור תהליך לבחינת מקרי הטיה בעת קבלת החלטות. מבקרים רבים משתמשים בשיטות מקובלות כמו השפעה והסתברות ככלי לסייע להם בתיעדוף תחומי ביקורת ספציפיים במהלך תהליך הערכת הסיכונים ונוהגים להשתמש במטריצות דירוג כדי להעריך את עוצמת הסיכון היחסית על פי מכפלה של ערך הסתברות האירוע בעוצמת השפעתו.

ככל הניתן, יש להשתמש במטריצות דירוג ביחד עם קווים מנחים כמותיים כדי לוודא שיש בסיס לתוצאות הדירוג בערכים הניתנים למדידה, ולא על בסיס אינטואיציה סובייקטיבית בלבד. כמן כן, השימוש בנוסחאות כמו סדרת הפיבונאצ'י (Fibonacci Sequence) יכול לסייע בפיזור התוצאות הנומריות כדי שציוני הסיכון המחושב לא יתקבצו סביב טווח קטן מאוד. לדוגמה: במדד דירוג מ־1 עד 5, ערכי ציון הסיכון נוטים להתקבץ סביב הערך 3.

 שיקול דעת – עדיין חשוב

הטיה קוגניטיבית היא אכן תופעה שעל מבקרים פנימיים להיות מודעים לה ולפעול נגדה כדי למזער את השפעתה על התוצאות של  הערכות סיכונים, אך לא בהגזמה. שיקול הדעת תמיד יהיה גורם בתוצאות הערכות סיכונים ויש ערך רב בשיקול דעתם המקצועי של מבקרים. לפעמים התחושות והאינסטינקטים של המבקר אכן נכונים ויש לקחת אותם בחשבון בנסיבות המתאימות.

* המאמר תורגם מגיליון אפריל 2021 של כתב העתINTERNAL AUDITOR

The post התגוננות מהטיה קוגניטיבית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ככל שמגפת נגיף הקורונה משנה את העולם, כך נאלצים מבקרים פנימיים להתמודד עם אותו עולם בדרכים שונות. אם לפני ההתפרצות עבדו המבקרים הפנימיים בהתאם לאותם כללי התנהגות ואותם תקנים והשתמשו בכלים דומים, כיום יש למבקרים עוד דבר במשותף: הצורך להתאים את עצמם לתנאי סיכון המשתנים בתכיפות.

הקורונה שינתה מן היסוד את פרופילי הסיכון של ארגונים רבים. הביקורת הפנימית צריכה להתאים את עבודתה לשגרה החדשה, ובו-בזמן גם לכייל את תוכנית הביקורת שלה מנקודת מבט על סיכון שונה לחלוטין.

תוכנית העבודה בסכנה

בואו נבדוק את השתלשלות האירועים. לקראת סוף שנת 2019 מבקרים פנימיים רבים כבר התחילו את תהליכי תכנון הביקורות והערכות סיכונים. עד החודשים הראשונים של שנת 2020, רוב מחלקות הביקורת הפנימית ברחבי העולם כבר בנו לפחות את השלד של תוכניות העבודה השנתית שלהם וחלקם כבר הגישו תוכניות פורמליות לוועדות הביקורת ולחברי ההנהלה. בחודשים הראשונים של שנת 2020, חלק מהמבקרים כבר התחילו לבצע את מטלות הביקורת.

הכול השתנה בחודש מרץ, כאשר נגיף הקורונה התחיל להתפשט ברחבי העולם ועסקים חוו את ההשלכות הראשוניות של צעדי הריחוק החברתי. מבחינה תפעולית, ארגונים רבים שינו את אופן התנהלותם העסקית. מבחינת ציות, במהלך ההתפרצות תעשיות שלמות קיבלו הקלות בדרישות הרגולטוריות ודרישות אחרות הושהו.

ככל שצעדים אלה התגברו, מבקרים רבים שינו באופן דרסטי את תוכנית העבודה שלהם. ארגונים נתקלו בשיבושים רבים כל כך עד שכמעט היה בלתי אפשרי לבצע חלק ממטלות הביקורת או שפשוט לא היה טעם לבצען. במסגרת סקר בזק שערך ה-IIA בחודש אפריל 2020, רוב המשיבים דיווחו שעצרו או צמצמו את ההיקף של חלק ממטלות הביקורת, וכמעט מחציתם ביטלו כליל חלק מהמטלות.

