המשבר הציף שאלות וסוגיות באשר למקומה של הביקורת הפנימית בעת חירום, ובאשר למעמדו של המבקר הפנימי כשומר האינטרס הציבורי. כמו כן, המשבר אילץ את המבקרים הפנימיים והממונים עליהם לבחון מחדש את אופי פעילות הביקורת הפנימית בשגרה ובחירום.

מצד אחד, בתקופה זו נוצר איום להשבתת פעילות הביקורת הפנימית במקרי משבר. מצד שני, נוצרה הזדמנות לפעול לחיזוק הביקורת הפנימית ולעיגון פעילותה בעיתות שגרה וחירום.

• רקע

בפברואר 2020 החל להתפשט נגיף הקורונה בישראל. ממשלת ישראל, באמצעות משרד הבריאות, העבירה הנחיות עיתיות להתמודדות עם הנגיף ולמניעת התפשטותו – כאשר בין היתר הוטלו מגבלות על פתיחת עסקים, על התקהלות אנשים ועוד.

ב-22.3.2020 הותקנו תקנות שעת חירום (הגבלת מספר העובדים במקום עבודה לשם צמצום התפשטות נגיף הקורונה החדש), תש"ף-2020, להגבלת מספר העובדים במקום עבודה, ולהנחיית אופן ההתנהלות במשרדים ממשלתיים ומעסיקים שאינם משרד ממשלתי העומדים בכללים למניעת התפשטות נגיף קורונה.

במרבית משרדי הממשלה ויחידות הסמך, רוב העובדים (לרבות המבקרים הפנימיים ועובדי הביקורת) הוגדרו "לא חיוניים" לתפקודם הרצוף של משרדי הממשלה והוצאו לחופשה כפויה/מרוכזת.

• מסגרת חוקית

הביקורת הפנימית פועלת במשרדי הממשלה מכוח חוק הביקורת הפנימית התשנ"ב-1992, וכן על פי הנחיות נציב שירות המדינה שבהן הוגדר ייעודה כדלקמן: "…לביקורת הפנימית שני היבטים עיקריים: האחד – כלי ניהולי הנועד לסייע להנהלת הארגון בשיפור ובייעול עבודתו. השני – שמירת האינטרס הציבורי, והיותה חלק ממערך הגורמים הקיימים בארגון לבדיקת תקינות הגוף המבוקר".

אם כן, נראה כי שני ההיבטים המתוארים לעיל (היותה של הביקורת כלי ניהולי ושומרת האינטרס הציבורי), הנכונים בעת שגרה, מקבלים משנה תוקף בעת חירום. הסיבה לכך היא שבתקופת משבר הארגון עובר מהתנהלות לפי נהלים שבשגרה להתנהלות שונה שבה עלולים לנקוט "קיצורי דרך", והפוטנציאל לסיכונים שונים עולה בצורה משמעותית כשמתקבלות החלטות שעלולות להיות קריטיות לארגון. כמו כן, ישנה חשיבות לרציפות התפקודית של הארגון, שהביקורת מהווה חלק בלתי נפרד ממנו.

על אף האמור, במשבר הקורונה מצאה עצמה הביקורת הפנימית בחלק ממשרדי הממשלה "מחוץ למשחק".

• הביקורת הפנימית במשרדי הממשלה בעת הקורונה

בנימה אישית אציין כי ביום בהיר אחד, בתחילת תקופת הקורונה, מצאתי את עצמי, המבקרת הפנימית במשרד להגנת הסביבה, בחופשה בבית, כמו גם כל צוות האגף. וידוי קטן – ביומיים הראשונים חשבתי לעצמי שזו החלטה סבירה בהתחשב בנסיבות (רק 30% הוגדרו כחיוניים לתפקוד הרציף של המשרד) ושאולי מקומו של המבקר הפנימי בעת הזו הוא לא בחזית החירום. אל דאגה…. זה עבר לי… משיחות שקיימתי הבנתי שכמחצית מהקולגות שלי במשרדים האחרים (ולעיתים אף חלק מעובדיהם) המשיכו לעבוד. יצוין כי גם במהלך "החופשה" המשכתי לקחת חלק בישיבות ההנהלה המקוונות ולראות את עצמי כמחויבת למשימות שבאחרותי. בשלב זה הגעתי למסקנה כי זו שעת כושר לפעול לחיזוק מעמד הביקורת ולעיגון פעילותה בזמן חירום.

מבדיקה שנערכה עם נציבות שירות המדינה, עלה כי בתקופת הקורונה רק כ-50% מהמבקרים הפנימיים במשרדי הממשלה וביחידות הסמך הוגדרו כחיוניים והיתר הוצאו לחופשה. לעומת זאת, בשלטון המקומי יצאה הנחיה שקבעה בין היתר כי המבקר הפנימי נמנה על בעלי תפקידים סטטוטוריים חיוניים (ללא שיקול דעת בדבר אי העסקתם).

• דפוסי פעילות של הביקורת הפנימית בתקופת משבר הקורונה

בעת חירום, פעילות הביקורת הפנימית יכולה להתנהל במנעד רחב של סוגי פעילויות: החל מהמשך "עסקים כרגיל", דרך התמקדות בנושאי חירום, ועד עצירת פעילות מוחלטת. בשיחות עם מבקרים פנימיים בזמן המשבר ולאחר החזרה לשגרה, התברר כי הייתה שונות רבה באשר לאופי פעילותם. השונות הזאת באה לידי ביטוי בתרשים הבא:

• תובנות

בעת חירום, נדרשים ארגונים (לרבות משרדי הממשלה) לשנות את אופי פעילותם. בדרך כלל שינויים אלו יאופיינו בחריגה מנהלים שבשגרה, "קיצורי דרך" וקבלת החלטות שעלולות להיות בעלות השלכות משמעותיות לארגון לאורך זמן. התנהלות מעין זו טומנת בתוכה פוטנציאל מהותי להתממשות סיכונים ולחריגה מכללי מינהל תקין. על כן, דווקא בעת הזו ישנה חשיבות מיוחדת לכך שהביקורת הפנימית תמשיך בפעילותה, ובין היתר תלווה את הליכי קבלת ההחלטות.

לכל אחד מאופני הפעולה שצוינו למעלה יש יתרונות וחסרונות. ניתן לנתח את פעולת הביקורת הפנימית במשרדי הממשלה בתקופת החירום באמצעות מודל ה-SWOT:

לגישתי, אל לביקורת הפנימית לשבת בחיבוק ידיים, אלא עליה לפעול במהירות לאיתור המוקדים שבהם תוכל להשפיע במסגרת תפקידי הביקורת והייעוץ. בהתאם, על הביקורת לפנות באופן אקטיבי לממונה ולהציע מיוזמתה לעדכן את תוכנית העבודה כך שתבצע ביקורות שישיאו ערך לארגון בנושא החירום. עם זאת, מומלץ שהביקורת תימנע מיציאה מגדרי תפקידה ולא תיכנס לנעליים של בעלי תפקידים ביצועיים, גם אם מבחינת הארגון הדבר נראה נדרש באותו הרגע.

• פנינו לאן?

מתוך הכרה בחשיבות המשך פעילות הביקורת הפנימית בשעת חירום, וכחלק ממגמה כללית של חיזוק הביקורת בשירות המדינה, הוחלט לפנות לגורמים הרלוונטיים כדי לעגן את פעילות הביקורת במשרדי הממשלה בזמן חירום. ואכן, נשלחה פנייה מטעם מרבית מבקרי משרדי הממשלה ויחידות הסמך כי תצא הנחיה הקובעת כי המבקרים הפנימיים בממשלה יוגדרו כחיוניים בעת חירום.

