אתר האיגוד Archives - IIA ישראל - לשכת המבקרים הפנימיים בישראל

הארכת מועד לדיווח שעות CPE בגין הסמכות

IIA-adm — Wed, 20 Nov 2024 08:01:25 +0000

מוסמכות ומוסמכים יקרים,

במענה לפניית נשיא הלשכה, רו"ח דורון רונן, וסגן ומ"מ הנשיא, דורון רוזנבלום, בשל מלחמת חרבות ברזל, החליטה ה- IIA לוותר על דרישת החידוש (Renewal) לשנת 2024 עבור כל בעלי ההסמכה הפעילים בישראל [קרי- אין צורך לדווח שעות CPE לשנת 2024]. מחזור הדיווח של שנת 2024 נדחה לשנת 2025, ובעלי ההסמכה יידרשו לחדש (ולדווח שעות CPE) עד 31 בדצמבר 2025 [במועד זה תתבצע הערכה מחדש].

לשאלות נוספות בנושא ניתן לפנות לנציגי הלשכה העולמית במערכת CCMS, על ידי פתיחת בקשה "case".

לפרסום המלא לחצו כאן

The post הארכת מועד לדיווח שעות CPE בגין הסמכות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שאלה מקצועית – בנושא הצגת טיוטת דוחות ביקורת לוועדת הביקורת

IIA-adm — Mon, 09 Sep 2024 08:14:45 +0000

בנוגע לשאלתך להלן:

ועדת הביקורת בארגונך באה בדרישה לראות את טיוטת דוחות הביקורת עוד בטרם קבלת ההתייחסויות של ההנהלה/המבוקרים, וזאת לאור הזמן שלוקח בין טיוטה עד שמגיע כסופי לוועדה. עמדתך היא שאין להפיץ טיוטת דוח ביקורת לוועדת הביקורת טרם קבלת התייחסויות והפיכה לדוח סופי. אתה מבקש חוות דעת מקצועית של הלשכה בנושא.

הוועדה למענה לשאלות מקצועיות של חברים דנה בסוגיה – להלן מסקנותיה:

דוח הביקורת המובא לוועדת הביקורת צריך להיות הדוח הסופי, לרבות התייחסות המבוקר אם בחר להתייחס לדוח ולהמלצותיו, וזאת מהסיבות הבאות:

על-מנת להקנות לו את זכות הטיעון, הנובעת מכוח הצדק הטבעי. יצוין, כי הנושא של זכות הטיעון והשימוע נדון בפסיקה:
בג"ץ 4914/94 – יעקב טרנר נ' מבקרת המדינה
בג"ץ 7805/00 – רוני אלוני נ' מבקרת עיריית י"ם
קבלת התייחסות המבוקר היא אחד משלבי תהליך הביקורת, אשר בעקבותיו דוח הביקורת יכול להשתנות, לעיתים באופן מהותי.
התקנים הגלובליים החדשים של הביקורת הפנימית (IIA) מתייחסים לנושא בתקן 15.1 – "דוח סופי של מטלת הביקורת". התקן קובע, כי "עבור כל מטלת ביקורת, מבקרים פנימיים חייבים לערוך דוח סופי הכולל את היעדים, ההיקף, ההמלצות ו/או תוכניות הפעולה, בהתאם למקרה, ואת המסקנות של מטלת הביקורת". עוד קובע התקן, כי " הדוח הסופי חייב להיות מדויק, אובייקטיבי, ברור, תמציתי, בונה, שלם ולהתבצע במועד." קבלת התייחסות המבוקרים מסייעת בין היתר לוודא, כי הבסיס העובדתי בדוח הינו מדויק.

עם זאת, יש לתת את הדעת על סיבת השורש לבקשת הוועדה, ואשר משתמעת מפנייתך, והיא – השיהוי הרב מדי לטעמה עד לקבלת התייחסויות המבוקרים ופרסום הדוח הסופי. שיהוי זה עשוי להיות משמעותי בדוחות העוסקים בסיכונים מהותיים לארגון, ואשר מחייבים טיפול דחוף, או שתהליך קבלת הערות המבוקר, ההתייחסות להן ושילובן בדוח הביקורת אורך זמן בלתי סביר לדעת הוועדה. הימשכות יתר של תהליך הביקורת עשויה במקרים מסוימים להביא לחוסר רלוונטיות של הממצאים וההמלצות.

לצורך זאת, על המבקר הפנימי לקבוע עם ועדת הביקורת וההנהלה, כחלק מנוהל ביקורת, קרי לעגן זאת בכתב, את לוח זמנים לקבלת התייחסות המבוקרים ועריכת דוח ביקורת סופי (לרבות התייחסות לאפשרות ארכה, לבקשת מבוקר, בכפוף לשיקול דעת המבקר או כל גורם מתאים אחד שתקבע הוועדה בנדון). על ההנהלה וועדת הביקורת לתמוך במבקר בהיבט זה, על מנת שדוחות הביקורת הסופיים יהיו מוכנים במועד.

חוות דעת זו אינה חוות דעת משפטית

The post שאלה מקצועית – בנושא הצגת טיוטת דוחות ביקורת לוועדת הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ביקורת פנימית בעת מצב חירום

IIA-adm — Thu, 19 Oct 2023 14:01:24 +0000

מבקרות ומבקרים פנימיים יקרים,

ימים קשים עוברים על כולנו כאומה. אנו מקווים שאתם ומשפחותיכם בריאים, שומרים על אופטימיות וביחד ננצח במערכה.

