שאלת המחקר המרכזית שעליה מנסה מאמר זה להשיב עניינה בפיתוח כלי להערכה ומדידה של אפקטיביות הביקורת הפנימית שבאמצעותו ניתן לבחון את הקשרים בין המאפיינים של הביקורת הפנימית לבין האפקטיביות שלה.

המאמר מתמקד בתופעה של אפקטיביות הביקורת הפנימית ברשויות המקומיות מנקודת מבט של צרכני הביקורת. תהליך המחקר כלל איסוף נתונים בעזרת שאלון המיועד לראש הרשות/מנכ"ל הרשות. והועבר ל-110 רשויות מקומיות. 47 רשויות הסכימו להשיב על השאלון, ולכן בסך הכול עמד אחוז ההחזר הכללי בתום איסוף הנתונים על 42.7%. מאפייני אוכלוסיית המדגם תואמים במידה רבה את מאפייני אוכלוסיית המחקר הרחבה ומצביעים על מידה גבוהה למדי של ייצוגיות.

ממצאי המחקר העיקריים מראים כי:

• מדדי האפקטיביות של הביקורת הפנימית השונים שפותחו, עמדו בקריטריונים סבירים של תוקף ומהימנות.
• רמת האפקטיביות של הביקורת הפנימית ברשויות המקומיות היא בינונית ומטה. פיתוח מדדים לאפקטיביות של הביקורת הפנימית יוצר תשתית תיאורטית לניתוח התופעה של אפקטיביות הביקורת הפנימית ברמת הרשות המקומית/הארגון. כמו כן, יש בממצאי המחקר משום תרומה לפיתוח הידע בתחום חקר פונקציית הביקורת הפנימית וביצועיה.

 א. מהי אפקטיביות הביקורת הפנימית?

ניתוח קיומה והתפתחותה של הביקורת הפנימית מוביל למסקנה שהיא מהווה סיוע ושירות להנהלה ולארגון מחד גיסא, ומתן דגש לבחינת הבקרות מאידך גיסא. גם המודלים הפורמליים של Antle (1982) ושל Wallace (1985) מראים שפונקציית הביקורת הפנימית היא, בין היתר,  שירות כלכלי. ברמה המושגית גישת המחקר לאפקטיביות של הביקורת הפנימית יונקת מהמודלים של אפקטיביות המטפלים בשביעות רצון של השותפים (participant satisfaction) כפי שפותחו על ידי Georgiou (1973) ו-Cummings (1977). כלומר, המדובר הוא באפקטיביות כפי שהיא נתפסת על ידי ההנהלה בארגון בבואה להעריך את הפעולות של הביקורת הפנימית וטיב השירות המתקבל ממנה.

ברמה התיאורטית קיימות שתי גישות לניתוח האפקטיביות של הביקורת הפנימית: הראשונה מתייחסת למאפיינים של הביקורת הפנימית כבסיס וגוזרת מהם את המרכיבים של האפקטיביות והאיכות של הביקורת; הגישה השנייה, בניגוד לראשונה, אינה מתבססת על נותן שירותי הביקורת – הביקורת הפנימית – אלא על הצרכן/ההנהלה של שירותים אלה. בגישה זו הערכת שירותי הביקורת על ידי הצרכן קובעת את האפקטיביות של שירות זה. מכיוון שהביקורת הפנימית היא שירות ניהולי וגם הערכה בלתי תלויה של הפעילויות בארגון, יש לשפוט את האפקטיביות שלה מנקודת ראות של הצרכן ועל סמך קריטריונים תקפים (רלוונטיים). החקר האמפירי של תופעת הביקורת הפנימית והאספקטים השונים שלה הוא חדש יחסית, ולמעשה נמצא בתחילת דרכו.

ב. המסגרת המושגית והרקע המדעי להערכה/מדידה של אפקטיביות הביקורת הפנימית

אחת המטרות של המחקר הנוכחי היא לאתר ולזהות את הקריטריונים של אפקטיביות הביקורת הפנימית המשמשים את הנהלת הרשות המקומית בבואה להעריך את עבודת הביקורת הפנימית והתפוקות שלה. גישה זו שהדריכה את Albrecht וחבריו בעבודתם, מורחבת במחקר זה כדי לפתח מדדים מקוריים ומיוחדים לאפקטיביות של הביקורת הפנימית (Internal Audit Effectiveness Indexes). במחקר זה אותרו, זוהו ונבחרו 24 קריטריונים ששימשו אותנו כבסיס למדידת ממדיה השונים של אפקטיביות הביקורת הפנימית: ממד סביבת הביקורת (Audit Environment), ממד תשומה הביקורת (Audit Input), ממד תהליך הביקורת (Audit Process) , וממד תפוקת הביקורת (Audit Output).

פיתוח של מדידה לאפקטיביות ולביצועים של הביקורת הפנימית נדרש כתוצאה משלוש הסיבות הבאות: הצורך בבחינת המותאמות של עבודת הביקורת הפנימית לסטנדרטים בעיסוק בביקורת פנימית; הצורך להראות שהיא מוסיפה ערך לארגון; הצורך במתן מענה לסביבה הגלובלית המשתנה. Kaplan & Norton (2000) התייחסו לצורך, לחשיבות, ולמטרות של מדידת ביצועים ביחידות ארגוניות. ניתן לציין את המטרות הבאות בפיתוח מדדים: (1) מדדי ביצוע מספקים מכניזם המאפשר לייחס את התהליכים המתרחשים ביחידת הביקורת הפנימית למדיניות של הדרג הניהולי הבכיר ברשות המקומית, וכן לשאול האם הביקורת הפנימית מתפקדת בהתאם למצופה ממנה. (2) הערכת פעולותיה של הביקורת הפנימית במסגרת פעולות הבקרה המתבצעות על ידי הרשות המקומית. (3) מידע על פעילויות הביקורת הפנימית כדי לוודא מהן נקודות התורפה ומהן הנקודות הטובות. (4) לתת מענה על פעילות הביקורת הפנימית לכל אלה שמתעניינים ברשות המקומית או שיש להם אינטרס ברשות (stakeholders .(5 – הערכת איכות עבודתה של הביקורת הפנימית ביחס לנדרש ממנה בתוך הארגון, כך שאיכות זו תישמר או תשתפר. (6) הנעה ותגמולים שונים לעוסקים בביקורת פנימית.

במחקר זה, החשיבות והצורך בפיתוח מדדים לממדיה השונים של אפקטיביות הביקורת הפנימית נותנים מענה על שלושה דברים מרכזיים:

א. יצירת מודל להסבר וניתוח אפקטיביות הביקורת הפנימית וגורמיה, בעל מדדים כמותיים המותאמים לצורכיהם של המבקרים הפנימיים והדרג הניהולי ברשות המקומית/ארגון.

ב. בחינת מודל החוקר את אפקטיביות הביקורת הפנימית על סמך נתונים אמפיריים הנאספים על ידי שאלון תקף ומהימן.

ג. יצירת מסגרת מחקרית אמפירית לניתוח אפקטיביות הביקורת הפנימית ברשויות המקומיות ולניתוח תהליכים אחרים הנוגעים לביקורת הפנימית המתרחשים ברשות.

פיתוח המדדים לבדיקת אפקטיביות הביקורת הפנימית בארגון נעשה בשלושה שלבים: בשלב ראשון נקבעו באופן סופי מהם הקריטריונים שיש לקחת בחשבון במדידה. בשלב השני נקבעה הרשימה הסופית של הקריטריונים על סמך הגישה שננקטה במחקרים רבים, ובהם אלה של Lampe & Sutton (1994) ושל Ziegenfuss (2000). השלב השלישי התייחס להערכה הניתנת לכל אחד מהקריטריונים על ידי הדרג הניהולי ברשות המקומית והיא נגזרה מתוך השאלון שהופנה לאותו דרג.

ג. מסגרות אמפיריות קודמות לחקר האפקטיביות של הביקורת הפנימית 

ניסיון לפיתוח מדד למדידת הביצועים והאפקטיביות של מחלקות הביקורת הפנימית בארגונים נעשה על ידי  Ziegenfuss(2000). הוא זיהה בעבודתו את  המדדים המועילים ביותר להערכת האפקטיביות של מחלקות ביקורת פנימית ואת אלה שהם חיוניים להבטחת הצלחתה של הביקורת הפנימית. 20 מדדי הביצוע שדורגו ראשונים הם: ניסיון עובדי הביקורת; הערכת הביקורת על ידי ועדת הביקורת; ציפיות ההנהלה מהביקורת הפנימית; אחוז היישום מתוך כלל המלצות הביקורת; רמת ההשכלה של עובדי הביקורת; סקר שביעות רצון של המבוקרים; חשיבות סוגיית הביקורת שנבדקה; שעות ההכשרה והשתלמות בממוצע למבקר; סקר שביעות רצון של ועדת הביקורת; סטטוס ארגוני ויחסי דיווח; עניין שמגלה ועדת הביקורת בסיכוני בקרה; מספר התלונות על מחלקת הביקורת הפנימית; תפקיד הביקורת כפי שהוא נתפס על ידי המבוקר; מספר הדרישות לביקורת מטעם ההנהלה; אחוז עובדי הביקורת בעל הסמכה במקצוע הביקורת הפנימית; טכניקות הבטחת איכות שפותחו; קיום מפגשים פרטיים בין מנהלי הביקורת לבין ועדת הביקורת; אינטגרציה של טכנולוגיית המידע בביקורת הפנימית; מספר ממוצע של שנות ניסיון בביקורת. עבודתו של Ziegenfuss מראה עד כמה מדידות של ביצועי הביקורת מהוות נושא חיוני לכל אלה העוסקים בביקורת פנימית. מדידות אלה מאפשרות לקבל מידע על עבודת הביקורת, לערוך השוואות ולפקח על מגמות קיימות. כל אלה עשויים להיות גורמים חשובים כדי לשמור על מחלקות ביקורת פנימית אפקטיביות ובעלות איכות גבוהה בעבודת הביקורת.

ד. ניתוח משתני המחקר

בעיה מרכזית עלתה עם הצורך לאתר מדדים מתאימים לבחינת האפקטיביות של הביקורת הפנימית. עיקר הבעייתיות נובע להערכתי מהמיעוט של חוקרים בתחום ומחוסר ניסיונות אמפיריים לפתח מדדים לבחינת אפקטיביות שיענו על דרישות התקפות והמהימנות כדי שניתן יהיה להשתמש בהם כבסיס מדעי למחקרים בביקורת פנימית. בפיתוח כלי זה ההתייחסות לאפקטיביות הביקורת הפנימית היא מנקודת המבט של הנהלת הארגון. גישה זו באה לידי ביטוי בעבודות של Albrecht et al. (1988) ושל  Ziegenfuss(2000). כלומר, האפקטיביות של הביקורת הפנימית מיוצגת על ידי הערכה/מדידה שלה כפי שהיא נתפסת על ידי ההנהלה/הצרכן של שירותי הביקורת הפנימית.

ה. אפקטיביות הביקורת הפנימית (Internal Audit effectiveness)

24 הקריטריונים ששימשו אותנו במחקר זה לבניית השאלון על אפקטיביות הביקורת הפנימית הם: ממצאים הגיוניים ומשמעותיים, המלצות תואמות ומשמעותיות, מקצועיות של מחלקת הביקורת הפנימית, היעדר הפתעות, דוח המבקר הפנימי, מרכיב הביקורת בתהליך קבלת החלטות, גישת הביקורת הפנימית בבדיקת הנושאים המבוקרים, ביקורת פנימית כמרכז מידע בעל ערך, היזון חוזר מהמבוקרים, הערכה של עבודת הביקורת על ידי גופי ביקורת חיצוניים, היזון חוזר מהדרג הניהולי התפעולי, ההערכה של הביקורת הפנימית על ידי ועדת הביקורת, התרעה בשער, יצירת עניין אצל צמרת הניהול ברשות המקומית, צמידות לתכנית ביקורת, עלות-תועלת של הביקורת הפנימית, פיתוח המשאב האנושי, מספר בקשות לביצוע ביקורת, פרק הזמן העובר בין סיום משימת הביקורת לבין הגשת הדוח הסופי, מחשוב עבודת הביקורת, שימוש בתכנות ביקורת, שימוש בשיטות ובטכניקות ביקורת מתקדמות, אחריות המוטלת על המבקר הפנימי, שימוש בשיטות עבודה התואמות את הסטנדרטים לעיסוק במקצוע הביקורת הפנימית.

על סמך רשימת הקריטריונים הנ"ל נגזרו ונוסחו השאלות בשאלון המיועד לראש הרשות/מנכ"ל  של הרשויות המקומיות שבמדגם, כאשר סולם המדידה לגבי כל פריט הוא אורדינלי: 1 = כלל לא מסכים (המעיד על הערכה נמוכה מאוד) עד 4 = מסכים בהחלט (המייצג הערכה גבוהה מאוד).

ו. ממצאים

1. פיתוח משתני המחקר

במהלך פיתוחם של משתני המחקר נעשה שימוש בפרוצדורות סטטיסטיות של בחינת מהימנות פנימית (בין פריטים) על פי מדד אלפא של קרונבך (α Cronbach) וכן בתהליך של ניתוח גורמים מגשש (Principal components with Varimax Rotation Exploratory Factor Analysis) ששימש אותנו לפתח את הגרסה הסופית של מדדים לממדי אפקטיביות של הביקורת הפנימית.

2. פיתוח מדדים לאפקטיביות של הביקורת הפנימית

פיתוח המדדים לאפקטיביות של הביקורת הפנימית התבסס על סמך המסגרות המושגיות, התיאורטיות והאמפיריות לחקר האפקטיביות של הביקורת הפנימית. מדדיה השונים של אפקטיביות הביקורת הפנימית כפי שפותחו מוצגים להלן, ופריטי המדידה נמצאים בנספח א.

2.1 סביבת הביקורת – AE Audit Environment

ניתוח אינדקס זה מצביע על תחומי סביבת הביקורת הבאים: תמהיל הביקורת, תכנון הביקורת, שביעות רצון של ההנהלה, הבטחת איכות, הערכת עבודתה של הביקורת. תחומים אלה מגדירים היטב את סביבת הביקורת (2000, Ziegenfuss).

2.2 תשומת הביקורת – Audit Input AI

מדד זה מתייחס לתשומת הביקורת הבאה לידי ביטוי על ידי כמות הביקורת, איכות הביקורת ומשאבי הביקורת. הפריטים המרכיבים מדד זה הם בעלי אותו עולם תוכן המתייחס לממדיו השונים של משאב הביקורת הפנימית. מדד זה אפשר לנו לבחון את אפקטיביות הביקורת הפנימית ברשות המקומית תוך הסתכלות על משאב הביקורת.

2.3 תהליך הביקורת – Audit Process AI

מדד תהליך הביקורת בא לבחון את האפקטיביות של הביקורת הפנימית תוך התבססות בעיקר על אופן ביצוע עבודת הביקורת.

2.4 תפוקת הביקורת Audit Output AO

מדד תפוקת הביקורת מתייחס בעיקר לאיכות הממצאים ועיתוי דוחות הביקורת ודייקנותם.

2.5 מדד כללי לאפקטיביות הביקורת הפנימית OI Overall Index

זהו המדד הכללי לאפקטיביות הביקורת הפנימית על כל ממדיה ברשויות המקומיות. המדד מורכב מכל הפריטים (25 פריטים) ששימשו אותנו למדוד את ממדיה השונים של אפקטיביות הביקורת.

3. מאפיינים פסיכומטריים של מדדי המחקר

 3.1 מאפיינים פסיכומטריים של מדדי האפקטיביות

המחקר בחן את המאפיינים הפסיכומטריים של מדדי האפקטיביות של הביקורת הפנימית, כולל בחינת המהימנות α Cronbach. הבדיקה העלתה מספר ממצאים ראשונים ביחס לטיב המדדים שהורכבו. ראשית, ניתן להבחין כי הערכים הממוצעים של מדדי האפקטיביות של הביקורת הפנימית השונים (המשתנים התלויים) גבוהים יחסית. משמעות ממצא זה היא שקיימת רמה בסיסית מסוימת של עבודת הביקורת הפנימית שרכשה לה במשך השנים דפוסי עבודה אחידים ומקצועיים. כמו כן, קיים פיזור יחסית טוב וסביר של  התשובות המפיג במידה רבה את החששות הראשוניים לאחידות בתשובות ביחס למדדי אפקטיביות של הביקורת הפנימית. לסיכום, מהימנותם של מדדי האפקטיביות של הביקורת הפנימית הייתה גבוה מאוד.

3.2 רמת האפקטיביות של הביקורת הפנימית ברשויות המקומיות

רמת האפקטיביות של הביקורת הפנימית ברשויות המקומיות נמדדה, כאמור, באמצעות שאלון שהועבר לדרג הניהולי הבכיר (ראש הרשות/מנכ"ל) ברשות המקומית. רמה זו נמדדה לגבי כל התחומים שבהם האפקטיביות באה לידי ביטוי: ממדי סביבת הביקורת AE, תשומת הביקורת AI, תהליך הביקורת AI, וממד תפוקת הביקורת.

רמת האפקטיביות נעה בין ציון 1 לציון 4 (סקלת השאלון) והיא חושבה לגבי כל ממד כציון ממוצע של פריטי השאלון המייצגים ממד זה. כמו כן, חושבה הרמה הכללית של אפקטיביות הביקורת הפנימית על ידי חישוב ציון ממוצע של כלל הפריטים שמהם הורכב השאלון.

רמת האפקטיביות הוגדרה על פי ממוצע הציונים: 2-1 אפקטיביות נמוכה; 3-2 אפקטיביות בינונית; 3.5-3 אפקטיביות גבוהה; 4-3.5 אפקטיביות גבוהה מאוד.

ממצאי רמת האפקטיביות של הביקורת הפנימית ברשויות מקומיות מוצגים בתרשים מס' 1 שלהלן.

תרשים מס' 1 – רמת האפקטיביות של הביקורת הפנימית ברשויות המקומיות לפי ממדי   האפקטיביות

נתוני התרשים מצביעים על רמת אפקטיביות בינונית ומטה ברוב הרשויות המקומיות שנבדקו במדגם ולגבי כל אחד מממדי האפקטיביות בנפרד. המדד הכללי מצביע על רמה בינונית של אפקטיביות הביקורת הפנימית ב-30 רשויות מקומיות מתוך 47 רשויות של המדגם (כ-ֿ62% מסך כל הרשויות). רמת אפקטיביות גבוהה נמצאה ב-14 רשויות מקומיות (כ-ֿ30% מסך כל הרשויות) וגבוהה מאוד בשלוש רשויות בלבד (כ-ֿ8% מסך כל הרשויות).

סיכום ומסקנות

ביקורת פנימית אפקטיבית תורמת הן לאפקטיביות עבודתו של המבוקר והן באופן כללי לאפקטיביות ארגונית (2001, Dittenhofer). רוזביץ (1999, 101) טען כי "אחת הסוגיות המורכבות בביקורת המקצועית היא שאלת האפקטיביות של הביקורת. לאמור, האם הביקורת – חיצונית או פנימית – היא אפקטיבית". המסקנה המתבקשת היא שאפקטיביות הביקורת הפנימית מהווה את הליבה בכל דיון על הביקורת הפנימית (1995, Sawyer).

מה מבטאת אפקטיביות הביקורת הפנימית, מהם רבדיה, ומה רמת הניתוח הנדרשת להבנתה? האם ניתן לזהות את הקריטריונים המשמשים להערכת אפקטיביות הביקורת הפנימית על ידי הדרג הניהולי הבכיר? האם ניתן לפתח כלי מדידה תקף ומהימן כדי למדוד את ממדיה השונים של האפקטיביות? עבודה זו ניסתה לספק תשובות ראשוניות לשאלות אלה, בהציעה כלי מדעי לבחינת התופעה של אפקטיביות הביקורת הפנימית. כלי זה נבחן אמפירית על בסיס נתונים מקוריים שנאספו ב-47 רשויות מקומיות בישראל.

ראשית, נדגיש שהגישה התיאורטית למדידה/הערכה של אפקטיביות הביקורת הפנימית שאומצה במחקר זה היא הגישה הגורסת שיש להתייחס לאפקטיביות מנקודת מבט כי ההנהלה בארגון היא צרכן של שירותי הביקורת. מהימנותם של כל המדדים שבהם נעשה שימוש הייתה גבוהה למדי. בנוסף לכך, גם מידת מהימנותם של הפריטים המרכיבים את הגורמים הפנימיים במדדי אפקטיביות הביקורת הפנימית גבוהה יחסית ומחזקת את הסברה בדבר ההומוגניות הפנימית של מדדי אפקטיביות הביקורת הפנימית.

קביעת ממדיה השונים של אפקטיביות הביקורת הפנימית באה להצביע על התחומים השונים שבהם האפקטיביות יכולה לבוא לידי ביטוי. באיזו מידה, אם בכלל, קיים שוני באפקטיביות כפי שהיא באה לידי ביטוי במדדים השונים? מדדי האפקטיביות שנבנו מודדים אותה תופעה והם יציבים.

מחקר זה טומן פוטנציאל בלתי מבוטל לעבודות נוספות בתחום חקר אפקטיביות הביקורת הפנימית בארגונים. באופן כללי מומלץ כי מחקרים נוספים יתמקדו במישורים הבאים:

1. יבחנו דרכים נוספות לדיון על איך נכון להעריך ולמדוד את אפקטיביות הביקורת הפנימית.
2. יבחנו דרכים לשיפור ההגדרה האופרטיבית של אפקטיביות הביקורת הפנימית.
3. ינסו לבדוק את אפקטיביות הביקורת הפנימית בסביבות ארגוניות אחרות, כגון תעשיות עתירות טכנולוגיה וקיבוצים.

המשימה העיקרית של עבודה זו הייתה לפתח כלי תקף ומהימן להערכה ולמדידה של אפקטיביות הביקורת הפנימית כפי שהיא נתפסת על ידי הדרג הניהולי הבכיר ברשות המקומית. הממצאים מצביעים על תרומה גבוהה של המחקר ברמה התיאורטית והמעשית העשויה לצמצם את הפער המחקרי הקיים בתחום חקר הביקורת הפנימית ((Eden & Moriah, 1996.

ד"ר גבי סייג הוא המנהל האקדמי של תכנית מבקרים פנימיים ביחידה ללימודי המשך ולימודי חוץ, ועמית הוראה בבית הספר למדעי המדינה – אוניברסיטת חיפה.

רשימת מקורות

Albrecht, W.S., Howe, K.R., Schueler, D.R., & Stocks, K.D. (1988). Evaluating the effectiveness of Internal Audit Departments. Altamonte Springs, Florida: IIA Research Foundation.

Antle, R. (1982). The Auditor as an economic agent. Journal of Accounting Research, 20(1), 503-527.

Cummings, L.L. (1977). Emergence of the Instrumental Organization. In P.S Goodman & J.M.

Eden, D., & Moriah, L. (1996). Impact of internal auditing on branch bank performance: A field experiment. Organization Behavior and Human Decision Performance, 68(3), 262-271.

Kaplan, R.S., and Norton, D.P. (2000). The Strategy Focused Organization – How Balanced Scorecard Companies Thrive in the New Business Environment. Boston, Mass: Harvard Business School.

Sawyer, L.B. Sawyer’s Internal Auditing. (1988). Chapter 20, Quality Assurance, 909-935.

Altamonte Springs, Florida: The Institute of Internal Auditors.

Sawyer, L.B. (1995).An internal; audit philosophy.Internal Auditor, 52(4), 46-56.

Wallace, W.A.(1985). The Economic Role of the Audit in Free and Regulated Markets. New York: Touche Ross & Co.

White, A.W. (1976). The Essentials of an Effective Internal Audit Department. Internal

Ziegenfuss, D.E. (2000). Measuring Performance. Internal Auditor, 57(1), 38-44.

רוזביץ, ש. (1999). ביקורת המדינה ברשויות המקומיות. בתוך: פרידברג, א. (עורך). משרד הפנים. הביקורת ברשויות המקומיות בישראל.

The post מדד לקביעת רמת האפקטיביות של הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

דומה שאין משטר המקדש יותר את זכויותיו הקנייניות של אדם כמשטר הדמוקרטי המגן, וכך גם בישראל, על זכויות אלה בחקיקה הקונסטיטוציונית. ברם, בצד דברים אלה, כדי להבטיח חיי חברה מתוקנים, גם זכויות מקודשות אלה הן מוגבלות.

ההגבלה הבולטת ביותר החלה על בעל הקניין מעוגנת בחוק התכנון והבנייה ובחוקים משלימים, ועל מוסדות התכנון לפעול מכוח חוקים אלו, הקובעים מה, כיצד ובאיזה מחיר ניתן יהיה לממש את זכויות הבנייה בנכס. להגבלות אלו יש גם השלכה ישירה על ערכו הכלכלי של הנכס.

