(הודעה שפרסם מערך הסייבר הלאומי של ישראל בתאריך 23.04.2020)

תקיפת תשתיות מים וביוב, כפי שתוארה בפרסום, בוצעה על מנת לשבש את הספקת המים לצרכנים ואת הקליטה והעיבוד של השפכים. כלומר, התקיפה כוונה כנגד מה שמכונה בשפה המקצועית "טכנולוגיה תפעולית" (TECHNOLOGY OPERATIONAL – OT).

מטרת מאמר זה היא לספק למבקר הפנימי, למנהלי הסיכונים ולהנהלה בארגון, אשנב לסיכונים האפשריים הנובעים מהשימוש ב"טכנולוגיה תפעולית" (OT) בארגונים, וכן להמליץ על כיווני ביקורת כדי לוודא שהרציפות התפקודית של הארגון לא נפגעת.

בהתאם להגדרה שמציע מכון המחקר GARTNER, "טכנולוגיה תפעולית" היא "חומרה ותוכנה אשר מזהות או גורמות לשינוי באמצעות ניטור ו/ או בקרה ישירים על ציוד תעשייתי, נכסים, תהליכים ואירועים".

טכנולוגיה תפעולית כוללת שתי קבוצות משנה עיקריות:

1. מערכות בקרה תעשייתיות (ICS – INDUSTRIAL CONTROL SYSTEMS) מסוגים שונים, שתהליכי הייצור במפעלים תעשייתיים מושתתים עליהם. מערכות אלו משמשות לניטור ובקרה וכן בגופי תשתיות: תחנות כוח, מתקני מים וביוב, תשתיות גז ודלק, מערכות תחבורה, נמלים ועוד.
2. מערכות ניהול לבניין (BMS – BUILDING MANAGEMENT SYSTEMS). מדובר במשפחה רחבה של רשתות ומערכות, כגון מיזוג, תאורה, ביטחון ובטיחות, מעליות ועוד.

משמעות התממשות איומי הסייבר בסביבת ה-OT

ההבדל המהותי בין מערכות ה-IT (Informational Technology) לבין OT הוא בכך שבעוד שהמערכות מהסוג הראשון מאחסנות, מעבדות ומפיצות מידע ברמת ערכיות שונה, מערכות ה-OT מנהלות תהליכים פיזיים.

אירוע סייבר בסביבת ה-IT בדרך כלל עלול לפגוע בסודיות, בשלמות ובזמינות המידע הארגוני ולגרום לנזק כלכלי, תדמיתי ורגולטורי. לעומת זאת, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות חמורות בהרבה. המונחים שבהם נהוג להשתמש בסביבת ה-OT הם יציבות התהליך (RELIABILITY), איכות הייצור, בטיחות העובדים (SAFETY) ונזק סביבתי (מומלץ לעיין במסמך "ניהול סיכוני סייבר בסביבת OT – מדריך לדירקטוריון" שפורסם בחודש מרץ 2020 על ידי מערך הסייבר הלאומי).

פגיעה ביציבות התהליך עלולה לשבש או אפילו להפסיק לחלוטין שירות חיוני, כגון הספקת החשמל (לדוגמה, התקיפה הרוסית בתחנת כוח אוקראינית בשנת 2015). כמו כן, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות בטיחותיות וסביבתיות מחרידות. כך למשל, פקודה לפרוק מכל אמוניה עלולה לגרום למאות הרוגים.

תקיפת סייבר במערכות ניהול של בניין עלולה לגרום לשיבושים תפעוליים משמעותיים. כך לדוגמה, השבתת מערכת מעליות במגדל משרדים תקשה על עובדים ולקוחות להגיע ליעדם. השתלטות על מערכת בקרת כניסה תאפשר לתוקף להכניס גורמים לא מורשים למתחם לצורך פעילות זדונית.

כתוצאה מכך, אם הארגון עושה שימוש בטכנולוגיה תפעולית, המבקר הפנימי בארגון מחויב לוודא שתהליך ניהול הסיכונים בהקשר הזה מתנהל בצורה נאותה.

חולשות הגנת סייבר אופייניות בתחום ה-OT

מערכות בקרה תעשייתית רבות סובלות מחולשות הגנת סייבר חמורות. המשמעותיות שבהן:

1. חלקן פותחו והוטמעו לפני תחילת "עידן הסייבר" ולכן עושות שימוש ברכיבים, בתוכנות ובפרוטוקולי תקשורת שיש בהם חולשות הגנת סייבר מובנות. לדוגמה, פרוטוקול תקשורת נפוץ בסביבת ה-OT הוא MODBUS שפותח בשנת 1979. ניצול החולשות המובנות בפרוטוקול זה מאפשר לתוקף לבצע תקיפה מסוג man-in-the-middle לצורך שיבוש תהליכי הייצור, בעוד שמפעיל המערכת יוזן במידע כוזב בנוגע לתקינות התהליך (לדוגמה: “Man-In-The-Middle Attack Against Modbus TCP illustrated with Wireshark” ,Gabriel Sanchez    SANS Institute).
2. בחלק מרשתות הבקרה חסרה סגמנטציה, כלומר לנוזקה או לתוקף שיצליח לחדור בנקודה כלשהי לרשת יהיה קל להגיע לכל יעד בתוכה (לדוגמה: Top 10 Cybersecurity Vulnerabilities and Threats for Critical Infrastructure and SCADA/ICS).
3. עמדות מפעיל רבות (HMI – Human Machine Interface) עדיין מריצות מערכות הפעלה מיושנות מסוג XP WINDOWS ששדרוגן יגרום לשיבוש פעילות תוכנת הבקרה.
4. מערכות בקרה תעשייתית נועדו במקור לשמש ישויות המופרדות הן מרשת המחשוב הארגונית והן מרשת האינטרנט. במהלך השנים, כתוצאה מצרכים עסקיים ותפעוליים וכחלק מתפיסת המהפכה התעשייתית הרביעית, INDUSTRY 4.0, חוברו רשתות בקרה תעשייתית רבות הן לרשת הארגונית (IT) והן לרשת האינטרנט. עם זאת, לעיתים במערכות בקרה תעשייתיות לא בוצעה הקשחת רכיבים כנדרש (בקרים, מתגים, עמדות מפעיל), וכן לא קיימות יכולות ניטור הרשת (IDS – Intrusion Detection System) או בקרת הגישה לרשת (NOC או NAC).
5. היעדר ממשל OT נאות בארגון. במפעלים רבים, בשונה מהנורמה הקיימת באשר ל-IT, לא קיים מיפוי תהליכי עבודה ונכסים מפורט באשר לסביבת ה-OT, תפעולה ואחזקתה. למשל, לא ברור באילו בקרים ופרוטוקולי תקשורת נעשה שימוש, או לא ידועה הקישוריות הקיימת בין רשתות הבקרה לרשת הארגונית ולאינטרנט. יותר מזה, ייתכן כי הארגון לא מודע לחיבור הספקים לרשתות הייצור שלו לצורך תמיכה וניטור.
6. מודעות הסגל התפעולי וגורמי שרשרת האספקה לסיכוני הסייבר הנלווים לשימוש בטכנולוגיה תפעולית יכולה להיות נמוכה מאוד, מפני שגם אנשי אבטחת המידע בארגון מגבילים את תחום עיסוקם בסביבת ה-IT בלבד.

הבסיס הנורמטיבי להגנת סייבר על מערכות ה-OT

בשנים האחרונות בישראל (ובעולם) חל גידול משמעותי בנפח מעורבות הרגולטור בנושא הגנת הסייבר בתחום ה-OT בארגון. כך, לדוגמה, אגף שוק ההון, ביטוח וחיסכון במשרד האוצר פרסם בשנת 2016 חוזר בנושא ניהול סיכוני סייבר בגופים מוסדיים שבו נכתב: "הערכת הסיכונים תתייחס בין היתר למערכות OT ולסביבות פיתוח ובדיקות, העשויות להכיל מידע רגיש או לגלם חשיפות למערכות הגוף המוסדי כולו".

המשרד לאיכות הסביבה פרסם בינואר 2020 מדריך סייבר בנושא "עמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה". מדריך זה כולל דרישה לניהול נאות של סיכוני הסייבר בסביבת ה-OT ברשימת התנאים לקבלה ותיקוף מחדש של היתר הרעלים.

למשרד האנרגיה ולרשות הממשלתית למים ולביוב קיימים נהלים מחייבים שקובעים סטנדרט הגנה נדרש בנוגע לרשתות הבקרה של יצרני החשמל וספקי המים והביוב.

המלצות לביקורת ניהול סיכוני ה-OT בארגון

כצעד ראשון, יש לקבל הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגון, ובכלל זה:

1. הכרת היקף השימוש של הארגון המבוקר ב-ICS ) Industrial Control Systems) וב-BMS (Building Management Systems).
2. הבנת רמת הקריטיות של התהליכים המנוהלים על ידי המערכות הללו ורמת הסיכון השורשי הגלומה בתהליכים הללו.
3. מיפוי בעלי התפקידים הרלוונטיים לתפעול מערכות אלו ולמנגנוני הגנת הסייבר המוטמעים בהן. מומלץ לברר ולבחון האם קיים ניהול נכסים נאות: מיפוי רכבים ותרשימי רשתות, פירוט קישורים הדדיים וחיצוניים, רשימת גורמי שרשרת אספקה רלוונטיים, רשימת מורשים לגישה מרחוק, נהלים לעדכון רכיבים, הקשחה ועוד.
4. בחינה האם מתקיים תהליך סדור לניהול סיכוני סייבר בסביבת ה-OT, ובחינה האם קיימת תפיסה לניהול אירוע סייבר ברשתות ה-OT ולהתאוששות ממנו. חשוב מאוד לוודא כי תפיסה זו עולה בקנה אחד עם התפיסה הארגונית הכללית להמשכיות עסקית.
5. בחינה האם נערך סקר סיכוני סייבר בסביבת ה-OT, ואם בוצע – נדרש לבדוק מהו סטטוס יישום ההמלצות שעלו בו לשיפור רמת הגנת הסייבר הכוללת בארגון (בדגש על התחומים המשותפים לסביבת ה-IT).
6. בחינה האם סגל התפעול מודע לסיכוני הסייבר האפשריים.

לאחר שלמבקר הפנימי ישנה הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגונו, מומלץ לתכנן ביקורת ייעודית מקיפה בנושא, בדגש על העמידה ברגולציה הרלוונטית. מומלץ להיעזר במתודולוגיות ייעודיות (הנגזרות לרוב מהנחיות המפורטות במדריךNIST Special Publication 800-82 Revision 2"Guide to Industrial Control Systems (ICS) Security") ותשתמש בכלים טכנולוגיים תואמים שחלקם שונים מסביבת ה-IT. כך למשל, בסביבת ה-OT לא מקובל לבצע סריקות רשת אקטיביות, ולכן מנתחים לרוב את הקלטת התעבורה במצב "offline".