לפני הכול, אנו מבקשים להביע את תנחומינו למשפחות השכולות, מאחלים איחולי החלמה לפצועים, מייחלים לשובם המהיר של השבויים והנעדרים, ומצפים לחזרת הלוחמים הביתה בשלום.
אנו מביעים את תמיכתנו בכוחות הביטחון ובכל תושבי המדינה, המתמודדים במערכה.

בימים קשים אלה, מבקרים פנימיים רבים שואלים את עצמם – מה תפקידנו? או, לפי הכותרת של הקווים המנחים שהוצאנו במארס 2020 (תחילת משבר הקורונה): "לבקר או לא לבקר, זו השאלה.."
בעניין זה, אנו מבקשים להפנות אליכם לקווים המנחים בנושא "התנהלות הביקורת הפנימית בעת משבר"

בקווים המנחים, קיים פרק נרחב שכותרתו "אז מה עלינו לעשות עכשיו?", ואשר נותן מענה גם לימינו אנו. בין היתר מתייחס הנייר לפעילויות הבאות (מפורטות להלן הכותרות בלבד, ואילו הפירוט בלינק דלעיל):

תצפיות על ניהול המשבר ועל ההתנהלות הארגונית
צמצום עבודת השטח
להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה
התאמה של תכנית העבודה: הגברת החשיפה לסיכוני מעילות, התאמת הבקרות לשינויים בתהליכי העבודה, התרשלות בביצוע בקרות מהותיות, סיכוני אבטחת מידע וסייבר
להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים
לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של המשבר
בנוגע לביצוע עבודת הביקורת עצמה
מעקב תיקון ליקויים
מה עושים ב"יום שאחרי"?

כמובן, שכל ארגון ויחידת ביקורת יבצעו את ההתאמות הנדרשות, בהתאם לתרבות הארגונית, הנחיות הדירקטוריון וועדת הביקורת, וכמובן- הסיכונים הספציפיים בתקופה זו. לדוגמה:

האם נסגרו המפעל/המשרדים/הסניפים? סיכוני נזק לרכוש (נטוש)
האם בוצעו בארגון שינויי תפקידים, בשל מחסור בכוח אדם? סיכוני בקרה והפרדת תפקידים.
לגבי עבודה מרחוק: כיצד פועלים כשהעובדים שוהים תקופה ארוכה בממ"ד ללא WiFi, מה קורה לגבי עובדים שמפונים מבתיהם, האם חודדו סיכוני סייבר (סרטונים, נוזקות)?
האם יש הגברה או צמצום של קשרי הארגון עם הסביבה (לקוחות, ספקים, ציבור)? בתקופה זו יש לגלות הוגנות ורגישות מיוחדת ללקוחות, ספקים וכמובן לעובדי הארגון. ייתכן שלחלקם יש קרובי משפחה שנפגעו מפעולות האיבה.
האם ההנהלה נוקטת בצעדים כגון, קיום שיחות, תמיכה בעובדים שנפגעו, העמדת אנשי מקצוע (פסיכולוגים ואחרים), קיום הרצאות ופעולות מסייעות?
האם יש עידוד יוזמות התנדבות מצד הארגון לתמיכה בלוחמים ובנפגעים, תרומות (למשל ימי חופשה)?
סיכוני רגולציה-דיני עבודה, בעיתות אלו כללים ברורים הנוגעים להעסקת עובדים, האם מוקפד?
האם הארגון תורם לגופים (עמותות) כלשהם? – ייתכנו סיכוני מעילות והונאות (ניצול רוח התקופה), וסיכוני הלבנת הון ומימון טרור.
סיכונים פיננסיים: תזרים – ירידה בהכנסות, חשיפות מימוניות וכד'.
האם ראוי לבחון את מוכנות הארגון למצב (ביטחונית, סביבתית, עובדים, וכד')?
האם יש מקום לבחון את הנהלים לשעת חירום (אם לא עשינו זאת בזמן הקורונה ומאז, ואם הם לא מותאמים למצב הנוכחי)?
האם יש צורך בהתייחסות שונה לסיכונים בטווח הקצר, לעומת סיכונים בטווח הבינוני והארוך?

חברי לשכה אשר זקוקים לסיוע שלנו מוזמנים ליצור קשר עם מזכירות הלשכה בדוא"ל ו/או בטלפון הרשומים מטה.

אנו אתכם/ן,

בברכה,

לפרסום המקורי לחצו כאן

The post ביקורת פנימית בעת מצב חירום appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ראיון נשיא הלשכה רו"ח דורון רונן ברדיוס 100FM

IIA-adm — Thu, 18 May 2023 06:40:47 +0000

ראיון נשיא הלשכה רו"ח דורון רונן ברדיוס 100FM בתוכנית "כבוד העו"ד" בנושא
"תרומת המבקר הפנימי לארגון, מעילות והונאות, ופעילות לשכת המבקרים הפנימיים IIA ישראל"

לפרסום המלא לחצו כאן

The post ראיון נשיא הלשכה רו"ח דורון רונן ברדיוס 100FM appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ראיון של נשיא הלשכה ברדיו ת"א 102FM

IIA-adm — Sun, 14 May 2023 08:04:33 +0000

ראיון של נשיא הלשכה ברדיו ת"א 102FM, בתכנית "סייבר במשפט אחד – הפודקאסט על הגנת סייבר, אבטחת מידע, פרטיות ומה שביניהם"
עו"ד יעקב עוז משוחח עם רו"ח דורון רונן נשיא לשכת המבקרים הפנימיים IIA ישראל, על תפקיד המבקר, ממשקי אבטחת המידע והסייבר, היחסים בין ישראל לעולם, והמעטפת המקצועית המוענקת לחברי הלשכה

לפרסום המלא לחצו כאן

The post ראיון של נשיא הלשכה ברדיו ת"א 102FM appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שילוב התייחסות המבוקר בדוח הביקורת