עיקרון נוסף העומד בבסיס כל דמוקרטיה הוא ההכרה כי אלה המופקדים על ניהול נכסי המדינה חייבים לפעול בנאמנות ובזהירות. מכיוון שכך, מוטלת על נאמני הציבור החובה של מתן דין וחשבון על מעשיהם (accountability). כדי להוציא מן הכוח אל הפועל עקרון זה הוקמו במדינות דמוקרטיות גופי ביקורת ציבוריים ופנימיים. "על חשיבותה ועל תפקידה של הביקורת בכל גוף שלטוני דמוקרטי אין צורך להרחיב את הדיבור. הערובה לקיומו של משטר דמוקרטי תקין מצויה בחשיפתו לביקורת. כדי שמשטר דמוקרטי לא ינצל את כוחו לרעה עליו לפעול בגלוי, תוך חשיפת דרכי עבודתו בפני הציבור שהוא נזקק לאמונו. הביקורת על מוסדות השלטון מעוגנת בעקרונות היסוד של השיטה, והיא נשענת על חופש הביטוי ועל זכות הציבור לדעת"[1].

גופי ביקורת אלה פועלים כפונקציות מקצועיות ואובייקטיביות, שסדרי העדיפות שלהם נשענים בעיקר על מטריאליות ומהותיות. לאור האמור לעיל ניתן להסיק כי גופי הביקורת השונים יקיימו ביקורות שוטפות על מוסדות התכנון.

האומנם?

ברשימה זו נעשה ניסיון להשיב על שאלה זו, וכן לבחון את מידת תחום כיסוי הביקורת על מוסדות התכנון והבנייה. בדיקה זו תיעשה על ידי סקירת היקף וסוג הביקורת הנערכת בגופים אלה.

2. גורמי הביקורת במוסדות התכנון

בטרם נדון בסוגיה, נסקור תחילה את גורמי הביקורת שיש להם סמכות לקיים ביקורת על מוסדות התכנון והבנייה.

2.1 גורמי ביקורת חיצונית

2.1.1 מבקר המדינה

למבקר המדינה יש סמכות לערוך ביקורת בוועדות השונות לתכנון ובנייה. מקור הסמכות לכך קבועה בסעיף 9 לחוק מבקר המדינה התשי"ח 1958, כלהלן:

 ואלה הגופים (בחוק זה – גוף מבוקר), אשר יעמדו לביקורתו של המבקר:

(2) כל מפעל או מוסד של המדינה;

(4) כל רשות מקומית

סמכותו של מבקר המדינה לערוך ביקורת בגופים המבוקרים אינה מוגבלת. ואכן, כפי שנראה בהמשך, משרד מבקר המדינה עורך ביקורת במוסדות תכנון ובנייה.

2.1.2 משרד הפנים (רו"ח, האגף לביקורת)

הוועדות המחוזיות והוועדה הארצית פועלות בתוך משרד הפנים. הואיל וכך יש ליחידות הביקורת במשרד סמכות, בדומה ליתר ענייני המשרד, לקיים ביקורת במוסדות לתכנון ובנייה. לעניין הוועדות המקומיות לתכנון ובנייה, החקיקה המוניציפאלית מקנה למשרד הפנים סמכויות לקיים ביקורת ברשויות המקומיות. הסמכות למעשה נתונה לשר, ואילו זה האציל מסמכותו לאגף לביקורת ברשויות המקומיות ולממונים על המחוזות.

סעיף 219ב לפקודת העיריות (קיימת הוראה דומה בצו המועצות) מקנה לשר סמכות למנות רו"ח, כלהלן:

"השר רשאי למנות לעירייה גם רואה חשבון מטעמו שיבקר את הדוחות הכספיים, כולם או חלקם, כפי שיקבע, והוראות סעיף 219(א) ו-(ד) יחולו".

רו"ח שממנה המשרד מוחלף על פי רוב בכל שלוש שנים. מעבר לאמור יש לממונה על החשבונות (מנהל האגף לביקורת ברשויות המקומיות) סמכות לקבל מרשויות מקומיות, ללא הגבלה, אינפורמציה כלהלן:

"הממונה על החשבונות רשאי לדרוש מרואה החשבון כל מידע, מסמך והסבר על פעולתו ועל פעולות העיריה שבידיעת רואה החשבון, וכן רשאי הוא לדרוש השלמות ותיקון ליקויים בדוחות הכספיים"[2].

גם סמכותו של שר הפנים לעריכת ביקורת  וקבלת מידע אינה מוגבלת.

2.1.3 מבקר פנימי ברשות מקומית – בוועדות מקומיות

החקיקה המוניציפלית מסדירה את החובה למנות מבקרי פנים ואת תפקידיהם בעיריות, במועצות מקומיות ולמן 2008 גם במועצות אזוריות[3]. על פי דבר חקיקה זה, שמשנת 2007 הוא אחיד ברובו לגבי כל הגופים הללו[4], חלה על המבקר חובה לקיים ביקורת "לבדוק אם פעולות העירייה, לרבות פעולות לפי חוק התכנון והבנייה, תשכ"ה-1965, נעשו כדין..[5]".

ניתן לתהות מדוע המבקר הפנימי של הרשות המקומית הוא בפועל מבקר חיצוני של הוועדה לתכנון ובנייה. ובכן, למרות הזהות הפרסונלית[6] "אין לראות בוועדה המקומית אורגן של העירייה לעניין תכנון ובנייה. כאשר ועדה מקומית מפעילה סמכויותיה השלטוניות היא אינה פועלת בשם העירייה אלא היא פועלת בשמה שלה ובעבור עצמה ולא בשל זולתה או בעבורו ואינה "אני אחר" (Alter Ego) של זולתה. אין להוציא מכלל אפשרות קיומו של ניגוד בין הוועדה המקומית לבין העירייה ואף קיומו של סכסוך משפטי בתחומי המשפט הפרטי ביניהן[7]".

משמע כי המבקר הפנימי ברשות המקומית מהווה עבור הועדה המקומית לתכנון ובנייה גורם ביקורת חיצוני[8] וכל הסמכויות הקיימות לו כלפי הרשות המקומית עומדות לו גם כלפי ועדה זו.

2.2 המבקר הפנימי והוועדה המקומית לתכנון ובנייה

2.2.1 ביקורת פנימית בוועדה מקומית

החוק, בדומה ליתר גופי הביקורת, מעניק למבקר הפנימי סמכויות רבות. מהוראות החוק עולה כי בין תפקידיו של מבקר הפנים הוא לבדוק פעולות לפי חוק תכנון ובנייה – הן מההיבט החוקי והן מההיבט של טוהר מידות וכללי היעילות והחיסכון. תוקף חוקי לכך ניתן בשנת 2010 עם חקיקתו של סעיף 20א(א) לחוק התכנון והבנייה הקובע "בוועדה מקומית לפי סעיף 18, מבקר הרשות המקומית יהיה מבקר הוועדה המקומית".

הואיל וכך, למבקר פנים ברשות מקומית שיש בה ועדה מקומית לתכנון ובנייה יש באופן טבעי, ולמן 2010 באופן מפורש, סמכויות לעריכת ביקורת גם באורגן זה.

2.2.2 ביקורת בועדות מרחביות

החלוקה הסטטוטורית לוועדות תכנון נקבע על פי מרחבי התכנון[9], כאשר במצב שבו במרחב תכנון אחד יש כמה רשויות מקומיות, אזי ייקבע להן, על פי סעיף 19 לחוק, ועדת תכנון אחת (להלן ועדה מרחבית). כל רשות החברה בוועדה כזו שולחת נציג לוועדה, בהתאם למספר שקבע שר הפנים.

עד לראשית העשור לא הייתה חובה למנות מבקרי פנים בגופים הללו. מצב זה יצר אנומליה בכך שהעניינים החשובים והמהותיים ביותר לתושבים ולרשות לא בוקרו על ידי מבקר סטוטורי באופן שוטף. בשנת 2010 הוחל תיקון שבמסגרתו חוקק סעיף 20א לחוק התכנון והבנייה הקובע:

"(ב) במרחב תכנון שסעיף 19 חל עליו, יהיה מבקר הוועדה המקומית מבקר הרשות המרחבית שמספר תושביה הוא הגדול ביותר.  (ג)  על פעולתו של מבקר הוועדה המקומית לפי סעיפים קטנים (א) ו-(ב) יחולו הוראות החלות על מבקר עירייה לפי הוראות פקודת העיריות, בשינויים המחויבים".

בפועל, למרות החוק יש ועדות מרחביות לתכנון ובנייה שעד כה לא מינו להן מבקר פנימי.

2.2.3 היקף הסמכות – עובדים או נבחרים?

לכאורה, החוק הקובע כי על המבקר "לבדוק את פעולת עובדי העיריה" מגביל את סמכותו של מבקר הפנים לבקר רק את עובדי הוועדה, ולא את חברי מועצת הרשות המהווים את מליאת הוועדה לתכנון ובנייה (החוק נוקב מפורשות בעובדים ולא מזכיר נבחרי ציבור). האומנם?

שאלה זו של תחולת היקף הביקורת נידונה בבג"צ אלוני ובה נקבע: "תפקיד המבקר לבדוק את תקינות פעולות העירייה מחייב בדיקת כל גורם הפועל במסגרת העירייה הקשור לפעולה הנבדקת ומעורב בה. לצורך כך אין חשיבות לשאלה מהו מעמדו של אותו גורם – אם הוא עובד עירייה, אם הוא נבחר מועצת העירייה, או אם מדובר בוועדות תכנון ובנייה, את מי מייצג חבר ועדת התכנון אשר מעשיו נבדקים בקשר לפעולת הוועדה – אם הוא נציג שר או אם הוא נציג הרשות המקומית, ומה מעמדו ברשות המקומית"[10].

מן האמור עולה כי אכן יש למבקר הפנימי סמכות לערוך ביקורת על כל בעלי התפקידים בוועדה, בין אם הם נבחרי ציבור (חברי הוועדה לתכנון ובנייה) ובין אם הם עובדים.

3. אמות מידה לניתוח

כאמור, מאמר זה עוסק בניסיון לבחון את היקף ותחום כיסוי הביקורת על מוסדות התכנון והבנייה. לאור היקפה, בחינה זו תישען על סקירת דוחות ביקורת הנגישים לציבור בראי הפרמטרים הבאים, כלהלן:

כל אחד מששת הפרמטרים תלוי ועומד בזכות עצמו, והוא ייבחן ללא קשר ליתר הפרמטרים.

4. תחום התכנון והבנייה בראי ביקורת המדינה

חיפוש[11] במנוע החיפוש שבאתר האינטרנט של משרד מבקר המדינה[12] בשנים 2013-1989 מעלה כי מבקר המדינה פרסם בנושא תכנון ובנייה 22 דוחות ביקורת בשמונה דוחות שנתיים.

סקירת הדוחות הללו מעלה כי:

• מבקר המדינה עורך ביקורת בנושא תכנון ובנייה.
• רוב רובן של הביקורות נערכו על ועדות מקומיות/מרחביות לתכנון ובנייה (77%).
• רוב הביקורות שנערכו התמקדו בנושאי חוקיות וסדירות (ביקורת מסורתית), אם כי מספר לא מבוטל עסק בנושאי החלטות תכנוניות.
• הביקורת שניתן לסווגה כביקורת מתקדמת העוסקת בהחלטות תכנוניות נגעה בנושאים הבאים:
• הביקורת ברובה נעשתה יותר על יחידות (ועדות לתכנון) מאשר על נושאים ספציפיים, ולכן גם רוב הביקורות הן נקודתיות ולא מערכתיות/אופקיות.

כפי שניתן לראות, מהיקף הביקורת אפשר לראות כי מבקר המדינה מייחס חשיבות לתחום התכנון והבנייה. עם זאת, היקף הביקורת ומהות הנושאים המבוקרים אינו מכסה את כל הגופים המבוקרים, ככל הנראה עקב משאבים מוגבלים. לנתון זה משנה חשיבות לאור העובדה, כפי שיוצג בהמשך, שהיקף הביקורת בתחום זה על ידי גורמי ביקורת אחרים מצומצם.

5. תחום תכנון הבנייה בראי ביקורת משרד הפנים

משרד הפנים, הגוף המפעיל את מוסדות התכנון העליונים, הוא בעל הסמכות לקיים פיקוח וביקורת על מוסדות התכנון שמפעילות הרשויות המקומיות. במשרד זה פועלים שני גופי ביקורת, המבקר הפנימי של המשרד, שנסקר בעבודה זו הוא האגף לביקורת ברשומ"ק.

כמו בכל משרד ממשלתי אחר, גם במשרד הפנים פועל מבקר פנים שבסמכותו לקיים ביקורת בכל יחידות המשרד, וזאת מכוח חוק הביקורת הפנימית, התשנ"ב-1992. דוחות ביקורת אלה אינם מתפרסמים ולכן לא ניתן לדעת האם מבקר הפנים של המשרד ערך ביקורת במוסדות התכנון הפועלים במשרד (ועדות מחוזיות, ועדה ארצית, הולקחש"פ והוועדה לשימור חופין ועוד).

לאגף לביקורת ברשומ"ק יש שתי זרועות שבאמצעותן הוא עורך ביקורת והם (א) רו"ח הנשלחים אחת לשנה לרשויות מקומיות; (ב) "המחלקה לביקורת מנהלית" הפועלת באגף. תפקידה של המחלקה הנ"ל "לערוך ביקורת כלליות ואופקיות בשלטון המקומי"[13].

עד כה פרסמה המחלקה לביקורת מנהלית שני דוחות ביקורת העוסקים במוסדות התכנון והבנייה. דוח האגף 7 שפורסם במאי 2001 עוסק בביקורת על 10 ועדות מקומיות לתכנון ובנייה[14]. ודוח 10 שפורסם ביולי 2008 עוסק בביקורת ב-12 ועדות לתכנון ובנייה[15]. כלומר סך הכול בוקרו 18% מסך כל הוועדות המקומיות/מרחביות לתכנון ובנויה. כמו כן דוחות אלה נגעו, בכל אחת מהועדות הנ"ל, במספר נושאים שעניינם סדירות וחוקיות[16], אך לא ביקורת על תהליכי קבלת החלטות ותועלתן (אין בדוחות התייחסות להחלטות התכנוניות של הוועדות).

מעבר לכך עורך משרד הפנים ביקורת בוועדות המרחביות באמצעות רואה חשבון, כפי שנהוג לרשויות מקומיות. ביקורת זו באופייה עוסקת בחוקיות וסדירות.

6. תחום תכנון הבנייה בראי הביקורת הפנימית

כידוע, למבקרים פנימיים בעיריות יש סמכות לקיים ביקורת בוועדות התכנון והבנייה המקומיות. מכיוון שדוחות אלה, המותרים לפרסום, לא נמצאים בהישג יד, הסתפקנו בסקירת דוחות הביקורת המפורסמים באתר של איגוד מבקרי הרשויות המקומיות בישראל[17]. המאגר מקיף עשרות דוחות של מבקרים פנימיים מהשנים  2012-1996 מ-38 רשויות מקומיות. סריקת המאגר האמור מעלה כי בתקופה הנסקרת נערכו 80 ביקורת בנושא תכנון ובנייה, כאשר בשלוש השנים האחרונות שנסקרו נערך מספר קטן של ביקורות בתחום זה[18]. מכיוון שמספר הרשויות הכלולות במאגר מצומצם, לא ניתן לגזור בנושא זה מסקנות גורפות, אך בהחלט ניתן ללמוד ממדגם (לא אקראי) זה כי היקף הביקורת בנושא תכנון ובנייה בכלל ועל ועדות התכנון והבנייה בפרט, אינו רב.

עוד נמצא מעיון בדוחות אלה, כי הביקורת שנערכה היא ברובה המכריע מסורתית (תכנית לא תקפה, ניהול לא יעיל של בסיס נתונים, אי עמידה בלו"ז, תיעוד לקוי, ליקוי בחיוב), וכן נמצא כי ככלל לא נערכה ביקורת מעקב.

7. ניתוח ומסקנות

לתחום התכנון והבנייה נודעת השפעה רבה על חיי האזרחים, הן לטווח הקצר והן לטווח הארוך. סוגיות הרות גורל, ובהן פיזור דמוגרפי, כיווני ההתפתחות העתידיים של המדינה (תחבורה, מסחר ותעשייה ועוד) נחרצים במוסדות לתכנון ובנייה. חשיבות זו באה לידי ביטוי גם בעובדה שתחום זה רווי בסיכונים אינהרנטיים שהתממשותם עלולה לפגוע ברכוש ואף בחיי אדם (כגון גשר שפירים ואולמי ורסאי).

לאור האמור ניתן להניח שהיקף הביקורת על תחום התכנון והבנייה יהיה רב, מה גם שהנורמות המנחות מחייבות עריכת ביקורת בהתאם לסיכונים. ברם, עיון בדוחות הביקורת של כל הגורמים הנגישים לציבור מעלה את המסקנות הבאות:

• א. עיקר הביקורות שנערכו על מוסדות התכנון והבנייה הן ביקורת מסורתית.
• ב. היקף הביקורת על מוסדות התכנון, הכולל עשרות ועדות לתכנון מקומיות/מרחביות, שישה ועדות מחוזיות, מועצה ארצית והוועדות הסמוכות לה, אינו שלם ואינו תדיר (לא כל מוסדות התכנון בוקרו בעשורים האחרונים).
• ג. עד כה ערך משרד הפנים ערך באמצעות אנשיו שני דוחות ביקורת מינהלית (ב-2006 וב-2008), בסך הכול 25 ועדות מקומיות לתכנון ובנייה (מתוך 120 ועדות – 89 ועדות מקומיות ו-31 מרחביות), וכן ערך ביקורת באמצעות רואה חשבון, שלא ניתן ללמוד על היקפה מפני שדוחות אלה אינם מתפרסמים.
• ד. למרות המגבלות של מחקר זה, ניתן להתרשם כי מבקרי הפנים עורכים ביקורת בתחום תכנון ובנייה, אך ביקורת זו ברובה עוסקת בחוקיות וסדירות, והיקפה (לרבות קיום ביקורת מעקב) אינו רב, ייתכן שמחמת משאבים מצומצמים והיעדר ידע מקצועי רלוונטי.
• ה. החוק המחייב במינוי מבקר פנימי בוועדות מרחביות לתכנון ובנייה אינו נאכף.

כפי שניתן לראות, ממצאים אלה מצביעים על כך שיש בעבודתם של גורמי הביקורת השונים ביטוי לכך שתחום התכנון והבנייה הוא מהותי והשפעתו על הציבור רבה. עם זאת, היקפה, תדירותה, מידת הכיסוי שלה, ומעבר לכך  – הנושאים שהיא מכסה, מצביעים על כך שהביקורת הפנימית יכולה לתרום יותר ולהוסיף ערך בתחום חשוב זה. במסגרת רשימה זו לא נגעתי בסיבות לכך, אך לא מן הנמנע כי היקף המורכבות של תחום זה והעובדה שהוא מחייב ידע מתחום המשפט וההנדסה, גורמים לכך שהיקף הביקורת נמצא ברמתו הנוכחית.

גורם נוסף שיכול להסביר דברים אלה הוא השיטה שלפיה נקבעים נושאי הביקורת. בעוד שהיקף ביקורת המדינה והביקורת שמקיים משרד הפנים נשענים בראש ובראשונה על משאבים, הביקורת הפנימית מחויבת לפעול בהתאם לתוצאות סקר סיכונים. ב-2002 וב-2010 פרסם מבקר המדינה דוחות ביקורת על הביקורת הפנימית המצביעים על כך שמבקרי פנים אינם עורכים סקר סיכונים. לא מן הנמנע כי ככל שמבקרי פנים יבססו את עבודתם על סקרי סיכונים, כך תעלה היקף הביקורת בתחום הנזכר.

נדמה כי אין מחלוקת כי תחום התכנון והבנייה, הן מהבחינה האסטרטגית/מטריאלית והן מבחינת היקף הסיכונים האינהרנטיים הטמונים בו, צריך להיות מבוקר באופן תדיר יותר, מקיף יותר ומעמיק יותר. אבל בפועל, אף שגורמי הביקורת מקצים לכך משאבים, היקף הביקורת, תדירות הביקורת (ביקורת מעקב) וסוג הביקורת[19] באופן כללי אינם מצביעים על רמת כיסוי גבוהה. לא בחנו זאת במסגרת רשימה זו, אך ניתן להניח כי ככל שהביקורת הפנימית תתבסס על סקרי סיכונים ויעמדו לרשותה משאבים מתאימים, תוכל זו להוסיף ערך גם בתחום התכנון והבנייה.

8. ביבליוגרפיה

ספרים

אלון קוחלני (2012), ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, הוצאת ג'י.אר.סי יועצים.

פרס י. ויציב ג.(199), מבוא לשיטות מחקר במדעי ההתנהגות, ירושלים.

יוסף ג'בארכין ויוברט לו-יון (1998), התכנון העירוני בישובים הערביים בישראל – סוגיית הקצאת שטחים לצורכי ציבור מחקר הערכה, המרכז לחקר העיר והאזור, הטכניון.

בנימין הימן (2002), חוק תכנון ובניה מדריך לציבור, שתיל.

בועז ברזילי, יסודות התכנון והבניה, הוצ' אתיקה עמ' 5.

דפנה לוינסון-זמיר (1994), פגיעות במקרקעין על–ידי רשויות התכנון.

אברהם פורטן ואחרים (1999),  ועדה מקומית/מרחבית לתכנון ובניה, משרד הפנים.

מונטסקייה (1998), על רוח החוקים, תרגום עידו בסוק, הוצ' מאגנס.

י. זמיר (1996), הסמכות המנהלית, הוצאת נבו.

א. פרידברג (1995(, הביקורת הפנימית בישראל ,נציבות שרות המדינה, בית הספר המרכזי למינהל, ירושלים תשנ"ה.

מאמרים

אלון קוחלני, הביקורת הפנימית ברשומ"ק, המבקר הפנימי, לשכת המבקרים הפנימיים.

אלון קוחלני וגדעון פישר (2005), הביקורת החקירתית – סיפורה של פסוודו דיסציפלינה, המבקר הפנימי, לשכת המבקרים הפנימיים גיליון 96, עמ' 32.

Stone, Williard E. Antecedents of Accounting Profession,(1969) The Accounting Review, April, P.

אנדן, א. (1982) , דגם שכונות חדשות בכפרים ערביים בצפון הארץ, עבודת גמר לקבלת תואר מוסמך, אונ' חיפה, חיפה.

בנימין גייסט (2000), ביקורת המדינה: עקרונות ומושגי יסוד, עיונים בביקורת המדינה , משרד מבקר המדינה.

יוסף דואר (1977), היבטים בביקורת היעילות והחסכון של חברות ממשלתיות, ביקורת המדינה באיגודים, קובץ מאמרים, משרד מבקר המדינה, תשל"ז.

גייסט, ביקורת מדיניות (1985), עיונים בביקורת המדינה, חוברת מס' 39.

ג'ון א. אדס (1980), ההתפתחות ההיסטורית של הביקורת, עיונים בביקורת המדינה, מס' 31.

פסקי דין

בג"ץ 5743/99 דואק נ' ראש-עיריית קרית ביאליק, בעמ' 415.

בג"צ 73/85 סיעת "כך" נ' יו"ר הכנסת, פ"ד לט(3) 141, 158.(ברק).

בג"ץ 7805/00 רוני אלוני, חברת מועצת עיריית ירושלים  נ' מבקרת עיריית ירושלים.

ע"א 324/82 עיריית בני-ברק נ' רוטברד

דוחות ביקורת

מבקר המדינה, דוח ביקורת על בנק ישראל הטבות שכר [דוח מיוחד 2006]

מבקר המדינה, דוח ביקורת על הוועדה המקומית לתכנון ולבנייה פתח תקווה – ניגוד עניינים

מבקר המדינה, דוח שנתי 63ג לשנת 2012

מבקר המדינה, דוח על ביקורת בשלטון המקומי 2010

מבקר המדינה, דוח על ביקורת בשלטון המקומי 2009

מבקר המדינה, דוח ביקורת בשלטון המקומי 2005

מבקר המדינה, דוחות על הביקורת בשלטון המקומי שנת 2003

מבקר המדינה, דוח שנתי 51א לשנת 2000

מבקר המדינה, דוח שנתי 42 לשנת 1991

מבקר המדינה, דוח שנתי 39 לשנת 1988

מבקר המדינה, דוח שנתי 49 לשנת 1998

דוח שנתי מס' 6  (5/2000), האגף לביקורת ברשויות המקומיות, משרד הפנים, עמ' 507.

דוח מבקר עירית חיפה 2004,

דוח מבקר עיריית רעננה 2002

[1] . בג"ץ 5743/99 דואק נ' ראש עיריית קריית ביאליק, בעמ' 415.

[2] . סעיף 220 לפקודת העיריות.

[3] . חוק לתיקון פקודת המועצות המקומיות (מס' 47), התשס"ז-2007.

[4] . במסגרת תיקון 47 לפקודת המועצות המקומיות, הוחלו סעיפים המסדרים את הביקורת הפנימית בעיריות על מבקרי הפנים במועצות (המקומיות והאזוריות).

[5] . סעיף 170א(א)(1) לפקודת העיריות.

[6] . חברי הוועדה הם חברי מועצת העירייה, ומהנדס הוועדה הוא מהנדס העיר.

[7] . מע"א 324/82 עיריית בני-ברק נ' רוטברד.

[8] . להסבר מהו גורם ביקורת חיצוני ראה אלון קוחלני, הביקורת הפנימית ברשומ"ק, המבקר הפנימי, לשכת המבקרים הפנימיים עמ'

[9] . סעיף 13א' לחוק התכנון והבנייה.