נוסף על כך, מסקר מצומצם שנערך בתחילת חודש מאי 2020 בקרב מבקרים פנימיים ראשיים במשרדי ממשלה, נמצא כי ברוב משרדי הממשלה שנסקרו לא קיימים נהלים או הוראות לפעילות הביקורת הפנימית בעת חירום. על כן, מוצע גם שכל מבקר פנימי במשרדו, בשיתוף עם המנכ"ל, ידאג להכנת "תוכנית עבודה לביקורת הפנימית בעת חירום" שתתווה את עיקרי הפעילויות ואת שיטות העבודה בחירום. כפי שצוין בסעיף ד', ישנו מנעד רחב לאפשרויות פעילות המבקר הפנימי, בהתאם לנסיבות מצב החירום (ביטחוני, רפואי, אסון טבע וכו') ולאופיו של הארגון, כגון המשך "עסקים כרגיל", טיפול בתלונות ציבור, ביקורת בשעת חירום, ביקורת מרחוק, ליווי וייעוץ, ותצפית על התנהלות הארגון. כמו כן, בסיום תקופת החירום, מומלץ לבצע (בשיתוף המנכ"ל) חשיבה מחודשת באשר לתוכנית העבודה המקורית ולהתמקד בנושאי "פוסט קורונה" שעל הפרק.

תקופת חירום, שבה ייקח המבקר הפנימי חלק פעיל כמבקר וכיועץ, תמחיש להנהלת הארגון את היתרונות הגלומים בהסתייעות בביקורות בעיתות חירום ושגרה, תמצב את המבקר כגורם חיוני ורלוונטי, ותתרום באופן ישיר לחיזוק מעמדה של הביקורת הפנימית בארגון.

ובנימה זו תמיד יש לזכור כי "אם לתקן הכול אין הזמן מספיק, אך כל תיקון ממעט את החיסרון" ("המלביש", ש"י עגנון)

The post הביקורת הפנימית במשרדי הממשלה בעת חירום – מחוץ למשחק? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

תקופות של שיבוש (Disruption) מחייבות אותנו, המבקרים הפנימיים, לסגל סדרי עדיפויות חדשים יותר מתמיד, להתאים את עצמנו ואפילו להוביל מהלכי ניהול חדשניים, ודאי נוכח ההגבלות והצרכים העסקיים המשתנים במהירות.

אז נכון, מבקרים פנימיים הם אוכלוסייה שניחנת בלא מעט כישורי ניהול וכישורים רכים, ורובנו מסתגלים במהירות לשינויים וחידושים, אבל האם אנחנו יודעים לנהל נכון את העובדים שלנו מרחוק? האם אנחנו באמת בעלי הכישורים הנדרשים לצורך 'ניהול היברידי' (ניהול עובדים On-Site לצד עובדים מרחוק)?

מעבר פתאומי של צוותים הרגילים לעבוד יחד, בצמידות, תוך הפריה, התייעצות והווי חברתי, לעבודה מרחוק, שלא לומר עבודה בריחוק (מלא או חלקי), יכולה לפגוע קשות בלכידות ולהביא לאי יעילות ואפילו לכשלים במישור המקצועי אם לא נסגל הרגלי פיקוח ובקרה מתאימים לעבודה במודל החדש.

בכתובים הבאים נשתף בתובנות שהגענו אליהן בתקופה האחרונה הנוגעות ליישום ולניהול מיטבי של עבודה מרחוק, מוטיב מרכזי ב-New Normal שאליו כולנו מתרגלים בימים טרופים אלו.

1. שינוי תפיסה – מדוד תפוקות ותוצרים במקום שעות עבודה

ניהול עובדים מרחוק או 'ניהול היברידי' הוכיח לנו במהירות כי השינוי הראשון שעלינו לעשות הוא לא בטכנולוגיות שבהן אנו משתמשים, לא בשעות העבודה, לא בצורת התקשורת בין הצוותים ועם המבוקרים, אלא לעשות שינוי תפיסתי, וזה השינוי הקשה ביותר.

הבנו שלא נוכל יותר למדוד ולהעריך את העובדים לפי מדדי תשומות (כגון היקף שעות העבודה או מספר השעות הנוספות), אלא לפי מדדי תפוקות. תפסנו כי כאשר העובדים לא לצידנו ומפריד בינינו הרבה יותר מקיר משותף, עלינו להבטיח יותר מתמיד שהם יוכלו לספק את התוצרים באיכות ובלוחות הזמנים הנדרשים, וכמובן תוך שמירה על כל הכללים המקצועיים.

חשוב לציין כי שינוי התפיסה תקף גם במצב עבודה רגיל, כלומר בעבודה פיזית משרדית, ולא רק במצב של עבודה מרחוק, אולם למדנו כי שינוי אופי העבודה אילץ אותנו לאמץ תפיסה זו באבחה אחת.

שינוי תפיסה זה מתיישב עם תורת ה-"Lean Auditing", המביאה אותנו לחשוב על התפוקות ועל הדיוק של התוצרים, ולא על התשומות שהשקענו.

2. אימוץ שיטות ניהול חדשות ומתקדמות – בניית סידור עבודה

שינוי התפיסה והמעבר לאופי עבודה שונה מחייב שינוי בשיטות הפיקוח והניטור, כך שגם הוא יהיה מבוסס על מדידת תפוקות, וכפועל יוצא מתחייב שינוי בשגרות התכנון של המשימות השונות בביקורת ושל המעקב אחר ביצוען.

ככל שמדובר בעבודה מרחוק של חלק ניכר מהצוות או בחלק ניכר מהזמן, הבסיס לפיקוח וניטור אפקטיביים הוא תכנון מראש של משימות ותפוקות (ולא רק של נושאי הביקורת ולוחות הזמנים להשלמתם). לכן מומלץ להכין 'סידור עבודה צוותי' שיכלול משימות ברורות לכל אחד מהעובדים, תוך התייחסות לרכיבים הבאים:

(גם פה חשוב לציין כי שיטות ניהול ממוקדות תפוקות רלוונטיות גם במצב עבודה רגיל)

1. המשימות לביצוע ברמה יומית לפרק זמן של השבוע הקרוב, המשאבים הסבירים לכל משימה (שעות העבודה) וכן התפוקות או התוצרים של כל משימה, בדגש על כאלו הניתנים לכימות ולמדידה.
2. היקף התשומות הניהוליות שחברי הצוות יצטרכו על מנת להתקדם בעבודתם (שיחה עם המנהל, בדיקת תוצר ביניים לפני שיוכל להתקדם הלאה וכו').
3. זיהוי המשימות שתלויות במבוקר (צריך לקבל חומר או לשוחח עימו כדי שיוכל להתקדם בעבודה או שהוא יכול להתקדם על סמך החומר שקיים ברשותו).

ההבנה של 'הצמתים' הללו חשובה על מנת לזהות מראש היכן יכולה העבודה 'להיתקע'. כך לדוגמה: חשוב לתכנן בצורה נכונה את המשימות כך שלא ייווצר יום שבו כל חברי הצוות תלויים בפידבק מהמנהל בטרם יוכלו להתקדם בעבודה, כלומר להימנע מ"צווארי בקבוק", אלא לבזר את הצורך במשאבי הניהול על פני כל השבוע, ולהבטיח עבודה רציפה או יכולת התקדמות של חבר הצוות במשימות אחרות.

