מודל בשלות הוא כלי עסקי המשמש להערכת אנשים/תרבות, תהליכים/מבנים וטכנולוגיה.

מדוע כדאי לעשות שימוש במודל בשלות?

• שימוש בכלי אחיד, שיטתי ורציף להערכת רמת הממשל התאגידי, ניהול הסיכונים ומערך הבקרות בתהליכים וביחידות עסקיות.
• יכולת להשוות את רמת הבשלות בין תהליכים עסקיים שונים ובין יחידות עסקיות שונות.
• יכולת לקבוע את רמת הבשלות הקיימת והרצויה, לתכנן את צעדי השיפור, ולעקוב אחר התקדמות ביישום השיפורים.
• מאפשר ביצוע הערכה עצמאית ליחידות הארגון.
• הערכה אובייקטיבית ומקובלת על הארגון תוך שימוש בפרקטיקה מקובלת ו-benchmark.

הערכת בשלות על ידי מבקרים פנימיים

לצורך מתן הערכה לתהליך מבוקר, מבקרים פנימיים משתמשים לעיתים קרובות בהערכות איכותיות "סובייקטיבית" ולא שיטתיות, העלולות להיתפס אצל המבוקר כמוטות ולא מייצגות בשל היעדר מתודה ושיטתיות שתגבה את תוצאות ההערכה.

הערכה שניתנת על בסיס מודל בשלות מובנה, באופן אובייקטיבי, מקצועי ושיטתי, תזכה להסכמה רחבה של ההנהלה, המבוקרים, ועדת הביקורת, וכמובן של הביקורת הפנימית.

לאורך ההיסטוריה של הביקורת הפנימית פותחו מודלים רבים להערכת בשלות, כאשר רובם התבססו על מדדי "הסיכון" שטמון בכל אחד מהממצאים המוצגים בדוח הביקורת. לדעתנו גישה זו היא פשטנית למדי ואינה מאפשרת לקבל תמונה רחבה וכוללת על אופן ניהול הסיכונים, על ההתנהלות, ועל הממשל התאגידי ביחידה המבוקרת.

מאמר זה מציג מודל ייחודי המבוסס על COSO 2013 (בקרה פנימית), ומושתת על הרכיבים הבאים: סביבת הבקרה, הערכת סיכונים, פעולות בקרה, מידע ותקשורת ופעולות ניטור.

מסגרת ה-COSO

חלק זה מבוסס על מודל “Internal Control — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013.

מודל COSO הוא מסגרת שיטתית להערכת הסיכונים והממשל התאגידי. אנו מניחים כי קוראי המאמר מכירים את מודל ה-COSO ולכן נתאר אותו בקצרה בלבד:

מודל COSO מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: יעדים תפעוליים, יעדי דיווח ויעדי ציות. בכל אחד מאלו נבדקת ומוערכת סביבת הבקרה, ניהול הסיכונים, פעילויות בקרה, מידע ותקשורת, ומערכות ניטור.

בנוסף על העקרונות, נקבעו נקודות מיקוד לכל עיקרון שנועדו להבהיר את דרכי היישום המצופים של כל עיקרון.

יישום מודל בשלות מבוסס COSO

כאמור, הרעיון הכללי הוא לקחת את מודל COSO המפורט ולהפוך אותו לבסיס שלדי להערכת הבשלות של תהליך הנבדק במסגרת משימת הביקורת הספציפית. לצורך כך, נפרוס את מרכיבי ה-COSO ונצמיד לכל אחד מהם משקל לפי החשיבות שניתנת בארגון לכל רכיב. בשלב השני נקבע מדרג של ציונים מ-0 ועד 5 כדי להעריך כל סעיף וסעיף במודל בהתאם לממצאים ולמסקנות של בדיקת הביקורת.

משקל רכיב בקרה פנימית

על מנת להמיר את מסגרת COSO לתוך מודל בשלות, נוסיף משקל לכל רכיב.

כברירת מחדל, משקל כל רכיב הוגדר באופן שווה.

דירוג רמת הבשלות (מבוסס על COBIT)

לצורך דירוג רמת הבשלות נעשה שימוש במודל הדירוג שנקבע ב-COBIT. דירוג זה מבוסס על סולם בין 0 (לא קיים) ל-5 (אופטימלי).

רמת הבשלות עקרונות ומשקל

הטבלה שלהלן מפרטת את עקרונות ה-COSO עבור כל אחד מחמשת המרכיבים, מגדירה את המשקל הניתן לכל עיקרון (וניתן לשינוי) ואת הדירוג:

הצעדים המומלצים

על מנת להבטיח יישום מוצלח של מודל בשלות מבוסס COSO:

• הדריכו את צוות הביקורת הפנימית על מסגרת COSO 2013 ועל מודל הבשלות המבוסס על COSO.
• הציגו את המודל ודונו בו עם בעלי העניין העיקריים (הדירקטוריון וההנהלה).
• השתמשו בעקרונות ובנקודות למיקוד בעת הכנת תוכנית הביקורת.
• הגדירו את המשקל של כל עיקרון.
• ודאו את קיומו ותפקודו של כל עיקרון (ואת נקודות המיקוד).
• הקצו דרגת בשלות לכל אחד מהעקרונות, בהתבסס על ממצאי הביקורת ועל עמידה בנקודות המיקוד.
• דונו עם המבוקרים על ממצאי הביקורת ומסקנותיה, וכיצד היא משתקפת בפועל במודל הבשלות.

יישום מודל הבשלות בביקורת פנימית

היתרונות של אימוץ COSO 2013

היתרון העיקרי של שימוש במודל בשלות המבוסס על COSO – הוא משרת את משימת הביקורת הפנימית ואת הגדרת הביקורת הפנימית.

בנוסף, מודל בשלות המבוסס על COSO יכול לסייע ביישום ושיפור סביבת בקרה פנימית ארגונית על בסיס יעדי החברה, תוך מתן הנחיות להבטחת תהליכים ובקרות יציבים ובשלים.

המודל יכול לשמש בכל דוחות הביקורת הפנימית (ללא שינויים בעקרונות המוערכים), דבר שמקל על יישומו.

ראוי להדגיש כי מסגרת COSO מוכרת היטב ומאומצת על ידי ה-IIA העולמי. כמו כן המסגרת מאומצת על ידי רוב החברות לצורך יישום דרישות SOX.

יתרונות השימוש במודל הבשלות בביקורת הפנימית

עם תחילת משימת ביקורת, עומדים בפני הביקורת הפנימית מספר אתגרים הקשורים באופן הגדרת היקף הביקורת ותוכנית הביקורת, על מנת להבטיח שאלה יכסו את הסיכונים העיקריים לארגון. עם השלמת הביקורת קיים אתגר נוסף – דירוג ההערכה הכוללת של התהליך המבוקר.

שימוש במודל בשלות יכול לסייע בהגדרת היקף הביקורת ותוכנית הביקורת. מודל בשלות מבוסס COSO "מכריח" את המבקר לסקור את 17 עקרונות COSO.

בנוסף, רמת הבשלות יכולה לספק להנהלה מידע לגבי הפונקציות המבוקרות, ולעזור להשוות לביקורות קודמות אחרות שבוצעו בפונקציות אלו או בפונקציות מבוקרות אחרות.

המודל גם מספק לפונקציות המבוקרות מנגנון מדידה לשיפור של תהליך עסקי לאורך זמן.

סיכום

מודל בשלות מבוסס COSO נמצא בשימוש על ידי מחברי מאמר זה למעלה משלוש שנים בהצלחה רבה. רמת הבשלות המוגדרת עבור כל תהליך ביקורת מסייעת לדירקטוריון ולהנהלת החברה לתעדף את המלצות הביקורת.

ערך נוסף לחברה הוא צמצום הקונפליקטים בין הביקורת הפנימית לבין המבוקר כתוצאה מהתבססות על מודל מקיף, מוכר ומקובל.

מסגרת COSO 2013 מסייעת בהערכת אפקטיביות הבקרה הפנימית, שמטרתה להבטיח את הישגי הארגון. מבקרים פנימיים שישתמשו במודל הבשלות על בסיס מסגרת זו יכולים להפיק ממנה תועלת לאורך כל תהליך הביקורת, ולהבטיח גישה שיטתית להערכת הבקרה הפנימית וחיזוקה בארגון.

The post מודל בשלות מבוסס COSO בשירות הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות אנו עדים לעלייה במודעות ל"ניהול נכסי תוכנה", מושג המאגד בתוכו את התשתיות והתהליכים הדרושים לניהול, בקרה והגנה על נכסי תוכנה לאורך מעגל חייהם, כגון:

• רכש ותחזית, הכוללים בין היתר ניהול משא ומתן עם ספקי תוכנה חדשים או לקראת חידוש תקופתי.
• בחינת סוגי רישוי (מטריצת הרישיון), לדוגמה: במוצרים מסוימים ניתן לרכוש רישיונות לפי כמות משתמשים או כמות מסמכים או נפח תעבורת נתונים. רכישת מטריצת רישיון לא אופטימלית יכולה להוביל לעלויות יתר לארגון, לעומת זאת, רכישת מטריצת רישיון אופטימלית יכולה לחסוך עלויות לארגון.
• זיהוי וניטור של תשתיות, התקנים ותוכנות, לרבות הוספה, שינוי וגריעה שלהם.

עד כאן עמוד ראשון – שער

אתגר המורכבות

ניהול נכסי התוכנה נשמע פשוט, אך היישום בפועל מורכב ומאתגר, בין היתר לאור הסיבות הבאות:

הסיכונים הטמונים בהיעדר ניהול "נכסי תוכנה"  

ניהול לקוי של נכסי התוכנה בארגון חושף את הארגון לשלושה נושאי סיכון מרכזיים:

סיכון כספי

תשלומי יתר בגין נכסי תוכנה העשויים לנבוע מקנסות של ספקי התוכנה ומרכישה וחידוש רישיונות שאינם בשימוש ו/או שאינם במטריצת רישיון אופטימלית לארגון.

סיכון משפטי

מורכבות הרישיונות עלולה לגרום להפרה של תנאי הרישיון ואף להוביל לפגיעה במוניטין הארגון.

סיכון אבטחת מידע

התקנה ושימוש בתוכנות לא ידועות או תוכנות עם גרסה לא מעודכנת עלולים להוביל לפרצה באבטחת המידע בארגון.