[10] . בג"ץ 7805/00 רוני אלוני, חברת מועצת עיריית ירושלים נ' מבקרת עיריית ירושלים.

[11] . חיפוש הערך "תכנון ובניה" והערך "ועדות תכנון".

[12] . www.mevaker.gov.il

[13] . דוח שנתי מס' 6 (5/2000), האגף לביקורת ברשויות המקומיות, משרד הפנים, עמ' 507.

[14] . אשקלון, הרצליה, חדרה, נס ציונה, נתניה, עפולה, קריות, קריית גת, רמת השרון, ורעננה.

[15] . פתח תקווה, עכו, אשדוד, מטה יהודה, בני ברק, מרום הגליל, קריית אתא, דרום השרון, הגלבוע, לוד, עומר, בית שמש וגבעתיים.

[16] ניגודי עניינים, העדפת קרובים, פיקוח לקוי על חריגות בנייה, פער בשומות, ליקויים בעסקת שמאים, שימוש לא חוקי בכספי היטלי השבחה, תפקוד חברי הוועדה, ליקוי בניהול פרוטוקולים, ליקוי במתן היתרים לשימוש חורג, ניהול לא תקין ולא נהלים, טיפול לקוי בפניות הציבור.

[17] . https://www.auditors.org.il

[18] . בשנת 2011 נערכו שלושה דוחות ביקורת בשתי רשויות מקומיות, בשנת 2010 שני דוחות בשתי רשויות מקומיות, ובשנת 2009 שבעה דוחות בחמש רשויות מקומיות.

[19]  להוציא ביקורת המדינה.

The post ביקורת במוסדות התכנון והבנייה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

נדמה כי בצד יתרונותיה הברורים, אין גורם סיכון גדול יותר לארגונים מאשר מערכת המחשב. עם השנים הפכו מערכות המחשוב למקיפות יותר (כגון מערכות ERP), אך במקביל החלו להיחשף עוד ועוד מקרים של פגיעה בארגונים באמצעות שימוש במערכות מחשוב, נזקים שהתרבו ככל שמהפכת התקשוב והאינטרנט הכתה גלים. היקפם של נזקים אלה הוא כה רב עד שכיום העבירות המבוצעות באמצעות מחשב או אינטרנט(Cyber-Crime)  נמנות על ארבעת העבירות הכלכליות השכיחות ביותר במגזר הארגוני(PwC, 2011) .

אך לא רק גורמים חיצוניים (כגון האקרים) פוגעים בארגונים. התמורות והעלייה בהיקף השימוש במערכות מחשוב הביאו גם לעלייה בשימוש לרעה במחשבים על ידי עובדים. שימוש לרעה זה בא לידי ביטוי בחדירה בלתי חוקית למאגרי מידע חסויים, גניבה באמצעות ניצול לרעה של מערכות מחשוב ועוד. כך לדוגמה, מנתונים שהתפרסמו על ידי Computer Security Institute עולה כי עד כמחצית מפשעי סייבר מתבצעים על ידי אנשים מתוך הארגון (CSI, 2011). תימוכין לכך נמצא במחקרים כדוגמת זה של Carnegie Mellon University המצביעים על כך שהנזקים הנגרמים על ידי גורמים פנים ארגוניים חמורים בהרבה מאלה המתבצעים על ידי גורמים חוץ ארגוניים[1] . לאור היקפה, תופעה זו זכתה לכינוי "עבריינות מחשב תעסוקתית".

אך מיהו עובד שגורם למעבידו לנזקים? האם ניתן לאפיין אותו? האם ניתן לקבוע נייר לקמוס לזיהוי עובדים עם נטייה או פוטנציאל לדפוס התנהגות כזה?

לאור מהות תפקידם, שאלות אלו רובצות מטבע הדברים לפתחם של מבקרי הפנים.

מחברי רשימה זו מבקשים להציג בפני העוסקים במקצוע את תחום עבריינות המחשב התעסוקתית, תוך סקירת ההיבטים הפסיכולוגיים והאחרים המביאים לכך והצגה של כמה מכלי האיתור הקיימים. אין ספק כי לאור היקף התופעה, מבקרי פנים יוכלו להמשיך ולהוסיף ערך לארגונים אם הם יבחנו גם את מוכנות ארגונם לאיתור ומניעה של עבריינות מחשב תעסוקתית.

• הצגת הנושא והמסגרת לבחינה

בעשורים האחרונים "עבריינות המחשב" החלה להתפתח כתופעה כפי שאנו מכירים אותה כיום, כאשר בקצה הסקלה קיימים הפשעים חמורים ביותר של פגיעה מכוונת כדי לפגוע בסדר החברתי הנובעים מתוך רצון להרוס (הכט, 2004).

מקובל לחלק את מעשי הפגיעה בארגון באמצעות הטכנולוגיה הזו לשלושה תחומים עיקריים:

1. מחשב כמטרה – עבירות מחשב כהגדרתן בחוק המחשבים, שבהן המחשב משמש כ"קורבן" העבירה ויעד לתקיפה. בין העבירות: חדירות ופריצות למחשב, ייצור והפצה של וירוסים, שיבוש מידע וגניבת מידע ממחשבים.
2. מחשב ככלי – עבירות "רגילות" שבעבר נעשו ללא מחשב. בעבירות אלה המחשב משמש ככלי לביצוע העבירה. לדוגמה: סחר בסמים, זיוף, עבירות ביטחוניות וכו'.
3. כל עבירה אחרת – המחשב משמש ככלי קיבול לראיות היכולות לקשור את החשודים לעבירות המיוחסות להם ולהוכיח באמצעות המידע האגור בו את אשמתם (או חפותם) של חשודים.

בצד עבירות המחשב הנזכרות, החלה להתפתח תופעה שלאור היקפה זכתה להתייחסות נפרדת וכינויה הוא עבריינות תעסוקתית (המבוצעת באמצעות מחשב). כדי להמחיש את גודל התופעה נציין כי על פי הערכות, תאגידים במדינות מערביות מפותחות מפסידים בממוצע כ-5% מהכנסותיהם כתוצאה מעבריינות תעסוקתית. היקף הנזקים מסוג עבריינות זו הוא כה דומיננטי עד שבמחקר שנערך ב-2010 על ידי information week analysis נקבע כי "עובדי הארגון מהווים את האיום הכי גדול לארגון".

הסבר לתופעה זו מציגה תיאוריית ,Work place deviance שלפיה גורמים סביבתיים (הקשורים להתרחשויות במקום העבודה) מחד, ואישיותם של מבצעי העבירה מאידך, מסבירים (ומכאן מנבאים) התנהגות חריגה. התנהגות חריגה במקום העבודה מוגדרת כהתנהגות וולונטרית שמפרה נורמות ארגוניות משמעותיות ובכך מהווה איום על שלומו של הארגון, על חבריו או על שניהם גם יחד. האינטראקציה בין שני המשתנים (סביבתיים ואישיותיים) יכולה להצביע על התנהגות חריגה ואף לנבא אותה. כך לדוגמה, אינטראקציה בין מאפייני האדם ומאפייני הסביבה יכולים להוביל לפשעי מחשב Robinson, Bennett 1995)).

• קווי מתאר לעבריין מחשב תעסוקתי

עד כה למדנו על התופעה, ממדיה ועל המסגרת התיאורטית המבקשת להסבירה, אך האם ניתן לאתר מקרים של עבריינות מחשב תעסוקתית, או שמא ארגונים נידונו להשלים עם קיומה ונזקיה?

מחקרים בתחום זה שהושפעו מתיאוריית ,work place deviance קובעים כי אם נזהה את הגורמים שתורמים להתנהגות חריגה נוכל לערוך סינון מוקדם או תוך כדי העבודה באמצעות מנגנונים פנימיים שיאפשרו לארגון לשפר ביצועים. גורמים אלה מוכרים כ) Big 5-ואליהם נוסף גם גורם נוסף – הדימוי העצמי (Everton, W.J., et al. (2007). מודל זה מבוסס על תיאוריות ומחקרים שעל פיהם רוב התכונות האנושיות יכולות להתכנס לחמישה ממדים אישיותיים, זאת ללא קשר לשפה או לתרבות, ובהם:

• פתיחות – פתיחות לחוויות. ממד זה מאופיין בסקרנות, מקוריות, אופקים רחבים, אינטליגנציה גבוהה ורגישות אומנותית. הקצה השני בסולם זה הוא שמרנות.
• מצפוניות – ממד זה מאופיין בזהירות, יסודיות, אחריות, ארגון, התמדה ומשמעת עצמית. הקצה השני בסולם הוא העדר מצפוניות.
• נעימות – ממד זה מאופיין באדיבות, גמישות, ביטחון, אמון, מזג נוח, שיתוף פעולה, סלחנות וסובלנות. הקצה השני בסולם הוא אנטגוניזם ועוינות.
• נוירוטיות – ממד זה מאופיין בחרדה, דיכאון, כעס, מבוכה, דאגה, רגשנות וחוסר ביטחון. הקצה השני של הסולם הוא יציבות רגשית.
• מוחצנות – ממד זה מאופיין על ידי צורך חברתי גבוה, יכולת התחברות, אסרטיביות, נטייה לדברנות ופעלתנות. הקצה השני של הסולם הוא מופנמות.

כיום קיימת טכנולוגיה המאפשרת להתריע באופן ממוחשב על מקרים של סטייה מנורמה, הן ביחס לקבלת עובדים לעבודה והן ביחס לביצוע מבדקים תקופתיים לעובדים קיימים. ואכן, "פתרון ראשון מסוגו בתעשייה לגילוי מוקדם של מתקפות נעשה באמצעות בנייה אוטומטית של פרופיל התנהגותי לחשבונות פריבילגיים[2] (users accounts) בארגון" (יואל צפריר, 2014). דברים אלה שנאמרו ביחס לפעילות חוץ ארגונית, יפים גם לגורמים פנים ארגונים.

בנוסף, לצורך זיהוי סטייה מנורמה אפשר לעשות שימוש במאפייני הפרופיל (profiling). כלומר, ניתן לעשות שימוש ביצירת קווי מתאר דיוקני כדי לסייע לארגונים לזהות עבריינים (לאחר המעשה) ואף לסייע במניעת עבירות עתידיות (לפני מעשה). מעבר לכך בתחום זה יש הסכמה כי ניתן לבנות פרופילים לעברייני מחשב בכלל ,(Rodgers, 2003) ואף יש הטוענים כי ניתן לעשות כן לעברייני מחשב תעסוקתיים בפרט  (Nickodym et al, 2005)[3].

• מבקרי פנים וזיהוי מוקדם

מבקרי פנים מהווים, מכוח הגדרת המקצוע, פונקציה מקצועית "בלתי תלויה ואובייקטיבית של הבטחה (assurance) וייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון".

כדי לעשות כן נדרשת הביקורת לפעול באופן "שיטתי וממוסד, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח ושליטה" (תקני IIA).

ואכן, מבקרי הפנים נדרשים לסייע לארגון לחשוף עבור הנהלה מוקדי סיכון. לשם כך הם לא רק נדרשים לקבוע את נושאי הביקורת על פי ממצאי סקר סיכונים, אלא גם לבצע ביקורת פנימית מבוססת סיכונים (אלון קוחלני, 2012).

לאור היקף התופעה וממדי הנזקים, עריכת ביקורת בראי סיכונים עלולה מטבע הדברים לגעת גם בתחום מוכנות הארגון לאיתור ומניעה של עבריינות מחשב תעסוקתית. שימוש במתודולוגיה זו יכולה לסייע למבקרים הן באיתור חריגות וסטיות מנורמה והן בבחינת יעילות מערך הבקרה בארגון. כך לדוגמה יכולים מבקרי פנים לבחון את יעילות הבקרות בהליכי קבלת עובדים לעבודה ולאתר דפוסים חריגים באופן התנהגותם של עובדים בתחומים רגישים (כגון קופאים ואנשי IT). לשם כך עליהם להכיר לא רק את הנסיבות לבעיה והגורמים לה, אלא גם לעשות שימוש ואף להמליץ על פיתוח ושכלול מודלים של פרופילים כדי לסייע לארגון להקטין את החשיפה לסיכונים. לימוד נושאים אלה יאפשר למבקר הפנים לסייע בשיפור הבקרה ובהקטנת הסיכונים שמקורם בעבריינות מחשב תעסוקתית.

• סיכום

בימינו היקף החדירה של טכנולוגיית התקשוב לארגונים הוא כה רב עד שמחשבים יכולים להוות "חרב פיפיות", ובין אלה העושים בכך שימוש לרעה יש "אויבים" מבית, כלומר עובדי החברה או הארגון. היקפן של פגיעות אלה הוא כה משמעותי עד שארגונים חייבים להקצות לכך משאבים כדי לשרוד. מעבר להיקף ורמת התחכום, התקפות מחשב נעשות כיום ממוקדות יותר ומקצועיות הרבה יותר (לפי יובל אלדד, 2014).

ברשימה זו הצגנו ממעוף הציפור את תחום עבריינות המחשב התעסוקתית, על הנדבכים והכלים הקיימים כדי להתמודד עמה.

מבקרי פנים, כפונקציה מקצועית האמונה על חשיפת מוקדי סיכון עבור ההנהלה, חייבים להיות מודעים לתופעות אלה, ואף להשכיל לרכוש כלים כדי לבחון האם הארגון מאתר, מזהה ומתריע במועד על שימוש לא מורשה במערכות המחשוב הארגוניות. יש לכך משנה תוקף כאשר אנו עוסקים בעבריינים פנים ארגוניים.

במציאות הטכנולוגית של המאה ה-21 מבקרי פנים ישכילו להוסיף ערך לארגון אם יקצו משאבים לתחום עתיר סיכון זה של עבריינות מחשב תעסוקתית.

ביבליוגרפיה :

אלדד יובל, הגנה על מידע בעולם ללא גבולות? Yes you can!, עיתון הארץ, ספטמבר 2014.

הכט יעקב, תרבות דיגיטלית, האקרים: בין טכנופיליה לפשיעה וירטואלית, נובמבר 2004, פורסם במגזין ברשת של איגוד האינטרנט הישראלי.

צפריר יואל, לשים את האקרים על הכוונת, לא את התוכנות שלהם,  עיתון הארץ, ספטמבר 2014

קוחלני אלון, ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, הוצאת. ג'י.אר.סי יועצים, 2012.

התקנים המקצועיים המקובלים של לשכת המבקרים הפנימיים העולמית IIA (אתר איגוד מבקרים פנימיים בישראל www.theiia.org.il).

"Report to the nations on occupational fraud and abuse", Association of Certified Fraud Examiners (ACFE),in  www.acfe.com, 2012.

"Report to the nations on occupational fraud and abuse", Association of Certified Fraud Examiners (ACFE),in www.acfe.com,  2010.

Common Sense Guide to Mitigating Insider Threats, Carnegie- Mellon University Reports- 3 and 4 editions,  2012.

"2010/2011 Computer Crime and Security Survey", CSI (Computer Security Institute) , 2011.

531. E. Schultz, "A framework for understanding and predicting insider attacks", Computers and Security, Volume 21, Issue 6, 2002 pp. 526-531.

Marcus K. Rogers "The role of criminal profiling in the computer forensics process", Computers & Security 01/2003; 22:292-298.

Nick Nykodym, Robert Taylor & Julia Vilela  "Criminal profiling and insider cyber-crime",  Computer Law & Security Report (2005) 21, 408-414.

"Cybercrime: protecting against the growing threat. Global Economic Crime Survey", PwC publication, November 2011.

Schultz, E., & Shumway, R. (2001). "Incident response: a strategic guide to handling System and network security breaches Sams, Indianapolis, IN.

“Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall”,  Symantec Corp publication, 2011.

Stephanie E. Hastings Thomas A. O'Neill , the University of Western Ontario, Rm 7418 social science center London Ontario Canada n6a.

.4 ראה: https://www.heinz.cmu.edu/faculty-and-research/research/index.aspx

[2] . חשבונות פריבילגיים – חשבונות מחשב המקנות לאוחזים בהם הרשאת גישה למערכות מחשב (users account).

[3]. מעבר לכך יש מחקרים המנתחים עבריינים תעסוקתיים מאופיינים בדיעבד לאור משתנים סוציו-דמוגרפיים ו/או אינדיקטורים התנהגותיים .(ACFE, 2012; Symantec, 2011) במחקרים נוספים הוצעו מודלים לניבוי עבירות תעסוקתיות ,(Schultz, 2002) אך עד כה לא נמצא מודל שנבחן והוכח כמותית.

The post עבריינות מחשב תעסוקתית בראי הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בהרבה מהמקרים ועדות החקירה מסיקות כי בארגון הנחקר הייתה קיימת חוסר סימטריה קיצונית בין המידה הרבה של המשאבים והקשב שהופנו להגדלת הערך והתשואה של הארגון, לעומת האנרגיה הארגונית הנמוכה מדי שהושקעה בהקטנת הסיכון המלווה את פעילותו.

כמעט בכל דיון של הפקת לקחים המתקיים לאחר אירוע נזיקי, צף ועולה "החטא הקדמון" שמנע בזמן אמת את הפניית הקשב הראוי למסרים ששודרו מטעמו של מערך ניהול הסיכונים שבארגון. הדוגמאות ההיסטוריות הן רבות ומגוונות, ובהן: הלחץ ההולך וגדל מצדם של בעלי שליטה ועניין (Stakeholders) שדוחפים את ההנהלות ליצירת תשואה פיננסית, ציבורית, תודעתית ואחרת על חשבון קיום תהליכי קבלת החלטות זהירים. דוגמה נוספת: השימוש בשיטת "גלגול/העברת הסיכון"(1) שנעשתה בצורה בלתי לגיטימית והתגלתה במלוא הדרה המפוקפק בעת המשבר הפיננסי ב-2008, ושהייתה המתודולוגיה הרווחת בקרב "המהנדסים הפיננסים" שהמציאו את "הנכסים הרעילים" הידועים לשמצה(2). עוד דוגמה: שיטת חישוב מענקי המנהלים המתבססת על התוצאות הכספיות בטווח הקצר, ומתעלמת מכך שהפעילויות החדשות שהניבו את התוצאות הפיננסיות החיוביות לארגון ובאותה עת גם את הבונוס המופרז למנהליו, צירפו לארסנל הסיכונים של הארגון איומים חדשים שיש לנהל.

תאגידים מודעים כיום לעובדה שבדומה לרמת ההשכלה, לניסיון המקצועי ולידע הייחודי שבהם מצויד כל אחד מחברי הצוות הניהולי של הארגון, יש גם מבנה רגשי(3) אישי ומיוחד לנושא המשרה המסוים שקובע את "היוריסטיקה הרגשית(4)" המסוימת שלו.

ההיבטים הרגשיים המשפיעים על פעולות משאבי האנוש בתאגיד נחקרים בשנים האחרונות באינטנסיביות במסגרות דיסציפלינריות שונות, כגון תורת ההחלטות, תורת המשחקים, סטטיסטיקה, מדעי המוח, פסיכולוגיה חברתית, פילוסופיה ועוד. נראה לי כי הגיע הזמן שהשיח המקצועי, האמור להפרות את העיסוק בניהול סיכונים, ידון גם הוא בכך.

במאמר זה אני מבקש להפנות את תשומת הלב לתפיסה הגורסת כי התייחסותו הרגשית (הן לעולם הסיכונים והן לעולם ההזדמנויות) של כל אחד מנושאי המשרה בארגון בכלל, ושל מנהל הסיכונים (וכן בעלי התפקידים האחרים המשיקים לניהול הסיכונים) בפרט, מהווה מרכיב מהותי במכלול הפרמטרים המגדירים את התאמתו לתפקידו. בהשקיפם על העתיד התאגידי, משתדלים נושאי המשרה בארגון לבצע את הגילוי, את הזיהוי, ואת ההערכה בנוגע לאותו עולם עתידי וחסר ודאות הנשקף אליהם כשהוא מורכב מתרחישי הסיכוי השונים, ולצדם תרחישי הסיכון הנלווים אליהם. בדומה לרציונל שעליו נסמך התהליך המשפטי המקובל, המכיר בכך שכדי שתתקבל תמונת מציאות משפטית מאוזנת יש צורך בשני גורמים שונים ונפרדים האמורים לייצג את הצדדים לדיון: הן הגנה, והן תביעה, כך לצורך יישום תהליך קבלת החלטות תאגידי ראוי, נדרשת מעורבות של שני סוגי נושאי משרה, מצד אחד מנהל הסיכונים שתמצית עיסוקו במזעור הסיכונים, ומצד אחר נושאי המשרה העוסקים במיצוי ההזדמנויות. סיעור המוחות הנערך בשיתוף שני הגורמים הללו, המביאים עמם לדיון מנעד רחב ומגוון של אינטליגנציה קוגניטיבית ורגשית, מגביר את הסיכוי כי ההחלטות שתתקבלנה תהיינה השקולות, המאוזנות והנכונות ביותר שניתן לקבל.

המאמר מתבסס על שתי הנחות עבודה:

1. ניתוח הדרישות המקצועיות של תפקידי המפתח השונים בארגון מאפשר לסרטט את מפת המבנה הרגשי הרצוי של נושא המשרה המיועד, מתוך מודעות לכך שרצוי שתהיה התאמה רגשית לדרישות ולאופי התפקיד הספציפי. בעשותנו זאת, נתחשב בפרמטרים שונים המשפיעים על תבנית פעילותו העכשווית והעתידית של הארגון, כגון מגזרי הפעילות, מיצובו של הארגון על פני המקטע הספציפי במחזור החיים שלו(5), הסביבה הגאופוליטית ומשתנים רלוונטיים אחרים. לדוגמה: למנהל מכירות נדרשת מידה רבה יותר של יכולת יצירת אמון באמצעות תקשורת רגשית (הבעת רגשות חיוביים) מאשר למנהל הכספים שאמור לנתב את האנרגיות (הקוגניטיבית על חשבון אלו הרגשיות) לניהול מתמטי מדויק של קופת התאגיד.
2. "אהבת/שנאת סיכון"(6) היא אפיון פסיכולוגי מהותי ביותר, המשפיע על מידת התאמתו של היחיד לתפקידו בארגון. אפיון זה הוא משתנה הניתן למדידה, כך שקיימת אפשרות לבצע תצפיות סטטיסטיות ולכמת את עוצמת ה"אהבה"/"שנאה" לסיכון מצדו של נושא המשרה המודגם (כפי שמפורט בתיאוריות תורת התועלת(7) ותורת הערך (8)).

הכרת ה"יסוד הנפשי" של החברים בצוות הניהול הבכיר בארגון מאפשרת לפלח אותם לשלוש קבוצות נפרדות בעלות צביון התמקדות שונה, המושפעות בעוצמה שונה מהגורמים הרגשיים והקוגניטיביים, לרבות העוצמה של "אהבת/שנאת הסיכון" הבאה לידי ביטוי במהלך תהליך קבלת ההחלטות.

הקבוצה האחת, שהיא גם הקבוצה הדומיננטית, מורכבת ממנהלי המכירות, הפיתוח העסקי, ומנהלים אקזקוטיביים אחרים (יכונו להלן באופן ציורי "המערך ההתקפי"). כדי להצליח בתפקידם, חייבים נושאי המשרה האמונים על השגת הערך והתשואה בארגון להיות אנשים אופטימיים הנוטים לחדשנות, לנועזות ולחיפוש הזדמנויות חדשות. אנשי "המערך ההתקפי" חייבים לקחת סיכונים מחושבים, וזאת תוך הימנעות מביצוע הימורים בלתי רציונליים(9). הם גם שואפים להגברת היעילות שלעתים באה על חשבון הבטיחות והביטחון(10). "המערך ההתקפי" פועל בהשפעת התובנה הנכונה בעיקרה, כי הימנעות מלקיחת סיכונים היא הסיכון הגדול ביותר להישרדותו של הארגון (דוקטרינת המעז מנצח)(11). ניתן לאפיין את "המערך ההתקפי" בכך שבמהלך תהליך קבלת ההחלטות הוא באופן אינטואיטיבי מייחס משקל רב יותר לסיכוי מאשר לסיכון.

הקבוצה השנייה מורכבת מבעלי תפקיד שאופיו מכתיב רמת רגישות גבוהה יותר לאפשרויות הסיכון הגלום בפעילות הארגון. על קבוצה זו נמנות מערכות הפיקוח והבקרה, הביקורת הפנימית(12), השמירה, קציני הציות, וכמובן האחראים על הפעלת המתודולוגיה של ניהול הסיכונים (להלן יכונו באופן ציורי "המערך הדפנסיבי-הגנתי"). על "המערך ההגנתי" בארגון להיות מצויד במידה נמוכה בהרבה של אופטימיות מאשר "המערך ההתקפי". ראייתו המקצועית של "המערך ההגנתי" בארגון גורמת לו להתנהלות של "כבדהו וחשדהו", ושל ביצוע אינטראקציות ניהוליות תוך הפעלת ספקנות מקצועית(13) מפותחת, כלומר מתוך הכרה כי ה"בלתי צפוי" לעולם יהיה "צפוי" והשאלה שנותרה היא באיזו הסתברות(14).