IIA-adm — Sat, 05 Nov 2022 11:40:20 +0000

במענה לפנייתך אלינו מיום 20 באוקטובר 2022 בו הפנית את השאלה הבאה:

האם יש התייחסות של הלשכה (מאמר / חוו"ד) באשר לאופן הכנסת תגובת המבוקר לדוח הביקורת?
האם המלצת הלשכה היא להכניס את התגובה במלואה?
האם ניתן להכניס רק קטעים מהתגובה שהמבקר בוחר? האם מקובל לערוך תגובת מבוקר?
האם מותר והאם זה אתישהמבקר ישמיט מהתגובה חלקים שהם מהותיים עבור המבוקר ופחות נוחים לביקורת (בפרט במקרים בהם המבוקר אינו מסכים עם הכתוב בביקורת)?

——————————————————————————————————–

בהתייעצות שקיימה הוועדה למענה לשאלות מקצועיות של חברים, אליה אף הצטרף נשיא הלשכה ויו"ר הוועדה המקצועית, עלו התובנות הבאות בהקשר לשאלתך:

למיטב ידיעתנו, כיום אין תקן מקצועי של לשכת המבקרים הפנימיים העולמית בנושא במישרין. תקן מקצועי 2420 המחייב את המבקר הפנימי כי דיווחיו יהיו, בין היתר, מדויקים, אובייקטיבים ותמציתיים, מתייחס לנושא בעקיפין. היבט זה אף לא הוסדר לגבי דוחות מבקר המדינה. [יושם אל לב, כי התקנים המקצועיים הבינלאומיים נמצאים בימים אלה בתהליך עדכון].
לטעמנו, מכוח הצדק הטבעי, עומדת למבוקר זכות הטיעון וככלל, רצוי שתגובתו תובא בגוף הדוח ככתבה וכלשונה, בכפוף לסייגים הבאים:
- אם תגובת המבוקר הופכת להיות בגדר כתב הגנה 'מעין משפטי' מבחינת האורך והפולמוס שלה, מומלץ להביא את תמציתה בגוף הדוח, ובלבד שישתמע ממנה המסר העיקרי של המבוקר, ולהביאה במלואה בנספח לדוח, תוך הפנייה לנספח זה. למותר לציין, כי דוח ביקורת אינו אמור להיות מסמך משפטי, אלא דוח ביקורת פנימית עם ערך מוסף לטובת הארגון. במסגרת שיקוליו, יביא המבקר בחשבון את: אורך תגובת המבוקר, התבטאויות לא נאותות (לרבות השמצת הביקורת), שגיאות בעברית וכד'.
- אגב, ברוח בג"ץ 4914/94 יעקב טרנר נגד מבקרת המדינה, ככל שמדובר בנושאים רגישים הנוגעים לשמו הטוב של המבוקר או לחשש למעורבותו בפעילות אסורה/פגיעה בטוהר המידות, ראוי עד כמה שניתן שלא לשנות את תגובת המבוקר ולהביאה כלשונה וכאורכה בגוף הדוח, אף אם היא פוגמת בנראות או 'בזרימה' של דוח הביקורת.
- היבט נוסף שיש לתת עליו את הדעת הוא המסד העובדתי – התייחסות המבוקר לא אמורה לכלול סתירה עובדתית, וככל שקיימת סתירה כזו – יש לפותרה עוד בטרם פרסום הדוח בתקשורת מול המבוקר, בסקירת התימוכין שצירף להתייחסותו וכו'. במקרים, בהם הדבר אינו מסתייע, ניתן להביא את תגובת הביקורת להתייחסות המבוקר.
- מחלוקת בין המבוקר לביקורת לגבי הפרשנות או השלכות של הממצאים ("מסקנות הביקורת") היא בהחלט לגיטימית ויש להביאה לידי ביטוי.

The post שילוב התייחסות המבוקר בדוח הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

קווים מנחים – התנהלות הביקורת הפנימית בעת משבר (הקורונה) – הוועדה המקצועית

IIA-adm — Tue, 17 Mar 2020 12:49:53 +0000

לבקר או לא לבקר, זו השאלה…

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה: ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
- התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
- קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
- קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
- הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
- התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
- התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
- סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
- קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
- אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
- התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
- עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
- מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
- פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
- הפרעות לאחסון חיצוני של מידע.
- מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
- הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
- סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
- האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
- היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
מה עושים ב"יום שאחרי"?
- ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
- ברמת הביקורת הפנימית-
  - מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
  - בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

The post קווים מנחים – התנהלות הביקורת הפנימית בעת משבר (הקורונה) – הוועדה המקצועית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

נייר עמדה – פרסום דוחות ביקורת חוק חופש המידע

IIA-adm — Tue, 10 Dec 2019 07:12:05 +0000

תוכן עניינים

רקע…………………………………………………………..2

צידוקים לפרסום דוחות ביקורת הפנימית……………………….. 4

השלכות שליליות על הביקורת הפנימית………………………… 5

פרסום תוצרי הביקורת בראי התקנים המקצועיים…………………9

סיכום ומסקנות………………………………………………. 10

רקע

חוק חופש המידע, אשר נחקק בשנת 1998, קובע כי "לכל אזרח ישראלי או תושב הזכות לקבל מידע מרשות ציבורית בהתאם להוראות חוק זה". החוק מורה לכל רשות ציבורית למנות מקרב עובדיה ממונה על העמדת מידע לרשות הציבור, וקובע הסדרים לטיפול בבקשות לקבלת מידע. החוק נועד להגשים מספר אינטרסים עיקריים ובהם האינטרס בדבר חופש הביטוי וזכות הציבור לדעת, לקדם תרבות שלטונית באמצעות פיקוח ציבורי על פעילויות רשויות השלטון ושקיפות פעילותם, מתפישה לפיה הרשות השלטונית מחזיקה במידע בנאמנות עבור הציבור כולו וכיו"ב.
מאז חוקק החוק, נעשו פניות לקבלת דוחות ביקורת פנימית במסגרת חוק זה ואף הנושא הובא לפתחו של בית המשפט. עיקרי פסיקת בג"צ ב- עע"מ 6013/04 – משרד התחבורה נ' חברת החדשות מובאת להלן:

" …אין לקבוע, בשום פנים, חיסיון גורף. על המערערת לשקול תמיד גילוי מלא או חלקי של המידע, ועליה הנטל להראות כי מניעת העיון, בכל מקרה ומקרה, מוצדקת היא. ככל שאינטרס הציבור במידע בולט יותר, כך נדרשת המערערת להעמיד נימוק משכנע יותר לחיסויו. מקום בו הדבר אפשרי, על הרשות לסמן ב"עפרון כחול" את החלקים שלא ניתן לגלותם, ולפרסם את היתר. אמצעים חשובים בהקשר זה, שיש לשקלם, הם פרסום תמצית ממצה והשמטת שמות."

יצוין שבהתאם לפקודת העיריות, רשויות מקומיות מפרסמות את דוחות מבקר העיריה לאחר שחלפו 7 חודשים מהגשתו לראש העיריה. בתקופה זו ראש העיר מגיב על הדוח והדוח נדון במועצת העיריה ובמועצת הרשות. הדוח מפורסם תוך פרק זמן האמור, גם אם לא התקיימו השלבים המצוינים לעיל. הפרסום מתבצע באתר הרשות המקומית.
בשנים האחרונות גוברת תופעה, לפיה מתבצעת פנייה לחברות וגופים ממשלתיים רבים בבקשה לקבל תוצרי ביקורת פנימית, לרבות – דוחות הביקורת הפנימית, תכניות עבודה שנתיות של הביקורת הפנימית, רשימת דוחות ביקורת, פרוטוקולים של דיונים בדוחות הביקורת, פירוט צעדים שננקטו בעקבות דוחות ביקורת וכיו"ב.

יצוין, כי מדובר בבקשות מידע גורפות ולא ממוקדות, לגבי מספר שנים רב (כ-5 שנים בחלק מהפניות).

לאור האמור לעיל, פנו מספר מבקרים פנימיים ל- IIA ישראל- איגוד מבקרים פנימיים בישראל, על-מנת שייתן את דעתו לנושא לאור ההשלכות הגורפות על מקצוע הביקורת הפנימית, על עבודת המבקרים הפנימיים ועל יכולתם למלא את תפקידם באופן אפקטיבי לטובת הארגונים אותם הם משרתים.
נייר עמדה זה אינו כולל בחינה משפטית של היבט פרסום ותוצרי הביקורת. מיקודו כאמור הוא בהשפעת פרסום כאמור על עבודת המבקרים הפנימיים.

צידוקים לפרסום דוחות ביקורת הפנימית

להלן צידוקים עיקריים לפרסום דוחות ותוצרי ביקורת כפי שמופיעים בפסיקות בית המשפט ובמקורות אחרים:

פרסומם בציבור של ממצאי ביקורת, המתבצעת בגוף שלטוני הוא עניין חיוני כחלק מזכות הציבור לדעת וכנגזר מזכותו לקבל דין וחשבון על אודות מהלכי תפקודו של מוסד ציבורי. ערובה לקיומו של ממשל תקין היא בהעמדתו לביקורת, וכדי שהביקורת תהיה יעילה, על ממצאיה להיות גלויים וחשופים לעיני הציבור ולביקורתו. על כן פרסום דוח הביקורת הוא תנאי הכרחי לאמון הציבור במוסדות השלטון וליעילות הפיקוח הציבורי עליו" (מקור – בג"ץ 7805/00 רוני אלוני נ' מבקרת עירית ירושלים).
פרסום דוח הביקורת הוא כלי מרתיע ורב עוצמה, אשר עשוי לדרבן בתוך היחידות שבוקרו לפעול לתיקון לאלתר של הליקויים (ועדת קוברסקי לשיפור הביקורת בגופים ציבוריים 1994).
בגוף ששקיפותו רחבה כגון משרד ממשלתי, ראוי שתימצא דרך לפרסם ממצאי ביקורת מסוימים וזאת בצורה מבוקרת ובלא לפגוע בנושאים שחשיפתם לציבור עלולה לגרום נזק רב מן התועלת שבפרסום. הפרסום כאמור ירים תרומה של ממש לחיזוק מעמדה של הביקורת הפנימית ולשיפור סדרי המינהל בגופים שלציבור עניין בהם (מקור – הצעת לתיקון חוק הביקורת הפנימית מ- 2001 ע"י צוות מרצים בביקורת פנימית כפי שמוזכר בעת"מ 454/02 משרד התחבורה נ' חברת החדשות משנת 2004).
כנגד טענת המערערת בדבר החשש מפגיעה במעמדו של המבקר הפנימי ניתן להעלות טענה נגדית ולפיה דווקא פרסום הדוח ברבים הוא שיבטיח כי מעמד המבקר יתחזק וישתרש וכי ממצאי הביקורת יילקחו ברצינות הראויה ….. קיימים תימוכין לסברה כי דווקא חשיפה מבוקרת של ממצאי ביקורת פנימית היא אמצעי חשוב לחיזוק מעמדו של המבקר הפנימי ולהבטחת התייחסות הולמת ורצינית לממצאיו (מקור – עע"מ 6013/14 משרד התחבורה נ' חברת החדשות).
בהתנהלות נכונה של המבקר הפנימי, הממונה על חופש המידע והנהלת החברה עשויה לחזק את הביקורת ומטרת העל שלה (מבקר פנימי של משרד ממשלתי בפורום מבקרים פנימיים ראשיים).