לצד תכנון נאות, ודאי שנדרשים גם ניטור ופיקוח הולמים. לכן חשוב לקבל מהעובדים משוב מהיר על העבודה שבוצעה: מה מתוך המשימות והתוצרים שתוכננו בוצעו בפועל, והאם זה קרה באיכות המצופה ובתשומות שהוגדרו לשם כך. על בסיס זאת יש לעדכן את תוכנית העבודה לימים הקרובים, ובמידת הצורך לנייד מטלות לעובדים אחרים.

3. שינוי שיטת תקשורת בין-אישית – זה שהעובד לא נמצא איתנו פיזית, לא אומר שלא יהיה 'סמול-טוק'

הימים הראשונים של ניהול מרחוק, ודאי של 'ניהול היברידי', הביאו את המנהלים לעומס מחשבות – איך מצליחים לשמור על קשר עם כולם בעולם וירטואלי? איך מגלים התעניינות דרך מסך ה-ZOOM, במיוחד כשלשיחה שותפים כל חברי הצוות? איך אני שומר על 'הטון הניהולי האישי' גם בתקופות שבהן לא פגשתי את העובדים שלי במשך שבועות רצופים?

במצבים כאלו, ומכיוון שכנראה עבודה מרחוק היא מגמה שתימשך גם בעתיד (בגלל משבר הקורונה או בגלל שינוי בהרגלי העבודה), עלינו כמנהלים לאמץ שיטות תקשורת ולכידות חדשניות. המנהלים והצוותים צריכים להיות מודעים יותר לצורך להישאר עמיתים טובים (חברותיים, אדיבים, משתפים בידע) כדי להבטיח שהצוות ירגיש בטוח ויוכל להיתרם ולתרום גם מרחוק, ולפחות באותה המידה שזה בא לידי ביטוי בעבודה מקרוב.

שיטות אלו יכולות לכלול שיחות צוות בתחילתו יום או בסופו, שבמסגרתן דנים במטלות שיש לכל אחד מהעובדים, שיתוף צוותי לגבי אתגרים וקושיות מקצועיות שעלו אצל עובדים והם מעוניינים לשתף ולהתייעץ, ושיחות הווי כלליות לגבי העבודה מול המבוקרים. ניתן גם לקיים שיחות שבועיות של 'הווי צוותי', דוגמתHappy Thursday  או Happy Hour או 'הרצאת אורח שבועית' בשיחות וידאו.

חשוב לזכור שמשבר הקורונה האיץ את השימוש בכלים טכנולוגיים ידידותיים שהצוותים יכולים לעשות בהם שימוש (ZOOM, Face-Time, Skype, Teams ועוד רבים אחרים).

4. הגדרה מחדש של מסגרת העבודה – כבר לא 08:00 עד 17:00

אין ספק שעבודה מהבית מטשטשת את הקווים שבין החיים המקצועיים לבין החיים האישיים ולמעשה כל ה-Work-Life Balance מתערער. לא פעם חברי הצוות מרגישים לחץ נוסף בעבודה מרחוק בשל הרושם שהם מותירים בפני מי שחווה אותם עובד מרחוק (הנראות שלהם בווידאו), בשל סביבת העבודה הביתית שלהם, בשל הפרעות מצד ילדים או מצד בני משפחה שחולקים את אותה סביבת עבודה ועוד. שעות העבודה עוברות גם הן שיבוש (Disruption), ולא מעט מאיתנו מצאו עצמם מתלבטים לגבי מסגרת שעות העבודה שאנו מצפים לה מעובד.

כמנהלים עלינו להיות ערים למגבלות ולעודד את חברי הצוות לשתף אותנו בקשיים שהם חווים כדי שנוכל לסייע במציאת פתרונות, אך מנגד עלינו להציב גבולות משלנו, או לכל הפחות לערוך תיאום ציפיות מלא באשר למסגרת שעות העבודה וזמינות הצוות.

לא משנה מה תהיה ההחלטה הניהולית לגבי שעות העבודה הנורמטיביות בעבודה מרחוק, שיכולות להיות פרטניות ביחס לכל אחד מחברי הצוות, חשוב לייצר מסגרת שעות חופפת בין המנהלים לבין הצוות, כך שתישמר מסגרת יום עבודה שבו כולם יתבקשו להיות זמינים וחברי הצוות יוכלו לפנות אל המנהלים והקולגות בשאלות והתייעצות, כפי שקורה גם בעבודה מהמשרד.

גם אם בשל האילוצים האישיים של כל עובד ישנה שונות בשעות העבודה, בטח כאשר אין מסגרות חינוך או מסגרות פורמליות אחרות מסודרות, חשוב להבטיח שלכל הפחות תהיה מסגרת עבודה חופפת של מספר שעות עבודה בודדות ביום.

5. סביבת העבודה ואבטחת המידע – לא לכולם יש חדר עבודה מדוגם בבית…

בעבודה מרחוק אין לנו, המנהלים, יכולת להבטיח סביבת עבודה ותנאים פיזיים הולמים עבור כל אחד מהעובדים שלנו.  "אין לי תשתית אינטרנט טובה בבית", "אין לי היכן לעבוד, הילדים רצים לי מול העיניים", "אין לי מצלמת וידאו במחשב ולא ניתן להשיג בחנויות", "מסך המחשב הנייד שלי קטן מדי", הם רק חלק מהמשפטים ששמענו בימים הראשונים של הסגר שהוטל בעקבות נגיף הקורונה, ומצאנו את עצמנו מטפלים ב'בעיות ת"ש' שהעלו העובדים.

על רקע סיכוני סייבר ואבטחת מידע, חשוב מאוד להבטיח כי ברשות העובד מרחוק יהיו כל התנאים הסביבתיים והטכנולוגיים הנדרשים על מנת לקיים עבודה רציפה, איכותית ומאובטחת, כמעט כמו במשרדים. לכן יש לוודא עם העובדים מרחוק שברשותם תקשורת אינטרנט בטוחה, טובה ורציפה, סביבה פיזית המאפשרת ריכוז וללא הסחות דעת, ציוד היקפי הולם וכו'. כמו כן, על הארגון להיערך כיאות בהיבטי אספקת ציוד היקפי ופתרונות טכנולוגיים, וכמובן שעלינו גם להגביר את מודעות העובדים להיבטי אבטחת המידע – להצפין את הכניסה למחשב הפרטי, לא לשמור עליו מידע, לא להשליך טיוטות וניירות עבודה לפח הביתי וכו'.

6. עיגון העקרונות לעבודה מרחוק ונוהלי העבודה במסמך ברור – תורה שבכתב ולא שבעל-פה

אחת מהתובנות החשובות ביותר היא שלא משנה אילו שגרות תסגלו לעצמכם כמנהלים בעידן של 'עבודה מרחוק' או 'עבודה היברידית', תדאגו שהדברים יהיו נהירים וידועים לכל הגורמים הרלוונטיים (העובדים והמנהלים כאחד).

צוותים שרק לאחרונה עברו למצב של עבודה מרחוק עומדים בפני אתגרים חדשים שעשויים לערער את נורמות העבודה והתקשרות של הצוות, את טיפוח המורל ואת הרגשת השייכות והחונכות. הגדרות לא ברורות דיין של המצופה מהמנהלים ומהעובדים בעת עבודה מרחוק יחריפו את התחושות הללו ויגבירו את אי הוודאות.