לעומת חברי "המערך ההתקפי" שעולמם המקצועי ממוקד סביב בניית תקוות וחלומות ורודים לעתיד טוב ומוצלח יותר, עסוק "המערך ההגנתי" בפעולות מניעה ובלימה. במקרים של הצלחת הארגון בהגשמת תקוותיו, יימצאו תמיד אנשי "המערך ההתקפי" באור זרקורי היוקרה והקידום, אך במקרה של כישלון ימצא עצמו "המערך ההגנתי" לצדו של "המערך ההתקפי" כשותף לכשל, ואליו תופנה השאלה: "היכן היו הבקרות ומדוע נרדמו השומרים על משמרתם?". רק לעתים נדירות יופנו זרקורי התקשורת להצלחות בתחום מזעור וניהול הסיכונים. בשונה ממצבו של "המערך ההתקפי" שהישגיו ניתנים למדידה כמותית, הישגי מניעת המחדלים של הדרג ההגנתי (הכרוכים בפעילות סיזיפית ואין- סופית) הם בלתי נראים, ולכן הם גם בלתי מתוקשרים ובהכרח גם בלתי מתוגמלים כראוי.

הקבוצה השלישית היא ההנהלה הבכירה של הארגון. קבוצה זו כוללת את הדירקטוריון ואת המנכ"ל המהווים את "המערך המנהיגותי" של הארגון. המנהיגות פועלת כמנצחת על תזמורת, והיא האחראית על הסנכרון וההרמוניה של "הקומפוזיציה" המבוצעת בידי הארגון שבניהולה. זו דרכה של מנהיגות הארגון להפיק את מרב התשואה והערך, תוך רגישות ושאיפה להקטנת סיכונים ככל שניתן. ההנהלה הבכירה מקדישה חלק ניכר מזמנה לתהליך של התרשמות, שיפוט וקבלת החלטות, ובמהלך פעילות זו על המנהיגות לשפוט ולהכריע בין הערכות שונות באשר לרמות הסיכון. לכן נדרשת ממנהיגות הארגון היכולת להפעיל שיקול דעת בלתי מוטה תוך קביעת האיזון הרגשי לגבי הסיכונים כמו לגבי הסיכויים. בטרם קבלת ההחלטות, חייב המנהיג לשאול את עצמו מהן "ההטיות הרגשיות"(15) המשפיעות עליו והעלולות להסיט אותו מנקודת הראייה האובייקטיבית הנדרשת לצורך קבלת החלטה טובה ונכונה(16).

מנהיגות הארגון חייבת להפנים ולכבד את העובדה שלעומת "המערך ההתקפי" העסוק תדיר בהשגת יעדי תשואה וערך, "המערך ההגנתי" מונע על ידי הצורך למנוע כשלים ונזקים. לכן תהליכי קבלת ההחלטות (שמטבען כרוכות בביצוע הערכות ואומדנים בתנאים של חוסר ודאות) נעשים בצורה שונה על ידי שני המערכים המונהגים על ידה: הערכותיו של "המערך ההתקפי" מתבצעות תוך התמקדות בתוצאות החיוביות המקוות, זאת בשעה ש"המערך ההגנתי" חייב להתמקד בהערכת הסיכונים, כלומר באפשרות שתוצאות הפעילות יהיו שליליות ויובילו לנזקים. "המערך ההתקפי" עסוק בלחשוב, בלחוש ובלתכנן את הנבת התשואה שעשויה להיות מופקת מביצוע המיזם, ואילו "המערך ההגנתי" אוסף, מעריך, ומתכנן את ההגנה אל מול תרחישי הסיכון הפוטנציאליים העלולים(17) להוות את תוצאת הפרויקט. "המערך ההתקפי" מביא לשולחן הדיונים את התכניות האסטרטגיות והטקטיות שלו, ואילו "המערך ההגנתי" מחויב להגיב מצדו בהעלאת "השאלות הקשות", ולעתים לא להסס מלשחק בעת הדיון את התפקיד של "האויב".

כאן המקום לציין כי ה"חברוּת" בכל אחת מהקבוצות (ההתקפית, ההגנתית והמנהיגותית) היא דינמית ומשתנה בהתאם לנסיבות, וקו פרשת המים המבדיל בין קבוצות אלו הוא מטושטש ומתעתע. לדוגמה, כאשר הרעיון היצירתי שדנים בו הגיע במדרג ההיררכיה התאגידית מלמטה למעלה (Bottom Up), ישמש הבכיר בארגון כבקר של הכפוף לו שיזם את סיעור המוחות, ובתהליך הבירור והבדיקה של התכנות וישימות הרעיון יחבור הבכיר ל"מערך הגנתי". לעומת זאת, כאשר הכיוון ההיררכי של זרימת הרעיונות יגיע מלמעלה (Top Down), גם גישת נושאי המשרה תתהפך ואז הדרג הנמוך ימצא עצמו כחלק מ"המערך ההגנתי".

כיום, לאחר התמורות הדרמטיות שחלו בתחומי ניהול הסיכונים, קיימת מודעות תאגידית לכך שכדי שאורך ומהלך חיי הארגון יהיו ארוכים ומוצלחים ככל האפשר, יש צורך לקיים "חיי זוגיות" אינטנסיביים, תוססים אם כי לעתים גם צורמים, בין שתי הקבוצות, הן "ההתקפית" והן "ההגנתית", השונות זו מזו בגישתן ובראיית העולם המקצועית שלהן. למרות המתח הנובע לעתים מתחושתם של אנשי התשואה והערך כי "הדרג ההגנתי" תוקע "מקלות בגלגלים", על התאגיד לדעת שהחשיבות של השתתפות "הדרג ההגנתי" בתהליך קבלת ההחלטות הכולל של התאגיד, אמורה להציב אתגר אינטלקטואלי שמטרתו לקזז את השפעתה של "הטיית האישוש"(18) במהלך סיעור המוחות הקודם לקבלת ההחלטה, ולכן היא חיונית ביותר ולעתים אף קריטית. ללא ספק, שילובו של מנהל הסיכונים בתהליך כמייצג גישות "איפכא מסתברא"(19) היא פרקטיקה מוצלחת ומשביחת החלטות.

במבט רטרוספקטיבי, ניתן לשער כי הדוגמאות ההיסטוריות המתוארות בתחילת מאמר זה היו מסתיימות אחרת, והקטסטרופות הפיננסיות, האתיות והציבוריות היו נמנעות אילו הופנתה מידה ראויה יותר של קשב ניהולי לעברם של מנהלי הסיכונים. תופעת ה"גשר אחד רחוק מדי"(20), שמקורה בתעוזה מוגזמת והערכה מופרכת ליכולת השגת המטרות בתנאים קשים מדי, עשויה להתמתן באמצעות מתודולוגיות מקובלות של ניהול סיכונים. תרבות נאותה של ניהול סיכונים המשולבת בפעילותו הטקטית והאסטרטגית של הארגון, היא המתכון הנכון להתעצמותו העתידית של הארגון.

סימוכין והערות:

1. העברת הסיכון ( :(Risk Transfeאת השיטות המקובלות לטיפול בסיכונים ניתן לחלק לארבע קבוצות: אימוץ הסיכון, מניעת הסיכון, הקטנת הסיכון, והעברת הסיכון. דוגמה להעברת הסיכון נעשית באמצעות רכישת פוליסת ביטוח.
2. נכסים רעילים (Poisoned Assets: הלוואות המשכנתא ה-"סאב-פריים" שגולגלו והפכו לאיגרות חוב עתירות סיכון, הרעילו את המערכת הפיננסית הבינלאומית, וגרמו לנזקים עצומים לכלכלה העולמית.
3. המבנה הרגשי Emotional Structure)): הגישה המקובלת מחלקת את מנעד הרגשות לשתי קבוצות: הרגש המולד (כתוצאה מהתהליך האבולוציוני, הגנטי), לעומת הרגש הנרכש (תרבות, חינוך, מקום מגורים וגורמים סביבתיים אחרים) הסבר מקובל למונח "רגש" הוא מצב נפשי-גופני המתבטא ברמות שונות של עוררות נעימה או בלתי נעימה, ובדפוסי מחשבה והתנהגות המקושרים למצב רוחו ואישיותו של המרגיש. האנציקלופדיה בריטניקה מגדירה באופן ספציפי את המונח "המבנה הרגשי" כדלקמן: "חקר הרגשות (האמוציות) מתבצע בכמה דיסציפלינות מדעיות – למשל ביולוגיה, פסיכולוגיה, מדעי המוח, פסיכיאטריה, אנתרופולוגיה וסוציולוגיה, וכן ניהל עסקים, פרסום ותקשורת. תוצאת המחקרים הביאה ליצירת פרספקטיבות מובהקות של ה'רגשות' אשר תואמות את המורכבות והמגוון של הרגשות (האנושיים). הפרספקטיבות השונות של הרגשות אינן מתחרות זו בזו אלא משלימות זו את זו, ובכך מפיקות את התובנה המסבירה את קיומם של מבני הרגשות השונים. משמעותה של ההכרה במבנים הרגשיים היא ש'רגש' לחלוטין איננו מושג אמורפי, חסר סדר, לוגיקה ורציונל. נהפוך הוא, הרגשות מובנות בכמה וכמה דרכים: על ידי התשתית הנוירולוגית שלהם, השיפוטיות והאומדנות הכלולות בהם, ההתנהגותיות המבטאת או מבהירה אותם, וכן בקונטקסט הנרחב של הקשרים חברתיים המתרחשים" (Britannica Online Encyclopedia).
4. היוריסטיקה הרגשית The affect heuristic) ): "שיטה, קיצור או דרך אינטואיטיבית לקבלת החלטות באופן מידי… התגובות הראשונות על גירויים הן הרגשיות בדרך כלל. הן מופיעות באופן אוטומטי, ומכוונות בהמשך את התהליך של עיבוד המידע ואת השיפוט. אנו משלים את עצמנו שבעת קבלת החלטות אנו מתקדמים בדרך הגיונית ובוחנים את היתרונות והחסרונות. במציאות, אנחנו קונים את המכונית שמוצאת חן בעינינו, בוחרים בן זוג, עבודה או בית שנראים מושכים בעינינו, ואחר כך אנו מצדיקים את בחירתנו בהסברים הגיוניים" (יוסי יסעור, "היגיון ורגש בקבלת החלטות ובלקיחת סיכונים", הוצאת רמות, אוניברסיטת תל אביב, 2008, עמ' 137).
5. אהבת/שנאת סיכון (Risk Seeking /Risk Aversion): במאמרם פורץ הדרך של זוכה פרס נובל לשנת 2002 פרופ' דניאל כהנמן ושותפו למחקר ד"ר עמוס טברסקי – "בחירה ערכים וייצוגים" שפורסם ב-American Psychologist, 1984, תיארו החוקרים באמצעות "פונקציית הערך ההיפותטית"  את הפערים של ההתייחסות לסיכון שנעשית על ידי מקבל ההחלטה בין תוצאות הניתוח הרציונלי סטטיסטי (המתבצע בהמיספרה השמאלית שבמוחו) לבין הניתוח הרגשי-אינטואיטיבי (המתבצע במוחו בהמיספרה הימנית) בהתייחס לקבלת החלטות בכלל ולאומדן הסיכונים בפרט.
6. תורת התועלת (Utility theory): התיאוריה פרי עטם של המלומדים פון ניומן ומורגנשטרן מהווה עד היום את הבסיס לתורת ההחלטות הרציונלית, כפי שפורסמה בספר:The Theory of Games and Economic Behavior. Princeton Univ. (1944). מסקנות התיאוריה עומדות לא פעם בניגוד להתנהגות האמיתית של האנשים שהחלטותיהם מושפעות גם מהעולם הרגשי שלהם.
7. תורת הערך ((Prospect Theory: ניתן לאמוד את עוצמת האהבה/שנאה לסיכון באמצעות שאלון המכיל שאלות כגון אלו: האם תעדיף לקבל 900 דולר בוודאות או סיכוי של 90% לקבל 1,000 דולר? או: האם תעדיף להפסיד 900 דולר בוודאות או סיכוי של 90% להפסיד 1,000 דולר? (מבוסס על ספרו של דניאל כהנמן, "לחשוב מהר לחשוב לאט", בהוצאת כנרת מטר, פרק 26 "תורת הערך").
8. מחזור החיים של הארגון: מודל אדיג'ס מפרט את מחזור החיים של הארגון (חיזור, ינקות, ילדות, בגרות וכו') שממנו נגזרים האתגרים הרגשיים של נושאי המשרה. המודל מחלק את הצוות הניהולי על פי תכונותיהם של חבריו לארבע קבוצות עיקריות: המשימתי, המנתח, המקדם, התומך.

(Mastering Change, Ichak Adizes, Institute Publication, 2008)

1. הימורים בלתי רציונאליים: "לקיחת סיכונים אינה הימור, אלא העדפת תוצאה גבוהה ולא ודאית על תוצאה ודאית נמוכה יותר" (יוסי יסעור, "היגיון ורגש בקבלת החלטות ובלקיחת סיכונים", הוצאת רמות אוניברסיטת תל אביב, 2008).
2. יעילות על חשבון בטיחות: במצב של "יעילות" מקסימלית מופק הפריון האפשרי הגבוה ביותר באמצעות תשומה נתונה, ואילו לצורך הפקת "בטיחות" נדרשות תשומות נוספות לצורך מזעור הסיכונים בתהליך עצמו.
3. המעז מנצח (Who Dares Wins): סיסמת היחידות המיוחדות: סיירת מטכ"ל הישראלית,Special Air Service (S.A.Sׂ) הבריטית.
4. הביקורת הפנימית: הגדרת מקצוע הביקורת הפנימית על פי התקנים המקצועיים הבינלאומיים של לשכת המבקרים העולמית I.I.A כוללת את הסיוע "לארגון להשיג את מטרותיו בהבאת גישה שיטתית וממוסדת, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי". תיאור גרפי של הקשר האינטנסיבי שבין ניהול הסיכונים והביקורת הפנימית בא לידי ביטוי ב"מודל האבטיח" על פי הI.I.A- שמפלג את ה"אבטיח" לשלושה סוגים של פעילות בניהול סיכונים:

• א. 5 תחומים של תפקידי ליבה של הביקורת הפנימית בנוגע לניהול סיכונים.
• ב. 7 תחומים של תפקידים לגיטימיים של הביקורת הפנימית אם נוקטים אמצעי ביטחון.
• ג. 6 תחומים של תפקידים שעל הביקורת הפנימית להימנע מלעסוק בהם.

1. ספקנות מקצועית (Professional Skepticism): "המבקר יתכנן ויבצע ביקורת תוך גישה של ספקנות מקצועית" (גילוי דעת 92 של לשכת רואי חשבון בישראל).
2. הסתברות "הבלתי צפוי": "ראשית, אירוע חריג (outlier) – הוא נמצא מחוץ לצפיות הרגילות, שכן דבר שקרה בעבר לא יכול להצביע באופן משכנע על היתכנותו. שנית, יש לו השפעה קיצונית. שלישית, על אף חריגותו, הטבע האנושי גורם לנו לרקוח, לאחר מעשה, הסברים להתרחשותו, שהופכים אותו למוסבר ולחזוי" ("הברבור השחור, השפעתו המטלטלת של הבלתי צפוי על הכלכלה והחיים", ניסים ניקולס טאלב, כנרת זמורה ביתן דביר, 2009).
3. הטיות (Biases) רגשיות: "טעויות שיטתיות ידועות כהטיות, והן חוזרות ונשנות בנסיבות מסוימות באופן שהוא בר ניבוי. לדוגמה, כשהדובר הנאה והבטוח בעצמו מדלג אל הבמה, תוכל לצפות שהקהל ישפוט את הערותיו באהדה רבה מכפי שהוא ראוי לה. זמינותה של תווית דיאגנוסטית להטיה זו – אפקט ההילהHalo) effect) – מקלה עלינו לצפות מראש, לזהות ולהבין (דניאל כהנמן, "לחשוב מהר לחשוב לאט", בהוצאת כנרת מטר, פרק המבוא, עמוד 9).
4. החלטה נכונה, החלטה טובה: "החלטה נכונה היא זו שהיה צריך לנקוט בזמן אמת, לפי המידע שהיה בידי המחליט. לפי הנתונים שבידך תוליד את הסבירות הגבוהה ביותר לתרחיש חיובי ביותר מבחינתך, וגם תצמצם את הסבירות לתרחישים המסוכנים… לעומת זאת, החלטה טובה נבחנת בדיעבד – על סמך התוצאה" (מיכאל הר סגור, אהוד פוקס, "רגעים היסטוריים והחלטות בתנאי משבר", זמורה ביתן דביר, 2010, עמ' 13-12).
5. המונחים הסמנטיים "עשוי" לעומת "עלול": מחקרים מעידים על כך שהשימוש הלשוני הספציפי מעיד על מצבו התודעתי של האדם. כאמור, המערך ההתקפי שואל שאלות בעלות קונוטציה חיובית – מה עשוי לקרות, ואילו המערך ההגנתי מתחבט בשאלות בעלות קונוטציה שלילית – מה עלול לקרות.
6. הטיית האישוש Confirmation Bias) "נטייה להתעלם ממידע המעיד כי ההחלטה שקיבלנו בעבר הייתה מוטעית וחיפוש אחר מידע שיאשש החלטה זו" (יוסי יסעור, "היגיון ורגש בקבלת החלטות ובלקיחת סיכונים", הוצאת רמות אוניברסיטת תל אביב, 2008. וכמו כן: "חיפוש מכוון אחר ראיות מאששות, הידוע בשם אסטרטגיית בחינה חיובית של השערה (Positive test strategy)" (דניאל כהנמן, "לחשוב מהר לחשוב לאט", הוצאת כנרת מטר, 2013).
7. איפכא מסתברא: "ביטוי בארמית, ופירושו שההפך מהמקובל הוא המסתבר כנכון. המונח משמש במודיעין מאז 1973 כהליך בקרה על הקונצפציה המובילה בנושא מסוים, ומעמיד מולה קונצפציה נגדית שנחשבת באותו זמן לבלתי סבירה. המונח משמש גם בהקשר של חשיבה בלתי שגרתית, ולא רק במסגרת הבקרה". (האתר למורשת המודיעין באינטרנט).
8. גשר אחד רחוק מדי: ציטוט מדבריו של גנרל בראונינג, מפקד הכוחות המוטסים האמריקניים המסכם את סיבת כישלון המבצע "מרקט גדרן" בספטמבר 1944, שתוכנן לגרום לסיום מהיר של מלחמת העולם השנייה, אך בפועל לאחר תנועה מוצלחת תוך חציית נהרות, נכשל הכוח בהשגת מטרתו העיקרית – השתלטות על הגשר מעל נהר הריין בגבול הולנד-גרמניה. למרות הסתייגויותיהם  הקולניות של הגנרלים ברדלי, פאטון ואחרים, אימץ מפקד כוחות בעלות הברית גנרל אייזנהאואר את תכנית המבצע של גיבור הקרב במדבר המערבי, פלדמרשל מונטגומרי. בדיעבד התברר כי מונטגומרי התבסס על הנחות יסוד מופרכות ואופטימיות יתרה.

Bridge Too Far, Cornelius Ryan, Simon & Schuster, 1974)  A). יש הטוענים כי הטעויות שאפיינו את החלטותיו של מונטגומרי לקראת סוף המלחמה נבעו מהשפעת רגשות יהירות שלקה בהם והם פגעו בתהליך קבלת ההחלטות שלו.

The post ניהול סיכונים ותורת החלטות – היבטים פסיכולוגיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ביום 29 ביולי 2014 אישרה הכנסת את תיקון 25 לחוק החברות ותיקון 14 לחוק העמותות. תיקונים אלו מהווים ביטוי משמעותי להגברת הממשל התאגידי בקרב ארגוני המגזר השלישי.

התיקונים ייכנסו לתוקפם בחודש פברואר 2015 והם כוללים חידושים בשלושת התחומים העיקריים הבאים:

• חיזוק מעמדו של המבקר הפנימי, לרבות בדרך של חובה חדשה למנות מבקר פנימי בעמותה שמחזורה עולה על 10 מיליון ש"ח.
• הסדרת היחסים שבין הדירקטוריון/הוועד המנהל לבין ועדת הביקורת בכל הנוגע למנגנוני הביקורת בארגון והרחבת תפקידי ועדת הביקורת.
• חיזוק סמכויות הפיקוח והחקירה של רשם העמותות ורשם ההקדשות.

במאמר זה נסקור את המשמעויות וההשלכות של התיקונים על מעמדו ותפקידו של המבקר הפנימי בעמותה ובחברה לתועלת הציבור.

2. חובת מינוי מבקר פנימי בעמותה

עד למועד התיקונים לחוקים חלה חובת מינוי מבקר פנימי בחברות לתועלת הציבור שמחזורן עולה על 10 מיליון ש"ח.

ביחס לעמותות – לא חלה חובה למנות מבקר פנימי בעמותה, הגם שבפועל לא מעט עמותות החליטו למנות מבקר פנימי באופן וולונטרי מתוך הכרת החשיבות של פונקציה זו בארגון, ובפרט בהתייחס לתרומתה הרבה כזרוע מסייעת עבור ועדת הביקורת.

החריגים לכלל היו: בעמותה שהיא תאגיד בריאות (עמותה המוכרת שירותי בריאות בתוך בית חולים ממשלתי), גוף נתמך (תאגיד שהממשלה משתתפת בתקציבו במישרין או בעקיפין ושר האוצר קבע לגביו בהודעה ברשומות כי הוא גוף נתמך לענייני חוק יסודות התקציב) או גוף מתוקצב (עמותה ממשלתית או עמותה עירונית), שלגביהם חלה חובת מינוי מבקר פנימי מכוח סעיף 2 לחוק הביקורת הפנימית בהיותם "גוף ציבורי". בנוסף, בעמותה שהיא מוסד להשכלה גבוהה כהגדרתה בחוק למועצה להשכלה גבוהה, חלה חובה למנות מבקר פנימי.

החל מחודש פברואר 2015, חובת מינוי מבקר פנימי בעמותה שמחזורה עולה על 10 מיליון ש"ח הושוותה לחובה של חברה לתועלת הציבור. כלומר, עם כניסתו לתוקף של התיקון לחוק העמותות, גם בעמותות שמחזורן עולה על 10 מיליון ש"ח תחול חובת מינוי מבקר פנימי.

3. קווים מנחים לעבודת המבקר הפנימי בחברה לתועלת הציבור ובעמותה

על עצם המינוי של המבקר הפנימי ועל עבודתו בחברה לתועלת הציבור (להלן: חל"צ) הוחלו זה מכבר הוראות מסוימות בחוק החברות. בעקבות התיקון יחולו ההוראות הללו גם על המבקר בעמותות, ולהלן עיקרן:

• הסמכות למנות את המבקר הפנימי

בחל"צ – דירקטוריון החל"צ ימנה את המבקר הפנימי על פי הצעת ועדת הביקורת.

בעמותה – מינוי המבקר ייעשה על ידי הוועד המנהל ובהסכמת ועדת הביקורת.

• איסור לכהן כמבקר פנימי

חל איסור על מי שהוא בעל עניין בחל"צ/בעמותה, נושא משרה בה, קרוב של כל אחד מאלה, וכן רואה החשבון המבקר או מי מטעמו לכהן כמבקר פנימי.

בהקשר זה נדגיש כי לא אחת הטילו עמותות על רואה החשבון המבקר לערוך גם ביקורת בארגון, בין אם זו כונתה ביקורת פנימית ובין אם לאו, למרות חוק העמותות האוסר על מי שנותן שירותים לעמותה בשכר לכהן כגוף מבקר. כעת ברור שלאור התיקון לחוק והחלת סעיף ייחוד הפעולות, כפי שנרחיב עליו בהמשך, המבקר הפנימי של העמותה לא יכול להיות רואה החשבון המבקר את הדוחות הכספיים.

• תפקידי המבקר הפנימי

המבקר הפנימי יבדוק, בין היתר, את תקינותן של פעולות החל"צ/העמותה מבחינת השמירה על החוק ונוהל עסקים תקין.

בהקשר זה נדגיש כי חוק החברות ו/או חוק העמותות אמנם לא החילו על מבקר פנימי בחל"צ/בעמותה את סעיף 4(א) לחוק העמותות בדבר תפקידי המבקר הפנימי, אולם כפי שיפורט גם בהמשך, חוקים אלו החילו על עבודת המבקר את סעיף 4(ב) לחוק הביקורת הפנימית, שמכוחו חייב המבקר לערוך את הביקורת על פי כללים מקצועיים מקובלים.

משהוחלו הכללים האמורים, הרי שלפי תקני ה-IIA והגדרת מקצוע הביקורת הפנימית נדרש המבקר הפנימי לקיים בחל"צ/בעמותה פעילות בלתי תלויה ואובייקטיבית של הבטחה וייעוץ, המיועדת להוסיף ערך ולשפר את פעילות החל"צ/העמותה, תוך הבאת גישה שיטתית וממוסדת לשם הערכת ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי.

• כפיפות המבקר הפנימי

הממונה הארגוני על המבקר הפנימי יהיה יו"ר הדירקטוריון/הוועד המנהל או המנכ"ל, כפי שייקבע בתקנון, או בהיעדר הוראה בתקנון, כפי שיקבע הדירקטוריון/הוועד המנהל.