לסיכום, מתקפות הסייבר הולכות ומתפתחות גם לטכנולוגיות תפעוליות שמשמשות לניטור ובקרה של תהליכים תפעוליים, תעשייתיים, יצרניים ופיזיים בארגון. לכן על הארגון והמבקר הפנימי להכיר ולזהות את השוני ואת ההשפעות של איומי סייבר על הסביבה הפיזית לעומת סביבות אחרות, לדעת מהם הסיכונים ולהבין איך לנהל אותם ולהתגונן מפניהם.

The post מהם סיכוני OT בארגון, ואיך נדרש לבקר אותם? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מעילה יכולה להפוך לאירוע משברי בארגון ועלולה לגרום לנזקים כבדים: הפסד כספי, פגיעה במוניטין, חשיפה בפני גורמי הרגולציה, אובדן לקוחות. במקרים מסוימים מעילה אף מסכנת את המשך קיום הארגון.

לשאלה עד כמה הביקורת הפנימית חייבת להיות מעורבת בטיפול בנושא המעילות בארגון אין, ככל הנראה, תשובה חד-משמעית. לפי תקן ביצוע A2.2120, הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה[1] וכיצד הארגון מנהל סיכוני הונאה[2]. דרישה זו מובנת מפני שלמבקר הפנימי יש נוכחות קבועה בארגון והוא סוקר באופן שיטתי את סביבת הבקרה הנהוגה בו. עם זאת, מעילה היא סיכון תפעולי, והנהלת הארגון היא זו שאמורה להתמודד איתו. לשכת המבקרים הפנימיים העולמית פרסמה לאחרונה מנחה מקצועי בשם Managing the Business Risk of Fraud  שבו היא מגבירה את ערנות המבקרים הפנימיים לנושא, ומספקת כלים מתודולוגיים לזיהוי ההונאות וצמצום החולשות בבקרות שמאפשרות התרחשות מעילה.

המאמר הנוכחי מתמקד במעילות עובדים. הוא יפרט, בהתאם למתודולוגיית Fraud Risk Management Guide של COSO שפורסמה בספטמבר 2016, מספר מהלכים נבחרים שיישומם על ידי הארגון עשוי להקטין את סיכוני המעילות בו ולסייע לגילוי מוקדם שלהן. דעת כותב המאמר היא שבמסגרת עשייתו המקצועית ובנוסף על שילוב בדיקת החשיפה למעילות במטלות הביקורת הפנימית הספציפיות, המבקר הפנימי מחויב לוודא כי מהלכים אלו אכן מיושמים ותורמים לשיפור זרימת המידע ופעולות הניטור הרלוונטיות למניעת המעילות ואיתורן.

הגדרה ומרכיבים של מעילה

לפי ההגדרה של לשכת בוחני ההונאות הבינלאומית ( ,(ACFEמעילה היא "פעולה לא חוקית של ניצול התפקיד להפקת תועלת אישית באמצעות שימוש מכוון לרעה במשאבי הארגון ובנכסיו"[3]. ישנם סוגים שונים של מעילות. החל מגניבת כספים על ידי עובד באמצעות תשלומים לספקים פיקטיביים, דרך מסירת מידע פנימי רגיש ועד להעמדת אשראי ללקוח בעייתי תמורת טובות הנאה שונות למועל ולמקורביו.

לפי המדריכים המקצועיים של ה-ACFE, נהוג לזהות במעילה שלושה אלמנטים: לחץ, הזדמנות ורציונליזציה.

להתרחשות המעילה צריכים להתקיים מספר תנאים. ראשית, חייבת להימצא מטרת המעילה, כלומר, משאב או נכס שבו ניתן לעשות שימוש לרעה. למשל, כסף שאפשר לגנוב או סמכויות בתפקיד שניתן לנצל לטובת הפקת תועלת אישית.

שנית, המועל צריך שתהיה לו גישה למטרה, בדרך כלל במסגרת סמכות פורמלית או אי-פורמלית. למשל, לפקיד בנק שמוכר מידע על לקוחותיו לגורמים חיצוניים, יש גישה לגיטימית לנתוני חשבונותיהם.

שלישית, למועל צריך שתיווצר הזדמנות (סיכוי) לביצוע המעילה, בלי שהדבר יתגלה באופן מיידי. ההזדמנות נוצרת, בדרך כלל, כשקיימת חולשה בבקרות ואין הפרדת תפקידים נאותה.

בנוסף, צריך שלמועל יהיה מניע לנצל את ההזדמנות (סיכוי) שקיימת לו או שנוצרה לניצול נכסי הארגון לתועלתו האישית. כאן האפשרויות רבות ומשתנות מארגון לארגון ומאדם לאדם. המוטיבציה לביצוע המעילה יכולה לנבוע הן מהרצון לנקום בארגון שלדעתו לא מקדם ומתגמל אותו מספיק, והן ממצוקה כלכלית ממשית עקב התמכרות להימורים למשל.

כאמור, המועל מבצע תהליך של רציונליזציה למעילה. לדוגמה, הוא אומר לעצמו שהוא לא גונב כספים, אלא לוקח הלוואה שבעתיד הוא מתכוון להחזיר, או שהוא  מפצה את עצמו על היעדר תגמול מהארגון.

מעילה עלולה להתבצע על ידי עובד אחד, קבוצה של עובדים, או בתרחיש משולב של עובד הארגון עם גורם חיצוני (לקוח, ספק, מתחרה).

מהלכים שמקטינים את סיכוני המעילות לפי מודל ה-COSO

1. סביבת הבקרה הארגונית

אחד התנאים החשובים לצמצום סיכוני המעילות בארגון, הוא מסר חד וברור מההנהלה הבכירה באשר לנורמות התנהגות מצופות ומתן דוגמה אישית בהתאם. פיתוח והטמעה של קוד אתי הם כלים יישומיים להעברת המסר הרצוי. נקודה חשובה לא פחות היא טיפול הולם במקרים של חריגה מהנורמה: הטרדות מיניות, עבירות משמעת, בטיחות ותנועה.