*בתרשים: שירותים וטובין הקשורים בניהול נכסי התוכנה בארגון

נכסי תוכנה בהיבט הביקורת הפנימית
לאור המודעות הגוברת לנושא ולסיכונים הגלומים בו, פונקציית הביקורת הפנימית יכולה לשמש בתפקיד מהותי בסיוע בבניית מגנוני הבקרה.
על הביקורת הפנימית לבחון את ניהול נכסי התוכנה משני היבטים עיקריים:

• באמצעות הערכת תהליך ניהול נכסי התוכנה, בין היתר לעומת סטנדרטים מקצועיים בתחום (ITIL, ISO), אפשר לבחון נושאים ותהליכי עבודה כגון:
  • קיומם של מדיניות ונהלים
  • זיהוי וסיווג תוכנות
  • הוספה, הסרה או עדכון של תוכנות (לרבות תוכנות בענן)
  • הוספה, הסרה או עדכון של התקנים (שרתים פיזיים, וירטואליים, מחשבים ועוד)
  • מצאי רישיונות ושימושים בפועל
  • טכנולוגיה ואמצעים ממוכנים לניהול רישיונות, התקנות, שימושים וגרסאות
  • רכש ותחזית
  • ניטור ובקרה

• במסגרת הביקורת ניתן לבחור ספק או תוכנה ספציפיים ולבחון את מחזור החיים שלהם:
  • רכש וכמויות
  • בחינת תהליך בחירת הספק והמשא ומתן, לרבות שימוש ביועצים
  • בחינת התקנות ו/או שימושים
  • התאמה בין מה שנרכש לבין מה שהותקן
  • "טקטיקות רישוי" באמצעות מעבר בין מטריצות רישוי. לדוגמה, רישיון שנמדד לפי כמות משתמשים יכול להיות יקר יותר מרישיון שנמדד לפי כמות מעבדים

שימוש בכלים טכנולוגיים בביקורת
בהיעדר כלים טכנולוגיים בארגון, או כחלופה לבחינת כלים קיימים, שיתוף פעולה עם ספקי כלים לניהול נכסי תוכנה יכול לסייע ואף ליצור ערך בביצוע ביקורת פנימית. להלן מספר דוגמאות:

1. בחינת רישוי של תוכנה או ספק תוכנה ספציפי

ניתן לבצע שימוש חד-פעמי תקופתי עם ספקי כלים המאפשרים:

2. זיהוי שימושים וסיכונים בתוכנות ענן

ניתן לבצע שימוש חד-פעמי תקופתי עם ספקי כלים המאפשרים:

3. זיהוי תוכנות קוד פתוח

קוד פתוח הוא תוכנה שקוד המקור שלה פתוח ונגיש לציבור והוא חופשי לשימוש, לצפייה, לעריכת שינויים ולהפצה מחודשת לציבור.
ניתן לבצע באמצעות כלי קיים בארגון או באמצעות שיתוף פעולה חד-פעמי:

לסיכום,

ניהול נכסי תוכנה מציב אתגרים משמעותיים שעימם מתמודדים פונקציות שונות בארגון, ובהן גם המבקר הפנימי.

היערכות והבנה מעמיקה של הסיכונים הטמונים בהיעדר ניהול נכסי תוכנה בארגון הוא צעד חשוב בפיתוח אסטרטגיה ומבנה ארגוני מתאים לניהול אופטימלי של נכסי התוכנה, שגם יכול לחסוך לארגון הוצאות.

כמבקרים פנימיים עלינו להעריך את מצב מוכנות הארגון לאתגרים העומדים בפניו ולהתריע על ליקויים בתהליכי הזיהוי, הרכש והניטור של נכסי תוכנה קיימים.

The post ביקורת ניהל נכסי תוכנה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות גדל מספר הארגונים המודעים לחשיבות החדשנות להבטחת המשכיותם והצלחתם, ותוכניות לניהול ועידוד החדשנות מתרבות בארגונים בארץ ובעולם. בהקשר הזה נבחנת השאלה מה מקומה של הביקורת הפנימית. יש שחוששים כי ביקורת פנימית הנתפסת כ"הורגת" יצירתיות וחשיבה מחוץ לקופסה – תכונות שכה נדרשות לחדשנות  – לא תביא ערך ואף יכולה להזיק. במאמר זה אני מבקש להביע דעה הפוכה ולעודד עריכת ביקורת פנימית בנושא חדשנות, אולם זו מצריכה היכרות עם הנושא והבנת הייחודיות של סביבת הסיכונים שלו.

מדוע לבצע ביקורת פנימית על תוכניות חדשנות? ראשית, בארגונים רבים זהו נושא אסטרטגי שהארגון מקצה לו שיעור הולך וגדל ממשאביו, ולכן לביקורת בתחום זה ערך גבוה. שנית, תוכניות חדשנות כרוכות בסיכונים בולטים עליהם נעמוד בהמשך, ומטבע הדברים ביקורת פנימית ממוקדת סיכון נדרשת לעסוק בהם. לבסוף, עריכת ביקורת תקופתית על ידי גורם אובייקטיבי היא פעילות הנדרשת גם על פי מתודולוגיות ניהול חדשנות ומהווה מרכיב חשוב להבטחת ההצלחה.

מהי חדשנות?

כשעוסקים בחדשנות בדרך כלל עולים במחשבה שינויים טכנולוגיים – כניסת טכנולוגיה חדשה, החלפת מערכות מחשוב וכדומה. זה נכון אבל זה לא הדבר היחידי. חדשנות היא גם שינוי במודל העסקי, כלומר שינוי בדרך שבה ארגון יוצר, מוכר ומעביר ערך ללקוחותיו, ובדרך כלל הא בהא תליא – שינוי טכנולוגי גורר גם שינוי במודל העסקי. מידת החדשנות של מיזמים נעה על הציר שבין רדיקליות לבין אינקרמנטליות.

חדשנות "רדיקלית" היא חדשנות פורצת דרך הגורמת לשינוי כללי המשחק בשוק, לדוגמה: מכונית אוטונומית או מטבע קריפטוגרפי. לעומת זאת, חדשנות "אינקרמנטלית" היא חדשנות "תוספתית", המשפרת במעט את הקיים: לדוגמה: מכשיר אוטומטי חדש המאפשר הפקדת מספר שיקים ביחד ולא כפי שהיה מקובל – כל שיק בנפרד.

ניהול חדשנות  

יצירתיות ודמיון של עובדים מוכשרים עשויים לייצר פיתוחים ופטנטים חדשים שמקדמים את הארגון, אך הארגון אינו יכול להסתמך על כך. בעולם התחרותי אי אפשר לעצור ולו לרגע, יש לשנות ולחדש באופן מתמיד. ההנהלה צריכה לקיים חדשנות מתמשכת כדי להמשיך ולצמוח, ולעיתים רק כדי לשרוד בשוק.

ההיסטוריה מלמדת שגם ארגונים מובילים בתחומם שלא השכילו ליישם כראוי חדשנות – התמוטטו, משום שטכנולוגיה "משבשת" שהגיעה כמעט "משום מקום” הפתיעה אותם והפכה אותם לבלתי רלוונטיים. לדוגמה: חברת הענק לציוד צילום קודאק קרסה משום שלא הצליחה להתמודד עם טכנולוגיית הצילום הדיגיטלי. גם רשת החנויות להשכרת סרטי וידאו בלוקבאסטר נפלה עם עליית טכנולוגיית ה"סטרימינג" וה-VOD.

פרופ' Clayton Christianson מאוניברסיטת הרווארד מצא שככל שארגונים בוגרים ומבוססים יותר, כך הם מתקשים יותר לאמץ חדשנות. הסיבות לכך הן:

• פעילות על פי נהלים והגדרת תהליכים קשיחים וקשים לשינוי.
• תלות בלקוחות קיימים הכובלים אותם למוצרים קיימים ולדרישות שלהם.
• מחויבות להתמיד בשיעור צמיחה גבוה המחייב התמקדות במה שמביא ערך רב במהירות.
• הימנעות מנטילת סיכונים.

ניהול חדשנות נועד להתגבר על חסמים אלה. לשם כך יש לנהל תהליך מתמיד שנראה לינארי, בשלבים מוגדרים, אבל בפועל מתנהל במעגלים וחזרות (איור 1).

איור 1 – תהליך ניהול החדשנות

התהליך פועל כמשפך. בתחילתו הוא רחב – נוצרות ונבחנות יוזמות חדשנות רבות, וככל שהוא מתקדם הוא הופך לצר. יוזמות שנמצאו בלתי מתאימות מסוננות החוצה ורק מעטות – המבטיחות ביותר – מתקדמות לעבר מימושן המלא.

שלבי התהליך הם:

• רעיונאות

רעיונות טובים נובעים מזיהוי בעיות, כלומר קיום פערים בין המוצר לבין הציפיות ממנו (מצד הלקוחות). רעיונות עולים בדרך יזומה על ידי סיעור מוחות, עידוד עובדים ותגמולם על העלאת רעיונות מוצלחים, ועוד. אבל צריך להיות מודעים לכך שרעיונות לפעמים מגיעים במקרה מ"תאונות משמחות".

• בחינה וניתוח

שלב זה נועד לבחון, למיין ולתעדף את הרעיונות הטובים לביצוע ובמסגרתו מבוצעות הערכות כלכליות לגבי היקף השוק, דרישות הלקוחות ועוד, וכן היערכות טכניות – ישימות טכנולוגית, משאבים נדרשים וכדומה.

• בנייה

שלב מימוש הרעיונות – רכש, פיתוח, בנית אבטיפוס, פיילוט, עריכת בדיקות וכן בדיקות ראשוניות אצל לקוחות.

• יצירת הערך

מסחור המוצר או השירות – הקמת פס ייצור, התקשרות עם ספקים, שותפים והקמת שרשרת אספקה, שיווק פנימי וחיצוני ודיאלוג עם לקוחות לקבלת משובים והמשך פיתוח ושיפור.

לאורך כל הדרך נאספים ונרשמים מדדים שונים, פיננסיים ותפעוליים, בגישת ה-Balanced Scorecard, ומתבצעת הערכה שלהם ביחס ליעדים מוגדרים. כמו כן מתבצעת למידה מההצלחות ובמיוחד מהכישלונות כדי להימנע מחזרה מתסכלת על שגיאות עבר.

ניהול סיכונים וניהול חדשנות

לכאורה ניהול סיכונים וניהול חדשנות נראים כמו שתי תפיסות הפוכות: ניהול סיכונים מבוסס על שנאת סיכון, ואילו גישת ניהול חדשנות מעודדת השקעות בפרויקטים בסיכון גבוה שסביר להניח שרובם יכשלו. בנוסף, בניהול חדשנות היחס לכישלון הוא סלחני, לא מחפשים "אשמים" ולא מענישים את האחראים לו.

אלא שבהסתכלות מעמיקה מבחינים כי ניהול חדשנות אינו מתעלם מסיכונים אלא נוקט אסטרטגיות פחות שגרתיות של ניהול הסיכונים. העיקרון המנחה הוא "כישלון מהיר". אין הכוונה להרמת ידיים מהירה מול מכשול שנתקלים בו, אלא הגבלת הסיכון על ידי בחינת הרעיון החדשני במבחן המעשיות מהר ככל האפשר, למשל באמצעות פיתוח אב-טיפוס מוגבל וממוקד. אם תישלל היתכנותו הוא ייפסל בנזק נמוך יחסית ויימנע הסיכון להמשך בזבוז משאבים וזמן לריק על רעיון כושל.

ניהול הסיכונים בעולם החדשנות מאופיין בעיקר באסטרטגיות הבאות:

• שיתוף הסיכון:

לעומת הגישה המסורתית הקרויה "חדשנות סגורה", ומתבססת על יחידת מחקר ופיתוח פנימית הדורשת משאבים עצמיים רבים והסיכון בה גבוה, צומחת במהירות גישת "החדשנות הפתוחה", שעיקרה ביצוע מיזמי חדשנות בשיתוף פעולה עם גורמים חיצוניים ואגב כך השגת שליטה ברמת הסיכון הרצויה.

• חממה ארגונית – הארגון בוחר לעצמו בקפידה שותפים – בדרך כלל חברות הזנק בשלבים ראשונים מאוד בתחומים המתאימים לו, ומספק להן מנגנון תמיכה הכולל גישה לידע וללקוחות.
• קרן הון-סיכון פנימית – תקציב מנוהל להשקעה בפורטפוליו של חברות הזנק חיצוניות בתחומי העניין של הארגון.
• קונסורציום (מאגד) – פלטפורמה משותפת של מספר גופים בעלי אינטרס משותף שמשקיעים בחדשנות. למשל קונסורציוםR3 המאגד עשרות בנקים בראשות Goldman Sachs ו- P. Morgan וגייס יותר מ-100 מיליון דולר ליישומי בלוקצ'יין בנקאי.