ארבעה מתוך עשרה משיבים דיווחו שנאלצו להטיל על צוותי הביקורת משימות שאינן קשורות לביקורת. משיבים אחרים דיווחו על הוצאת צוותי ביקורת לחל"ת, על צמצומי תקציבים שהובילו לעצירת עבודת הביקורת, ועל צוותי ביקורת שמבצעים רק עבודות אדמיניסטרטיביות.

תוכנית עבודת הביקורת הפנימית לאחר מגפה עולמית

תוכנית העבודה לפני המגפה הייתה מבוססת על פרדיגמת הסיכון הישנה. בעולם שלאחר המגפה, על מבקרים פנימיים ראשיים לחשוב אחרת לגבי הסיכונים העומדים בפני ארגוניהם ולבחון איך להקצות מחדש את משאבי הביקורת. להלן מספר שאלות שכדאי שמבקרים פנימיים ראשיים ישאלו במסגרת חשיבה מחדש על תוכניות הביקורת שלהם.

איך נראה המצב הנורמלי החדש בארגון? אפילו ארגונים שנפגעו בצורה מינימלית מהקורונה עוברים שינויים מערכתיים בסביבת הסיכון שלהם (ראו "שאלות למבקרים פנימיים ראשיים" בסוף כתבה זו). נזקים כבדים עלולים להיגרם למוסדות ולמערכות שעליהם נשענים ארגונים רבים, ורגולטורים, מוסדות פיננסיים ושרשראות אספקה עלולים לחוות שיבושים במשך זמן רב. לא מן הנמנע שחלקם לא ישרדו את המשבר.

האם תהליך הערכת הסיכונים שלי מספיק גמיש? השאלה הזו קריטית כאשר מבקרים פנימיים ראשיים מתחילים לקבוע סדרי עדיפויות בעניין הקצאה מחדש של משאבים כדי לטפל ברמות סיכון גבוהות יותר, הן בתחומי סיכון המסורתיים והן בתחומי סיכון חדשים ולא ידועים. הערכות סיכונים חייבות להיות גמישות ומסוגלות לנתח מצבים תוך כדי תנועה, מפני שהדינמיקה של הסיכונים עשויה להשתנות בכל עת בטווח הקרוב. על מבקרים פנימיים ראשיים לבחון תהליכי הערכות סיכונים מסורתיים ולייעל אותם.

האם לצוות שלי עדיין יש את המיומנויות הנדרשות כדי לבצע הערכות סיכונים ותוכניות ביקורת? סביר להניח שבעולם שלאחר המגפה העולמית פרופילי הסיכון ישתנו, ובחלק מהארגונים – באופן דרמטי. מבקרים פנימיים ראשיים צריכים להעריך את כישורי הצוותים שלהם ואת היכולת של מחלקת הביקורת הפנימית לזהות סיכונים ולבצע משימות ביקורת שמתמקדות בסוגים חדשים של סיכונים. עליהם להתייחס לשאלות כגון:

• איך השתנה הצוות במחלקת הביקורת הפנימית?
• האם רמת המקצועיות בקרב העובדים השתנתה והאם חלו שינויים בכישורים?
• האם נדרשים כישורים חדשים כתוצאה מהשינויים בפרופיל הסיכון של הארגון?

האם לצוות שלי עדיין יש דפוס חשיבה אובייקטיבי? זמנים חסרי תקדים דורשים אמצעים חסרי תקדים, ובמהלך מצב החירום מבקרים פנימיים רבים נקראו לבצע מטלות שלעולם לא העלו על דעתם שיבצעו. מבקרים פנימיים ראשיים צריכים לבחון את האובייקטיביות של צוותיהם, ולבדוק אם מבקרים עסקו בפעילויות שלא קשורות לביקורת פנימית בתוך העסק, או שביצעו פעילויות שבמצב נורמלי היו נחשבות כמנוגדות לסטנדרטים המקצועיים.