• החלת חוק הביקורת הפנימית על עבודת המבקר הפנימי

על המבקר הפנימי בחל"צ/בעמותה יוחלו הוראות סעיפים 3(א), 4(ב), 8 עד 10 ו-14(ב) ו-(ג) לחוק הביקורת הפנימית. להלן נסקור בקצרה את הוראות הסעיפים:

• על המבקר לעמוד בתנאי הכשירות על פי החוק (יחיד, תושב ישראל, בעל תואר ראשון/עורך דין/רואה חשבון וכו').
• המבקר מחויב לערוך את ביקורתו על פי כללים מקצועיים מקובלים.
• המבקר לא ימלא בחל"צ/בעמותה תפקיד נוסף על הביקורת הפנימית, זולת תפקיד הממונה על תלונות הציבור או הממונה על תלונות העובדים. כמו כן, המבקר לא ימלא מחוץ לחל"צ/לעמותה תפקיד היוצר או העלול ליצור ניגוד עניינים עם תפקידו כמבקר פנימי.
• בסמכות המבקר לדרוש כל מסמך וכל מידע, להיכנס לכל נכס ולגשת לכל מאגר מידע, וכן הוא מחויב לשמור בסוד כל מידע וכל מסמך שהגיעו אליו במסגרת מילוי תפקידו.
• ממצאי הביקורות ודוחות הביקורת לא יהיו קבילים כראיה בהליך משפטי.
  • בדיקה דחופה

יו"ר הדירקטוריון/הוועד המנהל או יו"ר ועדת הביקורת רשאים להטיל על המבקר הפנימי לערוך ביקורת פנימית, נוסף על תכנית העבודה, בעניינים שבהם יתעורר צורך לבדיקה דחופה.

• הגשת דוחות על ידי המבקר הפנימי

המבקר הפנימי יגיש דין וחשבון על ממצאיו ליו"ר הדירקטוריון/הוועד המנהל, למנכ"ל וליו"ר ועדת הביקורת. דין וחשבון בנוגע לבדיקה דחופה יימסר למי שהטיל על המבקר הפנימי את עריכת הביקורת.

• הפסקת כהונת המבקר הפנימי

ההליך הנדרש במקרה שעולה הרצון בהפסקת כהונתו של המבקר הפנימי או בהשעייתו יכלול, בין היתר,  מתן הזדמנות למבקר הפנימי להשמיע את עמדתו, הצגת עמדת ועדת הביקורת בנידון וקבלת החלטה על ידי הדירקטוריון/הוועד בלבד.

4. אישור תכנית העבודה ובחינת מערך הביקורת הפנימית בארגון
   • אישור תכנית עבודתו של המבקר הפנימי

במסגרת התיקונים לחוקים נחקקו סעיפים חדשים המסדירים את ההליך לאישור תכנית עבודתו של המבקר הפנימי.

ביחס לחברות לתועלת הציבור לא חל שינוי של ממש מפני שעוד לפני התיקון הוגדר הסדר דומה, אולם ביחס לעמותות מדובר בשינוי של ממש מכיוון שטרם התיקון לא עסק חוק העמותות כלל בשאלת תכנית עבודתו של המבקר הפנימי.

להלן ההליך הנדרש לאישור תכנית הביקורת הפנימית בחל"צ/בעמותה:

• א. המבקר הפנימי נדרש להגיש לאישור ועדת הביקורת את תכנית העבודה השנתית.
• ב. תפקיד ועדת הביקורת הוא לבחון תכנית זו לפני הגשתה לאישור הדירקטוריון/הוועד המנהל ולהציע בה שינויים, והכול בשים לב, בין השאר, לצרכיה המיוחדים של החל"צ/העמותה ולגודלה.
• ג. לאחר שוועדת הביקורת בחנה את תכנית עבודתו של המבקר יש להביאה לאישור הדירקטוריון/הוועד המנהל.

לאור האמור, הרי שגם השתנתה מסגרת האחריות של ועדת הביקורת ושל הוועד המנהל בעמותה – נוספו לארגונים אלו תפקידים חדשים שעניינם דיון ואישור תכנית עבודת המבקר.

• בחינת תפקוד מערך הביקורת הפנימית על ידי ועדת הביקורת

במסגרת התיקונים לחוקים התווסף לוועדת הביקורת תפקיד חדש – לבחון את תפקוד מערך הביקורת הפנימית בחל"צ/בעמותה מהבחינות הבאות:

• א. לבחון את מערך הביקורת הפנימית של החברה/העמותה.
• ב. לבחון את תפקודו של המבקר הפנימי.
• ג. לבחון האם לרשות המבקר הפנימי עומדים המשאבים והכלים הנחוצים לו לצורך מילוי תפקידו.

זוהי הרחבה משמעותית של מסגרת תפקידי ועדת הביקורת בחל"צ/בעמותה, וסביר כי המבקר הפנימי יתושאל לא מעט בנושא זה. חשוב לזכור שהתשובה תשתנה בהתאם לאופי הארגון ולצרכיו.

להלן פתרון מוצע למשמעות הפרקטית של חובה זו:

• על ועדת הביקורת להיות מעורבת בהליך לאיתור ולמינוי המבקר הפנימי בחל"צ/בעמותה, ובתוך כך בהגדרת דרישות הכשירות הנדרשות ממנו כך שיהלמו את המורכבות ואת הגודל של הארגון.

כך לדוגמה, בעמותה העוסקת בהפעלת רשת מוסדות חינוך ברחבי הארץ, יכולה ועדת הביקורת לדאוג לכך שבמסגרת תנאי הסף למינוי המבקר ייכללו תנאים הנוגעים למקצועיות המבקר ולהיכרותו עם עולם החינוך ולניסיונו בביקורת במוסדות חינוך, תנאי בדבר היקף הצוות המקצועי שהמבקר מתכוון להיעזר בו כך שיהא מספיק כדי להגיע, ולו מהבחינה הפיזית, לכל מוסדות הקצה ברחבי הארץ, תנאי סף בדבר היכרות המבקר את הרגולציה החלה על מוסדות החינוך בכלל ושל משרד החינוך בפרט, ועוד.

• על ועדת הביקורת לגלות עניין ולפקוח 'עין ביקורתית' בנושאים הנוגעים לרמת תפקודו של המבקר הפנימי תוך כדי עבודתו בארגון.

כך לדוגמה, ועדת הביקורת יכולה לתשאל מעת לעת את המנהלים בארגון ואת המבוקרים העיקריים בנוגע לדעתם באשר לרמה המקצועית של העוסקים בביקורת פנימית ולרמת בקיאותם בנושאים המבוקרים, ועדת הביקורת צריכה לעקוב אחר עמידת המבקר הפנימית בתכנית העבודה השנתית שאושרה ולנטר כל חריגה ממנה, ועדת הביקורת צריכה לבחון את טיב דוחות הביקורת המובאים לשולחנה מבחינת התמקדותם בסוגיות המרכזיות, ועוד.

• על ועדת הביקורת לבחון מדי תקופה את המשאבים שעומדים לרשות המבקר הפנימי, וזאת בהתייחס למגוון ההיבטים שיש לקחת בחשבון, לרבות:
• תקציב/היקף שעות העבודה המוקצות לטובת ביקורת פנימית בארגון (או היקף המשרות).
• מספר הנושאים הנבדקים על ידי המבקר מדי שנה.
• לוחות הזמנים שבהם נדרש לעמוד המבקר הפנימי וסבירותם (לדוגמה: משך הזמן הממוצע לביצוע מטלת הביקורת).
• האם קיימות מגבלות על מידת נגישותו של המבקר הפנימי למידע, למסמכים ולנכסים של החל"צ/העמותה הנדרשים לו לצורך מילוי תפקידו.
• מידת הזמינות ורמת שיתוף הפעולה של המבוקרים, ועוד.

בחינה זו ראוי שתבוצע בדרך של עריכת דיון פתוח עם המבקר הפנימי, ואף רצוי שללא השתתפות ההנהלה, וזאת לצד קיום שיחות עם ההנהלה והמבוקרים העיקריים.

• בחינת סבירות היקף הביקורת הפנימית על ידי ועדת הביקורת

בהתייחס לבחינת סבירות היקף שעות הביקורת הפנימית בארגון, הרי שמדובר במלאכה לא פשוטה שעניינה ניסיון לענות על 'שאלת מיליון הדולר' בביקורת הפנימית: מהו ההיקף הראוי של הביקורת בארגון? בעוד שהתשובות על כך רבות ואינן חד-משמעיות, חשוב לוודא בהקשר זה כי מתקיימים העקרונות הנדרשים על פי הכללים המקצועיים המקובלים, ובתוך כך:

• א. ביצוע סקר מקדים לקביעת היעדים הרב-שנתיים של הביקורת הפנימית באופן הלוקח בחשבון את החשיפה לסיכונים בארגון ואת טיב הבקרות, ובמטרה לקבוע בצורה מושכלת, עד כמה שניתן, את היקף הביקורת הנדרש ואת ההקצאה לנושאי ביקורת שונים. בבניית המתווה הרב-שנתי יש לשאוף כי נושאי הפעילות המרכזיים בחל"צ/בעמותה ייבדקו לעומק בצורה מחזורית לפחות אחת ל-5 שנים (תלוי בהיקף הפעילות של הארגון).
• ב. גיבוש תכנית עבודה שנתית, הנסמכת על ממצאי הסקר המקדים ועל התכנית הרב-שנתית שגובשה, לרבות ביצוע שינויים נדרשים. במסגרת זו יש לכלול נושאים תפעוליים, כלומר נושאים הנוגעים לליבת הפעילות של הארגון, וזאת לצד בדיקת נושאים ניהוליים הנוגעים לממשל התאגידי.
  • הצעת דרכים לתיקון ליקויים על ידי ועדת הביקורת

על ועדת הביקורת לעמוד על ליקויים בניהול החל"צ/העמותה ולהציע לדירקטוריון/לוועד המנהל דרכים לתיקונם, בין השאר תוך התייעצות עם המבקר הפנימי או עם רואה החשבון.

במקרה שבו מצאה ועדת הביקורת ליקוי מהותי, תקיים ישיבה אחת לפחות בעניין הליקוי ללא נוכחות נושאי משרה, וככל שניתן בנוכחות המבקר הפנימי או רואה החשבון.

5. הרשאים להשתתף בישיבות ועדת הביקורת

על פי התיקון לחוקים, מי שאינו רשאי להיות חבר בוועדת הביקורת לא יהיה נוכח בישיבות הוועדה, אלא אם כן יו"ר הוועדה קבע שהוא נדרש לשם הצגת נושא מסוים.

עם זאת, עובד רשאי להיות נוכח לבקשת הוועדה, ובלבד שלא תתקבל החלטה בנוכחותו. כמו כן, היועץ המשפטי או המזכיר רשאים להיות נוכחים בדיון ובקבלת ההחלטות לבקשת הוועדה.

כמובן שביחס למבקר הפנימי המציג את דוחות הביקורת בפני הוועדה, הוועדה רשאית להחליט כי נוכחותו נדרשת לשם הצגת הנושא וקיום דיון מושכל וענייני בממצאיו.

6. הרחבת תפקידי הדירקטוריון/הועד וועדת הביקורת באשר למערך הביקורת בארגון

במסגרת התיקונים לחוקים נוספו תפקידים חדשים לוועדת הביקורת, ולפיהם מחויבת ועדת הביקורת לבחון את היקף עבודתו של רואה החשבון המבקר ואת שכרו, ולהביא המלצותיה בפני האסיפה הכללית שקובעת את שכרו. כמו כן, על ועדת הביקורת לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החל"צ/העמותה בקשר לליקויים בניהול ענייניה ולגבי ההגנה שתינתן לעובדים שהתלוננו.

7. סיכום

התיקון מרחיב באופן משמעותי את סמכויות הפיקוח והביקורת על עמותות וחברות לתועלת הציבור, ומהווה ביטוי משמעותי (ואף יש שיאמרו ביטוי תקיף) להנחלת כללי ממשל תאגידי בגופי המגזר השלישי, ובהם שקיפות והגברת מערך הביקורת.

החידוש העיקרי של התיקון נוגע לחובת מינוי מבקר פנימי בעמותות שמחזורן עולה על 10 מיליון ש"ח ולהסדרת מערך הביקורת בארגון, תוך הגדרת היחסים הנדרשים בנידון בין הדירקטוריון/הוועד המנהל, ועדת הביקורת והמבקר הפנימי.

אין ספק כי מערך הסמכויות והכוחות בעמותות ובחל"צים ישתנה.

במאמר זה עסקנו בשינויים הנוגעים לביקורת הפנימית בחל"צ/בעמותה, אך ברור כי על יתר הארגונים – הדירקטוריון/הוועד המנהל וועדת הביקורת, כל אחד בתחומו, ללמוד היטב את משמעויות התיקון לעניין תחומי האחריות וסדרי העבודה שיש לסגל מעתה ואילך.

The post משמעויות והשלכות תיקון 25 לחוק החברות ותיקון 14 לחוק העמותות על מעמדו ותפקידו של המבקר הפנימי בעמותה ובחברה לתועלת הציבור appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הקדמה

בשנת 1992 פרסם ארגון ה-COSO (Committee of Sponsoring Organizations of the Treadway Commission) את מודל הבקרה הפנימית (Internal Control – Integrated Framework). המודל זכה לאימוץ ושימוש נרחב ברחבי העולם והוא מוכר כמודל המוביל לעיצוב ויישום של בקרה פנימית ולהערכת אפקטיביות הבקרה הפנימית.

בשנים שחלפו מאז השתנתה הסביבה העסקית והתפעולית השתנתה הן מבחינת מורכבותה והן מבחינה טכנולוגית וגלובלית (כגון התרחבות לשווקים גלובליים, דרישות חוקיות ורגולטוריות, שימוש והישענות על טכנולוגיות מתפתחות, ועוד). בה בעת בעלי עניין מחפשים כיום שקיפות גדולה יותר ושלמות של מערכת הבקרה הפנימית התומכת בהחלטות עסקיות ובממשל תאגידי.

ארגון ה-COSO פרסם במאי 2013 את המודל החדש שיאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית שתגדיל את הסבירות להשגת יעדי הארגון והתאמתו לשינויים בסביבה העסקית והתפעולית.

המודל החדש משמר את הגדרת הבקרה הפנימית ואת חמשת מרכיביה: סביבת הבקרה (Control Environment), הערכת סיכונים (Risk Assessment), פעולות בקרה (Control Activities), מידע ותקשורת (Information & Communication), ופעולות ניטור (Monitoring Activities), וכן משמר את חשיבות שיקול דעת ההנהלה בבואה לעצב וליישם בקרה פנימית ולהעריך את האפקטיביות שלה.

אחד השיפורים הבולטים של המודל החדש הוא הפורמליזציה של מושגי היסוד שהוצגו במודל הישן. במודל החדש הם מוגדרים כעקרונות הכפופים לחמשת מרכיבי הבקרה הפנימית. עקרונות אלה מבהירים את עיצוב המודל ויישומו.

המודל כולל גם נקודות למיקוד המדגישות את המאפיינים החשובים הנוגעים לעקרונות שמתווה המודל.

כמו כן, המודל מרחיב את קטגוריית הדיווח הפיננסי, וכולל עתה דיווח שאינו פיננסי וכן דיווחים פנימיים (נוסף על הדיווחים החיצוניים).

מאמר זה מתאר את המודל החדש ומבוסס על פרסומי ה-COSO הרשמיים. המאמר מיועד לחברי דירקטוריון, מנכ"לים וחברי הנהלה אחרים בבואם לדון, לעצב, ליישם ולהעריך את מערכת הבקרה הפנימית.

 הגדרת הבקרה הפנימית על פי ה-COSO:

בקרה פנימית היא תהליך המושפע מהדירקטוריון, מההנהלה ומאחרים, המיועד לספק מידה סבירה של ביטחון באשר להשגת יעדי התפעול, הדיווח והציות של הארגון.

מודל ה-COSO החדש

קטגוריות היעדים

המודל מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית:

• יעדים תפעוליים – קטגוריה הנוגעת ליעילות התפעולית של הארגון, הכוללת יעדי ביצוע תפעוליים ופיננסיים.
• יעדי דיווח – קטגוריה הנוגעת לדיווחים פנימיים וחיצוניים וכן דיווחים פיננסיים ואחרים (שאינם פיננסיים). הקטגוריה מקיפה, בין היתר, מהימנות, שקיפות ומושגים אחרים שנקבעו על ידי הרגולטורים או נוהלי הארגון.
• יעדי ציות – קטגוריה הנוגעת להיצמדות לחוקים ורגולציה החלים על הארגון.

חמשת מרכיבי בקרה פנימית

בקרה פנימית כוללת חמישה מרכיבים משולבים:

1. סביבת בקרה (Control Environment) – סביבת הבקרה היא קבוצה של סטנדרטים ותהליכים המספקים את הבסיס לביצוע בקרה פנימית בארגון. הדירקטוריון וההנהלה הבכירה צריכים לקבוע את ה"טון בצמרת" בנוגע לחשיבות הבקרה הפנימית, לרבות תקנים להתנהגות. סביבת הבקרה כוללת יושרה וערכים אתיים של הארגון; הפרמטרים שמאפשרים לדירקטוריון לפקח ולבצע את אחריותו; המבנה הארגוני והקצאת סמכות ואחריות; התהליך למשיכת, פיתוח ושימור אנשים מוכשרים; הקפדה על מדדי ביצוע, תמריצים ותגמולים כדי להוביל מחויבות לביצוע, וכו'.
2. הערכת סיכונים (Risk Assessment) – כל ארגון עומד בפני מגוון של סיכונים ממקורות חיצוניים ופנימיים. סיכון מוגדר כאפשרות שאירוע יתרחש ועלול להשפיע לרעה על העמידה ביעדי הארגון. הערכת הסיכונים כרוכה בתהליך דינמי וחוזר לזיהוי והערכת הסיכונים להשגת יעדים. הסיכון להשגת יעדים אלה קשור לקביעת הסובלנות לסיכון (Risk Tolerance). לפיכך הערכת הסיכונים מהווה את הבסיס לקביעה כיצד הסיכונים ינוהלו.
3. פעולות בקרה (Control Activities) – פעולות בקרה הן פעולות הנקבעות בנהלים המסייעים להבטיח שהנחיות ההנהלה יפחיתו סיכונים לאי השגת יעדי הארגון. פעולות בקרה מתבצעות בכל הרמות של הארגון, בשלבים שונים של תהליכים עסקיים ובסביבה הטכנולוגית. הן עשויות להיות מונעות או מגלות ועשויות לכלול בתוכן מגוון רחב של פעולות ידניות ואוטומטיות, כגון הרשאות, אישורים, התאמות וסקירת ביצועים. הפרדת תפקידים היא בדרך כלל חלק מהבחירה והפיתוח של פעולות בקרה. היכן שהפרדת התפקידים אינה מעשית, ההנהלה בוחרת ומפתחת פעולות בקרה חלופיות.
4. מידע ותקשורת (Information and Communication) – מידע נחוץ לארגון כדי לממש את אחריות הבקרה הפנימית לתמוך בהשגת יעדי הארגון. ההנהלה משיגה או מפיקה ומשתמשת במידע רלוונטי ואיכותי ממקורות פנימיים וחיצוניים כדי לתמוך בתפקוד מרכיבי הבקרה הפנימית האחרים. תקשורת היא מתמשכת, ולכן זהו תהליך חוזר ונשנה של מתן, שיתוף וקבלת מידע נחוץ.
5. פעולות ניטור (Monitoring Activities) – קיום הערכות שוטפות ואחרות כדי לוודא כי כל אחד ממרכיבי הבקרה הפנימית קיים ומתפקד. הערכות שוטפות, המובנות כחלק מתהליכים עסקיים ברמות שונות של הארגון, מספקות מידע בזמן. הערכות אחרות הנערכות מעת לעת, תשתנינה בתדירותן ובהיקפן בהתאם להערכת הסיכונים, ליעילותן של ההערכות השוטפות ולשיקולי הנהלה אחרים. ממצאים נבדקים מול קריטריונים שנקבעו על ידי רגולטורים, גופי תקינה אחרים או על ידי ההנהלה והדירקטוריון, וליקויים מועברים להנהלה ולדירקטוריון.

הקשר בין יעדים ומרכיבים

קיים קשר ישיר בין יעדים (שאותם הארגון שואף להשיג) למרכיבים (המייצגים את מה שנדרש כדי להשיג את היעדים) ולמבנה הארגוני של הארגון. ניתן לתאר קשר זה בצורה של קובייה.

• שלוש הקטגוריות של היעדים: תפעולי (operations), דיווח ( (reportingוציות compliance)) מוצגים במעלה הקובייה.
• חמשת המרכיבים של הבקרה הפנימית מוצגים בקדמת הקובייה.
• המבנה הארגוני של הארגון מוצג בממד השלישי של הקובייה.

בתמונה: מודל COSO 2013.

מרכיבים ועקרונות

זהו למעשה החידוש המרכזי של המודל. המודל קובע 17 עקרונות המייצגים את מושגי היסוד הקשורים לכל אחד מהמרכיבים. מכיוון שעקרונות אלה נמשכים ישירות מהמרכיבים, ארגון יכול להשיג בקרה פנימית אפקטיבית רק על ידי יישום של כל העקרונות. כל העקרונות מתייחסים ליעדים תפעוליים, דיווח וציות. להלן העקרונות התומכים במרכיבי הבקרה הפנימית:

• סביבת בקרה (Control Environment)

1. הארגון מפגין מחויבות ליושרה וערכים אתיים.
2. הדירקטוריון מפגין עצמאות מההנהלה ומפקח על פיתוח ויישום בקרה פנימית.
3. ההנהלה, תחת פיקוח הדירקטוריון, קובעת את המבנה, את ערוצי הדיווח, ואת הסמכות והאחריות להשגת יעדים.
4. הארגון מפגין מחויבות למשוך, לפתח ולשמר אנשים מוכשרים בהתאמה ליעדי הארגון.
5. הארגון משמר אחריות לבקרה פנימית בקרב עובדיו בהתאמה ליעדי הארגון.

• הערכת סיכונים (Risk Assessment)

6. הארגון מפרט את יעדיו בבהירות מספקת כדי לאפשר זיהוי והערכת סיכונים הקשורים ליעדים.
7. הארגון מזהה סיכונים להשגת יעדיו בכל רבדיו, ומנתח את הסיכונים כבסיס לקביעה כיצד על הסיכונים להיות מנוהלים.
8. הארגון מתייחס לפוטנציאל להונאה בהערכת הסיכונים להשגת יעדים.
9. הארגון מזהה ומעריך שינויים העלולים להשפיע באופן משמעותי על מערכת הבקרה הפנימית.

• פעילויות בקרה (Control Activities)

10. הארגון בוחר ומפתח פעילויות בקרה המסייעות להוריד את הסיכונים להשגת יעדים עד לרמות מקובלות.
11. הארגון בוחר ומפתח פעילויות בקרה כלליות על מערכות המידע כדי לתמוך בהשגת יעדיו.
12. הארגון ממסד פעילויות בקרה במדיניות הקובעת את המצופה ובנהלים המפרשים את המדיניות לצעדים בפועל.

• מידע ותקשורת (Information and Communication)

13. הארגון משיג או מפיק ומשתמש במידע רלוונטי ואיכותי כדי לתמוך בתפקוד הבקרה הפנימית.
14. הארגון מְתקשר פנימה מידע נחוץ (לרבות יעדים ואחריות לבקרה הפנימית) כדי לתמוך בתפקוד הבקרה הפנימית.
15. הארגון מתקשר עם גורמים חיצוניים בעניינים המשפיעים על תפקוד הבקרה הפנימית.

• פעולות ניטור (Monitoring Activities)

16. הארגון בוחר, מפתח ומבצע הערכות שוטפות ו/או אחרות של מרכיבי בקרה פנימית, כדי לוודא כי מרכיבי הבקרה הפנימית קיימים ומתפקדים.
17. הארגון מעריך ומתקשר ליקויי בקרה פנימית בזמן לגורמים האחראים על תיקונם, כולל להנהלה הבכירה ולדירקטוריון, לפי העניין.

בקרה פנימית אפקטיבית

המודל קובע את הדרישות למערכת יעילה של בקרה פנימית. מערכת יעילה מְספקת מידה סבירה של ביטחון לגבי השגת יעדי הארגון. מערכת אפקטיבית של בקרה פנימית מפחיתה לרמה רצויה את הסיכון לאי השגת יעדי הארגון ועשויה להתייחס לקטגוריה אחת, לשתיים או לכל שלוש קטגוריות היעדים. זה דורש כי:

• כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיים ומתפקד. "קיים" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים קיימים בעיצוב ויישום של מערכת הבקרה הפנימית להשגת יעדים. "מתפקד" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים ממשיכים להתקיים כחלק ממערכת הבקרה הפנימית כדי להשיג יעדים.
• חמשת המרכיבים פועלים יחד בצורה משולבת. כלומר, כל חמשת המרכיבים מפחיתים לרמה נדרשת את הסיכון לאי השגת יעד. יש תלות הדדית ויחסי גומלין בין המרכיבים.