השלכות שליליות על הביקורת הפנימית

עיקרי ההשלכות השליליות של פרסום דוחות תוצרי ביקורת כפי שהופיעו בטיעוני המדינה והממונה על העמדת מידע לציבור במשרד התחבורה בעת"מ 454/02 משרד התחבורה נגד חברת החדשות:

מסירת דוחות ביקורת פנימית של הרשות, עלולה לשבש את תפקודה התקין של הרשות או את יכולתה לבצע את תפקידה וזאת לאור היות מכשיר הביקורת הפנימית חלק מהליך הניהול הפנימי ובקרת איכות שנועד לשמש ככלי עזר ניהולי של הגוף המבוקר בלבד.
כוחו ומעמדו של המבקר הפנימי ייפגעו, אם תהיה חובה למסור את הדוחות לעיתונאים על פי חוק חופש המידע. יש גם חשש כי מוסרי אינפורמציה למבקר הפנימי יחששו לעשות כן, אם ידעו שהדוח יפורסם, וכך תסוכל מטרת הביקורת הפנימית.
הליך הביקורת הפנימית נועד לאפשר לעומדים בראש הגוף המבקר לעמוד על כשלי הגוף, מתוך תכלית לשפר את איכות תפקודו. על הליך הביקורת הפנימית להתנהל בחופשיות, כך שיענה ביעילות על צרכי הביקורת הראויים של הגוף המבוקר ויתרום במידה המירבית לשיפור תפקודו. הליך הביקורת הפנימית הוא הליך חיוני לגוף המבוקר ועליו להיעשות ללא כחל וסרק תוך הקפדה והחמרה עצמית, חשיפה ללא פשרות והתמודדות חסרת פניות.
שמירת סודיות הדוחות חיונית, כדי להבטיח, כי בקביעת תכנית העבודה של המבקר לא יירתע הגוף המבוקר מלטפל בכל נושא שהוא, בשל החשש מתוצאותיו האפשריות של פרסום דוח הביקורת, והן כדי להבטיח שיתוף פעולה החיוני מצד העובדים. לפיכך, ועל מנת שלא להעמיד את הגוף המבוקר במצב שכזה, יש להבטיח את פנימיות ההליך ולא לאפשר את פרסום הדוחות.
ההיגיון המנחה למניעת פרסום הדוחות הוא אותו הגיון הנעוץ בהטלת חובת סודיות של המבקר הפנימי במסגרת חוק הביקורת הפנימית, התשנ"ב – 1992.
דוח ביקורת פנימית נחשב כדיון פנימי, שאין חובה למוסרו על פי חוק חופש המידע.
מאזן הכולל הגנה על תפקוד מוסד המבקר הפנימי, מחייב אי חשיפת דוחותיו.
עמדת לשכת המבקרים הפנימיים שהובאה בפסק דין זה הייתה, כי יש למנוע את פרסום דוח הביקורת הפנימית. אסור לפגוע במעמדו המיוחד של המבקר הפנימי, שכן הדבר יפגע בארגון הציבורי עצמו. כל כוחו של המבקר הפנימי, נובע מכך שהוא חלק מן הארגון ואינו חושף את הליקויים לכל העולם אלא רק להנהלת הגוף המבוקר, כדי שזה יפעל בהתאם לדוח וישפר את הארגון, הפרסום יכול שיביא למצב שבו ההתנכלות לביקורת הפנימית תתגבר, עד כדי חשש להריסתה, למרות חיוניותה של הביקורת הפנימית לתפקוד התקין והמלא של הארגון.

דעתו של נשיא לשכת המבקרים הפנימיים העולמית

מר ריצ'רד צ'יימברס – נשיא לשכת המבקרים הפנימיים העולמית (IIA), מתייחס לסוגיה בבלוג שלו שפורסם ביולי 2019 Exposing Internal Audit's Work: Too Much of a Good Thing?,
מר צ'יימברס מצין, כי מבקר פנימי כשמו כן הוא "פנימי" – אחריותו העיקרית של המבקר הפנימי וחובת האמונים שלו היא לארגון אותו הוא משרת, חובה המלווה בשמירת חשאיות הממצאים ובשיתוף הגורמים הרלוונטים בארגון. אופן הטיפול בממצאי המבקר הפנימי מצוין בתקנים המקצועיים של הביקורת הפנימית.
כמו כן, הוא מוסיף, כי דוחות הביקורת כוללים בתוכם לעיתים סודות מסחריים, חולשות של הארגון בתחומים מגוונים; כגון, חולשות סייבר, ומידע לגבי אסטרטגית ההתרחבות של הארגון, או מידע אחר שאם ייחשף- עשוי להעמיד בסכנה את הצלחת הארגון ולפגוע במוניטין שלו בעיני המשקיעים.
בנוסף, מציין מר צ'יימברס, כי יחסי הביקורת הפנימית עם ההנהלה עשויים להיפגע וכך גם שיתוף הפעולה של ההנהלה ונכונותה לחשוף בפני הביקורת היבטים בעייתיים. הוא מביא דוגמה מעברו כמבקר פנימי ראשי (מפקח כללי) בארגון ציבורי בארה"ב אשר הדוחות שהפיק פורסמו באופן שגרתי- דבר שפגם לדבריו ברצון ההנהלה להיות פתוחה ושקופה עמו. מנהל בארגון, באותה עת, פעם אמר לו "יש מספר תחומים שאני חושש שיש לנו בעיות לגבם, אך לעולם לא אבקש ממך לבחון אותם, מכיוון שדוחותיך חשופים לציבור הרחב".