אנחנו כמבקרים פנימיים בוחנים כמעט בכל מטלת ביקורת את קיומם של מדיניות ונהלים ברורים והולמים לנסיבות העניין. 'נאה דורש, נאה מקיים' – עגנו כתורה שבכתב את העקרונות ושגרות העבודה והניהול המצופות בעת עבודה מרחוק. הקפידו שתורה זו תנוסח בצורה ברורה ובשפה פשוטה על גבי מסמך מדיניות או נוהל עבודה. מומלץ שמסמך המדיניות או הנוהל יתייחסו גם להיבטים שאליהם התייחסנו במאמר זה.

להלן ריכוז עקרונות ו'טיפים' לעבודה מרחוק ולניהול מרחוק:

לסיכום,

אין ספק שעבודה מרחוק לעולם לא תהיה זהה לעבודה מקרוב, מה שעבד במסגרת המשרד לא תמיד יעבוד מרחוק. לצד זאת, ברור לנו כיום שלא כל האמצעים והשגרות של עבודה במשרד הם הכרחיים, ולא אחת גם גילינו שעבודה מרחוק או עבודה היברידית מביאה להתייעלות בעבודה.

במאמר זה ביקשנו לשתף מהניסיון שנצבר ומהתובנות שאליהן הגענו תחת ההבנה שאין פתרון קסם לניהול אפקטיבי של עבודה מרחוק. המפתח להצלחה הוא 'לעבוד לאחור' – להגדיר בבירור את התוצאות שהיינו רגילים אליהן או ציפינו להן בעבודה במשרד, ולגבש את מתכונת העבודה שתבטיח שגם בעבודה מרחוק נגיע לאותן התוצאות (או לתוצאות טובות יותר…).

The post כיצד ליישם ולנהל עבודה מרחוק בצורה נכונה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

(אלברט איינשטיין)

שיבוש מוגדר כ"קלקול, הפרעה, תקלה". לעיתים המונח מופיע כ"חדשנות משבשת" – המובילה ליצירת שוק חדש ובמקביל גורמת לשיבוש השוק הקיים (המסורתי) שלא נערך בהתאם.

לדוגמה: שיבוש הקורונה האיץ את הצורך בתקשורת מרחוק. למשל, טכנולוגיית ה-ZOOM מיושמת בכל עסק ובכל בית ואין ילד שהמילה הזאת אינה שגורה בפיו. השימוש הנרחב בכלי הזה, שלמעשה נכפה על הארגונים, תרם להמשכיות עסקית, לחיסכון ולהתייעלות. קיום ישיבות רבות משתתפים באמצעות ה-zoom מאפשר לצפות במצגות ובמקביל לנהל דיון פורה עם המשתתפים. הוא חוסך זמן ועלויות ניכרות של נסיעות בארץ ולחו"ל, ומאפשר למנהלים ולעובדים לנצל את הזמן הזה למשימות אחרות.

הקורונה החלה והעצימה שיבושים וסיכונים רפואיים-ויראליים, אך במהרה הפכה ל"סופה" של שיבושים. בין השאר היו שיבושים מדיניים, פוליטיים, טכנולוגיים, כלכליים, רגולטוריים, חברתיים, תעסוקתיים, תקשורתיים ועוד. במציאות של הכפר הגלובלי, "משק כנפי הפרפר" בסין אכן יצר טורנדו כלל עולמי.

המסקנה המערכתית: אנו בדור של שיבושים, לא חשוב מה שמם. יש להסתגל לכך ששיבושים ובהם שיבושים חיוביים (כמו פריצות דרך טכנולוגיות) הם מנת חלקנו השוטפת – היום, מחר, מחרתיים.

דוגמאות לשיבושים טכנולוגיים ולחדשנות בהווה ובעתיד הקרוב: מכוניות אוטונומיות, בינה מלאכותית, שימוש נרחב יותר בלוויינים וברחפנים, רפואה מרחוק, עבודה והוראה מרחוק, והגברת עוצמת הבינה המלאכותית, ומול כל זה עולים הסיכונים של אובדן פרטיות וכדומה.

פועל יוצא – אופן ניהול העסקים שהכרנו לא ישמש אותנו לאורך זמן. הארגונים השונים צריכים להדביק את קצב השינויים (ולא רק העסקיים) על מנת להישאר רלוונטיים. ארגונים שאינם מתחדשים עתידים לקרוס (כפי שקרה לקודאק), כאשר יזמים חדשים או קיימים יבינו איך לשפר ולפתח טכנולוגיות או עסקים יעילים יותר, המשרתים טווח רחב יותר של לקוחות. לפי מחקר שפרסם בית הספר למינהל עסקים אולין (,(Washington DC 40 חברות מרשימת ה-Fortune 500 ייעלמו בעשור הקרוב או יעברו טרנספורמציה משמעותית.

במאמר זה נציג את השפעת ה"שיבושים" על המבקר הפנימי, שצריך להמשיך לעשות את הביקורת בהתאם להוראות החוק והתקנים, אולם בפורמט חדשני, מהיר, זריז וגמיש, ובצורה ההולמת את המציאות של שיבושים חוזרים ונשנים. במילים אחרות: לשלב בין מודלים חדשים לביצוע ביקורת ואופן הצגתה, לבין הטכנולוגיה, המשאבים והמתודולוגיות, כדי לייצר ערך ולהישאר רלוונטיים בעולם משתנה.

שיבוש גורם לך להרגיש משותק, כאילו הקרקע מתחת לרגליך נשמטת, אתה מחפש פתרון מוכר מהארסנל שבתודעתך, אבל לא חושב באופן יצירתי איך להתמודד עם הסיטואציה שנוצרה בעקבות השיבוש. במצבים כאלו יש לנסות לאלתר, לצאת מהקיפאון ולהפוך את החיסרון ליתרון. אורית וולף בהרצאתה "להמציא את עצמנו מחדש" הציגה סרטון על כנר שבאמצע הקונצרט התמודד עם "שיבוש": צלצול טלפון מהקהל. ה"שיבוש" גרם לכָּנר לצאת מריכוז לכמה שניות ואז הוא החל לנגן את הנעימה של צלצול הטלפון. הקהל פרץ בצחוק, וכך הפך את השיבוש הרגעי ליתרון.

והנמשל בהקשר של ביקורת: מבקרים פנימיים צריכים להתעשת במהירות ולמצוא את הדרך להביא ערך מוסף: לערוך השוואות (BENCMARKING) ; להעמיק ב-BEST PRACTICES, לשוחח עם מקבלי החלטות ועם דרגים אחרים, ובאמצעות מידע זה לבחון את ההערכות הארגונית לשיבושים;

ו\או לנתח ולמפות באופן מזוקק סיכונים\שיבושים עתידיים ומהם לגזור מטלות לבדיקה;

ו\או להיכנס לבדיקות בתחום התרבות הארגונית – תחום חדשני הכולל סיכונים שארגונים רבים טרם העריכו את עוצמתם;

ו\או לעזור ולתמוך ולספק תובנה לארגון כיצד הוא יכול לרתום את הכוח המשבש ליתרון ולהביא ערך מוסף.