• לימוד הסיכון

באסטרטגיה זו מגבילים את רמת הסיכון של המיזם באמצעות "שערי שלבים"  – קביעת מספר נקודות מבחן לאורך מסלול המיזם, שבהן הוא נבחן על פי קריטריונים הולכים ומחמירים ככל שהוא מתקדם. בכל שער כזה מתקבלת החלטה אם להמשיך את המיזם או לבטלו. ניתן גם להחליט להקפיא אותו או לחזור לשלב קודם.

• פיזור הסיכון

באסטרטגיה זו, שאומצה מעולם ההשקעות הפיננסיות, מנהלים את תיק המיזמים של הארגון בדומה לתיק השקעות, ודואגים לפיזור ולגיוון הולמים בנושאים העסקיים, בסוגי הטכנולוגיות, בהיקפי המשאבים ובזמן ההבשלה הצפוי שלהם, בהתאמה לאסטרטגיה הארגונית.

ביקורת החדשנות בארגון

במתודולוגיה של ניהול חדשנות יש הבנה רבה לכך שדרושות ביקורות תקופתיות על ידי גורמים חיצוניים אובייקטיביים. מטרתה של הביקורת היא לבחון איפה נמצאת כיום החדשנות בארגון ולעמת את המצוי עם היעדים שנקבעו, לזהות פערים ולגבש המלצות לטיפול בהם. המתודולוגיה אינה מציינת מיהו עורך הביקורת, אך לדעתי המבקר הפנימי הוא בהחלט מועמד טבעי וראוי.

כיצד עורכים את הביקורת? יש לכך מספר גישות. אציין כאן את הגישה המקובלתPentathlon  ("קרב החמש") של Goffin and Mitchell (2016). לפי גישה זו קיימים חמישה מרכיבי מפתח של ניהול חדשנות המשפיעים על התפוקות, ובהם יש להתמקד בביקורת (איור 2):

• אסטרטגיית חדשנות – באיזו מידה קיימת אסטרטגיית חדשנות ברורה, אפקטיבית ומתוקשרת?

• חילול רעיונות – באיזו מידה קיימת גישה חיובית ושיתופית לחילול רעיונות ממוקדי לקוח?
• תעדוף – באיזו מידה הרעיונות המתאימים ביותר נבחרים ליישום?
• יישום – באיזו מידה רעיונות מיושמים במהירות ובהצלחה?
• אנשים תרבות וארגון – באיזו מידה קיימת בארגון תרבות חדשנות?
• תפוקות – באיזו מידה מספר המוצרים והשירותים החדשנים שמפותחים הוא מספק?

איור 2 – גישת "קרב חמש" Pentathlon (ע"פ Goffin and Mitchell, 2016)

הביקורת תכלול ניתוח כמותי של מדדים שנאספים באופן שגרתי במסגרת ניהול החדשנות. המדדים הרלוונטיים הם ברמה הפרויקטלית עבור כל מיזם ומיזם, וברמה האסטרטגית – אגרגטיבית לכלל המיזמים. דוגמאות לכך ניתן לראות באיור 3.

איור 3 – מדדים כמותיים לניהול חדשנות (על פי Davila et al., 2013)

כמו כן, הביקורת תכלול איסוף וניתוח מידע איכותי סובייקטיבי באמצעות ראיונות עם מדגם מנהלים ועובדים העוסקים בחדשנות. במסגרת זו המרואיינים יחוו את דעתם על המצב הנוכחי של החדשנות. כמובן שראיונות אלה יהיו אפקטיביים ככל שהמבקר ישכיל לרכוש את אמונם של המרואיינים כדי שיסכימו לחלוק את דעותיהם בפתיחות.

סיכום

לחדשנות יש חשיבות הולכת וגוברת באסטרטגיה הארגונית, אך היא אינה יכולה להתבסס על "הברקות" חד פעמיות אלא מחייבת ניהול שיטתי ומתמיד. רוב מיזמי החדשנות הם מסוכנים מטבעם וסופם להיכשל, ולכן ניהול חדשנות מחייב ניהול סיכונים שיטתי באמצעות אסטרטגיות מותאמות. על פי המתודולוגיה של ניהול החדשנות, ביקורת פנימית היא פעילות מתבקשת שעשויה לתרום ערך רב לשיפור האפקטיביות של ניהול החדשנות ולהצלחתו.

The post ביקורת על ניהול החדשנות בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

"אמור לי ואשכח, למד אותי ואזכור, שתף אותי ואלמד" (בנג'מין פרנקלין)

לביקורת הפנימית יש תפקיד מרכזי בקיום התהליכים התומכים בניהול מבוסס סיכונים של הארגון, כגון מיפוי תהליכי העבודה, איתור הסיכונים, ובחינת הבקרות לסכירתן וניטורן באופן שוטף. הכלים המרכזיים העומדים לרשות הביקורת לשם כך הם מלאכת הביקורת בדיעבד ובזמן אמת. במקביל לביצוע מטלות מרכזיות אלה, על הביקורת הפנימית לעודד בארגון תרבות של למידה שוטפת והפקת לקחים מכשלים.

הידע הרב שנצבר מתובנות, ממצאים רוחביים ולקחים שהופקו במהלך פעילות הביקורת, הוא נכס יקר ערך לארגון. אנו בחרנו לשתף את הידע הנצבר עם כל יחידות הבנק באמצעות העצמת המיומנויות הנדרשות לכך, ובהנגשת החומרים לכלל העובדים בהלימה לתחום עיסוקם ביחידות השונות. הנחלת תרבות של למידה והפקת לקחים בארגון תורמת להידוק הקשרים בין הביקורת הפנימית לבין חטיבות הבנק ולחיזוק תדמיתנו ותפקידנו החשוב (אם כי לא כל כך אהוב – מי אוהב ביקורת?) בקרב כלל העובדים.

תשתית להדרכה ולהעצמה

על מנת לשפר את היכולות של העובדים בביקורת הפנימית בהעברת הידע המקצועי לכלל עובדי הבנק, פעלנו לבניית תשתית שתאפשר את ביצוע המשימה בצורה מיטבית. בשיתוף גורמי מקצוע, הכשרנו את העובדים והמנהלים בסדנאות פרזנטציה ועמידה מול קהל. הסדנאות אפשרו לעובדים לשפר ולחזק את המיומנויות הנדרשות מהם בביצוע ההדרכות. נוסף על כך, קיימנו סדנאות בנושא הכנת מצגות ואינפוגרפיקה, שבהן ניתן דגש לשיפור היכולת להעביר מסר באמצעים ויזואליים שונים, בצורה אפקטיבית ויעילה. הידע שנלמד בסדנאות משמש את המבקרים הפנימיים גם במהלך הביקורות שהם עורכים ביחידות הבנק השונות.

בנוסף, הקמנו "בנק מצגות" לאחר בחינת הנושאים השכיחים והמהותיים בעבודתנו. מאגר המידע שיצרנו כולל תכנים ראויים ללמידה והפקת לקחים, הנגישים לכל מבקר בפורטל הביקורת הפנימית.

כדי לשפר ולאמוד את אפקטיביות פעילות ההדרכות, אנו פונים מדי שנה לכל המשתתפים בהדרכות בסקר אנונימי במטרה לקבל משוב והצעות לשיפור מערך ההדרכות.

התשתית שבנינו כוללת נדבך נוסף – מדידה ותמריץ חיובי עבור עובדי הביקורת הפנימית. לשם כך הגדרנו מדדי רמת ביצוע (KPI – Key Performance Indicators) עבור כל אחת מיחידות הביקורת הפנימית, הכוללים יעדים כמותיים לביצוע ההדרכות, ומהווים חלק מציון תפקוד מנהל היחידה בכל שנת מדידה. במקביל, אנו פועלים להעצמת העובדים באמצעות בחירת עובדים מצטיינים שבלטו במלאכת ההדרכה והם זוכים להוקרה ולפרס כספי.

שינוי התרבות הארגונית

הסביבה העסקית כיום מאתגרת את הביקורת הפנימית. הביקורת מבקשת להיות אפקטיבית בעבודתה, להעניק ערך מוסף לארגון, לתרום לשיפור התרבות הארגונית ואף לקדם שינויים ושיפורים צופי פני עתיד. אנו מאמינים שכחלק מהדרכים לעמוד בציפיות אלו, על הביקורת לשתף בידע הרב שהיא צוברת בהפקות לקחים באמצעות הדרכות שיתרמו לקידום התרבות הארגונית ולהטמעת תהליכי עבודה נכונים.

כדי לגרום לכך, עובדי הביקורת הפנימית מבצעים הדרכות והנחלת לקחים בקרב יחידות הבנק ועובדיו כחלק משגרת עבודתם. הדבר מהווה עבורנו חלק ממימוש ייעוד הביקורת הפנימית כפי שקבענו לעצמנו – "מאירים את הדרך".

עובדי הביקורת הפנימית מקיימים הדרכות ביחידות המבוקרות, במרכז ההדרכה בבנק, וכן בכנסי עובדים שונים. ההדרכות הן בנושאים מקצועיים כגון אשראי ואיסור הלבנת הון, וכן בנושאים משמעתיים כגון פעילות חריגה של עובדים. ההדרכות הללו מאפשרות למשתתפים בהן להפנים לקחים שהופקו מאירועים שונים בבנק, לבחון את התנהלותם ואף להעלות בפני המבקרים אירועים שלדעתם ראוי שייבדקו.

באחת ההדרכות שהתקיימה בפני פורום ניהולי, פנה אחד המנהלים אל המבקר הפנימי בנוגע לפעילות של אחד מעובדיו בחשבונות של קרוביו, והעלה חשש כי העובד פעל שלא על פי המצופה ממנו. המקרה נבדק על ידי עובדי הביקורת הפנימית, והם הסיקו שהעובד אכן פעל בניגוד לנהלים, אך הוא פעל בתום לב מחוסר ידיעה. בהדרכה אחרת בפני יועצי השקעות, פנה אחד המשתתפים אל המבקרים שהעבירו את ההדרכה על מנת להסדיר את הפעולות שביצע בניירות ערך, מכיוון שהתברר לו כי ביצע פעילות בניגוד לנהלים.

לצד ההדרכות המתקיימות בסניפי הבנק, במרכזי עסקים, במרכזי השקעות וכן ביחידות המטה של חטיבות הבנק, עובדי הביקורת הפנימית מנחילים את הידע הרב שצברו במהלך עבודתם בשולחנות עגולים, בפורום עובדי מפתח ובדיוני ועדת האתיקה. אנו מפיצים באתר העובדים, ה"פייסבנק", דפי למידה המשקפים את ממצאי הביקורת המרכזיים ודרכי הפקת הלקחים. בדפי למידה אלה מתוארים באופן אנונימי אירועים חריגים, לקחים נגזרים וצעדי משמעת שננקטו בגינם. המידע ניתן הן לשם למידה והן לשם התראה.