2. תהליך הערכת הסיכונים הארגוני

תקן ביצוע 2120 של לשכת המבקרים הפנימיים העולמית "ניהול הסיכונים" קובע כי הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול  סיכונים. לפיכך, מומלץ למבקר הפנימי לוודא כי נושא הסיכון למעילות עובדים, סוגיה שהיא לרוב פחות "נוחה", מקבל ביטוי הולם בתהליכי ניהול הסיכונים הארגוניים (פורמליים ואי-פורמליים כאחד).

• על הביקורת הפנימית לבדוק כי קיימת הגדרה מוסכמת למושג מעילה בהקשר ארגוני נתון. לפעמים הגדרה זו עשויה לכלול לא רק נטילה של כספים, אלא גם ניצול לרעה של גישה למידע רגיש או הימצאות ופעולה במצב של ניגוד עניינים (דוגמת קידום מקורבים).
• נדרש לוודא כי ההנהלה מזהה, ממפה ומעריכה את סיכוני המעילות ואת התרחישים האפשריים לביצוע המעילה, וכן מתכננת ומבצעת פעולות להתמודדות עם סיכונים אלו. לעתים, עקב מומחיות ייחודית נדרשת ורגישויות של פוליטיקה פנים ארגונית, מומלץ להיעזר בגורם חיצוני שעוסק בזיהוי ובהערכת סיכוני מעילות.

אדגיש כי דווקא בארגונים קטנים ובינוניים סיכוני המעילות עלולים להיות חמורים יותר, מפני שמצבת כוח האדם אינה מאפשרת לממש הפרדת תפקידים נאותה.

3. פעולות הבקרה

אחד מכלי הבקרה החשובים הוא מיסוד תהליך הדיווח והטיפול במעילה או בחשד למעילה. לפי סקרי ה-ACFE, במקרים רבים עובדים בסביבת המועל היו מודעים לפעולות הלא תקינות שהוא מבצע, אך נמנעו מלדווח על כך. הסיבה להיעדר הדיווח היא בעיקר חוסר אמון במערכת והיעדר ערוץ דיווח זמין וחסוי. לפיכך על הביקורת הפנימית לוודא כי בארגון קיים תהליך של קבלה ובדיקת דיווחים על חשדות למעילה וטיפול בתלונה. בין היתר תהליך הטיפול צריך לכלול את קביעת הגורם האחראי לטיפול בדיווח על החשד למעילה, פירוט הפעולות שניתן לנקוט בהן לצורך בדיקת הדיווח, לוחות הזמנים לטיפול באירוע, ואופן עדכון ההנהלה הבכירה, גופים מחוץ לארגון אם נדרש (משטרה, גורמי רגולציה) ומתן משוב למוסר הדיווח.

אדגיש כי לממונה על הטיפול בחשדות למעילה צריך להיות מעמד מספיק בכיר בארגון, שמאפשר לו הן קבלת מידע ושיתוף פעולה מיחידות הארגון השונות ומנהליהן, והן גישה בלתי אמצעית להנהלה הבכירה. על הארגון גם להגדיר כיצד הוא מתייחס לדיווחים אנונימיים, כלומר תלונות על עובדים שמגיעות ללא ציון שם המתלונן. סירוב לטפל בתלונות אנונימיות עלול להרתיע את העובדים מלדווח על חשדותיהם.

הגורם האחראי על ביצוע הבדיקה חייב להיות בעל הכשרה ואמצעים מספקים לקיומה. הוא צריך לקבל גישה לתיקים האישיים של העובדים הרלוונטיים ולמערכות המחשב הרלוונטיות. רצוי מאוד שתהיה לו יכולת עצמאית להיעזר בכלים לתחקור נתונים (לדוגמה, לצורך ניתוח התכתבויות דואר אלקטרוני, בכפוף למגבלות המשפטיות הרלוונטיות). הגורם הבודק עשוי להידרש לתשאל לקוחות וגורמים מחוץ לארגון – סוגיה שדורשת ליווי צמוד של ייעוץ משפטי.

4. שיפור זרימת מידע ותקשורת בין הגורמים השונים בארגון

בארגון קיימים מקורות מידע רבים העלולים להדליק "נורות אדומות" לקיום מעילה. עם זאת, תופעה שכיחה בארגונים רבים היא שהמידע ממקורות אלו לא מועבר לגורמים הרלוונטיים, אלא נשאר ביחידה הארגונית שבה נוצר. אפרט מספר דוגמאות.

ראשית, מידע על שינוי לרעה במצבו המשפחתי של העובד, כגון מחלה קשה של בן משפחה, גירושים או מצוקה כלכלית. מובן כי מטעמי צנעת הפרט לא נכון לפרסם מידע זה ברבים. עם זאת, כשמדובר בעובד המשמש בתפקיד רגיש, ראוי שמידע כזה יועבר לידיעת הגורם האחראי על הטיפול במעילות.

שנית, תקריות אבטחת מידע. לעתים ניסיון להוציא מהארגון מידע רגיש או לחבר למערכות הארגון התקן לא מורשה, מהווה סימן לא רק למשמעת לקויה, אלא לפעילות מכוונת שמטרתה לסחור במידע או לספק לגורם זדוני גישה לתשתיות טכנולוגיות המידע הארגוניות. לפיכך, בדיקת אירוע אבטחת המידע לא צריכה להסתכם ברמה הטכנולוגית, אלא חייבת לכלול גם התייחסות למשמעויות העסקיות של המידע שזלג ולפרסונה של מבצע העבירה.