האתגר: להביא ערך – זווית ראייה שונה, לתת את "הקונטרה" הדרושה בדיונים בדירקטוריון, להעביר תובנות להנהלה דרך ניתוח שונה או ניתוח המוסיף בדבר השלכות הסיכון והמשאבים – תהליכים הדרושים לצמצמו. המטרה – שמקבלי ההחלטות בארגון יוכלו לבחור\לשקול טוב יותר אסטרטגיות להמשך הפעילות העסקית בצורה מושכלת.

מטרת העל מבחינת המבקר הפנימי – להיות מבקר חדשני העוסק לא רק בביקורת מקובלת, אלא לובש דמות של מבקר הצופה פני עתיד ופועל כיועץ באמצעות דוחותיו והמלצותיו.

בסביבת עסקים דינמית, סוגי הסיכונים, הסבירות להתרחשותם ומידת השפעתם, משתנים בתדירות גבוהה. כדי להוסיף ערך, על המבקר הפנימי לספק את תוצרי הביקורת במהירות, בדיוק ובחדות, תוך חדשנות רעיונית ותפעולית.

תובנות, הדגשים והמלצות לשינוי

• עידן הדבקוּת בתוכנית הביקורת השנתית הנוקשה – התערער. כעת הקו המוביל, תחת אישור של ועדת הביקורת, הוא זריזות ונכונות לשינויים מהירים בתוכנית ובביצועה.
• הביקורת המסורתית מפנה את מקומה לביקורת "רזה" (Lean Audit) או לביקורת זריזה-גמישה ((AGILE. זהו תהליך עבודה המאתגר את המבקר שצריך כל העת לשאול את עצמו אם הוא מספק את צורכי הלקוח ונוגע בליבת הבעיות (5-TOP), מתעלם מהטפל ומתמקד בעיקר, ונוקט את השיטה היעילה ביותר תוך חיסכון במשאבים. זהו עידן של התייעלות בלתי מתפשרת. כל עבודה שלא תומכת במדיניות זאת תתבטל מאליה.
• יש לקיים ישיבות, להפיץ שאלונים ולהתייעץ עם בעלי תפקידים האחראים על מעגל הבקרה הראשון (מנהלים ועובדי תפעול), ולאחר מכן עם בעלי התפקידים האחראים על המעגל השני (מנהל סיכונים, מנהל בקרה, מנהל ציות). יש לבצע סיעור מוחות עם כל הגורמים האלה בזמן קצר, דבר שיסייע לספק בהירות בהערכת הסיכונים ויתרום לאפקטיביות הבקרות הקיימות.
• כפועל יוצא, יש להתמקד בתחומים בעייתיים ובסיכונים מהותיים תוך צמצום הכניסה לביקורת באזורים שבהם קו ההגנה השני כבר מוליך לבקרה נאותה ולמציאות של סיכונים לא גבוהים לארגון.
• לבנות תוכנית ביקורת מוכוונת סיכונים ולא בקרות. באופן כזה ניתן לזהות סיכונים חדשים שטרם הוטמעו בגינם בקרות.
• לייעץ להפחתת הסיכונים באמצעות מתן המלצות אופרטיביות שהארגון יכול להכיל.
• להכין תוכנית ביקורת המבוססת על תחומים שבהם יש מקום להתייעלות וחיסכון.
• לדרג נושאים שעלו בסקר ובתוכנית הביקורת, להתמקד בעיקר (5-(TOP ולוותר על הטפל.
• לזהות ולנתח סיבות שורש לכל בעיה מהותית שעולה.

לשפר את אופן הצגת ממצאים בעידן של שיבושים

תמצית מנהלים קצרה וממוקדת היא שם המשחק. מדיניות Less is More"" נכונה לאמור לעיל ונכונה גם לאופן הצגת דוחות הביקורת. הקשב בעידן הזה הוא קצר, ולכן יש למקד את עיקרי הממצאים, סיבת השורש ומתן פתרונות לבעיות בדרך הקצרה והיעילה ביותר להבנה.

שימוש בכלים כמו תרשימי זרימה, גרפים, טבלאות, אלמנטים חזותיים, תמונות מהשטח (יעיל ביותר לכשלי בטיחות), הוא אפקטיבי מאוד להשגת המטרה.

חדשנות בשיטות בדיקה

1. רובוטיקה –Robotic Process Automation ((RPA

אנו חיים בעידן של שינוי. אין לחשוש מזה, אלא לראות בעבודה דיגיטלית כאמצעי עזר ולא איום.

RPA הוא קוד תוכנה המבצע אוטומציה של פעולות/משימות מובנות החוזרות על עצמן, ויודע להשתמש במערכות תוכנה קיימות כדי לנצל את הבקרות הקיימות בחברה.

שימוש מרכזי ב-RPA הוא איסוף ראיות ביקורת על ידי איסוף מידע מנתונים במערכות שונות שאינן משולבות. באמצעות מידע זה ניתן לנתח נתונים במהירות ובקנה מידה גדול כדי לשפר הערכות סיכון או לספק ראיות ביקורת. כמו כן, ניתן להשתמש בכלי זה לצורך ביצוע פעולות מובנות שלא מצריכות הפעלת שיקול דעת (כגון דרישות בסיסיות למתן אשראי ללקוח).

לשימוש ב-RPA לטובת הביקורת הפנימית יש יתרונות לא מעטים:

• ניצול נכון יותר של משאבים – הפניית פעולות פשוטות ל- RPA(כמו בדיקת עמידה בנהלים טכניים) מאפשרת לאנשי הצוות להתמקד בפעילויות מורכבות יותר המצריכות ניתוח וחשיבה מעמיקה, כגון ניתוח סיבות שורש לחריגות שנמצאו, שיפור תהליכים ואינטראקציות בין אישיות.
• הגדלת היקף הביקורת, יעילות וחיסכון – שימוש ב-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון יכול להביא לחיסכון משמעותי בעלויות, וכן לבדיקת אוכלוסייה מלאה במקום מדגם.
• תוצאות הביקורת מדויקות יותר – עם סטנדרטיזציה מובנית של תהליכים, רמת הדיוק באיכות הנתונים הממוחשבים גבוהה יותר מאשר בתהליכים ידניים.
• הגברת תדירות הביקורת – תוכנית הביקורת הנבנית היא מבוססת סיכונים. אם בעבר במקומות שבהם הסיכון נמוך נהגנו לערוך ביקורת בתדירות של אחת לכמה שנים, שימוש ב-RPA יאפשר ביצוע ביקורת בפרקי זמן קצרים יותר, ללא ניצול משאב של זמן או עובד, שבדרך כלל חסר בצוותי ביקורת.

כמובן, יש לתת את הדעת לכך שגם הסיכונים משתנים עם הטמעת RPA   בתהליכי עבודה (כגון סיכונים טכנולוגיים, איבוד ידע, הפרדת תפקידים וכדומה).

1. כניסה משמעותית לתחום הביקורת הרכה –SOFT AUDIT ועימה כניסה לבדיקות בלב התרבות הארגונית.
2. בדיקות לפי מודלים (כמו מודל הבקרה – מודל COSO מודל הבשלות).

סיכום

אנו בפתחו של עידן שבו קצב הגורמים המשבשים רק יואץ. הדבר מחייב חדשנות, יצירתיות וחשיבה שונה בביקורת הפנימית. מַעבר לשימוש בטכנולוגיות מתקדמות כמו אנליטיקס ו-RPA, לצד מתודולוגיות חדשניות בתהליכי הביקורת, כמו ביקורת גמישה, זריזה ותמציתית – המנתחת טוב יותר גורמי סיבות השורש, נוגעת בעיקר ומגבשת המלצות פרגמטיות, קצרות וממוקדות ופתרון מעשי לבעיות – יביאו להעלאת הערך המוסף של המבקר לארגון. מבקר פנימי שיניע שינוי מהותי יחזק את מעמדו כמבקר-יועץ הפועל בזמן אמת ומייצרSECOND OPPINION – זווית ראייה נוספת, שונה וחדשנית.