לסיכום

על הביקורת הפנימית להעניק ערך מוסף לארגון ולתרום לשיפור התרבות הארגונית באמצעות הדרכה מקצועית והפקת לקחים מכשלים. גישה זו באה לידי ביטוי גם בכללים המקצועיים הבינלאומיים של ה-IIA, שלפיהם משימת העל של הביקורת הפנימית היא "לחזק ולהגן על ערך הארגון על ידי מתן הבטחה (ASSURANCE), עצה (ADVICE) ותובנה (INSIGHT) אובייקטיביות ומבוססות סיכון".

נוסף על כך, ניתן ביטוי לגישה זו בעקרונות הליבה של הביקורת הפנימית (Core Principles): "7. מתקשרת באופן אפקטיבי"; "9. בעלת תובנה, פרואקטיבית (נוקטת יוזמה) וממוקדת בעתיד"; "10. מקדמת שיפור ארגוני"

מתוקף כללים אלה, מצופה כי הביקורת הפנימית לא רק תבצע ביקורת מקצועית ובלתי תלויה על תהליכי העבודה בארגון, אלא גם תיטול חלק פעיל ופרואקטיבי בהנחלת לקחים ועידוד הלמידה בארגון. זאת מעבר לדוחות ביקורת של הפקת לקחים בעקבות ביקורות אירועים חריגים וממצאים שוטפים אחרים. בכך תמלא הביקורת הפנימית ביתר שאת את ייעודה להאיר את הדרך ולהשיא ערך בארגון. נשמח לשתף וללמוד ממבקרי ארגונים שונים כיצד לקדם ולהעצים משימה חשובה זו בארגון.

The post להאיר את הדרך – ביקורת מובילה למידה ארגונית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הסביבה העסקית משתנה במהירות. ה-Disruption בכל תחום בתעשייה נוכח כבר היום או נמצא מעבר לפינה. הסביבה העסקית החדשה דורשת מארגונים זריזות בזיהוי השינויים על מנת להצליח להתמודד עימם בהצלחה. גם הזמן והתקציב הם תמיד משאבים שבחוסר, בפרט כשחלק מהמשימות הלא מתוכננות משבשות את התכנון המוקדם. עם דרישות מתגברות ומשאבים מוגבלים, מערך הביקורת ניצב בפני אתגר משמעותי – עליו להמשיך להיות רלוונטי, לעמוד בקצב השינויים ולהציג ערך מוכח לפעילותו. האתגר גדל כאשר רבים מהלקוחות של מערך הביקורת, הארגונים עצמם, עוברים לעבוד בשיטת אג׳ייל.

Agilityהיא היכולת להסתגל במהירות ובקלות לשינויים (Agile תורגם ל״זריז+גמיש = זמיש״). המונח אג׳ייל מתייחס לתפיסת עולם ניהולית, המאפשרת לעובדי הארגון לשתף פעולה באופן אפקטיבי ויעיל בביצוע פרויקטים מורכבים בסביבה דינמית, כך שיתאימו לדרישות העסקיות המשתנות. תפיסה זאת, שהפכה לתפיסת הניהול השלטת בעולם הטכנולוגיה וה-IT, התפשטה לתחומים רבים נוספים, ובהם ציוד רפואי וביטחוני, תעשיית הרכב, הבנקאות ועוד.
השיטה תופסת כיום מקום מרכזי גם בעולם הארגוני והעסקי, כחלק מ-Enterprise Business Agility (EBA). ארגונים מובילים בעולם, ובהם אינטל, גוגל, נטפליקס ופיליפס, אימצו תפיסה זאת מקצה לקצה ביחידות ארגוניות שונות ובעולמות תוכן רבים. גם בארץ גופים מובילים נמצאים בתהליך של אימוץ שיטת החשיבה האג'ילית.

חדשנות זאת לא פסחה גם על מערכי הביקורת הפנימית בעולם: בבנקים Barclays) ,ING, Citi-Bank), בחברות ביטוח  Aviva)  ו-(RSA ובחברות שונות (Delta Airlines, Deutsche Telekom) הטמיעו בהצלחה רבה את התפיסה האג'ילית בביקורת הפנימית, ודיווחו על שיפור ביעילות ובפרודוקטיביות, על עלייה באיכות התוצרים, ועל עלייה בשביעות הרצון ובשיתוף הפעולה.

על השיטה

תפיסת ה-Agile מאפשרת להטמיע אלטרנטיבה יעילה לשיטת הביקורת המסורתית. התפיסה דוגלת בהבאת ערך מוקדם ובהפחתת הסיכונים הטמונים בהליכים או פרויקטים מורכבים (ומבחינתנו דוחות ביקורת), בין היתר על ידי חלוקת תהליכים ארוכים למספר סבבים קצרים יותר (איטרציות), תוך יצירת מעורבות רבה ומשמעותית של הצד העסקי בתהליך, בדגש על תקשורת ושקיפות (הן פנימית בתוך הצוות האג׳ילי והן מול הצד העסקי ובעלי העניין). המטרה של התהליך היא להשלים מהר ככל האפשר את המשימות שמביאות ערך מרבי. במקרים רבים הערך הוא הקטנת הסיכון במיזם.

תובנה זו מביאה את התפיסה האג׳ילית ממש עד לפתחו של עולם הביקורת, ועימה את שינוי צורת ההתנהלות של חוליית הביקורת. התרשים הבא מדגים את המעבר מתהליך מסורתי לתהליך איטרטיבי מהיר:

כך למשל, במקום השיטה המקובלת של תכנון ארוך ומפורט לשם בניית מסגרת ושיטת עבודה בתחילת הדרך, לרוב ללא שיתוף הגורם המבוקר, שיטת ה-Agile דוגלת בתכנון מצומצם יותר תוך דגש על הרכיבים העיקריים והבאת ערך מוקדמת,

ותוך מעורבות של הגורם המבוקר ומקבלי ההחלטות הרלוונטיים כבר בהליך הבנייה והאישור של מסגרת העבודה. בעוד שהשיטה המסורתית דוגלת בהליך ביקורת אחד ארוך ומתוכנן מראש, הרי שב-Agile הליך הביקורת מחולק למספר סבבים קצרים, המאפשרים לייצר במהירות יחסית מספר תוצרים או הצלחות קטנות (Quick wins), ועדכון היקף הדוח וכיווניו בהתאם לממצאים בדוח ובהתאם לצרכים נוספים של הארגון.

שיטת העבודה

ראשית, הבהרה: שיטת העבודה המפורטת להלן יושמה ביעילות בגופי ביקורת גדולים ובינוניים, אך גם ביחידות ביקורת קטנות יותר ואף קטנות מאוד (עד שלושה אנשים). העקרונות שיפורטו להלן של הידוק העבודה המתודית, כלומר עבודת צוות (ככל שניתן על פי גודל היחידה) ופירוק הדוח וציר הזמן הם הכרחיים (הגם שלעיתים קרובות חלקם מיושמים בצורה טבעית) ומאפשרים הבאת ערך מוקדמת ותפוקות גדולות יותר.

השיטה מבוססת על גישת "הפירוק".

הפירוק מחולק לשלושה רבדים שונים:

• "פירוק" היחידה/מחלקה – התפיסה דוגלת במעבר לעבודה בצוותים, כאשר בתחומי הביקורת המלצתנו היא על
  7-4 אנשים בצוות. הצוות אינו "חוליית הביקורת" שבנויה בדרך כלל ממבקר אחד או שניים. אבל תפיסה זו אינה מחייבת שינוי ארגוני מאחר שהצוות הוא צוות וירטואלי. בניית צוות קבוע שעובד יחדיו הוכחה כמשפרת את היעילות והאיכות של התוצרים. צוות כזה מאפשר ראייה רחבה יותר של היבטי הביקורת ויוצר חיבור חברתי חזק. הצוות מטפל בכל הנושאים הקשורים אליו: גם בדוחות ארוכים וגם במשימות שוטפות, תוך איזון פנימי צוותי.
• "פירוק" של דוח הביקורת – דוח הביקורת מהווה פרויקט משמעותי בפני עצמו, שנמשך בין שלושה חודשים לחצי שנה או יותר. התפיסה האג'ילית דוגלת בפירוק של פרויקטים ארוכים ומורכבים כאלו למקטעים שמביאים ערך שלם. פירוק כזה מקל על הביצוע והעמידה במשימה ומאפשר ניטור ובקרה טובים יותר על התקדמות העבודה והסטטוס שלה, וגם מאפשר לעצור משימת ביקורת שהביאה כבר ערך ולעבור למשימה דחופה אחרת, לפי שיקולים ארגוניים. משימות אלו מרוכזות במה שנקרא בשפה האג'ילית "בקלוג" (Backlog), כלומר רשימה מרוכזת ומתועדפת של כל המשימות בפרויקט. הבקלוג מתעדכן באופן שוטף, והמשימות שהוא מכיל מתועדפות מעת לעת בהתאם לערך, למאמץ ולסיכון שלהן. פירוק דוח הביקורת למשימות ומשימות משנה ולבניית הבקלוג הוא משימה לא פשוטה, ומהווה את אחד האתגרים המרכזיים ביישום התפיסה האג'ילית.
• "פירוק" ציר הזמן – התפיסה האג'ילית מחלקת את ציר הזמן לפרקי זמן קבועים (לרוב – שבועיים). לפני כל איטרציה כזו מבוצע הליך של תכנון, על מנת לקבוע את סל המשימות שיכללו באיטרציה. במהלך האיטרציה, מבוצעות פגישות סנכרון קצרות ומעקב אחר התקדמות העבודה/עיכובים בעבודה, ובסיום האיטרציה מועברים תוצרים בעלי ערך לבעלי העניין ומבוצעת למידה (תחכים) כדי ללמוד ולהשתפר באיטרציה הבאה. האיטרציות מייצרות את המסגרת והקצב (cadence) לעבודה האג'ילית.

בעזרת הפירוקים השונים ניתן להשיג גמישות גם מעשית וגם מחשבתית. למשל, ניתן לבחון את התאמת התכנון המקורי למצב בפועל ולבצע התאמות במידת הצורך.

שיטת העבודה משקפת שלושה עקרונות יסוד של התפיסה:

1. העיקרון הראשון הוא העצמת הצוות. בעולם שבו הערך של הארגון הוא במידע שקיים בארגון, העצמת הצוות מאפשרת שימוש מיטבי במידע על הארגון: התהליכים, הבעיות, הלקוחות והנתונים. הפתרונות הטובים ביותר יכולים לבוא בעיקר מהאנשים שעושים את העבודה: הצוותים. בה-בעת תפקיד המבקר הראשי מועצם כסמכות מקצועית במקום כמי שמטפל בבעיות שוטפות.
2. העיקרון השני הוא הבאת ערך מהירה. בהתאם לתפיסה האג'ילית, מטרת דוחות הביקורת היא להביא ערך לארגון, ולא רק לשם עמידה בדרישות הרגולטור. לכן התפיסה דוגלת בהשאת ערך כבר בתום המשימה הרלוונטית במקום בסיום הדוח, ובבחינה מתמדת של המשימות ותיעדופן בהתאם לערך הרב ביותר שהן מביאות.
3. העיקרון השלישי הוא שיפור מתמיד. הרעיון של ״ארגון לומד״ אינו חדש. בשיטה האג׳ילית הלמידה היא תהליך שגרתי והפקת הלקחים ברמות השונות מובנית לתוך השגרה של הצוות ושל הארגון. כך למשל, בסוף כל איטרציה, כמו גם בסופו של כל דוח ביקורת, הצוות מבצע הליך של תחקור וחשיבה על דרכים לשפר (או לשמר) את אופן עבודתו.

למה זה טוב?