עולם חדש של סיכונים

העולם שונה עכשיו והסיכונים שונים. על מבקרים פנימיים לכייל את נקודת המבט שלהם על הסיכונים הטבועים העומדים בפני ארגוניהם עכשיו, כשתקופת ההתאוששות מתחילה.

מעבר חד מתקופה לתקופה אינו תופעה חדשה, אך הקורונה מנחיתה פגיעה בקנה מידה גלובלי ובעוצמה חזקה יותר מכל אירוע אחר שחוו רוב המבקרים אי פעם. יכולת התגובה של הביקורת הפנימית היא חיונית לא רק למידת התאוששות הארגונים שמשרתת הביקורת, אלא גם לאופן שבו הביקורת הפנימית מתאימה את עצמה מחדש לצרכים של בעלי העניין שלה.

שאלות למבקרים פנימיים ראשיים

על מנת להעריך את המצב בארגונם במהלך משבר הקורונה, כדאי שמבקרים פנימיים ראשיים ישאלו את השאלות הבאות:

• איך נראית מצבת כוח האדם בארגון כעת? האם בוצעו צמצומים או ארגון מחדש?
• האם בעלי העניין העיקריים השתנו? האם צפויים להיות לנו מבוקרים חדשים?
• האם צמצומים בכוח האדם או ארגון מחדש השפיעו על אופן הביצוע של בקרות פנימיות? האם יש צורך לבחון בעיות חדשות של הפרדת תפקידים או של בקרות שכבר אין מישהו שאחראי עליהן?
• אילו תהליכים השתנו באופן זמני או קבוע?
• אילו מערכות עברו התאמות זמניות או שונו באופן קבוע? האם במהלך ביצוע שינוים אלה בוצעו בקרות IT ראויות? אם לא, מהן ההשלכות לכך?
• אילו בקרות שונו כדי להתאימן למצבים עסקיים או לסיכונים יוצאי דופן?
• האם חלו שינויים בתפקידי מפתח, כגון אובדן של מומחיות בתחום ספציפי או אובדן של מנהלים המובילים תחומים אסטרטגיים?
• האם הארגון שינה את המיקוד האסטרטגי שלו בטווח הקצר או הארוך?
• האם השתנו מבני העלויות?
• האם התרחשו שינויים יסודיים במבני החוב וההון של הארגון? האם חלות אמות מידה פיננסיות חדשות או שונות?
• אילו אתגרים משפטיים או אתגרי ציות עומדים בפני הארגון (חשיפות לתביעות או שינויים בתשתית הציות)?
• האם צמחו הזדמנויות עסקיות חדשות? אם כן, האם זוהו הסיכונים הנלווים?
• האם השתנו יסודות הפעילות של היחידות עסקיות או האסטרטגיה שלהן?
• איך השתנתה הדינמיקה של ההמשכיות העסקית (שינויים בתשתיות מרכזיות, שינויים בלקוחות עיקריים)?
• איך השתנתה הדינמיקה של ניהול סיכונים עסקיים (סיכונים מרכזיים, מדדי סיכונים מרכזיים, תוכניות תגובה, תיאבון סיכון)?
• איך השתנתה הדינמיקה של החוק האמריקאי סרבנס-אוקסלי משנת 2002, לרבות שינויים מול מבקרים חיצוניים, הדינמיקה הרגולטורית, ושינויים בגורמים האחראים על בקרות?

The post הערכת סיכונים בעולם שלאחר מגפה עולמית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

RPA תופס תנופה בעולם העסקי ככלי לאטמט משימות חזרתיות סטנדרטיות המחייבות מינימום של שיקול דעת או חשיבה אנושית. הטכנולוגיה משחררת לאנשים זמן משמעותי לבצע עבודה שהיא בעצם אנושית יותר – משימות המחייבות מידה רבה של מחשבה אינטלקטואלית ואנליטית.