The post המבקר הפנימי על רקע שיבושים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ככל שמגפת נגיף הקורונה משנה את העולם, כך נאלצים מבקרים פנימיים להתמודד עם אותו עולם בדרכים שונות. אם לפני ההתפרצות עבדו המבקרים הפנימיים בהתאם לאותם כללי התנהגות ואותם תקנים והשתמשו בכלים דומים, כיום יש למבקרים עוד דבר במשותף: הצורך להתאים את עצמם לתנאי סיכון המשתנים בתכיפות.

הקורונה שינתה מן היסוד את פרופילי הסיכון של ארגונים רבים. הביקורת הפנימית צריכה להתאים את עבודתה לשגרה החדשה, ובו-בזמן גם לכייל את תוכנית הביקורת שלה מנקודת מבט על סיכון שונה לחלוטין.

תוכנית העבודה בסכנה

בואו נבדוק את השתלשלות האירועים. לקראת סוף שנת 2019 מבקרים פנימיים רבים כבר התחילו את תהליכי תכנון הביקורות והערכות סיכונים. עד החודשים הראשונים של שנת 2020, רוב מחלקות הביקורת הפנימית ברחבי העולם כבר בנו לפחות את השלד של תוכניות העבודה השנתית שלהם וחלקם כבר הגישו תוכניות פורמליות לוועדות הביקורת ולחברי ההנהלה. בחודשים הראשונים של שנת 2020, חלק מהמבקרים כבר התחילו לבצע את מטלות הביקורת.

הכול השתנה בחודש מרץ, כאשר נגיף הקורונה התחיל להתפשט ברחבי העולם ועסקים חוו את ההשלכות הראשוניות של צעדי הריחוק החברתי. מבחינה תפעולית, ארגונים רבים שינו את אופן התנהלותם העסקית. מבחינת ציות, במהלך ההתפרצות תעשיות שלמות קיבלו הקלות בדרישות הרגולטוריות ודרישות אחרות הושהו.

ככל שצעדים אלה התגברו, מבקרים רבים שינו באופן דרסטי את תוכנית העבודה שלהם. ארגונים נתקלו בשיבושים רבים כל כך עד שכמעט היה בלתי אפשרי לבצע חלק ממטלות הביקורת או שפשוט לא היה טעם לבצען. במסגרת סקר בזק שערך ה-IIA בחודש אפריל 2020, רוב המשיבים דיווחו שעצרו או צמצמו את ההיקף של חלק ממטלות הביקורת, וכמעט מחציתם ביטלו כליל חלק מהמטלות.

ארבעה מתוך עשרה משיבים דיווחו שנאלצו להטיל על צוותי הביקורת משימות שאינן קשורות לביקורת. משיבים אחרים דיווחו על הוצאת צוותי ביקורת לחל"ת, על צמצומי תקציבים שהובילו לעצירת עבודת הביקורת, ועל צוותי ביקורת שמבצעים רק עבודות אדמיניסטרטיביות.

תוכנית עבודת הביקורת הפנימית לאחר מגפה עולמית

תוכנית העבודה לפני המגפה הייתה מבוססת על פרדיגמת הסיכון הישנה. בעולם שלאחר המגפה, על מבקרים פנימיים ראשיים לחשוב אחרת לגבי הסיכונים העומדים בפני ארגוניהם ולבחון איך להקצות מחדש את משאבי הביקורת. להלן מספר שאלות שכדאי שמבקרים פנימיים ראשיים ישאלו במסגרת חשיבה מחדש על תוכניות הביקורת שלהם.

איך נראה המצב הנורמלי החדש בארגון? אפילו ארגונים שנפגעו בצורה מינימלית מהקורונה עוברים שינויים מערכתיים בסביבת הסיכון שלהם (ראו "שאלות למבקרים פנימיים ראשיים" בסוף כתבה זו). נזקים כבדים עלולים להיגרם למוסדות ולמערכות שעליהם נשענים ארגונים רבים, ורגולטורים, מוסדות פיננסיים ושרשראות אספקה עלולים לחוות שיבושים במשך זמן רב. לא מן הנמנע שחלקם לא ישרדו את המשבר.

האם תהליך הערכת הסיכונים שלי מספיק גמיש? השאלה הזו קריטית כאשר מבקרים פנימיים ראשיים מתחילים לקבוע סדרי עדיפויות בעניין הקצאה מחדש של משאבים כדי לטפל ברמות סיכון גבוהות יותר, הן בתחומי סיכון המסורתיים והן בתחומי סיכון חדשים ולא ידועים. הערכות סיכונים חייבות להיות גמישות ומסוגלות לנתח מצבים תוך כדי תנועה, מפני שהדינמיקה של הסיכונים עשויה להשתנות בכל עת בטווח הקרוב. על מבקרים פנימיים ראשיים לבחון תהליכי הערכות סיכונים מסורתיים ולייעל אותם.

האם לצוות שלי עדיין יש את המיומנויות הנדרשות כדי לבצע הערכות סיכונים ותוכניות ביקורת? סביר להניח שבעולם שלאחר המגפה העולמית פרופילי הסיכון ישתנו, ובחלק מהארגונים – באופן דרמטי. מבקרים פנימיים ראשיים צריכים להעריך את כישורי הצוותים שלהם ואת היכולת של מחלקת הביקורת הפנימית לזהות סיכונים ולבצע משימות ביקורת שמתמקדות בסוגים חדשים של סיכונים. עליהם להתייחס לשאלות כגון:

• איך השתנה הצוות במחלקת הביקורת הפנימית?
• האם רמת המקצועיות בקרב העובדים השתנתה והאם חלו שינויים בכישורים?
• האם נדרשים כישורים חדשים כתוצאה מהשינויים בפרופיל הסיכון של הארגון?

האם לצוות שלי עדיין יש דפוס חשיבה אובייקטיבי? זמנים חסרי תקדים דורשים אמצעים חסרי תקדים, ובמהלך מצב החירום מבקרים פנימיים רבים נקראו לבצע מטלות שלעולם לא העלו על דעתם שיבצעו. מבקרים פנימיים ראשיים צריכים לבחון את האובייקטיביות של צוותיהם, ולבדוק אם מבקרים עסקו בפעילויות שלא קשורות לביקורת פנימית בתוך העסק, או שביצעו פעילויות שבמצב נורמלי היו נחשבות כמנוגדות לסטנדרטים המקצועיים.

עולם חדש של סיכונים

העולם שונה עכשיו והסיכונים שונים. על מבקרים פנימיים לכייל את נקודת המבט שלהם על הסיכונים הטבועים העומדים בפני ארגוניהם עכשיו, כשתקופת ההתאוששות מתחילה.

מעבר חד מתקופה לתקופה אינו תופעה חדשה, אך הקורונה מנחיתה פגיעה בקנה מידה גלובלי ובעוצמה חזקה יותר מכל אירוע אחר שחוו רוב המבקרים אי פעם. יכולת התגובה של הביקורת הפנימית היא חיונית לא רק למידת התאוששות הארגונים שמשרתת הביקורת, אלא גם לאופן שבו הביקורת הפנימית מתאימה את עצמה מחדש לצרכים של בעלי העניין שלה.