כפי שניתן לראות, מרבית עקרונות התפיסה הם אינטואיטיביים והגיוניים. לכן נתקלנו בלא מעט מקרים שבהם יחידת הביקורת כבר מיישמת חלק, ואפילו חלק ניכר, מעקרונות התפיסה האג'ילית. עם זאת, ערכו של "הצעד הנוסף", כלומר המעבר מהליך שבחלקו הוא אינטואיטיבי למהלך תפיסתי-תורתי סדור, הכולל בחובו תפיסה ניהולית מגובשת, הטמעת סט ערכים אג'ילי ויישום של הכלים והמתודולוגיות של התפיסה, הוא זה שמאפשר לרתום את יתרונות התפיסה ולמקסם את הערך שהיא מביאה.

הניסיון בעולם בהטמעת מתודולוגיית ה-Agile במערכי הביקורת, מוכיח כי הטמעת תפיסה זאת מביאה לשיפור בערך שמייצר מערך הביקורת לארגון בכללותו, וגם משפר את מערך הביקורת עצמו.

השיפור מתבטא בכמה היבטים עיקריים:

• קיצור זמני פרסום דוחות הביקורת והשאת ערך מוקדם ככל האפשר.
• תוצרים ממוקדים, איכותיים ובעלי ערך והשפעה רבים יותר.
• יצירת אמון ומיצוב צוות מערך הביקורת כ-Trusted Advisor של המבוקרים והנהלת הארגון.
• הגברת מחויבות ושיתוף פעולה מצד בעלי העניין.
• שיפור בתחושות צוות הביקורת הפנימית.
• שיפור היכולת להגיב מהר ונכון לאתגרים העסקיים ולמיקוד הארגוני המשתנה.
• חיסכון בכסף ובמשאבים.
• יכולת לעבוד מול ארגון שמשתנה או שעובר לאג׳ייל בעצמו – מיצוב צוות הביקורת כרלוונטי ותורם לתרבות החדשה.
• יכולת לדייק את התהליכים האג׳יליים בארגון, כך שהשינוי יתרום להקטנת סיכונים.

נשמע פשוט, איך עושים?

המעבר לשיטת ניהול ולחשיבה האג׳ילית הוא שינוי תרבותי הדורש מנהיגות והבנה ברמת המבקרים הראשיים, אך חשוב שהוא יחלחל ויכלול גם את ראשי הצוותים ועובדי הביקורת – המבקרים. במהרה גם לקוחות הביקורת נחשפים לתפיסה וחווים שינוי. חלק מיחידות הביקורת כבר ראו את היתרונות בעקרונות התפיסה ועשו, בין בידיעה ובין מכוח האינטואיציה, מהלכי שינוי אג'יליים באופן העבודה או בשיטות העבודה של היחידה שלהם.

The post יישום תפיסת AGILE בעבודת הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לרוב מדברים על חדשנות בהקשר של טכנולוגיה, יצירתיות יוצאת דופן, ומהלכים שיוצרים שינויים מהותיים בתהליכי העבודה הקיימים.

לתפיסתי, חדשנות יכולה לבוא לידי ביטוי גם בשינויים מינוריים שיכולים להיות משמעותיים לארגון, שינויים בתפיסה, בהסתכלות אחרת, ובעולמנו – בשאלת ביקורת אחרת.

מנקודת מוצא זו, דווקא כמבקרים יש לנו את היכולת להיות חדשנים בקלות יחסית, חדשנות שאינה מצריכה תקציבים משמעותיים או גיוס כוח אדם עם יכולות מיוחדות.

במאמר זה אשתף בביקורת שערכנו בנושא חסיון המידע ופרטיות אצלנו בקופת החולים מאוחדת, שבה החדשנות באה לידי ביטוי בשינוי נקודת המבט.

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות שפרסמה הרשות להגנת הפרטיות הישראלית. זאת במקביל לתקנות ה-GDPR האירופיות. התקנות הרחיבו את דרישות הרגולטור מארגונים בישראל על מנת לשמור על מידע פרטי ולמנוע את זליגתו.

בשלהי שנת 2019 החלה הרשות לערוך ביקורות בארגונים השונים על מנת לוודא עמידה בתקנות. הפרה של התקנות יכולה להשית על הארגון קנסות גבוהים יחסית. לכך מתווסף הנזק מזליגת המידע, החשיפה המשפטית, החשיפה התדמיתית וכדומה.

כלומר, בארגונים המחזיקים מידע פרטי על פי הקריטריונים שהגדירה הרשות, החשיפה המובנית לשלל סיכונים היא גבוהה. כפועל יוצא, במרבית הארגונים המחזיקים מידע פרטי כהגדרת התקנות, בשנתיים האחרונות הושקעו תשומות רבות על מנת להיערך לכניסת התקנות לתוקף: נשכרו יועצים לצורך ליווי הארגון בתהליך, הוטמעו מערכות טכנולוגיות, לרוב עתירות משאבים, הוסדרו המדיניות, הנהלים והתהליכים, והושקעו משאבי כוח אדם רבים בביצוע השינויים הנדרשים.

הן בשל רמת החשיפה והן בשל היקפי המשאבים שהושקעו, גם אנו כמבקרים פנימיים נדרשים לתת את הדעת לנושא, ולאפשר לדירקטוריון לקבל תמונת מצב אובייקטיבית לגבי היקף החשיפה של הארגון בהיבט זה.

הגישה הקלאסית של ביקורת פנימית בנושא היא בחינת רמת הציות הארגונית לרגולציה. בדיקה באיזו מידה הארגון עומד בדרישות התקנות, ומיפוי הפערים הקיימים בין דרישות הרגולציה (לרבות התאמת המערכות) ובין הקיים בפועל.

אני לא מפחיתה מחשיבותה של הביקורת הזו. אך במסגרת מאמר זה בחרתי שלא לדון בשאלה אם נכון לנו כמבקרים פנימיים לעמוד במקום של מתן הבטחה של עמידת הארגון ברגולציה בנושא עתיר חשיפה, על כל משמעות האחריות הרובצת לפתחנו בהקשר זה. אני בהחלט חושבת שהמיקוד שלנו יכול, ואולי צריך, להיות אחר. ממילא במרבית הארגונים הבריאים לא יחכו לביקורת של המבקר הפנימי כדי לוודא שהם עומדים בדרישות. יותר מזה, קיימת דרישה של הרגולטור לערוך מבדקי ציות. מנקודת מבטי הפרטית, הערך המוסף שלנו בתור מבקרים לא יהיה גבוה, במיוחד בהתחשב בזה שאת הארגון ליוו יועצים מומחים בתהליך השינוי.

אז מה עשינו חדשני?

אם אני מתחילה מהשורה התחתונה – שאלת הביקורת שלנו הייתה אחרת. לטעמי היא הייתה חדשנית ושונה מהאופן שאנחנו כמבקרים בדרך כלל שואלים.

במסגרת הביקורת, במקום לבחון מה נעשה בעבר ולתת לארגון תמונת מצב מה רמת הציות כיום, אנחנו בדקנו, תוך ראייה צופה פני עתיד, האם מה שיש היום הוא מספק על מנת להבטיח כי רמת הציות הארגונית כיום תישמר גם בעתיד. הרי הארגון השקיע משאבים ותשומות רבים כל כך כדי להגיע לרמה מספקת לצורך עמידה בדרישות התקנות, וסביר להניח שאחרי כל ההשקעה רמת הציות שלהם כיום תהיה גבוהה או לפחות מספקת. השאלה היא האם בעוד שנה, כשתבוא הרשות להגנת הפרטיות לערוך ביקורת לארגון, היא תמצא ארגון באותה רמת ציות כמו היום. האם תהליכי העבודה שתוכננו ויושמו בארגון במסגרת ההערכות לכניסת התקנות לתוקף, יאפשרו לארגון לשמר את את אותה רמת ציות ארגונית גם מחר, גם בעוד שנה וגם בעוד כמה שנים?

כמה פשוט, ככה משמעותי.

זה אך טבעי שהקשב הארגוני, שהיה ממוקד בפרויקט ההיערכות, יהיה ממוקד עכשיו בפרויקטים הבאים שנמצאים על השולחן. בדרך כלל כשהקשב הארגוני מוסת, אם התהליכים לא מהודקים מספיק – גם רמת הציות פוחתת.

אני חושבת שחלק מהמחויבות שלנו כמבקרים היא לוודא שתשומות אלו יישאו פרי לאורך זמן, דבר שכאמור לא תמיד קורה. בנוסף, אני חושבת שמחויבותנו, גם עבור הדירקטוריון, היא לשקף באיזו מידה הארגון מתכנס להיות ארגון ששומר על פרטיות המידע לאורך זמן, ולא רק נכון ליום הביקורת.

במסגרת הביקורת בחנו את תהליכי העבודה ונוהלי העבודה. בשונה מתהליכי ביקורת רגילים, לקחנו את כל החומרים שנכתבו לצורך העמידה ברגולציה – מיפוי המערכות, מיפוי הספקים, סקרי הפערים – כבסיס לביצוע הביקורת, והסתמכנו עליהם כמו שהם, בלי שתיקפנו אותם. כאמור, כמבקרים יכולנו להתמקד בלדייק אותם או לתקף אותם, אולם לא זו הייתה מטרת הבדיקה. המטרה הייתה לבדוק שתהליכי העבודה ונוהלי העבודה שהוגדרו יאפשרו לשמר את כל החומרים שנכתבו ואת התהליכים שהוגדרו כפועל יוצא שלהם, ושיהיו תקפים ועדכניים גם בעתיד.

להלן מספר דוגמאות:

לסיכום, לאור התשומות והמשאבים הרבים שהשקיע הארגון בתהליך ההיערכות לרגולציה, והעמדת תשתית שמהווה הבסיס לעמידה בה, ביקורת זו אפשרה להנהלת הקופה להפנות זרקור למקומות שבהם נדרש לתת את הדגש כשלב שני להיערכות, ונתנה לדירקטוריון, שנתמך על עבודת המבקר הפנימי, תמונת מצב לגבי רמת החשיפה הארגונית העתידית בנושא, ובהתאם את מידת הצורך שלו להיות מעורב בנושא בעתיד הקרוב והרחוק.

The post חדשנות בביקורת בנושא חסיון מידע ופרטיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ריכוז הוא חיבור חזק יותר ועמוק יותר לגירוי, ובדרך כלל זהו חיבור אקטיבי. במצב של ריכוז – המוח כולו במצב פעיל, וכולו פועל מול גירוי אחד.

החזקת קשב היא האפשרות להקשיב ברצף, לקרוא או לעשות פעולה מתמשכת לאורך זמן.

מה מפריע לנו לשמור על קשב?
כמות הגירויים והצורך בריגוש.

לפני יותר מעשור זמן הקשב הממוצע של האדם עמד על 12 דקות. מדידות עדכניות קובעות כי כיום זמן הקשב הוא כ-5 דקות בלבד. מחקרים שונים מצביעים על האינטרנט כאחד הגורמים לירידת זמן הקשב: שפע מקורות המידע, קלות המעבר וריבוי הגירויים, הם רק חלק מהמאפיינים שהופכים את האדם הממוצע ליצור תזזיתי הנמצא במרדף קבוע אחר הגירוי הבא.

ריבוי הגירויים מעמיד בפני הקורא משימה לא קלה. משימה של נוכחות ברגע הזה בלי להציץ בסלולרי, לבדוק מיילים או לראות מה חדש ברשתות החברתיות.