טכנולוגיית RPA בסיסית קיימת כבר כמה עשורים. לדוגמה, סוגים שונים של "מאקרו" בגיליונות אלקטרוניים קיימים זמן רב ומאפשרים למשתמשים לאטמט משימות בסיסיות והקשות בקלידים באמצעות קליק בעכבר. היום, הפיתוחים של בוטים ל-RPA הרבה יותר מתוחכמים. בוטים אינם קשורים למערכת אחת או לבסיס נתונים אחד והם מסוגלים לשלוט בנתונים בלתי מובנים (unstructured data). למשל, בוט יכול "לגרד" מידע מצילום מסך על פי מילת מפתח, צירוף מילים או מיקום של מסך.

היכולות החזקות של טכנולוגיה זו מאפשרות שימוש ב-RPA עבור יישומים רבים, מאיטמוט של התאמות חשבון לביצוע של משימות ביקורת. בהתחשב ביכולות אלו, מחלקת הביקורת הפנימית ב-YRC Worldwide (YRCW), חברת הובלה המתמחה בהובלת מטענים ובשירותים לוגיסטיים עבור חברות שילוח בצפון אמריקה, השיקה תוכנית פיילוט ליישום טכנולוגיית ה-RPA. הפיילוט הצליח ונתן אור ירוק לתוכנית יישום פורמלית ולפריסה של RPA בעתיד.

התנופה לעבר RPA

מחלקת הביקורת הפנימית ב-YRCW מונה 17 עובדים ומחולקת לשתי קבוצות – קבוצה אחת מתמקדת בציות רגולטורי, במתן הבטחה מבוססת סיכון במוקד העורפי ובשירותי ייעוץ; הקבוצה השנייה מתמקדת בציות ובסקירות תפעוליות עבור יותר מ-300 הטרמינלים למטענים ברשת YRCW. פיילוט ה-RPA של מחלקת הביקורת הפנימית התמקד בתחום הביקורת הפנימית עבור הטרמינלים.

לכל אורך הדרך, הנהלת YRCW דרשה דבר אחד מצוות הביקורת הפנימית: לספק כיסוי ביקורת רחב יותר עם אותו מספר עובדים. בלקיחת האתגר הזה על עצמם, ראשי הביקורת, השואפים לחדשנות, יצאו למשימה אסטרטגית – ליצור את "הביקורת הפנימית של העתיד בנושא הטרמינלים". ביקורת פנימית בנושא טרמינל כוללת בדיקות הבטחת איכות (בדיקות ציות) ובדיקות תצפיתיות, במטרה להעניק הבטחת ציות רגולטורי ותפעולי תוך שימוש בתוכניות ביקורת סטנדרטיות כדי לספק מדידה עקבית של ביצועי הטרמינלים למטענים.

למחלקת הביקורת הפנימית של YRCW מוניטין מוכח של גידול שנתי בכיסוי של הביקורת הפנימית. אולם משנה לשנה נעשה קשה יותר לשמור על ההרחבות האלה. מטרת אסטרטגיית "הביקורת של העתיד" היא לא רק להרחיב את הכיסוי של הביקורת, אלא גם להגביר את תרומתה של הביקורת הפנימית על ידי הוספת תכולות לסל השירותים שלה. ראשי הביקורת ראו את הפוטנציאל של RPA בהקשר זה כרכיב חיוני באסטרטגיה של הביקורת הפנימית. איטמוט של חלקים של תוכנית הביקורת הסטנדרטית בנושא הטרמינלים יכול לשחרר משאבים יקרי ערך של צוות הביקורת ולאפשר לו להתמקד בשירותים בהם לביקורת ערך מוסף.

היערכות לאוטומציה

כהכנה ליוזמת "הביקורת של העתיד" ולרכיב ה-RPA שבה, בחנה הנהגת הביקורת הפנימית של YRCW מספר גורמים. בשלב הראשון הם בחנו את היכולות של הצוות, במיוחד המיומנויות הטכנולוגיות והאנליטיות שלו. על אף שכלים של RPA הופכים להיות יותר ויותר ידידותיים למשתמש, כישורים בפיתוח יישומים עשויים לשפר את היכולות של ה-RPA באופן משמעותי. אומנם המבקרים הפנימיים ב-YRCW השתתפו בהשתלמויות כדי לשדרג את הכישורים הטכנולוגיים שלהם במסגרת תוכניות הפיתוח האישיים שלהם, אך הם לא רכשו את הכישורים הרצויים בכתיבת קוד או כאנליסט עסקי כדי לסייע ביישום ה-RPA.