שאלות למבקרים פנימיים ראשיים

על מנת להעריך את המצב בארגונם במהלך משבר הקורונה, כדאי שמבקרים פנימיים ראשיים ישאלו את השאלות הבאות:

• איך נראית מצבת כוח האדם בארגון כעת? האם בוצעו צמצומים או ארגון מחדש?
• האם בעלי העניין העיקריים השתנו? האם צפויים להיות לנו מבוקרים חדשים?
• האם צמצומים בכוח האדם או ארגון מחדש השפיעו על אופן הביצוע של בקרות פנימיות? האם יש צורך לבחון בעיות חדשות של הפרדת תפקידים או של בקרות שכבר אין מישהו שאחראי עליהן?
• אילו תהליכים השתנו באופן זמני או קבוע?
• אילו מערכות עברו התאמות זמניות או שונו באופן קבוע? האם במהלך ביצוע שינוים אלה בוצעו בקרות IT ראויות? אם לא, מהן ההשלכות לכך?
• אילו בקרות שונו כדי להתאימן למצבים עסקיים או לסיכונים יוצאי דופן?
• האם חלו שינויים בתפקידי מפתח, כגון אובדן של מומחיות בתחום ספציפי או אובדן של מנהלים המובילים תחומים אסטרטגיים?
• האם הארגון שינה את המיקוד האסטרטגי שלו בטווח הקצר או הארוך?
• האם השתנו מבני העלויות?
• האם התרחשו שינויים יסודיים במבני החוב וההון של הארגון? האם חלות אמות מידה פיננסיות חדשות או שונות?
• אילו אתגרים משפטיים או אתגרי ציות עומדים בפני הארגון (חשיפות לתביעות או שינויים בתשתית הציות)?
• האם צמחו הזדמנויות עסקיות חדשות? אם כן, האם זוהו הסיכונים הנלווים?
• האם השתנו יסודות הפעילות של היחידות עסקיות או האסטרטגיה שלהן?
• איך השתנתה הדינמיקה של ההמשכיות העסקית (שינויים בתשתיות מרכזיות, שינויים בלקוחות עיקריים)?
• איך השתנתה הדינמיקה של ניהול סיכונים עסקיים (סיכונים מרכזיים, מדדי סיכונים מרכזיים, תוכניות תגובה, תיאבון סיכון)?
• איך השתנתה הדינמיקה של החוק האמריקאי סרבנס-אוקסלי משנת 2002, לרבות שינויים מול מבקרים חיצוניים, הדינמיקה הרגולטורית, ושינויים בגורמים האחראים על בקרות?

The post הערכת סיכונים בעולם שלאחר מגפה עולמית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

RPA תופס תנופה בעולם העסקי ככלי לאטמט משימות חזרתיות סטנדרטיות המחייבות מינימום של שיקול דעת או חשיבה אנושית. הטכנולוגיה משחררת לאנשים זמן משמעותי לבצע עבודה שהיא בעצם אנושית יותר – משימות המחייבות מידה רבה של מחשבה אינטלקטואלית ואנליטית.

טכנולוגיית RPA בסיסית קיימת כבר כמה עשורים. לדוגמה, סוגים שונים של "מאקרו" בגיליונות אלקטרוניים קיימים זמן רב ומאפשרים למשתמשים לאטמט משימות בסיסיות והקשות בקלידים באמצעות קליק בעכבר. היום, הפיתוחים של בוטים ל-RPA הרבה יותר מתוחכמים. בוטים אינם קשורים למערכת אחת או לבסיס נתונים אחד והם מסוגלים לשלוט בנתונים בלתי מובנים (unstructured data). למשל, בוט יכול "לגרד" מידע מצילום מסך על פי מילת מפתח, צירוף מילים או מיקום של מסך.

היכולות החזקות של טכנולוגיה זו מאפשרות שימוש ב-RPA עבור יישומים רבים, מאיטמוט של התאמות חשבון לביצוע של משימות ביקורת. בהתחשב ביכולות אלו, מחלקת הביקורת הפנימית ב-YRC Worldwide (YRCW), חברת הובלה המתמחה בהובלת מטענים ובשירותים לוגיסטיים עבור חברות שילוח בצפון אמריקה, השיקה תוכנית פיילוט ליישום טכנולוגיית ה-RPA. הפיילוט הצליח ונתן אור ירוק לתוכנית יישום פורמלית ולפריסה של RPA בעתיד.

התנופה לעבר RPA

מחלקת הביקורת הפנימית ב-YRCW מונה 17 עובדים ומחולקת לשתי קבוצות – קבוצה אחת מתמקדת בציות רגולטורי, במתן הבטחה מבוססת סיכון במוקד העורפי ובשירותי ייעוץ; הקבוצה השנייה מתמקדת בציות ובסקירות תפעוליות עבור יותר מ-300 הטרמינלים למטענים ברשת YRCW. פיילוט ה-RPA של מחלקת הביקורת הפנימית התמקד בתחום הביקורת הפנימית עבור הטרמינלים.

לכל אורך הדרך, הנהלת YRCW דרשה דבר אחד מצוות הביקורת הפנימית: לספק כיסוי ביקורת רחב יותר עם אותו מספר עובדים. בלקיחת האתגר הזה על עצמם, ראשי הביקורת, השואפים לחדשנות, יצאו למשימה אסטרטגית – ליצור את "הביקורת הפנימית של העתיד בנושא הטרמינלים". ביקורת פנימית בנושא טרמינל כוללת בדיקות הבטחת איכות (בדיקות ציות) ובדיקות תצפיתיות, במטרה להעניק הבטחת ציות רגולטורי ותפעולי תוך שימוש בתוכניות ביקורת סטנדרטיות כדי לספק מדידה עקבית של ביצועי הטרמינלים למטענים.

למחלקת הביקורת הפנימית של YRCW מוניטין מוכח של גידול שנתי בכיסוי של הביקורת הפנימית. אולם משנה לשנה נעשה קשה יותר לשמור על ההרחבות האלה. מטרת אסטרטגיית "הביקורת של העתיד" היא לא רק להרחיב את הכיסוי של הביקורת, אלא גם להגביר את תרומתה של הביקורת הפנימית על ידי הוספת תכולות לסל השירותים שלה. ראשי הביקורת ראו את הפוטנציאל של RPA בהקשר זה כרכיב חיוני באסטרטגיה של הביקורת הפנימית. איטמוט של חלקים של תוכנית הביקורת הסטנדרטית בנושא הטרמינלים יכול לשחרר משאבים יקרי ערך של צוות הביקורת ולאפשר לו להתמקד בשירותים בהם לביקורת ערך מוסף.

היערכות לאוטומציה

כהכנה ליוזמת "הביקורת של העתיד" ולרכיב ה-RPA שבה, בחנה הנהגת הביקורת הפנימית של YRCW מספר גורמים. בשלב הראשון הם בחנו את היכולות של הצוות, במיוחד המיומנויות הטכנולוגיות והאנליטיות שלו. על אף שכלים של RPA הופכים להיות יותר ויותר ידידותיים למשתמש, כישורים בפיתוח יישומים עשויים לשפר את היכולות של ה-RPA באופן משמעותי. אומנם המבקרים הפנימיים ב-YRCW השתתפו בהשתלמויות כדי לשדרג את הכישורים הטכנולוגיים שלהם במסגרת תוכניות הפיתוח האישיים שלהם, אך הם לא רכשו את הכישורים הרצויים בכתיבת קוד או כאנליסט עסקי כדי לסייע ביישום ה-RPA.