שלישית, תלונות של לקוחות וספקים. במקרים רבים פנייה של גורם חיצוני לארגון עשויה לספק מידע מקיף על פעילות לא תקינה של בעל תפקיד מסוים.  ספק שמלין על כך שהמכרז שבו הפסיד היה "תפור" מראש, עשוי לספק קצה חוט שיוביל לחשיפת קנוניה של גורם ברכש שמקבל טובות הנאה תמורת העדפת ספקים.

רביעית, מידע הנוצר בעקבות טיפול בטעויות ועבירות משמעת. כאמור, חלק מהמעילות מתחילות בטעות שחושפת פרצה בבקרה, ובעקבותיה נוצרת ההזדמנות לפגיעה בנכסי הארגון בלי שהדבר יתגלה. לכן אם הארגון אינו מקיים תחקיר תקלות או שהוא מקיים אותו ללא הפקת משמעויות רוחביות, המועל הפוטנציאלי עלול לנצל פרצה שהתגלתה לביצוע זממו כאשר תיווצר לו מוטיבציה מספקת.

אדגיש כי הטמעת מערכות ייעודיות שמנטרות תהליכים עסקיים ומתריעות על אנומליות בפני שורה של גורמים רלוונטיים עשויה להקטין בצורה משמעותית את הסבירות למעילה בתחומים המפוקחים, היות שהן מצמצמות את ה"הזדמנות".

5. פעולות ניטור

אחד מכלי הניטור הקיימים לארגון בנושא מעילות עובדים הוא מערך משאבי האנוש. על מערך זה למנוע קליטת עובדים עם אישיות "מועלת" באמצעות ביצוע מבחני מהימנות בטרם הקליטה לארגון, התואמים את מורכבות הארגון ורגישות עיסוקו. על גורמי משאבי האנוש לבצע בדיקת רקע מעמיקה של המועמדים הפוטנציאלים לא רק לגבי אמינות הדיווח שלהם במסמכים ובתשובות שסיפקו לגורמי משאבי אנוש, אלא גם לגבי נורמות התנהגות מקובלות במקומות העבודה הקודמים שלהם.

קליטת מועמד שבמקומות העבודה הקודמים שלו היה נהוג לשלם שוחד ללקוחות בחו"ל, מהווה סיכון שיש לנהלו בהקפדה בארגון. מועמד שבא מארגון שבו היה מקובל "לטאטא מתחת לשטיח" הטרדות מיניות ו"לעגל פינות" לגבי תקריות בטיחות, עלול להמשיך עם תרבות זו ולהתעלם מנהלים או לא לדווח על פעולות חריגות שהוא או עמיתיו ביצעו, ואף "להדביק" עובדים אחרים בהרגלים אלו.

כמו כן, מכיוון שהמניע לביצוע המעילה יכול להיות סובייקטיבי וחולף, על המבקר הפנימי לוודא כי גורמי משאבי האנוש מקיימים פעולות ניטור באמצעות סקרי שביעות רצון ועוקבים אחרי מגמות בהלכי הרוח של העובדים.

תרומה נוספת שיכולה להיות לגורמי משאבי האנוש בארגון בניטור סיכוני המעילות, היא יצירת רשימת עובדים ב"קבוצות סיכון". המדובר, למשל, בעובדים ותיקים שהיו מועמדים לקידום אך לא קודמו בפועל, ולכן ייתכן כי יש להם מוטיבציה לפגוע בארגון. דוגמה אחרת היא עובדים בתפקידים רגישים. תפקיד רגיש לצורך מאמר זה הוא תפקיד שבו העובד עוסק בעיסוק ייחודי ויש לו יכולת לנהל תהליך עסקי מתחילתו ועד סופו, ללא בקרה נאותה של גורם אחר.

סיכום

המאמר מתאר מספר מהלכים, בהתאם למודל COSO מעודכן, שהקפדה על קיומם בכל ארגון עשויה להקטין בצורה ניכרת את החשיפה למעילות עובדים. עם זאת, נזכור כי על המבקר הפנימי לטפל בסיכוני המעילות גם במסגרת ביקורות שגרתיות בהתאם לתכנית העבודה שנבנתה על בסיס תהליך מקיף של הערכת הסיכונים, תהליך הכולל התייחסות לסיכוני מעילות עובדים.

[1] מעילת עובדים נכללת בתוך "הונאה".

[2] מקור: אתר איגוד מבקרים פנימיים בישראל – https://theiia.org.il/standardization/index.asp.

[3] – http://www.acfe.com/fraud-101.aspx

The post הקטנת סיכונים למעילות עובדים בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות הולכת וגדלה חשיבותה של הביקורת הפנימית בישראל. ארגונים רבים מקימים גופי ביקורת משמעותיים או נעזרים בגורמים חיצוניים שמספקים להם שירותי ביקורת פנימית.

אחד הנושאים שעל המבקר הפנימי להעמיק בו הוא ניהול משאבי האנוש בארגון. יש כמה סיבות לכך. בראש ובראשונה מכיוון שבכל ארגון, עסקי, ממשלתי או לתועלת הציבור, אחת ההוצאות המרכזיות היא עלות כוח האדם. מכאן שחוסר יעילות בניהול כוח האדם ישליך בהכרח על היעילות הכלל-ארגונית. בנוסף, ארגון שלא מקפיד על ציות למערכת הנורמטיבית המחייבת בתחום דיני העבודה ויחסי העבודה, חושף את עצמו ואת מנהליו לקובלנות מצד הגורמים המפקחים ולתביעות משפטיות אפשריות מצד העובדים. יודגש כי היום סכנה זו מוחשית יותר מאשר בעבר, והראיה לכך היא שבשנת 2011 חוקקה הכנסת את החוק להגברת האכיפה של דיני העבודה, התשע"ב-2011, שמטרתו היא "להגביר ולייעל את אכיפתם של דיני העבודה".