מגבלות המודל

המודל מכיר בכך שבעוד שבקרה פנימית מספקת מידה סבירה של ביטחון להשגת היעדים של הארגון, היא איננה יכולה למנוע שיקול דעת מוטעה, החלטה מוטעית או אירועים חיצוניים שיכולים לגרום לארגון לאי השגת יעדיו. במילים אחרות, אפילו מערכת יעילה של בקרה פנימית יכולה לחוות כשל.

מגבלות אלו מוֹנעות מהדירקטוריון וההנהלה מלקבל ביטחון מוחלט בהשגת יעדי הארגון – בקרה פנימית מספקת ביטחון סביר אך לא מוחלט. על אף המגבלות הללו, ההנהלה צריכה להפעיל שיקול דעת בעת בחירה, פיתוח ויישום של בקרות הממזערות ככל שניתן מגבלות אלו.

המסמכים הנלווים למודל

נוסף על המודל, ארגון ה-COSO פיתח את המסמכים הבאים:

• Illustrative Tools for Assessing Effectiveness of a System of Internal Control (Illustrative Tools) – כולל תבניות (Templates) ותרחישים העשויים להיות שימושיים ליישום המודל. תבניות אלו אינן חלק אינטגרלי מהמודל והן אינן מתיימרות לכלול את כל הנושאים הנדרשים להיבחן כאשר מעריכים את מערכת סביבת הבקרה. הנהלת הארגון יכולה להתאים את התבניות כדי לשקף סוגיות ייחודיות. התרחישים מציגים כמה דוגמאות פרקטיות לשימוש בתבניות לצורך הערכת האפקטיביות של מערכת הבקרה הפנימית בהתבסס על דרישות המודל.
• Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR Compendium) – כולל גישות ודוגמאות פרקטיות הממחישות את יישום מרכיבי ועקרונות המודל בהכנת הדוחות הכספיים החיצוניים. הגישות מתארות בקצרה את הפעילויות והדוגמאות והן ספציפיות ופרקטיות בנוגע לכל עיקרון של המודל. המסמך אינו מתיימר לכלול את כל ההיבטים של המרכיבים והעקרונות הדרושים לבקרה פנימית אפקטיבית, ולכן איננו מספק כדי לקבוע כי כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיימים ומתפקדים.

יישום המודל

• ה-COSO מאמינים כי כל עיקרון מוסיף ערך, מתאים לכל הארגונים ולכן רלוונטי. במקרים שבהם ההנהלה קובעת כי עיקרון מסוים איננו רלוונטי לארגון, יש צורך לתעד את הרציונל.
• העקרונות המפורטים במודל צפויים להבהיר כיצד ליישם את המודל בעיצוב ויישום של מערכת בקרה פנימית ובהערכת האפקטיביות שלה. בנוסף, הגישה מבוססת העקרונות מסייעת להבחין מה מכוסה ומה חסר.
• המודל מתאר גם נקודות למיקוד שהן מאפיינים חשובים של העקרונות. נקודות למיקוד עשויות לעזור להנהלה בעיצוב ויישום בקרה פנימית ובהערכה האם העקרונות הרלוונטיים קיימים ומתפקדים.

המודל מכיר באפשרות כי חלק מהנקודות למיקוד אינן מתאימות או אינן רלוונטיות לכל הארגונים, וכי הארגון יכול להתייחס לנקודות מיקוד אחרות.

• אחד הדגשים החשובים של המודל החדש הוא בכך שיש לרדת מרמת יעדי הארגון לרמת הסיכונים ומשם לרמת הבקרות. הבקרות החשובות הן אלה שמנטרלות סיכונים הנוגעים ליעדים מרכזיים של הארגון.
• בעוד שהמודל שב ומדגיש כי הקמה ותחזוקה של סביבת הבקרה היא באחריותה הבלעדית של ההנהלה, לביקורת הפנימית יש תפקיד מפתח בהערכת סביבת הבקרה. פירוט העקרונות במודל מגדיל את השימוש בו על ידי הביקורת הפנימית ומסייע בבואה להעריך את העיצוב ואת האפקטיביות של הבקרה הפנימית.
• נשמרת ההבחנה בין מערך בקרה על פיCOSO ובין ניהול סיכונים כולל "ERM", והתובנה היא ששתי מסגרות עבודה אלו משלימות זו את זו.
• SOX 404דורש כי הנהלת ארגון ציבורי תאמץ מסגרת בקרה פנימית להערכה ולדיווח על עיצוב ותפעול אפקטיבי של הבקרה הפנימית. רוב החברות הציבוריות מאמצות את מודל ה-COSO.
• במעבר מהמודל הישן לחדש ובנוגע לדיווח על הבקרה הפנימית על הדיווח הפיננסי, על ההנהלה (כאמור) להעריך כיצד מערכת הבקרה הפנימית מיישמת את 17 העקרונות הקשורים לחמשת מרכיבי הבקרה הפנימית. ההנהלה צריכה לדון עם הדירקטוריון לגבי התכנית לאימוץ המודל החדש, ועל הדירקטוריון לפקח על ההנהלה בבואה ליישם את המודל החדש.
• שלבי עבודה ראשוניים:

להנהלת הכספים בארגונים המאמצים את המודל החדש (במסגרת הדיווח הפיננסי החיצוני – SOX) מומלץ לפעול כדלהלן:

• קראו את המודל החדש וזהו רעיונות חדשים ושינויים.
• בצעו סקירה ראשונית. קבעו כיצד המודל החדש משפיע על העיצוב וההערכה של הבקרה הפנימית. העריכו את רמת כיסוי עקרונות המודל על ידי התהליכים והבקרות הקיימים וקחו בחשבון את הנקודות למיקוד.
• זהו את הצעדים שיש לבצע במעבר למודל החדש.
• פתחו תכנית מעבר למודל החדש.
• שקלו לבצע walkthrough, טסטים של בקרות והערכה של ליקויי בקרה, כדי לזהות שינויים דרושים.
• הקפידו על גילוי נאות של המודל שבו נעשה שימוש בתקופת המעבר.
• תקשרו והדריכו את הדירקטוריון, את ההנהלה ועובדים רלוונטיים.
• דונו לגבי התהליך עם הביקורת הפנימית ועם המבקר החיצוני.

תחולה

ארגון ה-COSO הכריז כי המודל הישן יהיה זמין בתקופת מעבר שתימשך עד 15 בדצמבר 2014, שלאחריה יוחלף במודל החדש. ב-COSO מאמינים כי שימוש במודל הישן הולם בתקופת המעבר, וכי על שימוש במודל הישן הקשור בדיווח חיצוני נדרש גילוי.

ביבליוגרפיה

• COSO Internal Control – Integrated Framework, Frequently Asked Questions, COSO, May 2013.
• Internal Control – Integrated Framework – Executive Summary, COSO, May 2014.
• The 2013 COSO Framework & SOX Compliance, One Approach to an Effective Transition, by J. Stephen McNally, CPA, June 2013.

The post COSO 2013 – מדריך מקוצר למודל החדש appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

פיתוח טכנולוגיית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[1] עורר התעניינות מחקרית רבה ביכולות השימוש של הטכנולוגיה הזאת גם ככלי בקרה המזהה, בין היתר, הפרות אבטחת מידע[2], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[3], לזיהוי הונאות ומעילות[4] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[5]. מהתוצאות המעודדות של המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית התהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים. בחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.

מהי כריית תהליכים?

כריית תהליכים היא שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים, גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[6].

במערכות ממוחשבות מתקדמות המשמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכדומה, קיימים "יומני אירועים" (קובצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance), כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע הכולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו. לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים, ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים וכן לזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, והוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, כלומר את מסלול האירועים שלו, וכך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control), כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).

אף שבכל תהליך מוגדר מסלול אירועים נורמלי, המערכות עדיין מאפשרות, ובצדק, גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא ייגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים ייתכן שיתרחשו מקרים הנוגדים את כללי הארגון, ועל המבקר הפנימי לזהות מקרים אלו ולבחון אותם.

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל שבמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[7]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 שלהלן.

תרשים 1: תהליך רכש בבנק אירופי מוביל. מקור:Jans et al. (2011)

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה (2) ושחרור (3) משני מאשרים שונים. שלבי קבלת הטובין (4) וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה, ניתן לשנות את הזמנת הרכש לאחר הפקתה, אבל אז תידרש חתימה חוזרת ושחרור חוזר. כמו כן, טובין יכולים להתקבל לשיעורין בכמה משלוחים, ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך שהושלמו עד סופם, כלומר כשסולק מלוא התשלום בגין הרכש – סך הכול כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery  

מטרת אלגוריתם זה היא ללמוד כיצד מבוצע התהליך בפועל במופעים השונים ולזהות את אלה החורגים מהדגם הנורמלי שלו.

בשלב הראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך, כלומר את המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה, נוסח נורמלי של התהליך הוא: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ועלולים להוות סיכון. לדוגמה, באחד הנוסחים שנמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" בלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי על פי החוקים, בתנאים מסוימים אכן לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.

דוגמה נוספת: בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן בכך מדובר.

הנוסחים ה"מעניינים" ביותר למבקר הם אלה שתדירותם נמוכה. לדוגמה, בניתוח נמצאו שלושה מקרים שבהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת.

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה היא להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב-26 אלף המופעים של תהליך הרכש. כאשר מספר העובדים גדול, העובדים מבצעים כמה תפקידים במקביל וקיימת תחלופה דינמית בתפקידים. לכן גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP-, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בשלב הראשון של ניתוח התפקידים על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי עובד מסוים. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש. (2) קבלת חשבונית וקבלת טובין. (3) שחרור הזמנת רכש וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic), ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהן מעורבים שלושה מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)  

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית, ולנסח תובנה על המוטיבציה והמשמעות של פעילותם. כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה מעמיקה יותר. לדוגמה, באמצעותו ניתן לזהות מקרים שבהם מופעים של התהליך מבוצעים בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

ניתוחים אלו אינם מתמקדים במסלול הפעילויות או במבצעים בלבד, אלא במשולב עם מאפיינים אחרים של הפעילויות שעשויים להיות מתועדים ביומן התנועות עצמו או בטבלאות מסד הנתונים של המערכת. באמצעות מספר מזהה של כל אירוע, יכולה תוכנת הניתוח לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור, באמצעות אלגוריתם הגילוי נמצא שב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נוהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הוא עד 12,500 אירו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי, או שסכום ההזמנה הוא 125,000-12,500 אירו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות, הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק הצליחה כריית תהליכים על יומן האירועים של מערכת ה-ERP לאתר באופן אוטומטי הפרות של הפרדת תפקידים והיעדר אישורים וחתימות הדרושים להזמנת רכש שלא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.

שילוב כריית תהליכים עם טכניקות ממוחשבות אחרות לביקורת תהליכים

הצגת טכניקת ביקורת ממוחשבת חדשה מעלה באופן טבעי את השאלה כיצד היא משתלבת עם כלי הביקורת הממוחשבים הקיימים ולאילו משימות ביקורת מתאים כל כלי. בפרק זה נסקור בקצרה את הכלים העיקריים התומכים כיום בביקורת תהליכים עסקיים: ביקורת מתמשכת Continuous Auditing)) וכן ניתוח ותִחקור נתונים ((Data Analysis, ונבחן כיצד כריית התהליכים משתלבת עם כלים אלה.

ביקורת מתמשכת וכריית תהליכים

ביקורת מתמשכת מבוססת על תוכנה שסורקת ומנטרת באופן קבוע ואפילו בזמן אמת את הפעילויות המתבצעות במערכות רגישות בארגון, וכאשר היא מזהה בתוך כך אירועים חריגים או פעולות שבוצעו ונרשמו במערכות הארגון שלא על פי נהלים היא מיד מעבירה דיווח על כך למבקר[8]. בין היתר, התועלת במערכת זו היא קיצור פרק הזמן של הבאת אירועים חריגים למודעוּת הביקורת ולטיפולה[9]. סביב תפיסת הביקורת המתמשכת התפתח פולמוס עקרוני. יש שהתנגדו לשימוש בטכנולוגיה זו ככלי של הביקורת הפנימית בשל  החשש שהשימוש יהפוך את המבקר לאחראי דה פקטו על הבקרה המתמשכת על טיב הפעולות, במקום שהאחריות תוטל כנדרש על ההנהלה. לעומת זאת, המצדדים בביקורת מתמשכת מדגישים כי אין הכוונה שהמבקר יחליף את המנהלים באחריות לבקרה השוטפת של הפעילות בגזרתם ושהמבקר יתערב בכל חריגה או כשל, אלא המטרה היא שהמבקר יוכל להפעיל את שיקול דעתו לביצוע ביקורת במקרים שבהם תוכנת הביקורת המתמשכת תזהה הצטברות של כשלים וחריגות בנושא מסוים. למרות הבעייתיות המסוימת בשימוש המשותף של ההנהלה ושל הביקורת, העניין בביקורת המתמשכת הולך וגובר[10].

בדומה לביקורת מתמשכת, גם כריית תהליכים מזהה כשלים וחריגות, אולם ברמת כלל התהליך ולא ברמת אירוע. בשונה מתפיסת הביקורת המתמשכת, אין בכריית תהליכים דגש על תכיפות עריכתה וסמיכותה למועד האירועים הנבדקים.  היא מבוצעת על נתונים היסטוריים שנגזרים באופן תקופתי מהמערכת הנבדקת, ונערכת בסביבת מחשבים נפרדת ובלתי תלויה, כגון מחשבו האישי של המבקר, ולכן אין עוררין על התאמתה ככלי לעריכת ביקורת בלתי תלויה.

עם זאת, במערכות בעלות אוריינטציה תהליכית, ניתן לשלב במסגרת כלי ניטור וביקורת מתמשכת גם אלגוריתמים של כריית תהליכים מסוימים שישמשו לניטור מתמשך של תקינות תהליכים ויעבו בכך את מערך זיהוי החריגות וההתרעות. לדוגמה, ניתן להפעיל באופן תכוף אלגוריתם לניתוח תפקידים שיזהה בצורה מיידית הפרות של הפרדת תפקידים בתהליכים ויתריע על כך. אלגוריתמים אלה ישפרו את הבקרה הפנימית של התהליכים שבאחריות ההנהלה, ובמקביל יספקו מידע חיוני למבקר בהערכת סיכוני התהליכים שעליו להתחשב בהכנת תכניות העבודה שלו.

כלי ניתוח ותחקור נתונים וכריית תהליכים

כלים ממוחשבים לתחקור וניתוח קובצי נתונים כגון IDEA ו-ACL הנמצאים בשימוש המבקר הפנימי מאז שנות השמונים, מאפשרים ניתוחים אנליטיים וזיהוי שגויים וחריגים המביאים תועלת רבה בהערכת הבקרות הפנימיות[11]. אולם כלים אלה יעילים בעיקר לניתוחי בקרה פנימית ברמת הטרנזקציה (Transaction Level Control), כלומר בקרות הקשורות לאירוע מסוג מסוים. לדוגמה, במסגרת ניתוח אנליטי ניתן לזהות באמצעותם סכומי מינימום ומקסימום של הזמנות רכש בתקופה מסוימת, במטרה לבחון האם הם חורגים מהסכומים המצופים. כמו כן, במסגרת ניסוי הבקרות ניתן לתחקר קובץ של חשבוניות מכירה, ולאתר חשבוניות שבהן שיעורי ההנחה חורגים מהמקסימום המותר או לזהות אי רציפות של מספרי החשבוניות.

בביקורת של תהליכים עסקיים, לעומת זאת, ניתוח ברמת הטרנזקציה איננו מספיק למבקר והוא נדרש לבדוק ולהעריך גם את טיב הבקרות הפנימית המתפרשות על כלל התהליך (Process Level Control). לדוגמה, קיום של "הפרדת התפקידים" בתהליך או ביצוע של סדרת האישורים המתאימה על ידי הגורמים המתאימים בהתאם לחוקי הארגון. טכניקת כריית תהליכים מתאימה יותר לביצוע ניתוחים אלה כפי שהראנו בפרק הקודם.

ברמה הפרקטית, האלגוריתמים לכריית התהליכים (שחלקם הוצג במאמר) עדיין אינם זמינים כתוכנת מדף  למשתמשים. עם זאת, הניסיון מלמד כי טכניקות ביקורת ממוחשבות חדשות שהוצעו והוכחו כיעילות שולבו בסופו של דבר כשיטת ניתוח במסגרת תוכנות הביקורת וניתוח הנתונים הקיימות. כך למשל אירע עם הליך הניתוח הספרתי המבוסס על חוק בנפורד (Benford's Law)[12]. לכן אני מעריך כי גם אלגוריתמים אלה ישולבו באופן דומה בחבילות תוכנה מסחריות לביקורת (ACL, IDEA וכדומה) ויגבירו את התועלת של כלים אלה לביקורת.

סיכום

כפי שהוכח לאחרונה במחקרים, כריית תהליכים שמטרתה לספק תובנות ניהוליות כלליות על תהליכים עסקיים, מצליחה גם בהערכת בקרות פנימיות ברמה תהליכית שכלים ממוחשבים קיימים מתקשים בביצועה. לכן הערכתי היא שהטכניקה החדשה עתידה להשתלב ב"ארגז הכלים" של המבקר הפנימי הן במסגרת תפריט הפעולות בתוכנות לניתוח ותחקור נתונים (כגון ACL או IDEA) והן במסגרת יישומי ביקורת מתמשכת, ולתרום להגברת האפקטיביות של הביקורת.

מקורות

[1]van der Aalst, W. M., Reijers, H. A., Weijters, A. J., van Dongen, B. F., Alves de Medeiros, A. K., Song, M., & Verbeek, H. M. W. (2007). Business process mining: An industrial application. Information Systems, 32(5), 713-732.

[2] van der Aalst, W. M., & de Medeiros, A. K. A. (2005). Process mining and security: Detecting anomalous process executions and checking process conformance. Electronic Notes in Theoretical Computer Science, 121, 3-21.

[3] Caron, F. Vanthienen,J. & Baesens B. (2013),  A comprehensive investigation of the applicability of process mining techniques for enterprise risk management, Computers in Industry, 64,  464–475

[4] Jans, M., van der Werf, J. M., Lybaert, N., & Vanhoof, K. (2011). A business process mining application for internal transaction fraud mitigation. Expert Systems with Applications, 38(10), 13351-13359.

[5] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), A Field Study on the Use of Process Mining of Event Logs as an Analytical Procedure in Auditing. The Accounting Review, September, (89:5), 1751-1773.

[6] Natovich, J. (2009). Business process management systems: The internal control perspective. ISACA Journal, 6, 51.

[7] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), שם

[8] שחר א. (2011) פנים אל פנים, רואה החשבון, ספטמבר

[9] Sparks D.E. (2011), The value of Timely Reporting, Internal Auditor, June, p. 72

[10] Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. Journal of Information Systems, 22(2), 195-214

[11] Debreceny, R., Lee, S. L., Neo, W., & Toh, J. S. (2005). Employing generalized audit software in the financial services sector: Challenges and opportunities. Managerial Auditing Journal, 20(6), 605-618.

[12] Durtschi, C., Hillison, W., & Pacini, C. (2004). The effective use of Benford’s law to assist in detecting fraud in accounting data. Journal of forensic accounting, 5(1), 17-34.‏

בחינת הבקרות הפנימיות בארגון בכלל ובתהליכים עסקיים בפרט הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות, ומורכבותם, במיוחד בארגונים גדולים, מקשה על יכולת המבקר לבצע עליהם ביקורת אפקטיבית ללא אמצעים ממוחשבים.

פיתוח טכנולוגיית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[1] עורר התעניינות מחקרית רבה ביכולות השימוש של הטכנולוגיה הזאת גם ככלי בקרה המזהה, בין היתר, הפרות אבטחת מידע[2], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[3], לזיהוי הונאות ומעילות[4] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[5]. מהתוצאות המעודדות של המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית התהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים. בחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.

מהי כריית תהליכים?

כריית תהליכים היא שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים, גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[6].

במערכות ממוחשבות מתקדמות המשמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכדומה, קיימים "יומני אירועים" (קובצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance), כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע הכולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו. לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים, ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים וכן לזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, והוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, כלומר את מסלול האירועים שלו, וכך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control), כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).

אף שבכל תהליך מוגדר מסלול אירועים נורמלי, המערכות עדיין מאפשרות, ובצדק, גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא ייגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים ייתכן שיתרחשו מקרים הנוגדים את כללי הארגון, ועל המבקר הפנימי לזהות מקרים אלו ולבחון אותם.

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל שבמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[7]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 שלהלן.

תרשים 1: תהליך רכש בבנק אירופי מוביל. מקור:Jans et al. (2011)

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה (2) ושחרור (3) משני מאשרים שונים. שלבי קבלת הטובין (4) וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה, ניתן לשנות את הזמנת הרכש לאחר הפקתה, אבל אז תידרש חתימה חוזרת ושחרור חוזר. כמו כן, טובין יכולים להתקבל לשיעורין בכמה משלוחים, ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך שהושלמו עד סופם, כלומר כשסולק מלוא התשלום בגין הרכש – סך הכול כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery  

מטרת אלגוריתם זה היא ללמוד כיצד מבוצע התהליך בפועל במופעים השונים ולזהות את אלה החורגים מהדגם הנורמלי שלו.

בשלב הראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך, כלומר את המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה, נוסח נורמלי של התהליך הוא: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ועלולים להוות סיכון. לדוגמה, באחד הנוסחים שנמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" בלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי על פי החוקים, בתנאים מסוימים אכן לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.

דוגמה נוספת: בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן בכך מדובר.

הנוסחים ה"מעניינים" ביותר למבקר הם אלה שתדירותם נמוכה. לדוגמה, בניתוח נמצאו שלושה מקרים שבהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת.

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה היא להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב-26 אלף המופעים של תהליך הרכש. כאשר מספר העובדים גדול, העובדים מבצעים כמה תפקידים במקביל וקיימת תחלופה דינמית בתפקידים. לכן גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP-, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בשלב הראשון של ניתוח התפקידים על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי עובד מסוים. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש. (2) קבלת חשבונית וקבלת טובין. (3) שחרור הזמנת רכש וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic), ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהן מעורבים שלושה מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)  

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית, ולנסח תובנה על המוטיבציה והמשמעות של פעילותם. כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה מעמיקה יותר. לדוגמה, באמצעותו ניתן לזהות מקרים שבהם מופעים של התהליך מבוצעים בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

ניתוחים אלו אינם מתמקדים במסלול הפעילויות או במבצעים בלבד, אלא במשולב עם מאפיינים אחרים של הפעילויות שעשויים להיות מתועדים ביומן התנועות עצמו או בטבלאות מסד הנתונים של המערכת. באמצעות מספר מזהה של כל אירוע, יכולה תוכנת הניתוח לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור, באמצעות אלגוריתם הגילוי נמצא שב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נוהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הוא עד 12,500 אירו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי, או שסכום ההזמנה הוא 125,000-12,500 אירו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות, הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק הצליחה כריית תהליכים על יומן האירועים של מערכת ה-ERP לאתר באופן אוטומטי הפרות של הפרדת תפקידים והיעדר אישורים וחתימות הדרושים להזמנת רכש שלא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.

שילוב כריית תהליכים עם טכניקות ממוחשבות אחרות לביקורת תהליכים

הצגת טכניקת ביקורת ממוחשבת חדשה מעלה באופן טבעי את השאלה כיצד היא משתלבת עם כלי הביקורת הממוחשבים הקיימים ולאילו משימות ביקורת מתאים כל כלי. בפרק זה נסקור בקצרה את הכלים העיקריים התומכים כיום בביקורת תהליכים עסקיים: ביקורת מתמשכת Continuous Auditing)) וכן ניתוח ותִחקור נתונים ((Data Analysis, ונבחן כיצד כריית התהליכים משתלבת עם כלים אלה.

ביקורת מתמשכת וכריית תהליכים

ביקורת מתמשכת מבוססת על תוכנה שסורקת ומנטרת באופן קבוע ואפילו בזמן אמת את הפעילויות המתבצעות במערכות רגישות בארגון, וכאשר היא מזהה בתוך כך אירועים חריגים או פעולות שבוצעו ונרשמו במערכות הארגון שלא על פי נהלים היא מיד מעבירה דיווח על כך למבקר[8]. בין היתר, התועלת במערכת זו היא קיצור פרק הזמן של הבאת אירועים חריגים למודעוּת הביקורת ולטיפולה[9]. סביב תפיסת הביקורת המתמשכת התפתח פולמוס עקרוני. יש שהתנגדו לשימוש בטכנולוגיה זו ככלי של הביקורת הפנימית בשל  החשש שהשימוש יהפוך את המבקר לאחראי דה פקטו על הבקרה המתמשכת על טיב הפעולות, במקום שהאחריות תוטל כנדרש על ההנהלה. לעומת זאת, המצדדים בביקורת מתמשכת מדגישים כי אין הכוונה שהמבקר יחליף את המנהלים באחריות לבקרה השוטפת של הפעילות בגזרתם ושהמבקר יתערב בכל חריגה או כשל, אלא המטרה היא שהמבקר יוכל להפעיל את שיקול דעתו לביצוע ביקורת במקרים שבהם תוכנת הביקורת המתמשכת תזהה הצטברות של כשלים וחריגות בנושא מסוים. למרות הבעייתיות המסוימת בשימוש המשותף של ההנהלה ושל הביקורת, העניין בביקורת המתמשכת הולך וגובר[10].