מחקר שפורסם ב-2015 על ידי מיקרוסופט קנדה, מגלה כי הטכנולוגיה המודרנית לאו דווקא משפרת את יכולות המין האנושי. החוקרים גילו כי מאז שהסמארטפונים הפכו לפופולריים, טווח הקשב והריכוז האנושי צנח מתחת לזה של דגי זהב – יצורים לא מתוחכמים במיוחד. טווח הקשב שנבדק הוא היכולת להתרכז במשימה אחת בלי הסחות דעת. החוקרים אומרים  כי בעידן של "מולטיטסקינג" ומסכים מרובים הזמינים לכל אדם, לא פלא שהתרכזות מוחלטת היא קורבן של הקִדמה הטכנולוגית.

אנו המבקרים, האחראים ליצירת לא מעט מלל במסגרת דוחות הביקורת שלנו, חייבים להיות מודעים לתופעה זו, להפיק לקחים ולהתאים את עצמנו אליה.

איך עושים את זה?

ראשית – מקצרים. ואחר כך – שוב מקצרים.

על מנת לתפוס את הקשב של המבוקרים יש להימנע ממילים שמאריכות את המשפט ולא תורמות למשמעותו. כל מילה הנכתבת בדוח הביקורת חייבת להיות שם. אין כפל משמעות, אין חזרה על פרטים. העברת המסר נעשית בצורה מדויקת וקולעת. מדהים לראות איך ניתן לקצר פסקה של מספר שורות לשתיים-שלוש שורות בלי להחסיר מהמידע או מהמסר.

נסו לחשוב על הכתיבה כאילו מדובר במברק, כלומר כל מילה עולה כסף. יש להשתמש במילה המדויקת ביותר לתיאור תופעה או מושג מסוים.

כאשר אנו נותנים כבוד ותשומת לב לכל מילה שאנו כותבים, אנחנו למעשה נותנים כבוד לזמן של הקוראים וגם מעלים את הסיכוי שהקורא יישאר איתנו ולא "יגלוש" לשאר הגירויים הסובבים אותו.

כתיבה תמציתית היא תוצר של חשיבה מוקדמת וקפדנית על איך לפשט את המידע ואיך להציגו, ולכן היא לא מסתכמת רק בניסוח אלא גם בארגון המידע.

איך נארגן את המידע בצורה קלה לקריאה?

תרשימי זרימה, גרפים וטבלאות תופסים את העין ומאווררים את הכתוב. על מנת לתאר תהליך, ניתן להשתמש בתרשים זרימה במקום שימוש במלל רב. במקרה של השוואות רצוי להשתמש בגרף או בטבלה שימשכו את העין. זוהי דרך נוחה לקורא לקבל מידע. כאשר יש סוג של "רשימת מכולת" או מספר תיאורים/היגדים, ניתן להשתמש בבוּלטים (נקודות). גם דרך הצגה זו היא פחות מעייפת. גם שימוש בצבעים מוסיף עניין ומושך את העין. יש לשים לב לא להגזים בנטייה זו ולעשות זאת במידה ובעדינות.

שיטה נוספת להפחתת העומס בדוח הביקורת היא העברת פירוט נרחב של תוצאות, למשל תוצאות מדגם, לנספחים. כלומר תיאור הממצא יהיה במשפט קצר, ואילו פירוט כל המקרים המעידים על הממצא יהיה בנספח. הפירוט חשוב לצורך אמינות הדיווח, אך מאחר שאינו משנה את המסקנה העולה מהממצא ניתן לצרפו בנספח לדוח, תוך הפניה אליו בנושא הספציפי.

אז איך אני אראה את היקף העבודה שהשקעתי?

אנחנו עובדים קשה על איסוף ממצאים במטרה לגבש המלצה שתחסום את הפרצה, תשפר תהליך או תמנע ליקוי דומה בעתיד. לעיתים העבודה הקשה הזו מתבטאת במשפט אחד או שניים בדוח הביקורת, ואנו חשים תסכול מסוים מכך שאולי לא הבאנו לידי ביטוי את כמות העבודה שהושקעה עד לגיבוש הממצא וההמלצה.

אז ראשית, התופעה מוכרת ומובנת. נהוג לומר "הצדק צריך גם להיראות", אך בהקשר של דוח ביקורת יש לזכור שהדוח בא לשרת את המבוקר/החברה ולא את עצמנו או את תחושת ה"טפיחה על השכם" שלנו. תיאור ארוך של שלבי עבודתנו עד להגעה לממצא אינו משרת את הקורא. הוא נועד בעיקר להראות שהשקענו זמן רב בחקירת הנושא, עובדה שאינה מעניינת את הקורא. הדוח צריך לכלול את המסקנה שלנו ולא לשתף את הקורא בשלבי עבודתנו.

גיוון זה שם המשחק

סקר הסיכונים שנערך אחת לתקופה לצורך בניית תוכנית העבודה הרב שנתית מחייב אותנו לחזור על נושאי ביקורת בתדירות שנקבעה בו, בהתאם לסיכון השיורי (הסיכון בנטרול הבקרות הקיימות). כתוצאה מכך, נושאים בעלי דירוג סיכון גבוה או בינוני יעמדו לביקורת אחת לשנתיים-שלוש.

בנושא של ביקורת אני תמיד בעד לגוון. הגיוון הוא בעיקר לעצמנו, כי המבוקרים קרוב לוודאי לא זוכרים את הדוח הקודם.

לגוון – לראות את הנושא מזווית אחרת לגמרי. לראות איפה ניתן לתת ערך מוסף לחברה. לראות את בשלות החברה בתחום הנבדק ואת ההתקדמות שעשתה מהדוח הקודם ולהיות ערניים לכך.

אנחנו חייבים להתאים את עצמנו לשינויים כל הזמן. להביא רעיון חדש, הסתכלות אחרת. כך לא נרגיש שאנחנו חוזרים על אותו נושא ונייצר ערך רב יותר.
לדוגמה, בדוח ביקורת על תהליך רכש, שהוא רלוונטי לכל סוג של חברה, יהיו אלמנטים שיחזרו מדוח קודם, אך תהליכי העבודה בתחום כל הזמן משתנים, הטכנולוגיה משתנה, מערכות המידע התומכות משתנות והסיכונים משתנים. גם תפיסת הביקורת הפנימית וכלי הביקורת משתנים. לכן דוח על הרכש שנעשה היום יראה אחרת מדוח רכש שעשינו לפני שנתיים או שלוש.

דוגמה נוספת: כאשר יש נושא רגולטורי שחוזר מעת לעת, ראוי שנבחן מה ניתן להוסיף או לגוון או לשנות לאחר הביקורת הראשונה בתחום, שבדרך כלל מיישרת קו בהתאמה לרגולציה. כלומר בפעם השנייה שנבדוק נושא זה כדאי להתפתח לכיווני בדיקה חדשים, שייתכן שבביקורת הראשונה החברה הייתה פחות בשלה להטמיע המלצות לגביהם.

לסיכום

בעולם שבו הגירויים עולים והקשב הממוצע יורד באופן משמעותי, אנו נדרשים להתאים את עצמנו לכתיבה תמציתית, מדויקת, מעניינת ומגוונת. על מנת לגוון ולעניין עלינו לפתח כל הזמן זוויות חדשות להסתכלות על נושאים שכבר בדקנו. כך נוסיף ערך מוסף למבוקרים וגם נהנה מהעשייה.

The post איך לא לשעמם את המבוקרים (ואת עצמנו) בדוחות הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעולם העסקים של היום, כמעט לכל ארגון יש נוכחות במדיה החברתית המאפשרת לו להגיע למספר עצום של לקוחות ובעלי עניין ברחבי העולם. אומנם המניע העיקרי ליצירת נוכחות במדיה החברתית הוא הגדלת מכירות, אך המדיה החברתית מציעה לארגונים הרבה מעבר לכך. היא בונה מערכות יחסים חדשות עם לקוחות, עובדים ובעלי עניין אחרים, ומגדילה את המודעות לארגון ולמותג שלו. היא משפיעה על חוויית הלקוח, על התקשרויות ועל משוב, מעלה את אטרקטיביות הארגון כמעביד ומחזקת את המוניטין שלו.

יחד עם היכולת המוגברת להגיע לקהלים, מגיעים גם סוגים שונים של סיכונים עבור ארגונים ועובדיהם, ובהם סיכונים הקשורים במוניטין, ברשת האפלה ובאבטחת מידע. עבור מבקרים פנימיים, השאלות הרלוונטיות ביותר נוגעות להיבטים כמו אופן ניהול הנוכחות במדיה החברתית. על ארגונים לפתח מדיניות הכוללת, בין היתר, הגדרת גורמים בארגון שיש להם סמכות לפעול במדיה החברתית, הגדרת התוכן שמותר לפרסם, והגדרת רשימת התפוצה עבור כל פרסום.

לכן רצוי שמבקרים פנימיים יקדישו משאבים לבקרת מידת הציות למדיניות ולהנחיות הארגון בנושא הפעילות במדיה החברתית. כדי לעשות זאת, על מבקרים לבנות גישת ביקורת מתאימה עבור ערוץ מתפתח זה של תקשורת באמצעות המדיה החברתית.

אסטרטגיית המדיה החברתית

ההיבט הראשון שכדאי לבחון בעת עריכת ביקורת בנושא המדיה החברתית הוא אסטרטגיית המדיה החברתית של הארגון, והשאלה הראשונה שעל מבקרים לשאול היא: האם בכלל קיים מסמך כזה בארגון? כאמור, אסטרטגיה יכולה לעזור לארגון בהקמת בסיס להסדרת היבטים כמו גישת הארגון לפעולות במדיה החברתית ואמצעי הפיקוח והשליטה על הפעולות בה. רצוי גם שהאסטרטגיה תגדיר את המטרות שהארגון שואף להשיג בראייה לטווח הארוך על מנת לתחום את פעולות הארגון במדיה החברתית.

היבט אסטרטגי נוסף שעל מבקרים פנימיים לבחון הוא הערוצים הספציפיים המשפיעים על הארגון, לרבות תיקוף הלינקים, שמות המשתמשים, הפרופילים, פרטי החשבון, הצהרת השליחות המופיעה בחשבון ונתונים דמוגרפיים עיקריים. בנוסף, רצוי לבחון את ההלימה בין המטרות הארגוניות לבין מטרות הפעילות במדיה החברתית.

מדיניות ונהלים

בסיום הבחינה של הגישה האסטרטגית של הארגון, יש לוודא שאסטרטגיית המדיה החברתית נכללת במסמכי מדיניות, נהלים, כללים והנחיות רלוונטיים בארגון. רצוי שמבקרים פנימיים יתחילו במיפוי המסגרת הרגולטורית הרלוונטית לתחום הפעילות של הארגון, ולאחר מכן יבחנו האם המדיניות והנהלים עומדים בדיני העבודה הלאומיים והמקומיים ואינם פוגעים בחופש הביטוי. יש לוודא שהמסמכים הרלוונטיים נבדקים מבחינת עקביות ומאושרים על ידי המומחים המתאימים במחלקות שונות בארגון, כגון ההנהלה הבכירה, המחלקה המשפטית, הממונה על ניהול סיכונים והמבקר הפנימי. לבסוף יש לקבל את הפרספקטיבה של עובדי הארגון, לרבות מהעובדים הממונים על פעילות הארגון במדיה החברתית. אחת מהסוגיות שיש לבחון היא האם נמסר לעובדים מדריך לכתיבת פוסטים במדיה החברתית והאם קיימת בקרה על אכיפתו.