כדי להשיג את הכישורים האלה, הנהגת הביקורת הפנימית הגדירה מחדש משרת אנליסט אחת (שהייתה לא מאוישת באותה עת) והוסיפו לדרישות התפקיד כישורים ב-RPA, שליטה ב-SQL או כישורים אחרים בכתיבת קוד, וניסיון בשיפור תהליכים וכאנליסט עסקי – הכול בנוסף על הרקע הנדרש בביקורת פנימית. למועמד שהתקבל בסוף לתפקיד אומנם לא היה ניסיון ספציפי ב-RPA, אך הרקע והכישורים שלו העידו על עקומת למידה מהירה.

לפני השקת היוזמה, ראשי הביקורת הפנימית היו צריכים להגדיר תפקידים גם עבור חברי הצוות הקיימים. הם הטילו על ראש הפרויקט את המטלות של לימוד העקרונות הבסיסיים של RPA ושל הדרכת יתר חברי הצוות לגבי התכונות העיקריות, הכלים והדרישות. מאמץ זה הוביל ליצירת נייר עמדה שכלל הגדרות של המשימות המתאימות ביותר להעברה ל-RPA, זיהוי הדרישות למשאבים העיקריים, והקביעה אם החזון של ראשי הביקורת הפנימית הוא אכן ריאלי. בנוסף, נייר העמדה הציג תיאור כללי של RPA, מידע על היתרונות הצפויים, אופן הפעולה של RPA, תצורות אפשריות של בוטים, יכולות ושימושים נפוצים, סיכונים, ספקי RPA מובילים וכלים. המסמך תרם לידע הבסיסי של הצוות ולהבנה של היכולות והמגבלות של הטכנולוגיה. ההבנה המשותפת הזו אפשרה לצוות לשתף פעולה באופן אפקטיבי יותר בבניית הנימוקים בעד השימוש ב-RPA לצרכים עסקיים וכן את התוכנית ליישום היוזמה.

הוכחת היתכנות

מצויד במחקר המוצג בנייר העמדה, צוות הביקורת הפנימית החל לעבוד על הוכחת היתכנות כדי לקבוע את הערך הפוטנציאלי של ה-RPA בכל הנוגע לתוכנית הביקורת בנושא הטרמינלים. התהליך כלל את קביעת השלבים המתאימים להמרה ל-RPA והצגת תחומי ההתייעלות הפוטנציאליים. הצוות זיהה שלבים הכוללים בדיקות הבטחת איכות של המערכת ובדיקות אחרות הקשורות למערכת מול שלבים תצפיתיים שלא יהיו מתאימים לאוטומציה.

בנוסף, חברי הצוות בנו אומדן של רמת המאמץ הנוכחית הנדרשת כדי להשלים את שלבי הביקורת, ודירגו את השלבים בהתאם דרגות קושי – קל, ממוצע או קשה. שלבים שהוגדרו כממוצע או קשה לביצוע סומנו כמועמדים פוטנציאליים להעברה ל-RPA. שלבים הקשורים לעסקאות או שלבים המחייבים את המבקר להיכנס למספר מערכות סומנו כמועמדים האופטימליים להעברה ל-RPA. ככל שהשלב הוגדר כקשה יותר לביצוע וכצורך יותר זמן, כך הוא סומן כמועמד טוב יותר ל-RPA. הניתוח – שהציג תמונה של החיסכון בזמן הפוטנציאלי שניתן לכימות – אישר בסופו של דבר שיש ל-RPA את הפוטנציאל להגדיל באופן משמעותי את היעילות של ביקורת פנימית בנושא טרמינלים. הניתוחים והדיונים המשותפים בתהליך הוכחת ההיתכנות נתנו אור ירוק להמשיך לתוכנית קידום הפרויקט ולפיתוח תוכנית פיילוט.