השלכות שליליות נוספות

כאמור בפרק המבוא, בשנים האחרונות גוברת תופעה, לפיה מתבצעת פנייה לחברות וגופים ממשלתיים רבים, בבקשה לקבל תוצרי ביקורת פנימית לרבות – דוחות הביקורת הפנימית, תכניות עבודה שנתיות של הביקורת הפנימית, רשימת דוחות ביקורת, פרוטוקולים של דיונים בדוחות הביקורת, פירוט צעדים שננקטו בעקבות דוחות ביקורת וכיו"ב. מדובר בדרישות גורפות ולא ממוקדות (בניגוד

לדרישה ממשרד התחבורה בזמנו שנגעה לנושא תאונות אוויריות) המגבירות את החשש, כי מידע זה עשוי לשמש גורמים עוינים/מתחרים לארגון לאיסוף מודיעין עסקי על פעילות הארגון, תהליכיו, כשליו, חשיפות משפטיות וכיו"ב, ולאו דווקא לצרכי טובת הציבור.

בהקשר לנקודה זו ולנקודה המוזכרת בסעיף 11 לעיל, מתוך מאמרו של נשיא לשכת המבקרים הפנימיים העולמית (IIA), יש לציין, כי לחלק מהגופים הכפופים לחוק חופש המידע (למשל חברות ממשלתיות), קיימים מתחרים שלא כפופים לחוק זה, כך שחובת הגלוי כאמור עשויה להוות פגיעה ממשית ביכולת של הגופים הכפופים לחוק חופש המידע למלא את יעודם בהצלחה.
בדיון במסגרת פורום מבקרים פנימיים ראשיים, שנערך בחודש ספטמבר 2019, ציינו מבקרים פנימיים, כי מידע כאמור שיוצא מהארגון סביר שיתפרסם תוך נטייה לפיקנטריה ולהוצאת הדברים מהקשרם; וכתוצאה עלול לפגוע בתדמית הביקורת הפנימית ובמעמדה.
יצוין, כי בדיון זה נערך בסיומו משאל בין המשתתפים בשאלה- האם פרסום תוצרים הביקורת מועיל או מזיק לביקורת הפנימית, למעמדה ולאפקטיביות שלה, ורובם המכריע של המשתתפים סבר כי הוא מזיק.
החוק מאפשר לעיתים לסנן ולצמצם את המידע שנמסר לפונים לבקשת המידע, אולם הידיעה, כי הדוח יתפרסם (ברשויות מקומיות למשל) או עשוי להתפרסם אם תהיה בקשה לקבלו מתוקף חוק חופש המידע, מסרבל ומאט משמעותית את תהליך הביקורת. סרבול זה נובע ממתן זכות עיון וזכות טיעון לגורמים המבוקרים, לרבות לצדדים שלישים, עירוב גופים משפטיים וכיו"ב. כתוצאה מכך, מיקוד עבודת המבקר הפנימי מופנית להיבט הפרסום וזאת על-חשבון תפקידו העיקרי לקדם שיפור ארגוני; שיפור אשר לעיתים חשוב מאוד לבצע בהקדם האפשרי. סרבול כזה אף עשוי לעיתים להפוך את דוחות הביקורות ללא רלוונטיים, לאור פרסומם המאוחר.
פרסום צפוי כאמור של דוחות הביקורת עלול להשפיע על ההנהלה ועל הביקורת הפנימית בבחירת הנושאים שיבוקרו, כמו גם על האופן בו מנוסחים הממצאים וההמלצות לשיפור ע"י המבקר הפנימי. עובדות אלה יוצרות למעשה לחצים מיותרים על המבקר הפנימי הן לגבי הממצאים שיכללו (ובמיוחד- ממצאים שלא יכללו) בדוח הביקורת, והן לגבי אופן ניסוח הממצאים עצמם.
השלכות היבטים אלה משמעותן הלכה למעשה פגיעה באפקטיביות הביקורת הפנימית.

הפניות לבקשת פרסום תוצרי הביקורת בהיקפים כה רחבים[1], כמצוין לעיל, דורשות מהביקורת הפנימית, מהממונה על העמדת מידע לציבור ומהנהלת הארגון משאבים רבים בסינון החומר המועבר, לרבות סימון ב"עט כחול" של החלקים בדוח אותם לא ניתן לפרסם. לעיתים אף נדרשים הארגונים להסתייע ביועצים משפטיים, על מנת להתגונן מבקשות מידע אשר לדעת חושפות את הארגונים; בכך מוסט הדוח ממטרתו הניהולית (כלי עזר בניהול הארגון) למסמך משפטי דה-פקטו (למרות שאינו אמור להיות כזה דה-יורה).