משאבים ייעודיים

היבט חשוב נוסף בעת עריכת ביקורת בנושא המדיה החברתית הוא האם הוקצאו משאבים הולמים לתחום זה. ברגע שארגון מחליט לפתח נוכחות במדיה החברתית, עליו למנות עובדים לתפקידי ניהול הנוכחות במדיה החברתית ולדאוג לכלים לניטור פעילות זו. ניהול הולם של הפעולות במדיה החברתית צריך לכלול שימוש בכלים המפיקים מידע, כגון מספר האזכורים של שם הארגון, התייחסויות רלוונטיות של הקהל לפוסטים של הארגון, ודפוסי התנהגות של קהלים שונים.

על מנת להבין את פעילויות הארגון במדיה החברתית, רצוי שמבקרים פנימיים יבצעו חיפושים באינטרנט כדי לזהות היכן יש לארגון נוכחות. בנוסף, רצוי לאתר מבחר של הפוסטים הטובים ביותר ולנתח את הסיבות לפופולריות שלהם (כגון הנושא, התמונות, ההתמקדות באנשים), מאחר שהממצאים יכולים לסייע להנהלה בקבלת תובנות לגבי הרלוונטיות של אותם פוסטים ללקוחות ולבעלי עניין.

זיהוי מדדי הביצוע העיקריים יכול לספק למבקרים פנימיים בסיס להערכת ביצועי הפעילות במדיה החברתית. בדיקה זו כוללת לא רק את בחינת תוצאות מדדי הביצוע, אלא גם האם נדרשים מדדי ביצוע אחרים או שונים. ניתן לפשט תהליך זה על ידי שימוש בכלים אנליטיים שונים המיועדים למדיה החברתית.

תפקידים ותחומי אחריות

ההשפעה של המדיה החברתית על הארגון יכולה להיות רחבת היקף, ולכן חשוב להגדיר תפקידים ותחומי אחריות מתאימים. מצב שבו כל המחלקות מעלות פוסטים למדיה החברתית מטעם הארגון בו-בזמן וללא כל תיאום ביניהן יוביל לבלבול. באופן דומה, מצב שבו כל עובד מורשה לענות לפניות או להגיב להערות במדיה החברתית עלול לייצר בעיות שונות.

בהתחשב בסוגיות אלו, על מבקרים פנימיים לוודא שקיימות הגדרות בכתב של תפקידים ותחומי אחריות שתוקשרו לכל העובדים וברורים להם. בנוגע לנושא אבטחה, רצוי שמבקרים יבצעו בחינה של הבעלים של כל חשבונות הארגון במדיה החברתית וכן סקירה של אמצעי האבטחה וההגנה המיושמים, כגון כלים לבקרת סיסמאות.

תקשורת פנים ארגונית ותוכניות הכשרה

בהתחשב בעובדה שניהול לקוי של פעילות הארגון במדיה החברתית עלול לגרום להשלכות שליליות מהותיות על הארגון, חשוב שארגונים יקפידו על העברת הנחיות פנים ארגוניות באופן שוטף ועל הפעלת תוכניות הכשרה. העובדים צריכים לדעת את הכללים להצגת הארגון במדיה החברתית על מנת להימנע מהשלכות שליליות פוטנציאליות. מסיבה זו רצוי שמבקרים פנימיים יבצעו סקירה של הודעות פנימיות לעובדים הקשורות בפעולות במדיה החברתית וכן את תדירות ההכשרות שבוצעו בנושא זה.

תרחישי משבר בארגון

היבט חשוב נוסף בעת עריכת ביקורת של נושא המדיה החברתית הוא: האם הארגון פיתח תרחישי משבר  וגיבש כללים לגבי אופן התקשור של משברים שונים בארגון בערוצי המדיה החברתית? בדרך כלל, משבר יוצר פתח לקשת רחבה של תקשורת לקויה בכלל הארגון. רצוי שמבקרים פנימיים יוודאו שהמנהלים והעובדים הממונים על המדיה החברתית מודעים לאפשרות של מצבים כאלה ושיש להם תוכנית ברורה לניהול משברים שונים בארגון.

מקום לשיפור

תפקידו של מבקר פנימי הוא לספק להנהלה פרספקטיבה אובייקטיבית ותובנות. על מנת לעמוד בקצב ההתפתחויות בתחום המדיה החברתית, על הארגון לחפש באופן מתמיד הזדמנויות לשפר את ערוצי המדיה החברתית שבהם הוא פועל, כמו גם את כל הבקרות הקשורות לפעולות הארגון במדיה החברתית. עובדים הממונים על ניהול המדיה החברתית צריכים לפעול בתיאום עם מחלקות אחרות בארגון ולבצע באופן תדיר הערכות של התפתחויות ותחומי התעניינות בתעשייה, באזור ובקהילה שלהם. בכוחם של המבקרים הפנימיים לסייע להם בשיפור גישת הארגון לפעילות במדיה החברתית.

* מאמר זה תורגם מגיליוןInternal Auditor  יוני 2019

The post איך עורכים ביקורת על הרשתות החברתיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

במאמר זה נתאר את הפוטנציאל ואת דרכי הפעולה האפשריות של הביקורת הפנימית כדי להשפיע ולקדם את נושא הנגישות בארגון. נציג את הסיבות לבחירת נגישות כנושא ביקורת, וטכניקות ונושאים עיקריים שבהם התמקדנו בעת ביצוע הביקורת. בנוסף, נתייחס לחשיבות של שיתוף פעולה עם יועצים חיצוניים מומחים בתחום, במטרה לקבל תמונת מצב אמיתית ומלאה ככל שניתן לאופן יישום ההנגשה בארגון.

הנגשה מצמצמת את הפער בין מאפייני האדם לסביבתו

בישראל חיים כמיליון וחצי אנשים עם מוגבלות, המהווים כ-21% מהאוכלוסייה הבוגרת על פי    סקר החברתי של הלשכה המרכזית לסטטיסטיקה לשנת 2017.

"מוגבלות" אינה טבועה באדם אלא היא פער בין מאפייני האדם למאפייני סביבתו, הבאה לידי ביטוי במישור הפיזי, החושי, הנפשי והקוגניטיבי. סוגי המוגבלויות רבים ומגוונים, ולכל מוגבלות תפקודית יש טווח שנע ממוגבלות קלה עד מוגבלות חמורה.

          סוגי מוגבלות עיקריים

"נגישות" משמעותה אפשרות הגעה למקום, תנועה והתמצאות בו, שימוש והנאה משירות, קבלת מידע הניתן או המופק במסגרת מקום או שירות או בקשר אליהם, באופן שוויוני, מכובד, עצמאי ובטיחותי.

הנגשה היא אתגר הנוגע בכל תחומי הפעילות של הארגון ומחייב התמודדות במישור הפיזי, הנוהלי וההתנהגותי, עד לשינוי תפיסות ותרבות ארגונית. תהליך הנגשה אפקטיבי צריך להתייחס לכל היבטי השירות בארגון, כולל התייחסות למבנים שבהם ניתן השירות, ערוצי שירות, תהליכי שירות, מידע נגיש ואופן מתן שירות נגיש.

הביקורת כסוכנת שינוי לארגון מונגש יותר

באמצעות "חוק שוויון זכויות לאנשים עם מוגבלות" ותקנות נגישות בשירות, הרגולציה מעגנת את זכויותיהם של אנשים עם מוגבלות ומגדירה את החובות החלות על ארגונים במגזר הציבורי והעסקי לספק שירות מלא, שוויוני ומונגש. מעבר לדרישות החוק, ארגונים המיישמים תהליכי הנגשה ברמה טובה נהנים מיתרונות עסקיים ואפשרויות להפקת תועלת כלכלית. יתרונות אלו מתבטאים ביכולת לשמר ואף להגדיל את קהל הלקוחות ואת היקף הפעילות באופן שעשוי לשפר את הרווחיות, וכן לסייע בשיפור התדמית של הארגון בפני כלל הציבור בזכות מיצובו כארגון אחראי והוגן.

משכך, ההחלטה לבצע ביקורת בנושא נגישות הבנק ללקוחות עם מוגבלויות התקבלה לאור המחויבות לבדוק את עמידת הבנק בדרישות הרגולציה, ולצמצם את החשיפות לסיכונים שאינם פיננסיים, ובהם סיכוני רגולציה, מוניטין ותביעות משפטיות. יותר מזה, נוכחנו כי לביקורת הפנימית יש פוטנציאל להשיא ערך בתחום השירות על כלל היבטיו, בדגש על העלאת מודעות העובדים לנושא הנגישות ולכלים העומדים לרשותם בעת מתן שירות מונגש.

אז איך עושים את זה?!

על מנת לבצע ביקורת עם ערך מוסף על כלל היבטי הנגישות, חשוב היה לנו לבדוק כיצד הבנק מיישם את עקרונות השירות הנגיש, שלפיהם לקוח עם מוגבלות יוכל לבצע רצף פעולות בדומה ללקוח ללא מוגבלות ובאותה סביבה שבה ניתן השירות לכלל הלקוחות. הביקורת התייחסה להיבט הפיזי, הטכנולוגי, התהליכי וההתנהגותי בשירות ולחוויית השירות בכללותה. נוסף על כך, ביקשנו לוודא כי הבנק עומד בדרישות החוק ותקנות הנגישות, וכי נקבעו תהליכי עבודה ובקרות אפקטיביים, לרבות היבטי ממשל תאגידי ומעורבות ההנהלה והדירקטוריון.

הביקורת בוצעה בשיתוף פעולה ייחודי עם עמותת "נגישות ישראל", המובילה בישראל בתחום קידום הנגישות לאנשים עם מוגבלות.

במסגרת בדיקת הנגישות הפיזית, נעזרנו בין היתר ביועץ מוסמך (הסמכה רשמית הניתנת על ידי משרד התמ"ת), ויחד ביקרנו במדגם ממבני הבנק שבהם ניתן שירות. בחנו את התאמת המתקנים הפיזיים לדרישות הנגישות ואת הידע של נותני השירות באשר לעזרי הנגישות הקיימים. נציין כי תקנות שוויון זכויות לאנשים עם מוגבלות (התאמות נגישות לשירות) 2013, מחייבות את הארגונים לבצע בדיקות נגישות תקופתיות ולוודא כיסוי של כלל מתקני ושירותי הארגון במסגרת תוכנית רב-שנתית. על הביקורת לוודא כי תהליכי העבודה אלו מתקיימים.

בנוסף, ביצענו סקרי שירות ייעודיים בשיתוף יועצים עם מוגבלויות מסוגים שונים (ראייה, שמיעה, ניידות ומוגבלות קוגניטיבית) מעמותת "נגישות ישראל" שפעלו כלקוחות סמויים. כאמור, העבודה בצוות משותף אפשרה לנו לבחון באופן אותנטי והוליסטי את חוויית השירות בכללותה, הן בשירות הפרונטלי והן בשירות במוקד טלפוני ובערוצים דיגיטליים. בזכות היכרות מעמיקה של המבקר עם תהליכי העבודה בארגון ויישום כישורים מקצועיים מעולם הביקורת לצד קבלת נקודת מבטם הבלתי אמצעית של אנשים עם מוגבלויות, התקבלו תובנות ייחודיות וערך מוסף שאפשרו מתן המלצות אפקטיביות התורמות לשיפור היבטי הנגישות ברמת הבנק.