קידום יוזמת ה-RPA

מצויד בהוכחת ההיתכנות, ראשי הביקורת התחילו לקדם את יוזמת ה-RPA בקרב בעלי העניין העיקריים. קידום היוזמה היה שלב חשוב, מאחר שמשאבי הזמן הנדרשים כדי ליישם RPA באופן מלא עלולים להשפיע על כיסוי הביקורת בטווח הקצר ולחייב השקעות פיננסיות בהמשך.

בעלי העניין העיקריים במאמץ קידום היוזמה כללו את היררכיית הדיווח של הביקורת הפנימית (כלומר ועדת הביקורת וסמנכ"ל הכספים). נוסף על כך, היה חשוב מאוד לקבל תמיכה ממחלקת מערכות המידע ב-YRCW, מפני שהתועלות הצפויות מהטרנספורמציה הזו מחייבות גישה ישירה לנתונים של החברה.

על מנת להשיג את הסכמת ותמיכת בעלי העניין, היה על צוות הביקורת הפנימית לגרום להם להבין הן את התועלות בטווח הארוך והן את השפעות יוזמת ה-RPA בטווח הקצר. מאמצי קידום היוזמה כללו פגישות קצרות כדי להסביר את ה-RPA ויתרונותיו לבעלי העניין. רוב בעלי העניין הכירו את RPA בהקשר של תהליכים עסקיים, אך לא העלו על דעתם את יתרונותיו בהקשר של תהליכי הביקורת הפנימית בנושא טרמינלים. במהלך הפגישות הציג צוות הביקורת הפנימית את התוצאות של הוכחות ההיתכנות ואת הצעת הערך הניתנת להשגה מיישום ה-RPA. מאחר שנייר העמדה והוכחת ההיתכנות הציגו את ערכה של היוזמה בצורה חותכת, קידום היוזמה היה בעצם פעולה פורמלית בלבד ויוזמת ה-RPA קיבלה תמיכה ואישור להתקדם ללא תנאים.

הפיילוט של הבוט

השלב האחרון בהוכחת ההיתכנות כלל פיתוח של בוט כפיילוט. הפיתוח כלל כמה שלבים:

• זיהוי כלי RPA מתאים.
• בחירת שלב בתוכנית הביקורת הפנימית בנושא הטרמינלים כמועמד מתאים ל-RPA.
• פירוט המשימות הנדרשות כדי להשלים את שלב הביקורת.
• פיתוח הלוגיקה של בוט ה-RPA.
• בדיקה, איתור וטיפול בבעיות ושכלול הבוט.
• הדגמת ביצועי הבוט.

המחסום הראשון העומד בפני מחלקות הביקורת הפנימית בבואן להפעיל פיילוט של RPA, הוא בחירת כלי ה-RPA. השכנוע לבצע השקעה פיננסית בכלי שייתכן שלא יוסיף ערך הוא לא דבר של מה בכך, במיוחד עבור מחלקות קטנות של ביקורת פנימית בעלות משאבים פחותים. למרבה המזל, כלי RPA מבוססי אינטרנט זמינים ממספר ספקים המציעים גרסה בסיסית המאפשרת למשתמשים לנסותם בחינם. מחלקת הביקורת הפנימית של YRCW בחרה באפשרות זו עבור הפיילוט שלה. לאחר בחינה והתנסות במספר כלים חינמיים, היא בחרה כלי אחד עם מוניטין מבוסס שנראה כמסוגל להתאים לפיילוט.

הצוות בחר שלב ביקורת בפיילוט שכלל מספר משימות ביקורת ידניות: כניסות למספר מערכות, ניווט למסכי אפליקציה שונים, ליקוט רשימות ושדות נתונים ספציפיים כדי לזהות מדגם של פריטים לבדיקה, וכן ניתוח הנתונים המדגמיים בגיליון אלקטרוני כדי לקבוע את תוצאות הבדיקה. נוסף על כך, בהתחשב בתחומי ההתייעלות המשופרת הצפויה מהבוט, המבקרים יכלו להחליף דגימה שיפוטית בבדיקות של כלל האוכלוסייה.