לכך מתווספת גם הפגיעה האפשרית במוניטין, שכן הן בתי המשפט והן דעת הקהל נוטים לראות במעסיק את הצד החזק ובעובד את הצד החלש.

ביצוע ביקורות סדורות בתחומי משאבי האנוש השונים בארגון, לפי תכנית עבודה רב-שנתית ובהתאם לסקר סיכונים מקיף, יסייע לארגון לנצל את משאביו בצורה מיטבית ויתרמו לחוסנו בפני מעילות והונאות.

מתודולוגיה מוצעת לביקורת ניהול משאבי אנוש

המתכונת המוצעת לביצוע ביקורת פנימית בתחום ניהול משאבי אנוש בארגון מורכבת משני נדבכים משלימים: אסטרטגי-מבני ותהליכי-תפעולי.

המוקד החשוב בנדבך האסטרטגי-מבני הוא אסטרטגיה ארגונית בתחום משאבי האנוש. לפי פרופ' צבי סגל ואלי חוטר[1], אסטרטגיית משאבי האנוש הארגונית צריכה להיגזר מהאסטרטגיה העסקית הכוללת של הארגון, וקיומה ויישומה הם תנאי להצלחתו העסקית של הארגון.

אני ממליץ כי המבקר יבדוק את הנושאים הבאים בנוגע לאסטרטגיה הארגונית בתחום משאבי האנוש:

• קיום האסטרטגיה, עדכונה ושלמותה (כלומר, האם היא מכסה את כלל תחומי משאבי האנוש החיוניים בארגון? מתי היא עודכנה לאחרונה? איזה פורום מקרב ההנהלה ניסח ואישר אותה?).
• התאמת אסטרטגיית משאבי האנוש לאסטרטגיה העסקית של הארגון (למשל, אם ארגון שואף להפוך למוביל עולמי בתחום טכנולוגי מסוים, אז מדיניות משאבי האנוש שלו צריכה להדגיש יעד זה באמצעות הצהרות על גיוס מהנדסים מצטיינים, תכניות טיפוח כישרונות ארגוניים, תגמול וקידום לפי הצלחות ועוד).
• קיום תפיסות משלימות לאסטרטגיה הארגונית בתחום משאבי האנוש. כאן מדובר ב"תרגום" של האסטרטגיה למרכיבים יישומיים (למשל, תפיסת ההכשרה וההדרכה של הארגון כדי להביא את העובדים לחזון התפוקה הארגוני, מדיניות קידום ותגמול עובדים כדי לפתח מצוינות, מנגנוני היפרדות מאלה שלא משתלבים בארגון ולא מצליחים לתרום את התרומה המצופה וכדומה).

המוקד השני הוא יחידת משאבי האנוש הארגונית. על המבקר לבחון את הנושאים הבאים:

• מבנה יחידת משאבי אנוש, כפיפותה והתאמתה לתפקידים הארגוניים שהיא צריכה למלא. השאלות המנחות כאן הן: מעמד מנהל היחידה, כמות והכשרת כוח האדם המועסק בה, הפרדת תפקידים נאותה בין בעלי התפקיד ביחידה[2], קיום הגדרות תפקיד ברורות וסמכויות חד-משמעיות לקבלת החלטות על העסקה, קידום, פיטורים וכדומה.
• פעילות היחידה בהתאם למדיניות הכוללת שאושרה בארגון בנושא משאבי האנוש. אתן כמה דוגמאות כדי להמחיש נקודה זו: כך, אם המדיניות המוצהרת של הארגון היא קידום נשים לתפקידי מפתח, אז בתהליך לאיוש משרה בכירה על המבקר לבדוק כי מחלקת משאבי האנוש מגבשת לקראת דיון האיושים רשימה שכוללת מספיק מועמדות מתאימות. דוגמה נוספת היא מתחום השכר: אם קיימת החלטה כלל ארגונית כי מרסנים את זליגת הוצאות השכר, לא ייתכן שמתרחשת עלייה חדה בכמות המועסקים ו/או עלייה לא פרופורציונליות במשכורות ובשעות נוספות.
• תפקוד היחידה כ"קצין ציות" לעניין דיני העבודה ויחסי העבודה. עולם התעסוקה הוא עולם דינמי. מעבר לחוקים, תקנות, הסכמים והסדרים קיבוציים, חשובות גם הפסיקה הרלוונטית ותמורות בענף שאליו משתייך הארגון. לפיכך נדרש להבטיח כי גוף משאבי האנוש עוקב אחרי ההתפתחויות ודואג לעדכן את בעלי התפקידים הנוגעים בדבר.
• קיום נהלים סדורים בנושא כוח אדם והעבודה לפיהם. יחידת משאבי האנוש הארגונית אחראית, לרוב, לכתוב נהלים ממצים המסדירים את הטיפול במועמד ובעובד בארגון, להפיץ אותם, לשמור על עדכניותם ולוודא כי בעלי התפקיד הרלוונטיים בארגון מכירים אותם ופועלים לפיהם. על המבקר לבדוק כי אחריות זו אכן מיושמת הלכה למעשה. נקודה נוספת היא בחינת התאמתם של נהלים פנימיים בתחום משאבי האנוש לחוקים, להסכמים קיבוציים, להסדרים קיבוציים ולצווי הרחבה (היכן שרלוונטי).