השפענו! סיכום בנימה אישית

ישנם מקרים בחיי מבקר שבהם נוצרת הזדמנות לקחת חלק בתהליכים של שינוי חברתי, להשפיע על תפיסות ערכיות בארגון, ולסייע בשיפור השירות (יעד אסטרטגי של הבנק).

הייתה זו זכות להוביל ביקורת ראשונה וחדשנית בנושא הנגישות בשיתוף עמותת "נגישות ישראל", ובאמצעות למידה הדדית ושימוש ביתרונות היחסיים של כל אחד מהצדדים, ליצור מודל עבודה ייחודי המאפשר בחינה ושיפור רמת הנגישות של הארגון באופן שיעצים את חוויית השירות של לקוחות עם מוגבלויות ויתאים לתהליכי העבודה ולדנ"א הארגוני.

The post ביקורת נגישות – על מה ולמה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

"חדשנות עסקית", מושג אמורפי שנדמה כי אינו קשור בעולם הביקורת הפנימית, אינה בהכרח חדשנות טכנולוגית או מוצרית. חדשנות עסקית עשויה לבוא לידי ביטוי גם בהתנהלות ארגונית בתחומים קריטיים שיש להתאימה לנסיבות שהשתנו. בחברות עסקיות, חדשנות עסקית מתבטאת ביוזמות לשיפור רווחיות וצמיחה, ובארגונים שאינם עסקיים מדובר ביוזמות לשיפור תפוקות מרכזיות. נשמע טבעי בהקשר של ביקורת פנימית? אכן, הביקורת הפנימית יכולה לסייע לארגון להשתפר מבחינות אלה, אך נדרש ממנה לכוון חלק מנושאי ביקורת אל מעבר לגבולות הציות. למעשה, הביקורת הפנימית יכולה וצריכה לכלול יותר נושאי ביקורת המכוונים לשיפור רווחיות החברה או לביסוס צמיחתה הרווחית, ובארגונים שלא למטרת רווח – לשיפור תפוקות מרכזיות באופן מורגש.

אך נראה שקיים אתגר. בהרצאתי האחרונה בכנס הביקורת הפנימית ביקשתי מהנוכחים לשתף, מי מהם ביקר תהליכי שיווק ומכירות בחברות. רק שבעה מתוך כ-150 מהנוכחים הרימו את ידם. בהרצאה אחרת בפני מבקרים פנימיים הצעתי לאלו המעוניינים לקבל חומרי הדרכה בתחום שיפורי רווחיות וצמיחה – לפנות אליי ולהיכלל בקבוצה מכובדת של מנהלים המקבלים אותם. רק שני מבקרים ביקשו להיכלל עד כה. על אף העובדה שמדובר במדגם לא מייצג, אירועים אלה עולים בקנה אחד עם נתונים נוספים המתארים את "מצב הביקורת הפנימית". אך הדרת הרגליים היחסית מתחומים שבלב העשייה העסקית אינה מוצדקת, מכיוון ש"חציית הגבול" אל מעבר לנושאי הציות (בלי לוותר על נושאי ציות הכרחיים) תשפר את הערך שפונקציית הביקורת הפנימית יכולה לייצר.

אתגר נוסף שיש להתמודד עימו בנושא זה, הוא ההתנגדות הצפויה מתוך הארגון, מכיוון שגם כאשר הפרה מעוניינת להניק – העגל לא תמיד מעוניין לינוק. כלומר, גם אם המבקרים היו מעוניינים לעסוק בנושאי שיפור רווחיות וצמיחה, הארגון אינו מורגל בעיסוקם בנושאים אלה ועלול להתנגד לכך. הארגון מורגל לכך שהביקורת הפנימית מוגבלת, ויש שיגידו מגבילה עצמה, לנושאי ציות בלבד, וכידוע לנו – שינוי גורר התנגדות. הפנו את תשומת ליבם של המתנגדים לכך שחוק הביקורת הפנימית מכתיב גם בחינה של היבטי חיסכון ויעילות, ובדיקה אם הפעולות מועילות להשגת היעדים שנקבעו. באופן אירוני, ציות לחוק זה מחייב כיסוי של היבטים שמעבר לציות. האם הארגון עומד בדרישה זו?

כל מבקר פנימי רשאי לעסוק בנושאי חדשנות עסקית, ולתרום לשיפור רווחיות החברה ולצמיחתה, או לשיפור התפוקות המרכזיות של הארגון.

להלן דוגמאות.

חדשנות עסקית נקודתית

טווח הנושאים שהביקורת יכולה לעסוק בהם בתחום שיפורי רווחיות וצמיחה וכן שיפורי תפוקה הוא רחב.  נדגים נושאים אלה מתחום תהליכי "המשפך" עבור חברות עסקיות, ונושאים אחרים עבור ארגונים ציבוריים. "המשפך" הוא קבוצת תהליכים המתחילה בהפצת המסרים השיווקיים של החברה ומסתיימת במכירה. בפתחו הרחב של המשפך ניתן למצוא את הקהל הכולל שאליו מגיעים המסרים השיווקיים במישרין ובעקיפין, ובצידו הצר מטפטפות מכירות לחלק שהצלחנו להמיר מ"מאזינים" ללקוחות. בשלב זה של התהליך הארגוני עולה השאלה האם התהליך מתנהל באופן אפקטיבי ויעיל. בחינה כזו אינה נמדדת לאור הציות למדיניות החברה או לנהליה, אלא לאור תוצאות מספריות: כמה "מאזינים" נכנסים למשפך; כמה מהם פונים ומתעניינים מעבר למסרים הראשוניים; כמה מתחילים תהליך מכירתי; כמה מהם קונים; באיזה סכום הם קונים.

בדומה לעבודת ביקורת של תהליכים אחרים, גם כאן ניתן לפרק את התהליך לשלבים ולרצף הפעולות השונות שמלווה כל שלב, וכן למפות את הבקרות שבכל שלב ואת ניהול הסיכונים. נר לרגלי המבקר הפנימי בבחינה זו חייב להיות שיפור הערכים המספריים בין השלבים השונים. ככל שניתן, המלצות הביקורת יתייחסו לפעולות שניתן לבצע כדי לשפר את התוצאות המספריות. ניתן לחלק את "המשפך" לתהליכים שיווקיים ולתהליכי מכירה.

להלן דוגמאות לנושאי ביקורת עבור כל סוג של תהליכים:

תהליכים שיווקיים

1. כיצד ניתן להרחיב את קהל מקבלי המסרים השיווקיים, "מאזינים", תוך שמירה על יעילות?
2. כיצד ניתן לשמר מערכת יחסים עם קהל ה"מאזינים", שתשמר בתודעתם את המוצרים או השירותים שהחברה מציעה?
3. כיצד ניתן להגדיל את שיעור ה"מאזינים" שגם "מקשיבים" (לדוגמה: קוראים, שוקלים, מבררים פרטים באופן עצמאי)?
4. כיצד ניתן להגדיל את שיעור ה"מקשיבים" שיפנו לקבלת מידע נוסף?
5. כיצד ניתן לייעל את העלות המוצעת הכרוכה בקבלת פניית התעניינות בסופו של תהליך?

תהליכי מכירה

1. כיצד ניתן להגדיל את שיעור הפניות שמקבלות מענה מאת אנשי המכירות בתוך זמן סביר?
2. כיצד ניתן להגדיל את שיעור ההמרה, כלומר את שיעור הפונים שגם רוכשים?
3. כיצד ניתן להגדיל את סכומי הרכישות? (הרי לכם אתגר יפה להתמודדות!)
4. כיצד ניתן להגדיל את רווחיות הרכישות?
5. כיצד ניתן לרתום תהליכים תומכים, כגון שירות לקוחות או לוגיסטיקה, להגדלת המכירות?

ארגונים ציבוריים

1. כיצד ניתן לעשות יותר בתקציב נתון?
2. האם קיימים מקורות מימון שאינם ממוצים?
3. כיצד ניתן להוריד ארנונה ב-1% בשנה הבאה, במקום לנצל את הזכות להעלות אותה?
4. כיצד ניתן להוריד סכומי אגרות לאזרח?
5. כיצד ניתן לקצר זמני המתנה לקבלת שירות או זמני טיפול?

תהליך החדשנות העסקית בארגון

מעבר ליוזמות שפונקציית הביקורת הפנימית יכולה להניע, באפשרותה גם לבקר את תהליך החדשנות העסקית בארגון. בארגונים רבים בישראל עדיין לא הוגדר תהליך עסקי כזה, ואף לא פונקציה ארגונית כזו. אך בשנים האחרונות חברות גלובליות רבות מיסדו פונקציית חדשנות עסקית והגדירו תהליך כזה. הפרויקטים המלווים במסגרת תהליך זה הם רבים וחוצי-ארגון. הסיבה היא פשוטה: הסביבה שבה אנו פועלים משתנה באופן תמידי, וארגונים שאינם מתאימים את עצמם לשינויים אלה מתפשרים על כושרם התחרותי או המבצעי כבר בטווח הבינוני. לשם המחשה, תארו לעצמכם שבשנים האחרונות לא הייתם מקפידים להתעדכן מבחינה מקצועית, להגיע לכנסים מקצועיים, או לשמוע הרצאות לגבי כיווני התפתחות חדשים. אין ספק שהנסיגה המקצועית הייתה מורגשת. עכשיו השליכו סיכון זה על המישור הארגוני הכולל: נסיגה בפוזיציה התחרותית של החברה או ביכולת הביצועית של הארגון תהיה מורגשת, אם לא מורגשת כבר עתה, בארגונים שלא מונעים נסיגה זו באופן פרואקטיבי.

תהליך החדשנות העסקית מכוון ספציפית להתאמה לצורכי לקוחות הארגון המשתנים על פני זמן, לפתרונות חדשים שצצים, להזדמנויות שעולות ולאיומים שקמים (בין אם עסקיים או ציבוריים). הנחות עבודה מסוימות שהתבססנו עליהם עד כה כבר אינן מתאימות, ואם לא נגיב – ניסוג לאחור. מנקודת מבט של ניהול סיכונים ארגוני, היעדר תהליך מובנה, מוגדר ושיטתי של חדשנות עסקית, והיעדר פונקציה ארגונית האמונה על תהליך זה – מהווים גורם סיכון קריטי, בעל רמת הסתברות גבוהה לפגיעה בארגון. מבקרים פנימיים יכולים לסייע לארגון לצמצם חשיפה זו באמצעות התייחסות לתהליך החדשנות עצמו.

להלן נושאי התייחסות בתהליך החדשנות הארגונית:

1. השיטה להנעת יוזמות לשיפור רווחיות, צמיחה או תפוקות בארגון.
2. שיטת התיקוף של יוזמות בארגון.
3. אופן תיעדוף יוזמות.
4. ניהול סיכונים הכרוכים ביוזמות.
5. מעקב אחר התקדמות יוזמות והשגת יעדיהן.

לסיכום

מבקרים פנימיים יכולים לתרום רבות לארגון בשיפור רווחיותו, ביסוס צמיחתו, או שיפור תפוקות מרכזיות.

המפתח לתרומתם הינו הוספת נושאים המכוונים באופן ישיר להשגת מטרות אלה, מעבר לנושאי הציות.

נושאים אלו יכולים להתייחס להזדמנויות נקודתיות או לתהליך המעורר ומקדם הזדמנויות כאלה.

The post נושאי ביקורת לשיפור רווחיות והגדלת תפוקות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.