בדומה לביקורת מתמשכת, גם כריית תהליכים מזהה כשלים וחריגות, אולם ברמת כלל התהליך ולא ברמת אירוע. בשונה מתפיסת הביקורת המתמשכת, אין בכריית תהליכים דגש על תכיפות עריכתה וסמיכותה למועד האירועים הנבדקים.  היא מבוצעת על נתונים היסטוריים שנגזרים באופן תקופתי מהמערכת הנבדקת, ונערכת בסביבת מחשבים נפרדת ובלתי תלויה, כגון מחשבו האישי של המבקר, ולכן אין עוררין על התאמתה ככלי לעריכת ביקורת בלתי תלויה.

עם זאת, במערכות בעלות אוריינטציה תהליכית, ניתן לשלב במסגרת כלי ניטור וביקורת מתמשכת גם אלגוריתמים של כריית תהליכים מסוימים שישמשו לניטור מתמשך של תקינות תהליכים ויעבו בכך את מערך זיהוי החריגות וההתרעות. לדוגמה, ניתן להפעיל באופן תכוף אלגוריתם לניתוח תפקידים שיזהה בצורה מיידית הפרות של הפרדת תפקידים בתהליכים ויתריע על כך. אלגוריתמים אלה ישפרו את הבקרה הפנימית של התהליכים שבאחריות ההנהלה, ובמקביל יספקו מידע חיוני למבקר בהערכת סיכוני התהליכים שעליו להתחשב בהכנת תכניות העבודה שלו.

כלי ניתוח ותחקור נתונים וכריית תהליכים

כלים ממוחשבים לתחקור וניתוח קובצי נתונים כגון IDEA ו-ACL הנמצאים בשימוש המבקר הפנימי מאז שנות השמונים, מאפשרים ניתוחים אנליטיים וזיהוי שגויים וחריגים המביאים תועלת רבה בהערכת הבקרות הפנימיות[11]. אולם כלים אלה יעילים בעיקר לניתוחי בקרה פנימית ברמת הטרנזקציה (Transaction Level Control), כלומר בקרות הקשורות לאירוע מסוג מסוים. לדוגמה, במסגרת ניתוח אנליטי ניתן לזהות באמצעותם סכומי מינימום ומקסימום של הזמנות רכש בתקופה מסוימת, במטרה לבחון האם הם חורגים מהסכומים המצופים. כמו כן, במסגרת ניסוי הבקרות ניתן לתחקר קובץ של חשבוניות מכירה, ולאתר חשבוניות שבהן שיעורי ההנחה חורגים מהמקסימום המותר או לזהות אי רציפות של מספרי החשבוניות.

בביקורת של תהליכים עסקיים, לעומת זאת, ניתוח ברמת הטרנזקציה איננו מספיק למבקר והוא נדרש לבדוק ולהעריך גם את טיב הבקרות הפנימית המתפרשות על כלל התהליך (Process Level Control). לדוגמה, קיום של "הפרדת התפקידים" בתהליך או ביצוע של סדרת האישורים המתאימה על ידי הגורמים המתאימים בהתאם לחוקי הארגון. טכניקת כריית תהליכים מתאימה יותר לביצוע ניתוחים אלה כפי שהראנו בפרק הקודם.

ברמה הפרקטית, האלגוריתמים לכריית התהליכים (שחלקם הוצג במאמר) עדיין אינם זמינים כתוכנת מדף  למשתמשים. עם זאת, הניסיון מלמד כי טכניקות ביקורת ממוחשבות חדשות שהוצעו והוכחו כיעילות שולבו בסופו של דבר כשיטת ניתוח במסגרת תוכנות הביקורת וניתוח הנתונים הקיימות. כך למשל אירע עם הליך הניתוח הספרתי המבוסס על חוק בנפורד (Benford's Law)[12]. לכן אני מעריך כי גם אלגוריתמים אלה ישולבו באופן דומה בחבילות תוכנה מסחריות לביקורת (ACL, IDEA וכדומה) ויגבירו את התועלת של כלים אלה לביקורת.

סיכום

כפי שהוכח לאחרונה במחקרים, כריית תהליכים שמטרתה לספק תובנות ניהוליות כלליות על תהליכים עסקיים, מצליחה גם בהערכת בקרות פנימיות ברמה תהליכית שכלים ממוחשבים קיימים מתקשים בביצועה. לכן הערכתי היא שהטכניקה החדשה עתידה להשתלב ב"ארגז הכלים" של המבקר הפנימי הן במסגרת תפריט הפעולות בתוכנות לניתוח ותחקור נתונים (כגון ACL או IDEA) והן במסגרת יישומי ביקורת מתמשכת, ולתרום להגברת האפקטיביות של הביקורת.

מקורות

[1]van der Aalst, W. M., Reijers, H. A., Weijters, A. J., van Dongen, B. F., Alves de Medeiros, A. K., Song, M., & Verbeek, H. M. W. (2007). Business process mining: An industrial application. Information Systems, 32(5), 713-732.

[2] van der Aalst, W. M., & de Medeiros, A. K. A. (2005). Process mining and security: Detecting anomalous process executions and checking process conformance. Electronic Notes in Theoretical Computer Science, 121, 3-21.

[3] Caron, F. Vanthienen,J. & Baesens B. (2013),  A comprehensive investigation of the applicability of process mining techniques for enterprise risk management, Computers in Industry, 64,  464–475

[4] Jans, M., van der Werf, J. M., Lybaert, N., & Vanhoof, K. (2011). A business process mining application for internal transaction fraud mitigation. Expert Systems with Applications, 38(10), 13351-13359.

[5] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), A Field Study on the Use of Process Mining of Event Logs as an Analytical Procedure in Auditing. The Accounting Review, September, (89:5), 1751-1773.

[6] Natovich, J. (2009). Business process management systems: The internal control perspective. ISACA Journal, 6, 51.

[7] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), שם

[8] שחר א. (2011) פנים אל פנים, רואה החשבון, ספטמבר

[9] Sparks D.E. (2011), The value of Timely Reporting, Internal Auditor, June, p. 72

[10] Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. Journal of Information Systems, 22(2), 195-214

[11] Debreceny, R., Lee, S. L., Neo, W., & Toh, J. S. (2005). Employing generalized audit software in the financial services sector: Challenges and opportunities. Managerial Auditing Journal, 20(6), 605-618.

[12] Durtschi, C., Hillison, W., & Pacini, C. (2004). The effective use of Benford’s law to assist in detecting fraud in accounting data. Journal of forensic accounting, 5(1), 17-34.‏

The post שווה זהב: כריית תהליכים (Process Mining) – טכניקת ביקורת להערכת בקרות פנימיות בתהליכים עסקיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתום שנה לכהונתך, האם תוכל לסקור את היעדים המרכזיים שהשקעת בהם עד כה ולסמן את יעדיך להמשך הדרך?

בשנה החולפת התמקדתי בלהחזיר את הביקורת הפנימית לחזית הבמה הציבורית והמקצועית. מטרתי הייתה הגברת היכרות הציבור עם ארגון IIA והשבת ההכרה הבינלאומית לאיגוד הישראלי, ואכן התקבלנו חזרה כחברים בארגון ה-IIA העולמי ובשלוחה האירופית. חשוב לא פחות: שיפור הקשר של האיגוד עם מבקרים פנימיים במגזרי המשק השונים: משרדי ממשלה, בנקים, רשויות מקומיות, גופים פיננסיים אחרים, חברות ממשלתיות, תאגידים סטטוטוריים ואחרים. ראיתי לנכון לחזק גם את הקשר למוסדות השלטון – לרגולטורים בישראל, וכן לפעול לשיווק תקשורתי של הביקורת הפנימית ושל איגוד המבקרים. משימה חשובה הייתה ועדיין – חיזוק מעמד המבקר הפנימי בשירות הציבורי ובחברות הציבוריות.

באשר ליעדים לעתיד: אנו פועלים לחיזוק הביקורת הפנימית כמקצוע אקדמי. פעלנו ליצירת מסלול של לימודי מינהל עסקים במסלול ביקורת פנימית בקריה האקדמית אונו, ואנו פועלים ליצירת קשר עם גופים אקדמיים נוספים. השאיפה והדגש שלנו הם לקשור את מקצוע הביקורת הפנימית עם מסלולי מינהל עסקים, כלכלה ומינהל ציבורי; אלה המסלולים הראויים.

מישור חשוב אחר: פעולות לשיפור השקיפות וטוהר המידות בחברה הישראלית, והעמדת הביקורת הפנימית והמבקר הפנימי במרכז ההוויה הזו. על העומד בראש הארגון להעביר מסר לארגון כולו של חובת שקיפות ודוגמה אישית. תרבות ארגונית טובה ודוגמה אישית מתחילות בצמרת. על המבקרים הפנימיים לבדוק זאת.

היקף תעסוקה: אנו ערים לבעיית היקפי השעות המועטות שארגונים מסוימים מקצים למשימות ביקורת פנימית. כאן המקום להדגיש: הבעיה היא מערכתית והיא בראש ובראשונה במגרשו של הרגולטור שחייב לטפל בכך, תוך הפעלת מנופים וכלים רגולטוריים להסדרה. גם אם הרגולטור טרם מיצה את כליו בנידון, על ועדות הביקורת לעשות זאת, מכיוון שהן אמונות על הבטחת הכלים למבקר הפנימי למיצוי תפקידו. ולבסוף, גם האיגוד אינו פטור מעשייה בנידון. תפקידו הוא לסייע לרגולטור ואף להמריץ אותו לקבוע קווים מנחים להיקף השעות הראוי.

 פעילות האיגוד במגזרי הביקורת הפנימית

תוכל לתאר את פעולותיך ואת פעולות האיגוד לקידום הביקורת הפנימית במגזרים פרטניים כגון משרדי הממשלה, השלטון המקומי, תאגידים ציבוריים-סטטוטוריים וצה"ל?

כולנו ערים לבעייתיות של הביקורת הפנימית במשרדי הממשלה. קיימת חולשה מהותית של הביקורת הפנימית ברבים ממשרדי הממשלה מכיוון שאין למבקר גוף תומך, דמוי ועדת ביקורת בחברות ובתאגידים, ולכן הוא נמצא במצב בלתי סביר של תלות בהנהלת המשרד הממשלתי ויש לו בעיות של תקציב, דרגה ושכר ראוי. הוקמה ועדה בראשות רוני פרידמן שריכזה המלצות מקיפות וראויות וכעת הגיע הזמן ליישום ולחקיקה. יש כבר הסכמה והבנה על דרכי הפעולה, ועתה על הרגולטורים – משרד המשפטים ונציבות שירות המדינה, לפעול נמרצות לקידום תיקוני חקיקה ראשית, תקנות והנחיות. הדבר הוא בר ביצוע והמבחן הוא בביצוע.

באשר לביקורת ברשויות המקומיות – תמונת המצב מורכבת יותר, מעמד המבקר והמשאבים העומדים לרשותו מושפעים מאופי הרשות והעומדים בראשה. הנהלת משרד הפנים ערה לכך ופועלת גם במישור ההשבחה וההדרכה המקצועית של המבקרים הפנימיים בשלטון המקומי. הנהלת משרד הפנים אף ביקשה מהאיגוד נייר עמדה באשר לביקורת הפנימית בשלטון המקומי. לשם כך אנו פועלים יחד עם איגוד מבקרי הרשויות המקומיות ואני צופה להתקדמות בנידון.

באשר לקידום מעמד המבקר הפנימי בתאגידים הציבוריים – יש תזכיר חוק התאגידים הציבוריים, אך עדיין לפנינו דרך חתחתים ומכשולים רבים.

באשר לביקורת בצה"ל – לאחר שנות המתנה רבות בציפייה להסדרה, מוסד מבקר צה"ל יצא לדרך ואני ער לעשייה הרבה והמקצועית אצל מבקר צה"ל. ברכותיי לעוסקים במלאכת קודש זאת, ואנו כאיגוד מברכים על העשייה.

במבט כללי – איגוד המבקרים עוקב אחר העשייה והקשיים במגזרי ביקורת פנימית אלה ואחרים. האיגוד פועל בכמה ערוצים, ובמיוחד ביצירת קשר עם הרגולטורים ועם מבקר המדינה, כדי להשפיע, לייצר דעה ולקדם פתרונות. כאן המקום גם לציין כי הקשר של האיגוד עם הארגון העולמי IIA מסייע לנו לקידום מטרות אלה.

סוגיות של הדרכה והשבחת מקצוע הביקורת הפנימית

לפי דעתך, כיצד יש לשפר את הידע המקצועי של המבקרים הפנימיים?

מקצוע הביקורת נמצא בהתחדשות קונספטואלית וטכנולוגית מהירה. על המבקרים להשתלם ולהתעדכן כל הזמן, ותפקידו של האיגוד לסייע להם בכך. גם הרגולטור צריך לתת דעתו לחשיבות המקצועיות והעדכון, שלא לדבר על הדירקטורים וועדות הביקורת שידרבנו את המבקרים הפנימיים להשתלם. האיגוד מסייע למבקרים בשיפור בסיס הידע שלהם באמצעות ייזום לימודים אקדמיים, הסמכות בינלאומיות, ימי עיון והשתלמויות רבות. לבסוף, על כל מבקר פנימי לעקוב אחר ההתפתחויות במקצוע בארץ ובחו"ל, אם דרך ספרות מקצועית וביטאון ה-IIA ואם דרך כתב העת החדש שמוציא כעת האיגוד, ועליו אני מברך. אני משוכנע שכתב עת זה, על המאמרים המעמיקים והמגוונים שבו, ישיא תרומה נכבדת לקידום הביקורת הפנימית בישראל.

The post ריאיון עם דורון כהן, נשיא IIA ישראל – איגוד מבקרים פנימיים בישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

דמיינו כי אתם המבקרים הפנימיים הראשיים של חברה קמעונאית רב לאומית. תוך כדי קריאת עיתון הבוקר, אתם מקבלים דוא"ל לטלפון החכם המיידע אתכם על תנועת תיקון מלאי חריגה שנעשתה באחד הסניפים המרוחקים מעבר לים. עקב כך אתם שוקלים לשלוח נציג מטעמכם לבדוק את הנושא או להמתין ולעקוב אחר הטיפול של מנהל הכספים האזורי שקיבל גם הוא את הדוא"ל.

עתה חִשבו על דוח המגיע אליכם מדי חודש, המחווה את מצב בריאות הבקרה בתחומים הכפופים לניטור ו/או לביקורת מתמשכת. אתם מבחינים כי אזור פעילות מסוים "נצבע אדום" (כלומר בעל סיכון גבוה) לאחרונה עקב הרעה בשורה של מדדים שהוגדרו מראש כמו: עלייה במספר עזיבות העובדים, ירידה בשיעורי הרווח לעומת תקופות קודמות, עלייה בפקודות תיקוני המלאי הנובעים מחוסרים שהתגלו בספירות, עלייה במספר אי ההתאמות בין ספרי החשבונות של החברה למערכות העזר וכדומה. כעת אתם שוקלים האם יש צורך לבצע התאמות בתכנית הביקורת השנתית כך שתענה טוב יותר לתחומי הסיכון המהותיים הקיימים בחברה.

חזון הביקורת המתמשכת אמור להביא שינוי דרמטי בצורה שבה מבקרים פנימיים פועלים. עיקרו הוא מעבר מגישת הביקורת המסורתית שבה תחומים נבדקים אחת לתקופה, לגישה שבה תחומים  רבים נבדקים באופן תכוף יותר. כך יתאפשר לביקורת הפנימית לתת הבטחה מתמשכת (Continuous Assurance) לכך שסיכונים מהותיים מנוהלים בצורה אפקטיבית.

במאמר יוסבר מהי ביקורת מתמשכת וכיצד היא אמורה להשתלב בממשל התאגידי ובניהול הסיכונים של התאגיד, לרבות הבחנה בין תפקיד הביקורת הפנימית לתפקיד ההנהלה ויחסי הגומלין ביניהן. המאמר גם יסקור את יתרונות הביקורת המתמשכת ומגבלותיה, ויפרט שלבים רצויים ביישומה.

הגדרות:

ביקורת מתמשכת – Continuous Audit (להלן ב"מ): בהנחיה לפרקטיקה מספר 3 של לשכת המבקרים הפנימיים העולמית(3) כשיטה לביצוע פעולות ביקורת באופן תכוף או מתמשך יותר על ידי הביקורת הפנימית.

ניתן לחלק את הביקורת המתמשכת לשניים:

• הערכה מתמשכת של הבקרות ((Continuous Control Assessment – מתייחסת לבדיקות שנועדו להבטיח כי הבקרות פועלות כיאות, כמו בדיקה של תנועות כנגד חוקי בקרהControl Rules) ). לדוגמה: בדיקה כי לא הייתה חריגה מנוהלי אישור ההוצאות בחברה באמצעות השוואה של הוצאות החברה למטריצת זכויות החתימה, לרבות בדיקה שהוצאות לא פוצלו כדי לעקוף את דרישות נוהל זה.
• הערכה מתמשכת של הסיכון(Continuous Risk Assessment) – בדיקות אלה מלוות בדרך כלל בבדיקת מגמות ובהשוואות של נתונים כנגד נתוני ייחוס שונים.  לדוגמה: השוואת מספר השעות הנוספות לתקרה שנקבעה כדי להימנע מהוצאות מופרזות, או השוואת מספר תאונות עבודה כנגד תקרה שהארגון קבע כנסבלת ושאינה מחיבת פעולות מניעה נוספות.

ניטור מתמשך –Continuous Monitoring  (להלן נ"מ): מוגדר כתהליך שההנהלה מיישמת כדי להבטיח שהנהלים והתהליכים שהגדירה פועלים כיאות וכי הארגון פועל לפיהם. עקרונות הניטור המתמשך כוללים:

• הגדרת נקודות הבקרה (Control Points) בתהליכים העסקיים השונים, לרבות מטרות כל בקרה (Control Objectives).
• הגדרת סדרה של מבחנים אוטומטיים הבוחנים את כל התנועות הכפופות לבקרה וקובעים האם הבקרה פועלת כנדרש לגביהן.
• חקירת התנועות שנראה כי הבקרות לא פועלות כיאות לגביהן.
• תיקון התנועות או שיפור הבקרה בהתאם לתוצאות החקירה הנ"ל.

הבטחה מתמשכת Continuous Assurance –: הערכה מתמשכת בלתי תלויה (המתבצעת על ידי הביקורת הפנימית) של ניהול הסיכונים והניטור המתמשך שמבצעת ההנהלה ושל מצב הענייניים העסקי, רמת הסיכון והציות, נאותות ואפקטיביות הבקרות ונכונות המידע.

הצורך בביקורת ובניטור מתמשך

הצורך בביקורת ובניטור מתמשכים נובע משורה של סיבות:

• שינויים מהירים בסביבה העסקית ובסיכונים האסטרטגיים והתפעוליים העומדים בפני החברות, דורשים מהן להקים מערך של ניהול סיכונים תאגידי המסוגל לקבל מידע מהימן ורלוונטי בזמן אמת כדי להתאים את אופן פעולתן ולשפר את מערך הבקרה שלהן.
• צורך תכוף מבעבר בדיווח מפורט ומחייב על מצב הבקרה ודרישה לסקירה פרו-אקטיבית לזיהוי הונאות, טעויות וכשלי בקרה עקב השינויים בסביבה החוקית בעשור האחרון, כגון כניסתם לתוקף של תקינת SAS 99 וחוק סרבנס אוקסלי.(2)
• כיסוי של 100% מהתנועות הכפופות לניטור מאפשר גילוי מוקדם של טעויות והונאות, ובכך הקטנה משמעותית של כמותן, שיפור האפקטיביות התפעולית, מניעת אובדן הכנסות ושיפור של הרווח הנקי.
• אפשרות לעבודה מול כמה פלטפורמות מידע בו-בזמן, דבר המאפשר ביצוע בקרות תהליך ו/או בדיקת נאותות בקרות מקצה לקצה התהליך, והצלבת מידע בין תהליכים ומערכות שאינם קשורים זה בזה ישירות.
• השיפורים הטכנולוגיים בתחום המחשוב, מערכות המידע ועיבוד הנתונים, מאפשרים מגוון של פתרונות המותאמים לצורכי הארגונים ליישום ביקורת וניטור מתמשכים, תוך חיסכון משמעותי בעלויות הביקורת, הבקרה והציות. חיסכון זה יכול לנבוע משימוש נרחב יחסית בניתוחים אנליטיים במקום בטכניקות ביקורת מסורתיות הצורכות זמן ומשאבים רבים יותר.
• אפשרות לכימות מצב הבקרה והכנת דוחות חיווי לשימוש בעלי העניין השונים (הנהלה, ביקורת פנימית, המבקרים החיצוניים וכדומה).
• שיפור סביבת הבקרה עקב אלמנט ההרתעה שנוצר בארגון עם היוודע דבר קיומם של ביקורת ו/או ניטור מתמשכים.

אתגרים ביישום ביקורת פנימית מתמשכת

למרות האמור לעיל, היישום בפועל של ביקורת מתמשכת עדיין אינו נפוץ במיוחד. ממחקר שנערך על ידיADR – Audit Director Roundtable  בשנת 2004 עולה שכ-70% ממחלקות הביקורת הפנימית לא יישמו ביקורת מתמשכת, אף שמרבית המבקרים הפנימיים שהשתתפו בסקר ציינו את הצורך בכך.

מסקר שנעשה בדצמבר 2012 על ידיKPMG  לגבי המודעות והיישום של ביקורת וניטור מתמשכים   בחברות וארגונים באירופה (בעיקר), במזרח התיכון ובאפריקה, עולה שרק 9% אחוז מהארגונים  יישמו ביקורת וניטור מתמשכים במשולב, אף שיותר מ-80% היו מודעים ליתרונות שביישום ו-83%  שקלו  זאת. כמו כן צוין כי יש צפי לגידול משמעותי בהשקעה וביישום בשנתיים הבאות.

הסיבות לשיעור היישום הנמוך כוללות:

• יישום ביקורת מתמשכת דורש שינוי פרדיגמת הביקורת הפנימית, לרבות שינוי בתהליך הביקורת, ראיות הביקורת ועיתוי עריכת הביקורות.
• היישום אינו פשוט, כמות המידע הניתן לבדיקה הוא עצום, ולמבקרים הפנימיים יש קושי להחליט היכן להתחיל.
• בחברות שבהן מערכות המידע מבוזרות, הגישה למידע ואיסופו ממערכות שונות כרוך בקשיים, בעלויות ובזמן ניכר.
• התפיסה שלפיה ביקורת מתמשכת היא באחריות ההנהלה, וחשש כי כניסה לתחום היא למעשה כניסה לנעליה של ההנהלה.
• קושי בהגדרת מדדים ברורים להצלחה או לכישלון בקרות מסוימות, הגדרה הנדרשת ביישום ביקורת מתמשכת.
• קושי בשילוב הביקורת המתמשכת עם תכנית הביקורת השנתית.
• מחסור במשאבים ובכישורים נדרשים. לדוגמה, ידע לא מספק של צוות הביקורת בניתוח נתונים ובבניית אוטומציה של הבדיקות.
• קושי בבחירת כלים ותשתית טכנולוגית שתתמוך ביישום יעיל של ביקורת וניטור מתמשכים על ידי הביקורת הפנימית וההנהלה.

יישום ביקורת מתמשכת

לאור האמור לעיל, על מבקר פנים המיישם ביקורת מתמשכת בארגונו לתכנן בקפידה את היישום תוך התייחסות להיבטים הבאים:

• קבלת תמיכה מוועדת הביקורת וההנהלה הבכירה
  • על ההנהלה הבכירה להבין את השלכות יישום ב"מ בארגון, לרבות דרישות הגישה למערכות השונות, תהליך הדיווח ושיתוף הפעולה הנדרש מגופים שונים בארגון. בהיעדר תמיכה והבנה ייתכנו חיכוכים עם גורמים שונים בארגון שלא יבינו את מהות הב"מ, ויופתעו לדעת שנושאים הקשורים אליהם היו כפופים לביקורת ללא ידיעתם. תופעות אלה עלולות לפגוע בלגיטימיות של הביקורת המתמשכת.
• הגדרת תפקידי הביקורת הפנימית וההנהלה ויחסי הגומלין ביניהן
  • יש לשמר את העיקרון שהנהלת החברה היא האחראית לניהול הסיכונים ולהגדרת הבקרות ויישומן, בעוד תפקידה המרכזי של הביקורת הפנימית הוא להעריך את אפקטיביות התהליכים שההנהלה מיישמת. על הביקורת הפנימית להימנע ככל האפשר מלקיחת אחריות על יישום הבקרות כדי שלא לפגוע באי תלותה. עם זאת, יש להכיר בכך שיישום ביקורת מתמשכת עשוי לעתים לכלול אלמנטים דומים לניטור המתמשך שמבצעת ההנהלה. יותר מזה, בעת בחירת התחומים שיהיו כפופים לביקורת המתמשכת וההחלטה על היקפה ועל תדירותה, על הביקורת הפנימית לקחת בחשבון את חוסן הבקרה והניטור המתמשך בתחומים אלה. במקומות שבהם היקף הניטור המתמשך אינו מספק או לא קיים, יישום נרחב של ביקורת מתמשכת על ידי הביקורת הפנימית יוסיף ערך מוסף ברור לארגון. לעומת זאת, כאשר ההנהלה מיישמת ניטור מתמשך אפקטיבי, יישום כזה עלול לגרום לבזבוז משאבים, לכפילויות ולחיכוכים מיותרים.
  • כדי שהביקורת המתמשכת לא תהפוך לבקרה המרכזית (בהיעדר ניטור מתמשך או בקרות מספקים), יכולה הביקורת הפנימית בשלב מסוים להעביר את יישום הבדיקות שפיתחה לידי ההנהלה כדי שייכללו במערך הניטור המתמשך, ולהסתפק מכאן ואילך בבדיקה תקופתית כי הניטור פועל כיאות.