הנדבך התהליכי-תפעולי הוא למעשה הטיפול היומיומי בעובד. נתיב הביקורת המוצע הוא בהתאם ל"מחזור החיים" של העובד בארגון.

• תהליכי איתור כ"א

על המבקר להתמקד בשאלה האם השיטות שבהן נוקט הארגון כדי למשוך אליו עובדים פוטנציאליים אכן מצליחות להשיג את המאותר הרצוי. זה המקום לבחון כיצד הארגון מפרסם משרות פנויות, האם תכולת התפקיד המפורסמת אכן תואמת את התפקיד בפועל, והאם יש דרך יעילה וחסכונית יותר לייצר כמות מספקת של מועמדים לאיוש משרות פנויות בארגון.

בממד הנורמטיבי, על המבקר להתייחס ליישום החוקים העיקריים המסדירים את נושא חיפוש העובדים במדינת ישראל[3]  (חוק שוויון ההזדמנויות בעבודה, התשמ"ח-1988 וחוק שוויון זכויות לאנשים עם מוגבלות, התשנ"ח – 1998) ולתקנות ולהנחיות המשלימות של הרגולטורים השונים.

• מיון כ"א

השאלה הראשונה שעל המבקר לשאול בנוגע למיון המועמדים שפונים לארגון היא כיצד מתבצע ניהול מאגר המועמדים והאם וכיצד מתבצע אימות של נתוני המועמד. אמחיש זאת בדוגמה קצרה. נניח שתפקיד מסוים שפורסם דורש השכלה אקדמית ספציפית וניסיון עבודה מקצועי של מספר שנים. האם גורמי כוח האדם בארגון אכן מאמתים שכל מועמד שמגיש את מועמדותו מצרף את תצלום התואר הרלוונטי ואת אישורי ההעסקה ממקומות עבודה קודמים? אין לשכוח שמועמדים רבית נוטים "לייפות" את קורות חייהם. בכתבה שפורסמה באתר [4]YNET בתאריך 15.02.2010  טוענת רינת קרן-הרמן כי כמחצית מכלל קורות החיים בישראל לא מדייקים בהקשר של השכלה, הגדרת תפקידים קודמים, משכי קדנציות, עבר צבאי וכדומה.

סוגיה חשובה נוספת היא כלי המיון שהארגון משתמש בהם. אני ממליץ כי המבקר יתמודד עם סוגיה זו באמצעות שני פרמטרים: התאמת הכלים למיון המועמדים, ויעילותם מבחינת עלות-תועלת.

המבקר נדרש לבחון האם מערכת המיון שהארגון מפעיל באמת מסייעת לו לנפות את המועמדים הלא מתאימים ולאתר את המתאימים. רצוי שמערכת המיון תתבסס על כמה "תחנות" לא תלויות. למשל, ראוי שהריאיון הראשוני יתבצע עם גורם מיחידת משאבי האנוש. לאחר מכן, ריאיון עם המנהל המיועד. בנוסף, מומלצת גם חוות דעתו של גורם חיצוני לארגון, למשל, מרכז הערכה במכון אבחון. מומלץ כי הסמכות הסופית להעסקה תימצא בידי מנהל בכיר שמונה לכך (שלא מתחום משאבי האנוש) שאמור לפגוש את המועמד אף הוא. תהליך זה חיוני מכיוון שלעתים קיים ניגוד עניינים מובנה ביחידת כוח האדם בארגון. מצד אחד, יחידת כוח האדם מחויבת למלא את התפקידים הפנויים בהתאם ללוחות הזמנים ואילוצים תקציביים החלים עליה. מצד אחר, היא אמורה למצוא את המועמד המתאים ביותר. לפיכך הפקדת הסמכות הסופית להעסקה בידי גורם בכיר שלא מיחידת כוח האדם עשויה למנוע מצב של התפשרות על איכות לטובת המהירות.

אחרי שהתקבלה החלטה עקרונית על קליטת המועמד, נדרש לנהל משא ומתן לקביעת תנאי ההעסקה הסופיים שלו. על המבקר לוודא שאכן מתקיים תהליך מוסדר, מתועד וענייני של קביעת תנאי העסקה, בהתאם למדיניות הארגון ו"ערך השוק" של המועמד (המתבסס על סקר שכר סדור), תוך אישורם על ידי הגורם המוסמך וגיבוש חוזה עבודה מקיף.

• קליטה וכניסה לתפקיד

קליטה נכונה של העובד היא תנאי הכרחי לעבודתו המוצלחת. לכן המבקר נדרש לוודא שקיימים תהליכי קליטה מסודרים, תיקי חפיפה לכל תפקיד ותהליכי הסמכה מתועדים, היכן שנדרש. כמו כן, על המבקר לוודא שהארגון מקיים את דרישות "חוק הודעה לעובד (תנאי עבודה), התשס"ב-2002" ואכן מודיע לכל עובד בצורה מסודרת על תפקידו, תנאי העסקתו וחובותיו.

• קידום ושיפור תנאי העסקה

האתגר כאן הוא לבחון אם הארגון אכן מקיים את מדיניות הקידומים שהוזכרה ברובד האסטרטגי-מבני. על המבקר לבדוק קיום תהליכי הערכה ומשוב סדורים, תיעודם, והשפעתם על קבלת החלטות על הקידומים בארגון.

• הכשרת כוח אדם והשבחתו

ארגונים רבים מקיימים הכשרות מקצועיות וניהוליות לעובדים המועסקים בהם. על המבקר לבחון את קיום ההכשרות הנדרשות ואת התאמת התכנים שלהן להשגת היעדים שעליהם הוכרז. כמו כן, על המבקר לחוות דעה בנוגע להכשרות לא נחוצות שמתקיימות מכוח האינרציה בלבד.