אחרי שהגדיר את גישת הבדיקה החדשה, צוות הביקורת החל בפיתוח הבוט. התהליך כלל רישום של כל אחת ממשימות הביקורת, שלב אחרי שלב, בכלי ה-RPA. במובנים רבים, הפיתוח היה דומה להגדרות של מאקרו בתוכנת גיליון אלקטרוני – המבקרים לכדו משימות, כגון קליקים בעכבר, הקשות בקלידים, שמות משתמשים וסיסמאות, ואטמטו אותן באמצעות הכלי.

תוצאות הפיילוט

פרויקט הפיילוט הפיק תובנות בעלות ערך רב אודות פיתוח בוטים, כגון המורכבויות בתהליכים שאנשים לוקחים כמובנות מאליהן בעת ביצוע בדיקות. לדוגמה: הצוות הכיר בערך שבגישה ישירה לנתונים לעומת גישה עקיפה המתבצעת באמצעות לכידת מסך. חלק מהשלבים בתהליך פיתוח הבוט כללו השגת גישה למסכי מעבד מרכזי ו"גירוד" הנתונים הנדרשים מהם. אולם מסכי אפליקציה מסוימים מכילים רק תמונות ואין בהם נתונים של ממש (כלומר גרפיקה עבור ממשק המשתמש).

אנשים מסוגלים "לקרוא" תמונות בקלות, אך לכלים של RPA יש יכולות קריאת תמונות ברמות שונות. הבוט של הפיילוט לא הצליח לזהות נתונים המוצגים כתמונה (אינפוגרפיקה), וזה גרם לבעיות בשלב זה של משימות הביקורת. בכל פעם שהבוט נתקל במשימה כזו (זיהוי נתונים בתוך אינפוגרפיקה) הוא נכשל או נתקע, והמצב חייב התערבות ידנית על מנת להשלים את המשימה. כאשר הבוט השיג גישה ישירה לנתונים, הוא הצליח להמשיך בעיבודים של משימות הביקורת עד לסיומם. אולם בעת הפיילוט גישה ישירה לחלק מהנתונים לא היתה אפשרית.

כתוצאה מכך, הפיילוט של הבוט הפיק תוצאות חיוביות אך לא שלמות. משימת הביקורת שנבחרה עבור הפיילוט היא משימה שמבקר יכול להשלים באופן ידני בתוך שעה-שעתיים בדרך כלל. הבוט של הפיילוט השלים את המשימה בערך בתוך דקה – עד לנקודה שבה הוא נתקל באינפוגרפיקה שעצרה את פעולתו. בנקודה זו נדרש המבקר לבצע עיבודים ידניים במשך 20 דקות נוספות.

למרות העבודה הידנית, האוטומציה סיפקה חיסכון משמעותי בזמן. לו קיבלה הביקורת גישה ישירה לנתונים, הבוט היה מצליח להשלים את מלוא שלב הביקורת ביעילות משופרת עוד יותר – בשתי דקות או פחות. גילוי זה הבליט את החיוניות של גישה ישירה לנתונים לצורך פיתוח בוטים לקראת יישום עתידי של ה-RPA. הודות לתמיכה הנוספת שהוענקה על ידי מחלקת מערכות המידע, צוות הביקורת הפנימית השיג בסופו של דבר גישה ישירה לנתונים הנדרשים והשלים את הפיילוט של הבוט.

צוות הביקורת הפנימית ביצע השוואה בין תוצאות העבודה של הבוט לבין תוצאות העבודה הידנית על מנת לוודא תוצאות עקביות. הצוות מצא שתוצאות הפיילוט היו באיכות גבוהה יותר (בדיקה מלאה של אוכלוסייה מול בדיקה מדגמית) וביעילות גבוהה יותר באופן משמעותי (כ-90 שניות מול שעה-שעתיים להשלמת משימת הביקורת).

הדרך קדימה

לאחר תיקוף הפוטנציאל בבוטים להגדלת יעילות הביקורת הפנימית, מחלקת הביקורת הפנימית של YRCW מוכנה להשיק תוכנית פורמלית ליישום ה-RPA. התוכנית מתעדפת משימות ביקורת עבור פיתוח בוטים ותשקול את השלכות ממשל ה-RPA. התוכנית תתייחס להרבה מהשיקולים הנדרשים בכל סביבת פיתוח IT, לרבות סטנדרטים של פיתוח, ניהול שינויים ובדיקות משתמש.