• הגדרת תהליך לבחירת הנושאים הכפופים לב"מ, בחירת ותעדוף הנושאים
  • על הביקורת הפנימית להתייחס לפרמטרים הבאים בעת קבלת ההחלטה על התחומים שיהיו כפופים לביקורת המתמשכת:
    • רמת הסיכון השאריתי ((Residual Risk הטבוע בתחום – כדי לקבוע זאת יכולה הביקורת הפנימית להיעזר במיפוי הסיכונים המתבצע לצורך הכנת תכנית הביקורת השנתית ובסקירה של דוחות ביקורת משנים קודמות, תוך תעדוף של תחומים שבהם באופן עקבי נמצאו ממצאים מהותיים על כשלי בקרה.
    • כמות התנועות (טרנזקציות) – ככל שהתהליך מלווה במספר רב יותר של תנועות, כך לביקורת המתמשכת יש ערך מוסף רב יותר.
    • זמינות הנתונים ואיכותם – על הביקורת הפנימית לבחור תחומים שבהם קיימים נתונים מהימנים זמינים עבורה.
    • רצוי להתחיל מהתחומים שבהם היישום צפוי להיות פשוט יחסית, עם ערך מוסף ברור ומהיר ((Quick Wins. דבר זה יסייע לביקורת הפנימית לקבל תמיכה ומשאבים לפיתוח התחום.
    • יישום הדרגתי – רצוי להתחיל עם פיילוט הכרוך במשאבים קטנים יחסית. בפיילוט זה ייבחנו טכניקות יישום, כלי ניתוח נתונים ותשתית מחשוב נדרשת לצורך פיתוח של הביקורת המתמשכת בארגון.
  • הטמעת הביקורת המתמשכת בתכנית הביקורת השנתית
    • יישום ביקורת מתמשכת מחייב שינוי בתהליך הכנת תכנית הביקורת השנתית ושל הביקורות הספציפיות השונות, תוך הפיכתן לדינמיות יותר. לדוגמה, בעת עריכת ביקורת "רגילה" בתחום מסוים ניתן להתמקד בתהליכים שבהם הביקורת המתמשכת הצביעה על חריגים רבים.
  • פיתוח כישורי המבקרים הפנימיים
    • יישום ביקורת מתמשכת דורש ידע מעמיק של צוות הביקורת לגבי:
      • התהליכים המבוקרים, לרבות הסיכונים המרכזיים, הבקרות המרכזיות והמערכות התומכות.
      • בסיסי הנתונים, לרבות הכרת שדות הנתונים השונים ומשמעותם.
      • טכניקות ניתוח נתונים, לצורך בדיקת איכות הנתונים, בניית בדיקות אפקטיביות לבחינת חוסן הבקרות ו/או רמת הסיכון, וידע בבניית בדיקות אוטומטיות (Scripts).
    • הטמעת כלים וטכנולוגיות שיאפשרו גישה לנתוני החברה המבוזרים וניתוחם
      • הביקורת הפנימית יכולה לשלב כמה פלטפורמות של כלים ומערכות לצורך יישום הביקורת המתמשכת:
        • שילוב הביקורת המתמשכת במערכות העסקיות של החברה. לדוגמה, מודלי ה-) GRC3) במערכות ה-ERP שלSAP או של.Oracle
        • השגת גישה למערכות ובסיסי הנתונים השונים, משיכת הנתונים וניתוחם בתוכנות ביקורת ייעודיות כמוACL אוIDEA  או בכליBI  כמו Microsoft SQL Reporting Services.
      • יש לקחת בחשבון כי יישום ביקורת מתמשכת כרוך בעיבוד כמות עצומה של נתונים, לכן סביר כי בשלב מסוים תידרש שיפור תשתית המחשוב (לדוגמה, שרת ייעודי לצורכי הביקורת המתמשכת).
      • בניית תהליך לדיווח ולמעקב אחר ממצאי הביקורת המתמשכת
        • על המבקר הפנימי הראשי לקבוע את אופן ותדירות הדיווח של תוצאות הביקורת המתמשכת, ואת תהליך המעקב אחר פעולות ההנהלה לטיפול בחריגים שנמצאו ובכשלי הבקרה שגרמו לכך. יצוין כי לביקורת מתמשכת יש יתרון מובנה במעקב מסוג זה בשל הבדיקות החוזרות המתבצעות בתדירות גבוהה, כך ששיפורים שההנהלה מבצעת אמורים להקטין את מספר החריגים בדוחות הביקורת המתמשכת הבאים.

סיכום

יישום ביקורת מתמשכת הכרחי למחלקות ביקורת פנים השואפות לספק הבטחה מתמשכת נאותה לארגוניהן.

היישום כרוך באתגרים  ודורש שינוי בפרדיגמת הביקורת המסורתית, תקשורת ושיתוף פעולה עם גורמים בארגון, רכישת כישורים חדשים לצוות הביקורת הפנימית וכן טכנולוגיות וכלים.

יישום הדרגתי ומתוכנן יתרום רבות לארגון בשיפור רמת הבקרה וסביבתה, בהקטנת עלויות הציות לחוקים ותקנות, ולחיסכון כספי עקב גילוי ומניעה מוקדמים של טעויות ומעילות.

אורן שחר (CIA ,CISA ,MBA) הוא חבר בצוות הביקורת הפנימית של אינטל העולמית ונציגה בישראל, כמו כן הוא דירקטור ב-IIA ישראל – איגוד מבקרים פנימיים, יו"ר הוועדה לפניות מקצועיות של חברים, עורך מידעון האיגוד וחבר בוועדת מידע ופרסומים והוועדה המקצועית.

הערות:

• המאמר מבוסס על מאמר שפורסם בכתב העת "רואה החשבון" בחודש ספטמבר 2011 תחת הכותרת "פנים אל פנים".
• חוק סרבנס אוקסלי דורש מהחברות הנסחרות בארה"ב להעריך את מערך הבקרה התומך בנאותות הדיווחים הכספיים שלהן ולגלות שינויים מהותיים במצב הפעילות הכספית וכן לחולשות במערך הבקרה.

SAS 99 – Consideration of fraud in Financial Audit דורש מהמבקרים לכלול בדיקת מעילות במהלך ביקורות דוחות כספיים תוך שימוש בכלי ביקורת ממוחשבים.

• GRC-Governance, Risk Management and Compliance

ביבליוגרפיה

• Global Technology Audit Guid (No 3) – Continues Auditing: Implications for assurance, monitoring and Risk assessment, David Code 2005
• Continuous Control Monitoring Enabling Rapid Response to Control Breakdown – Audit Director Round Table, 2004 Corporate executive Board
• A look into the future: The next evolution of Internal Audit – Continuous risk and Control assurance , SAP Business Objects
• Maximized Monitoring, M Lehmann PHD ,CISA, "Internal Auditor" June 2010

Continuous auditing and Continues monitoring: The Current status and the reod ahead, KPMG EMA sur

The post ביקורת מתמשכת חזון והיבטים יישומים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות הולכת וגדלה חשיבותה של הביקורת הפנימית בישראל. ארגונים רבים מקימים גופי ביקורת משמעותיים או נעזרים בגורמים חיצוניים שמספקים להם שירותי ביקורת פנימית.

אחד הנושאים שעל המבקר הפנימי להעמיק בו הוא ניהול משאבי האנוש בארגון. יש כמה סיבות לכך. בראש ובראשונה מכיוון שבכל ארגון, עסקי, ממשלתי או לתועלת הציבור, אחת ההוצאות המרכזיות היא עלות כוח האדם. מכאן שחוסר יעילות בניהול כוח האדם ישליך בהכרח על היעילות הכלל-ארגונית. בנוסף, ארגון שלא מקפיד על ציות למערכת הנורמטיבית המחייבת בתחום דיני העבודה ויחסי העבודה, חושף את עצמו ואת מנהליו לקובלנות מצד הגורמים המפקחים ולתביעות משפטיות אפשריות מצד העובדים. יודגש כי היום סכנה זו מוחשית יותר מאשר בעבר, והראיה לכך היא שבשנת 2011 חוקקה הכנסת את החוק להגברת האכיפה של דיני העבודה, התשע"ב-2011, שמטרתו היא "להגביר ולייעל את אכיפתם של דיני העבודה".

לכך מתווספת גם הפגיעה האפשרית במוניטין, שכן הן בתי המשפט והן דעת הקהל נוטים לראות במעסיק את הצד החזק ובעובד את הצד החלש.

ביצוע ביקורות סדורות בתחומי משאבי האנוש השונים בארגון, לפי תכנית עבודה רב-שנתית ובהתאם לסקר סיכונים מקיף, יסייע לארגון לנצל את משאביו בצורה מיטבית ויתרמו לחוסנו בפני מעילות והונאות.

מתודולוגיה מוצעת לביקורת ניהול משאבי אנוש

המתכונת המוצעת לביצוע ביקורת פנימית בתחום ניהול משאבי אנוש בארגון מורכבת משני נדבכים משלימים: אסטרטגי-מבני ותהליכי-תפעולי.

המוקד החשוב בנדבך האסטרטגי-מבני הוא אסטרטגיה ארגונית בתחום משאבי האנוש. לפי פרופ' צבי סגל ואלי חוטר[1], אסטרטגיית משאבי האנוש הארגונית צריכה להיגזר מהאסטרטגיה העסקית הכוללת של הארגון, וקיומה ויישומה הם תנאי להצלחתו העסקית של הארגון.

אני ממליץ כי המבקר יבדוק את הנושאים הבאים בנוגע לאסטרטגיה הארגונית בתחום משאבי האנוש:

• קיום האסטרטגיה, עדכונה ושלמותה (כלומר, האם היא מכסה את כלל תחומי משאבי האנוש החיוניים בארגון? מתי היא עודכנה לאחרונה? איזה פורום מקרב ההנהלה ניסח ואישר אותה?).
• התאמת אסטרטגיית משאבי האנוש לאסטרטגיה העסקית של הארגון (למשל, אם ארגון שואף להפוך למוביל עולמי בתחום טכנולוגי מסוים, אז מדיניות משאבי האנוש שלו צריכה להדגיש יעד זה באמצעות הצהרות על גיוס מהנדסים מצטיינים, תכניות טיפוח כישרונות ארגוניים, תגמול וקידום לפי הצלחות ועוד).
• קיום תפיסות משלימות לאסטרטגיה הארגונית בתחום משאבי האנוש. כאן מדובר ב"תרגום" של האסטרטגיה למרכיבים יישומיים (למשל, תפיסת ההכשרה וההדרכה של הארגון כדי להביא את העובדים לחזון התפוקה הארגוני, מדיניות קידום ותגמול עובדים כדי לפתח מצוינות, מנגנוני היפרדות מאלה שלא משתלבים בארגון ולא מצליחים לתרום את התרומה המצופה וכדומה).

המוקד השני הוא יחידת משאבי האנוש הארגונית. על המבקר לבחון את הנושאים הבאים:

• מבנה יחידת משאבי אנוש, כפיפותה והתאמתה לתפקידים הארגוניים שהיא צריכה למלא. השאלות המנחות כאן הן: מעמד מנהל היחידה, כמות והכשרת כוח האדם המועסק בה, הפרדת תפקידים נאותה בין בעלי התפקיד ביחידה[2], קיום הגדרות תפקיד ברורות וסמכויות חד-משמעיות לקבלת החלטות על העסקה, קידום, פיטורים וכדומה.
• פעילות היחידה בהתאם למדיניות הכוללת שאושרה בארגון בנושא משאבי האנוש. אתן כמה דוגמאות כדי להמחיש נקודה זו: כך, אם המדיניות המוצהרת של הארגון היא קידום נשים לתפקידי מפתח, אז בתהליך לאיוש משרה בכירה על המבקר לבדוק כי מחלקת משאבי האנוש מגבשת לקראת דיון האיושים רשימה שכוללת מספיק מועמדות מתאימות. דוגמה נוספת היא מתחום השכר: אם קיימת החלטה כלל ארגונית כי מרסנים את זליגת הוצאות השכר, לא ייתכן שמתרחשת עלייה חדה בכמות המועסקים ו/או עלייה לא פרופורציונליות במשכורות ובשעות נוספות.
• תפקוד היחידה כ"קצין ציות" לעניין דיני העבודה ויחסי העבודה. עולם התעסוקה הוא עולם דינמי. מעבר לחוקים, תקנות, הסכמים והסדרים קיבוציים, חשובות גם הפסיקה הרלוונטית ותמורות בענף שאליו משתייך הארגון. לפיכך נדרש להבטיח כי גוף משאבי האנוש עוקב אחרי ההתפתחויות ודואג לעדכן את בעלי התפקידים הנוגעים בדבר.
• קיום נהלים סדורים בנושא כוח אדם והעבודה לפיהם. יחידת משאבי האנוש הארגונית אחראית, לרוב, לכתוב נהלים ממצים המסדירים את הטיפול במועמד ובעובד בארגון, להפיץ אותם, לשמור על עדכניותם ולוודא כי בעלי התפקיד הרלוונטיים בארגון מכירים אותם ופועלים לפיהם. על המבקר לבדוק כי אחריות זו אכן מיושמת הלכה למעשה. נקודה נוספת היא בחינת התאמתם של נהלים פנימיים בתחום משאבי האנוש לחוקים, להסכמים קיבוציים, להסדרים קיבוציים ולצווי הרחבה (היכן שרלוונטי).

הנדבך התהליכי-תפעולי הוא למעשה הטיפול היומיומי בעובד. נתיב הביקורת המוצע הוא בהתאם ל"מחזור החיים" של העובד בארגון.

• תהליכי איתור כ"א

על המבקר להתמקד בשאלה האם השיטות שבהן נוקט הארגון כדי למשוך אליו עובדים פוטנציאליים אכן מצליחות להשיג את המאותר הרצוי. זה המקום לבחון כיצד הארגון מפרסם משרות פנויות, האם תכולת התפקיד המפורסמת אכן תואמת את התפקיד בפועל, והאם יש דרך יעילה וחסכונית יותר לייצר כמות מספקת של מועמדים לאיוש משרות פנויות בארגון.

בממד הנורמטיבי, על המבקר להתייחס ליישום החוקים העיקריים המסדירים את נושא חיפוש העובדים במדינת ישראל[3]  (חוק שוויון ההזדמנויות בעבודה, התשמ"ח-1988 וחוק שוויון זכויות לאנשים עם מוגבלות, התשנ"ח – 1998) ולתקנות ולהנחיות המשלימות של הרגולטורים השונים.

• מיון כ"א

השאלה הראשונה שעל המבקר לשאול בנוגע למיון המועמדים שפונים לארגון היא כיצד מתבצע ניהול מאגר המועמדים והאם וכיצד מתבצע אימות של נתוני המועמד. אמחיש זאת בדוגמה קצרה. נניח שתפקיד מסוים שפורסם דורש השכלה אקדמית ספציפית וניסיון עבודה מקצועי של מספר שנים. האם גורמי כוח האדם בארגון אכן מאמתים שכל מועמד שמגיש את מועמדותו מצרף את תצלום התואר הרלוונטי ואת אישורי ההעסקה ממקומות עבודה קודמים? אין לשכוח שמועמדים רבית נוטים "לייפות" את קורות חייהם. בכתבה שפורסמה באתר [4]YNET בתאריך 15.02.2010  טוענת רינת קרן-הרמן כי כמחצית מכלל קורות החיים בישראל לא מדייקים בהקשר של השכלה, הגדרת תפקידים קודמים, משכי קדנציות, עבר צבאי וכדומה.

סוגיה חשובה נוספת היא כלי המיון שהארגון משתמש בהם. אני ממליץ כי המבקר יתמודד עם סוגיה זו באמצעות שני פרמטרים: התאמת הכלים למיון המועמדים, ויעילותם מבחינת עלות-תועלת.

המבקר נדרש לבחון האם מערכת המיון שהארגון מפעיל באמת מסייעת לו לנפות את המועמדים הלא מתאימים ולאתר את המתאימים. רצוי שמערכת המיון תתבסס על כמה "תחנות" לא תלויות. למשל, ראוי שהריאיון הראשוני יתבצע עם גורם מיחידת משאבי האנוש. לאחר מכן, ריאיון עם המנהל המיועד. בנוסף, מומלצת גם חוות דעתו של גורם חיצוני לארגון, למשל, מרכז הערכה במכון אבחון. מומלץ כי הסמכות הסופית להעסקה תימצא בידי מנהל בכיר שמונה לכך (שלא מתחום משאבי האנוש) שאמור לפגוש את המועמד אף הוא. תהליך זה חיוני מכיוון שלעתים קיים ניגוד עניינים מובנה ביחידת כוח האדם בארגון. מצד אחד, יחידת כוח האדם מחויבת למלא את התפקידים הפנויים בהתאם ללוחות הזמנים ואילוצים תקציביים החלים עליה. מצד אחר, היא אמורה למצוא את המועמד המתאים ביותר. לפיכך הפקדת הסמכות הסופית להעסקה בידי גורם בכיר שלא מיחידת כוח האדם עשויה למנוע מצב של התפשרות על איכות לטובת המהירות.

אחרי שהתקבלה החלטה עקרונית על קליטת המועמד, נדרש לנהל משא ומתן לקביעת תנאי ההעסקה הסופיים שלו. על המבקר לוודא שאכן מתקיים תהליך מוסדר, מתועד וענייני של קביעת תנאי העסקה, בהתאם למדיניות הארגון ו"ערך השוק" של המועמד (המתבסס על סקר שכר סדור), תוך אישורם על ידי הגורם המוסמך וגיבוש חוזה עבודה מקיף.

• קליטה וכניסה לתפקיד

קליטה נכונה של העובד היא תנאי הכרחי לעבודתו המוצלחת. לכן המבקר נדרש לוודא שקיימים תהליכי קליטה מסודרים, תיקי חפיפה לכל תפקיד ותהליכי הסמכה מתועדים, היכן שנדרש. כמו כן, על המבקר לוודא שהארגון מקיים את דרישות "חוק הודעה לעובד (תנאי עבודה), התשס"ב-2002" ואכן מודיע לכל עובד בצורה מסודרת על תפקידו, תנאי העסקתו וחובותיו.

• קידום ושיפור תנאי העסקה

האתגר כאן הוא לבחון אם הארגון אכן מקיים את מדיניות הקידומים שהוזכרה ברובד האסטרטגי-מבני. על המבקר לבדוק קיום תהליכי הערכה ומשוב סדורים, תיעודם, והשפעתם על קבלת החלטות על הקידומים בארגון.

• הכשרת כוח אדם והשבחתו

ארגונים רבים מקיימים הכשרות מקצועיות וניהוליות לעובדים המועסקים בהם. על המבקר לבחון את קיום ההכשרות הנדרשות ואת התאמת התכנים שלהן להשגת היעדים שעליהם הוכרז. כמו כן, על המבקר לחוות דעה בנוגע להכשרות לא נחוצות שמתקיימות מכוח האינרציה בלבד.

• היפרדות

סיום העסקה הוא מהלך שטומן בחובו פוטנציאל משברי רב. על המבקר לוודא שהארגון מקיים את דרישות "חוק פיצויי פיטורים, תשכ"ג-1963", "חוק הודעה מוקדמת לפיטורין והתפטרות, התשס"א-2001" ומקפיד על קיום כלל התהליכים החיוניים. כך למשל, אם מדובר בפיטורי קבוצת עובדים, נדרש לגבש קריטריונים ולבצע עבודת מיון לבחירת המפוטרים הפוטנציאלים. נוסף על כך, חיוני מאוד לערוך שימוע הוגן וענייני ולשקלל את תוצאותיו בקבלת ההחלטה הסופית. כמו כן, נדרש לשתף את ארגון העובדים היציג  (היכן שקיים) בתהליך. בנוסף, נדרש לוודא כי הארגון הסדיר תהליך בדבר עזיבת עובדים בתפקידי מפתח או אלו המחזיקים במידע רגיש, ושמתקיימת העברה מסודרת של ידע וסמכויות למחליפים.

• פיקוח על העסקת עובדים ושכרם

בהעסקה שוטפת נדרש לוודא כי מתקיימת רמת פיקוח נאותה על נוכחות העובדים בעבודה, דיווח שעות העבודה ואיכות התפקוד. ללא פיקוח הולם עלול הארגון למצוא את עצמו במצב שבו תפוקת העובדים לא מספקת, עלות השכר גדלה בשל שעות נוספות לא מוצדקות, ואף נוצרת חשיפה לאי-עמידה ב"חוק שעות עבודה ומנוחה, התשי"א-1951" ולתקנות משלימות רבות.

כמו כן, המבקר נדרש להבטיח כי תהליך הכנת השכר לעובדים ותשלומו מתבצע בצורה מוסדרת (שקלול כלל שעות העבודה והתוספות, החזר הוצאות, הפקת תלוש שכר נהיר, העברת הכסף במועד שסוכם עליו) ושקיימת בקרה הדדית הדוקה והפרדת תפקידים נאותה בין בעלי התפקידים המעורבים בתהליך.

נוסף על כך, במשך ההעסקה השוטפת של העובדים יש לוודא את קיומם של "חוק חופשה שנתית, התשי"א-1951", "חוק דמי מחלה, התשל"ו-1976" ו"חוק שכר מינימום, התשמ"ז-1987"[5].

• העסקת עובדי קבלן ויועצים חיצוניים

ארגונים רבים נעזרים בכוח אדם שאינו נמנה על העובדים האורגניים. על המבקר הפנימי לוודא כי הארגון מבין את משמעויות ההעסקה הזו ומקיים את דרישות "חוק העסקת עובדים על ידי קבלני כוח אדם, התשנ"ו-1996". נוסף על כך, העסקת יועצים חיצוניים ללא פיקוח נאות עלולה להסתיים בדרישתם להכיר בהם כעובדי הארגון על כל המשמעיות הכלכליות הכרוכות בכך, ולכן יש להקפיד שהם לא יבצעו תפקידים הזהים לתפקידי כוח האדם האורגני ולא ינהלו את עובדי הארגון.

סיכום

כדי להצליח בתחום עיסוקו, על כל ארגון לתפעל בצורה נאותה את המועסקים שלו. כדי לעשות זאת נדרשת הן תפיסה כוללת, מתאימה ומקיפה בתחום משאבי האנוש והן יישומה הלכה למעשה. על המבקר הפנימי להבין כי  שני הנדבכים חשובים באותה מידה: תפעול יעיל של מערכת העבודה בארגון ללא היגיון מסדר לא יבטיח בהכרח את השגת המטרות הארגוניות, ואילו אסטרטגיית משאבי אנוש מוצלחת ללא יישום קפדני, לא שווה את הנייר שעליו נכתבה.

כתוצאה מכך, המבקר מחויב לוודא כי שני הנדבכים מקבלים מקום של כבוד בתכנית העבודה השנתית הרב-שנתית שלו, בהתאם לסקר סיכונים שלוקח בחשבון את המאפיינים הייחודיים של הארגון שבו הוא פועל.

[1] צבי סגל, אלי חוטר, "מי מפחד מאסטרטגיות משאבי אנוש", פורסם באתר ירחון "משאבי אנוש" https://www.hrisrael.co.il/vault/HR%20Academy/mi_mefahed.pdf.

[2] נושא חשוב זה נועד להגן על הארגון מפני מעילות. יש לבחון האם אותו גורם יכול להחליט על קליטת מועמד לעבודה, להקים אותו במערכת הממוחשבת, לדווח לו שעות, לשנות את מספר חשבון הבנק שלו ועוד.

[3] חקיקה רלוונטית בתחום יחסי העבודה מפורטת באתר משרד הכלכלה בכתובת הבאה: https://www.moital.gov.il/NR/exeres/BCCAEBB4-37CF-47E2-B463-0866ACC5DC5A.htm

[4] https://www.ynet.co.il/articles/0,7340,L-3848890,00.html

[5] חשוב לזכור שלעובד אין סמכות לוותר על הזכויות המגיעות לו מכוח חוקי המגן, ולכן הסכמתו לא לקבל תשלום בעד שעות נוספות או בעד מחלה ממושכת אינה פוטרת את הארגון מחובת תשלום מלוא השכר המגיע לעובד.

The post ביקורת ניהול משאבי האנוש בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.