פרסום תוצרי הביקורת בראי התקנים המקצועיים

פרסום דוחות הביקורת הפנימית עשוי לגרום לביקורת הפנימית שלא לעמוד בדרישות התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית IIA – המהווים את הכללים המקצועיים המקובלים, בהיבטים המצוינים להלן:

אי עמידה במשימת הביקורת הפנימית – לחזק ולהגן על ערך הארגון על ידי מתן הבטחה עצה ותובנה אובייקטיביים מבוססי סיכון . כפי שצוין לעיל, פרסום תוצרי ביקורת עשוי במקרים רבים להחליש ולחשוף את הארגון, במקום לחזקו ולהגן עליו.
אי עמידה בדרישת אחד מעקרונות הליבה של הביקורת הפנימית הדורשת מהמבקרים הפנימיים להיות "אובייקטיבים ומשוחררים מכל השפעה בלתי הולמת"; כפי שהוסבר לעיל, היבט פרסום הדוחות הוא גורם אותו המבקרים חייבים לקחת בחשבון, למשל בעת בחירת נושאי הביקורת בתוכנית העבודה השנתית שלהם, אופן ניסוח דוחות הביקורת וכיו"ב.
עקרון ליבה נוסף הוא, כי על המבקרים "לתקשר באופן אפקטיבי"; כפי שהוסבר לעיל, פרסום דוחות הביקורת יקשה על המבקרים הפנימיים לתקשר עם הנהלת ועובדי הארגון ולזכות בשיתוף הפעולה והאמון שלהם.
אי עמידה אפשרית בדרישות תקן מס' 2440 – הפצת התוצאות. תקן זה מחייב את המבקר להפיץ את תוצאות הביקורת להפיץ את תוצאות הביקורת ל"גורמים המתאימים"; גורמים היכולים להבטיח, כי תינתן התייחסות ראויה לתוצאות. כמו כן, תקן זה דורש מהמבקר, כי בכפוף לכל דין או דרישה חוקית או רגולטורית, ולפני ההפצה לגורמים מחוץ לארגון

על המבקר הפנימי להעריך את פוטנציאל הסיכון לארגון ולפקח על ההפצה באמצעות הגבלה על השימוש בתוצאות. חובת הפרסום החלה על הארגונים מתוקף חוק חופש המידע מוציאה משליטת המבקר היבטים הקשורים לפרסום הדוח מחוץ לארגון.

יודגש, כי בסעיף 4 לחוק הביקורת הפנימית נקבע, כי "המבקר הפנימי יערוך את הביקורת בהתאם לכללים מקצועיים מקובלים".

סיכום ומסקנות

חוק חופש המידע והפרשנות לה נתן בית המשפט לגבי יישומו, לא מצאו, לדעת איגוד המבקרים הפנימיים, את האיזון הראוי בין האינטרס הציבורי של זכות הציבור לדעת מול האינטרס של שמירה על ביקורת פנימית אפקטיבית. הגם שיש הסוברים שפרסום דוחות הביקורת עשוי לעיתים לחזק את הביקורת הפנימית, הרי שלדעת האיגוד, פרסום כאמור פוגע באפקטיביות שלה ובמעמדה וזאת מכיוון שפרסום כאמור עשוי לשבש את פעילות הארגון, לסייע למתחרים ולגורמים אחרים המעוניינים ברעתו, לפגוע במעמדו של המבקר הפנימי בארגון ובשיתוף הפעולה לה הוא זוכה מהנהלת ועובדי הארגון. פרסום כזה משפיע על עבודת הביקורת הן בהיבט הנושאים הנבחרים לביקורת, אופן ביצוע הביקורת וניסוח הממצאים (הן זהירות הניסוח, והן החלטה – אלו ממצאים ימצאו את מקומם בדוח הביקורת ואלו ממצאים ימצאו את מקומם מחוץ לדוח הביקורת). הפרסום הצפוי מסרבל ומאט משמעותית את תהליך הביקורת, משבש את תכליתו הניהולית והופך אותה לתהליך סמי-משפטי, ובכך פוגם באפשרות הביקורת לקדם שיפור ארגוני. בנוסף, הטיפול בדרישות הגורפות והלא ממוקדות לגבי אורך/היקף התקופה (שנים רבות) צורך מהארגון משאבים רבים לטיפול ולסינון המידע ולהתדיינות משפטית. מן המקובץ לעיל, עולה, כי הפרשנות לחוק חופש המידע באשר לדוחות ביקורת פנימית, פוגעת בביקורת פנימית אפקטיבית וגורמת לה להחטיא את מטרתה הראויה.
לדעת האיגוד, ראוי לבחון את שינוי חוק חופש המידע או למתן את הפרשנות הרחבה לאופן יישומו ; זאת ניתן לעשות בין היתר באמצעים הבאים:

הוועדה הציבורית לבחינת חוק הביקורת הפנימית (ועדת זילר), אשר מסקנותיה פורסמו בשנת 2006 וכללו את ההתייחסות להלן –

"נראה לנו שלצורך השגת המטרה הרצויה חשוב שהחוק יכלול נורמת גילוי מחייבת שתחייב כל גוף מבוקר להוציא אחת לשנה מעין "גילוי דעת" שיכלול פרטים על מסגרת הביקורת הפנימית כפי שהתקיימה אצלו בשנה הקודמת; אין מדובר בדיווח על תוכנה ותוכה של הביקורת אלא על קליפתה בלבד", האיגוד תומך בגישה זו. בבלוג של מר ריצ'רד צ'יימברס, נשיא לשכת המבקרים הפנימיים העולמית (IIA), המוזכר לעיל, מצוין, כי פרסום פרטים המצביעים על מעמדה החזק של הביקורת הפנימית בארגון הוא צעד חיובי שעשוי לחזק את מעמד הארגון בקרב המשקיעים.

הגבלת הדרישות מתוקף חוק חופש המידע (למשל למספר שנים מסוים)
הוספת הצורך לנמק לצורך מה נדרשים דוחות ותוצרי הביקורת הפנימית[2]
צמצום המידע לנושאים ספציפיים שמתבקשים (בניגוד ל"דיג" כללי ונרחב)
להשאיר בידי הארגון את ההחלטה – האם לפרסם את תוצרי עבודת המבקר הפנימי ובאלו מידה ואופן.