הנהגת הביקורת הפנימית גם תצטרך להחליט על כלי ה-RPA שיהיה מתאים לאחר הפיילוט, ובמידת הצורך לגבש נימוקים עסקיים שיצדיקו ויבטיחו מימון לפרויקט. כמו כן, עליה לשקול כיצד לפרוס מחדש את צוות הביקורת לאחר שהיעילות המשופרת של תהליך ה-RPA יתחיל להבשיל.

כלי שינוי

כמו רוב הכלים הטכנולוגיים, כלי ה-RPA אינו פתרון של one-size-fits-all. מודל היישום שלו ופוטנציאל הערך שלו יהיו שונים בכל ארגון וארגון. בסופו של דבר, הערך שב-RPA הוא באיטמוט של פעילויות סטנדרטיות המבוצעות בתדירות גבוהה. למחלקות ביקורת פנימית שתוכניות הביקורת שלהן מכילות התקשרויות משמעותיות שחוזרות על עצמן להבטחת ציות, תהיה הצדקה טובה יותר ליישום ה-RPA מאשר למחלקות שתוכניותיהן מכילות שיעור גבוה יותר של פרויקטים תפעוליים ושל שירותי ייעוץ. עבור מחלקות ביקורת פנימית שבהן יישום ה-RPA הוא הגיוני – זה יכול להיות game-changer.

מיומנויות בפיתוח בוטים

התחלת השימוש ב-RPA אינה מחייבת מיומנויות מיוחדות. רוב כלי ה-RPA כוללים סוגים של ממשק משתמש גרפי טיפוסיים עם פונקציות של point and click המסייעות למשתמשים מתחילים להתחיל מיד.

כל בעל ניסיון בתוכנות בסיסיות כמו אקסל יכול לפתח בוטים בסיסיים. אולם ידע טכני, כמו כתיבת קוד, יכול להיות שימושי מאוד כשמבקשים לפתח בוט מתוחכם יותר, במיוחד אם יוזמת ה-RPA צפויה להיות מורכבת יותר.

כלים מתקדמים יותר של RPA מאפשרים גם כתיבת קוד בהתאמה אישית באמצעות SQL או בשפות קוד אחרות. אנשים בעלי מומחיות כאנליסט עסקי או בכתיבת קוד יכולים להוסיף ערך משמעותי לפרויקטים לפיתוח בוטים מורכבים.

תחשבו לפני שאתם מבצעים אוטומציה

אין זה רצוי שמבקרים פנימיים יתחילו בפרויקטים לפיתוח בוטים בפזיזות או ללא תכנון ותמיכה ראויים. מחלקות ביקורת פנימית השוקלות יישום של RPA צריכות לקחת בחשבון את הנקודות הבאות:

• יש לבצע הוכחות היתכנות (לרבות פיילוט) כדי לוודא שהמהלך מציע ערך גבוה מספיק ומצדיק את יוזמת ה-RPA.
• אפשר להשתמש בכלים בסיסיים חינמיים ובמיומנות בסיסית כדי להתחיל את הפרויקט, אבל כלים מתקדמים יותר ויכולת כתיבת קוד עשויים להיות חיוניים כדי להשלים את הפרויקט.
• גישה ישירה לנתונים מוסיפה ערך מעריכי.
• שותפות עם מחלקת מערכות המידע או עם מחלקות אחרות המשתמשות ב-RPA מאפשרת לביקורת הפנימית למנף מומחיות בנושאים פנים-ארגוניים ולהקטין את הוצאות הפיתוח.
• האיכות והקיימות של התוכנית מחייבות פיקוח צמוד על ממשל ה-RPA.

“*This article was reprinted with permission from the April 09, 2020 issue of Internal Auditor magazine, published by The Institute of Internal Auditors, Inc., and has been translated from English to Hebrew.”

The post מבקרים פנימיים בחברת הובלת מטענים לוקחים RPA למבחן דרכים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.