• היפרדות

סיום העסקה הוא מהלך שטומן בחובו פוטנציאל משברי רב. על המבקר לוודא שהארגון מקיים את דרישות "חוק פיצויי פיטורים, תשכ"ג-1963", "חוק הודעה מוקדמת לפיטורין והתפטרות, התשס"א-2001" ומקפיד על קיום כלל התהליכים החיוניים. כך למשל, אם מדובר בפיטורי קבוצת עובדים, נדרש לגבש קריטריונים ולבצע עבודת מיון לבחירת המפוטרים הפוטנציאלים. נוסף על כך, חיוני מאוד לערוך שימוע הוגן וענייני ולשקלל את תוצאותיו בקבלת ההחלטה הסופית. כמו כן, נדרש לשתף את ארגון העובדים היציג  (היכן שקיים) בתהליך. בנוסף, נדרש לוודא כי הארגון הסדיר תהליך בדבר עזיבת עובדים בתפקידי מפתח או אלו המחזיקים במידע רגיש, ושמתקיימת העברה מסודרת של ידע וסמכויות למחליפים.

• פיקוח על העסקת עובדים ושכרם

בהעסקה שוטפת נדרש לוודא כי מתקיימת רמת פיקוח נאותה על נוכחות העובדים בעבודה, דיווח שעות העבודה ואיכות התפקוד. ללא פיקוח הולם עלול הארגון למצוא את עצמו במצב שבו תפוקת העובדים לא מספקת, עלות השכר גדלה בשל שעות נוספות לא מוצדקות, ואף נוצרת חשיפה לאי-עמידה ב"חוק שעות עבודה ומנוחה, התשי"א-1951" ולתקנות משלימות רבות.

כמו כן, המבקר נדרש להבטיח כי תהליך הכנת השכר לעובדים ותשלומו מתבצע בצורה מוסדרת (שקלול כלל שעות העבודה והתוספות, החזר הוצאות, הפקת תלוש שכר נהיר, העברת הכסף במועד שסוכם עליו) ושקיימת בקרה הדדית הדוקה והפרדת תפקידים נאותה בין בעלי התפקידים המעורבים בתהליך.

נוסף על כך, במשך ההעסקה השוטפת של העובדים יש לוודא את קיומם של "חוק חופשה שנתית, התשי"א-1951", "חוק דמי מחלה, התשל"ו-1976" ו"חוק שכר מינימום, התשמ"ז-1987"[5].

• העסקת עובדי קבלן ויועצים חיצוניים

ארגונים רבים נעזרים בכוח אדם שאינו נמנה על העובדים האורגניים. על המבקר הפנימי לוודא כי הארגון מבין את משמעויות ההעסקה הזו ומקיים את דרישות "חוק העסקת עובדים על ידי קבלני כוח אדם, התשנ"ו-1996". נוסף על כך, העסקת יועצים חיצוניים ללא פיקוח נאות עלולה להסתיים בדרישתם להכיר בהם כעובדי הארגון על כל המשמעיות הכלכליות הכרוכות בכך, ולכן יש להקפיד שהם לא יבצעו תפקידים הזהים לתפקידי כוח האדם האורגני ולא ינהלו את עובדי הארגון.

סיכום

כדי להצליח בתחום עיסוקו, על כל ארגון לתפעל בצורה נאותה את המועסקים שלו. כדי לעשות זאת נדרשת הן תפיסה כוללת, מתאימה ומקיפה בתחום משאבי האנוש והן יישומה הלכה למעשה. על המבקר הפנימי להבין כי  שני הנדבכים חשובים באותה מידה: תפעול יעיל של מערכת העבודה בארגון ללא היגיון מסדר לא יבטיח בהכרח את השגת המטרות הארגוניות, ואילו אסטרטגיית משאבי אנוש מוצלחת ללא יישום קפדני, לא שווה את הנייר שעליו נכתבה.

כתוצאה מכך, המבקר מחויב לוודא כי שני הנדבכים מקבלים מקום של כבוד בתכנית העבודה השנתית הרב-שנתית שלו, בהתאם לסקר סיכונים שלוקח בחשבון את המאפיינים הייחודיים של הארגון שבו הוא פועל.

[1] צבי סגל, אלי חוטר, "מי מפחד מאסטרטגיות משאבי אנוש", פורסם באתר ירחון "משאבי אנוש" https://www.hrisrael.co.il/vault/HR%20Academy/mi_mefahed.pdf.

[2] נושא חשוב זה נועד להגן על הארגון מפני מעילות. יש לבחון האם אותו גורם יכול להחליט על קליטת מועמד לעבודה, להקים אותו במערכת הממוחשבת, לדווח לו שעות, לשנות את מספר חשבון הבנק שלו ועוד.

[3] חקיקה רלוונטית בתחום יחסי העבודה מפורטת באתר משרד הכלכלה בכתובת הבאה: https://www.moital.gov.il/NR/exeres/BCCAEBB4-37CF-47E2-B463-0866ACC5DC5A.htm

[4] https://www.ynet.co.il/articles/0,7340,L-3848890,00.html

[5] חשוב לזכור שלעובד אין סמכות לוותר על הזכויות המגיעות לו מכוח חוקי המגן, ולכן הסכמתו לא לקבל תשלום בעד שעות נוספות או בעד מחלה ממושכת אינה פוטרת את הארגון מחובת תשלום מלוא השכר המגיע לעובד.

The post ביקורת ניהול משאבי האנוש בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.