רו"ח דורון רונן, CIA

משנה לנשיא ויו"ר הועדה המקצועית IIA ישראל-איגוד מבקרים פנימיים בישראל

רו"ח אורן שחר, CIA

דירקטור ויו"ר הוועדה למענה לשאלות מקצועיות של חבריםIIA ישראל איגוד מבקרים פנימיים בישראל

[1] יצוין כי תקנות חופש המידע (אגרות) תשנ"ט 1999 כוללות מנגנון להשתת עלויות הפקת המידע על מבקש המידע, במקרים בהם הטיפול בבקשה צורך משאבים משמעותיים מהממונה על חופש המידע בארגון.

בהתאם לסעיף 7 לחוק חופש המידע –אין על מבקש המידע לנמק את בקשתו [2]

The post נייר עמדה – פרסום דוחות ביקורת חוק חופש המידע appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

נייר עמדה – בנוגע לטיוטת חוזר רשות החברות הממשלתיות בנוגע לקביעת כללים להבטחת יעילות ותקינות הביקורת הפנימית בחברות ממשלתיות

shiri — Thu, 05 Jul 2018 10:52:10 +0000

לאחרונה, רשות החברות הממשלתיות פרסמה טיוטת חוזר, שתכליתו קביעת כללים להבטחת יעילות ותקינות הביקורת הפנימית בחברות ממשלתיות. עמדת IIA ישראל (בפן המקצועי ובפן המשפטי) מפורטת בלינק זה, ולהלן תמציתה:

אנו מברכים על היוזמה לחיזוק הביקורת הפנימית.
יחד עם זאת, לא מצאנו התייחסות למהות הנושא: קרי – אפקטיביות הביקורת הפנימית באמצעות היקף ומשאבים המשפיעים על יכולת הביקורת לתפקד באופן מקצועי וראוי, כמו גם הכפפת המבקר ליו"ר הדירקטוריון.

אנו מצרים על הניסיון להפלות בין מבקרים פנימיים שכירים לעצמאים (תוך התערבות פסולה בעצמאות שיקולי דירקטוריון), ואשר סותר את החוק, הפסיקה, המלצות ועדת זיילר, תקני IIA ואת הנוהג המקובל בעולם של 200 אלף מבקרים ב-180 מדינות; הרשות אף לא ביססה זאת על מחקר או נימוקים.

עמדתנו מפרטת כשלים וליקויים רבים נוספים שנפלו בטיוטת החוזר.

—

The post נייר עמדה – בנוגע לטיוטת חוזר רשות החברות הממשלתיות בנוגע לקביעת כללים להבטחת יעילות ותקינות הביקורת הפנימית בחברות ממשלתיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

חוות דעת – מעורבות הביקורת הפנימית בניהול סיכונים

IIA-adm — Tue, 20 Mar 2018 10:56:23 +0000

הנדון: פנייתך ל- IIA ישראל – איגוד מבקרים פנימיים בישראל

שאלתך האם קיימת היום מגבלה על כך שמנהל הסיכונים של החברה (פונקציה וולונטרית) יהיה כפוף למבקר הפנימי?
התייחסות האיגוד

לדעת האיגוד, על הביקורת הפנימית להימנע מלקיחת אחריות על תחום ניהול הסיכונים, לאור דרישות החוק ודרישות התקנים המקצועיים, כפי שיפורט להלן:

בסעיף 8א בחוק הביקורת הפנימית, מצוין, כי מבקר פנימי לא ימלא, בגוף שבו הוא משמש מבקר, תפקיד נוסף על הביקורת הפנימית, זולת תפקיד הממונה על תלונות הציבור או הממונה על תלונות העובדים, ואף זאת – אם מילוי תפקיד נוסף כאמור לא יהיה בו כדי לפגוע במילוי תפקידו העיקרי.

למרות האמור לעיל, אין להסיק כי על מבקר הפנימי לא להיות מעורב כלל בתהליך ניהול הסיכונים בארגון; נהפוך הוא: אני מצרף בזאת מאמר מעמיק בנושא, שהתפרסם בכתב העת "עיונים בביקורת פנימית" בגיליון אוגוסט 2016 – "הביקורת הפנימית וניהול הסיכונים בארגון, היכן עובר הגבול" מאת דרור בר משה ואורי גלאור. במאמר נסקרים ההיבטים הרלבנטיים מתוך התקנים המקצועיים הבינלאומיים של הביקורת הפנימית ונייר עמדה בנושא מטעם לשכת המבקרים הפנימית העולמית ה- IIA. בנייר עמדה זה כלול מודל "המניפה", בו מפורטים שלושה סוגי תפקידים בתהליך ניהול הסיכונים:

תפקידים בהם רשאי ואף צריך המבקר הפנימי לעסוק; כגון, הערכת תהליך ניהול הסיכונים ומתן הבטחה לגביו, בחינת איכות הדיווחים וכו'.
תפקידים שעל המבקר הפנימי להימנע מהם – כגון לקיחת אחריות לניהול הסיכונים וקבלת החלטות לגבי הטיפול בסיכונים.
תפקידים אותם יכול לבצע המבקר הפנימי, ובתנאי שננקטים אמצעי זהירות על מנת להימנע מפגיעה באי תלות; כגון, ייעוץ בנושא, ביצוע הדרכות וכיו"ב.

בברכה,

רו"ח אורן שחר, CIA,CISA

יו"ר הועדה למענה שאלות מקצועיות של חברים, IIA ישראל – איגוד מבקרים פנימיים בישראל.

העתק: רו"ח דורון רונן – MA, LLM, CIA, CRMA, QAR, CRISC, – CFE יו"ר הוועדה המקצועית, משנה לנשיא האיגוד.

The post חוות דעת – מעורבות הביקורת הפנימית בניהול סיכונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.