כדי להשיג את הכישורים האלה, הנהגת הביקורת הפנימית הגדירה מחדש משרת אנליסט אחת (שהייתה לא מאוישת באותה עת) והוסיפו לדרישות התפקיד כישורים ב-RPA, שליטה ב-SQL או כישורים אחרים בכתיבת קוד, וניסיון בשיפור תהליכים וכאנליסט עסקי – הכול בנוסף על הרקע הנדרש בביקורת פנימית. למועמד שהתקבל בסוף לתפקיד אומנם לא היה ניסיון ספציפי ב-RPA, אך הרקע והכישורים שלו העידו על עקומת למידה מהירה.

לפני השקת היוזמה, ראשי הביקורת הפנימית היו צריכים להגדיר תפקידים גם עבור חברי הצוות הקיימים. הם הטילו על ראש הפרויקט את המטלות של לימוד העקרונות הבסיסיים של RPA ושל הדרכת יתר חברי הצוות לגבי התכונות העיקריות, הכלים והדרישות. מאמץ זה הוביל ליצירת נייר עמדה שכלל הגדרות של המשימות המתאימות ביותר להעברה ל-RPA, זיהוי הדרישות למשאבים העיקריים, והקביעה אם החזון של ראשי הביקורת הפנימית הוא אכן ריאלי. בנוסף, נייר העמדה הציג תיאור כללי של RPA, מידע על היתרונות הצפויים, אופן הפעולה של RPA, תצורות אפשריות של בוטים, יכולות ושימושים נפוצים, סיכונים, ספקי RPA מובילים וכלים. המסמך תרם לידע הבסיסי של הצוות ולהבנה של היכולות והמגבלות של הטכנולוגיה. ההבנה המשותפת הזו אפשרה לצוות לשתף פעולה באופן אפקטיבי יותר בבניית הנימוקים בעד השימוש ב-RPA לצרכים עסקיים וכן את התוכנית ליישום היוזמה.

הוכחת היתכנות

מצויד במחקר המוצג בנייר העמדה, צוות הביקורת הפנימית החל לעבוד על הוכחת היתכנות כדי לקבוע את הערך הפוטנציאלי של ה-RPA בכל הנוגע לתוכנית הביקורת בנושא הטרמינלים. התהליך כלל את קביעת השלבים המתאימים להמרה ל-RPA והצגת תחומי ההתייעלות הפוטנציאליים. הצוות זיהה שלבים הכוללים בדיקות הבטחת איכות של המערכת ובדיקות אחרות הקשורות למערכת מול שלבים תצפיתיים שלא יהיו מתאימים לאוטומציה.

בנוסף, חברי הצוות בנו אומדן של רמת המאמץ הנוכחית הנדרשת כדי להשלים את שלבי הביקורת, ודירגו את השלבים בהתאם דרגות קושי – קל, ממוצע או קשה. שלבים שהוגדרו כממוצע או קשה לביצוע סומנו כמועמדים פוטנציאליים להעברה ל-RPA. שלבים הקשורים לעסקאות או שלבים המחייבים את המבקר להיכנס למספר מערכות סומנו כמועמדים האופטימליים להעברה ל-RPA. ככל שהשלב הוגדר כקשה יותר לביצוע וכצורך יותר זמן, כך הוא סומן כמועמד טוב יותר ל-RPA. הניתוח – שהציג תמונה של החיסכון בזמן הפוטנציאלי שניתן לכימות – אישר בסופו של דבר שיש ל-RPA את הפוטנציאל להגדיל באופן משמעותי את היעילות של ביקורת פנימית בנושא טרמינלים. הניתוחים והדיונים המשותפים בתהליך הוכחת ההיתכנות נתנו אור ירוק להמשיך לתוכנית קידום הפרויקט ולפיתוח תוכנית פיילוט.

קידום יוזמת ה-RPA

מצויד בהוכחת ההיתכנות, ראשי הביקורת התחילו לקדם את יוזמת ה-RPA בקרב בעלי העניין העיקריים. קידום היוזמה היה שלב חשוב, מאחר שמשאבי הזמן הנדרשים כדי ליישם RPA באופן מלא עלולים להשפיע על כיסוי הביקורת בטווח הקצר ולחייב השקעות פיננסיות בהמשך.

בעלי העניין העיקריים במאמץ קידום היוזמה כללו את היררכיית הדיווח של הביקורת הפנימית (כלומר ועדת הביקורת וסמנכ"ל הכספים). נוסף על כך, היה חשוב מאוד לקבל תמיכה ממחלקת מערכות המידע ב-YRCW, מפני שהתועלות הצפויות מהטרנספורמציה הזו מחייבות גישה ישירה לנתונים של החברה.

על מנת להשיג את הסכמת ותמיכת בעלי העניין, היה על צוות הביקורת הפנימית לגרום להם להבין הן את התועלות בטווח הארוך והן את השפעות יוזמת ה-RPA בטווח הקצר. מאמצי קידום היוזמה כללו פגישות קצרות כדי להסביר את ה-RPA ויתרונותיו לבעלי העניין. רוב בעלי העניין הכירו את RPA בהקשר של תהליכים עסקיים, אך לא העלו על דעתם את יתרונותיו בהקשר של תהליכי הביקורת הפנימית בנושא טרמינלים. במהלך הפגישות הציג צוות הביקורת הפנימית את התוצאות של הוכחות ההיתכנות ואת הצעת הערך הניתנת להשגה מיישום ה-RPA. מאחר שנייר העמדה והוכחת ההיתכנות הציגו את ערכה של היוזמה בצורה חותכת, קידום היוזמה היה בעצם פעולה פורמלית בלבד ויוזמת ה-RPA קיבלה תמיכה ואישור להתקדם ללא תנאים.

הפיילוט של הבוט

השלב האחרון בהוכחת ההיתכנות כלל פיתוח של בוט כפיילוט. הפיתוח כלל כמה שלבים:

• זיהוי כלי RPA מתאים.
• בחירת שלב בתוכנית הביקורת הפנימית בנושא הטרמינלים כמועמד מתאים ל-RPA.
• פירוט המשימות הנדרשות כדי להשלים את שלב הביקורת.
• פיתוח הלוגיקה של בוט ה-RPA.
• בדיקה, איתור וטיפול בבעיות ושכלול הבוט.
• הדגמת ביצועי הבוט.

המחסום הראשון העומד בפני מחלקות הביקורת הפנימית בבואן להפעיל פיילוט של RPA, הוא בחירת כלי ה-RPA. השכנוע לבצע השקעה פיננסית בכלי שייתכן שלא יוסיף ערך הוא לא דבר של מה בכך, במיוחד עבור מחלקות קטנות של ביקורת פנימית בעלות משאבים פחותים. למרבה המזל, כלי RPA מבוססי אינטרנט זמינים ממספר ספקים המציעים גרסה בסיסית המאפשרת למשתמשים לנסותם בחינם. מחלקת הביקורת הפנימית של YRCW בחרה באפשרות זו עבור הפיילוט שלה. לאחר בחינה והתנסות במספר כלים חינמיים, היא בחרה כלי אחד עם מוניטין מבוסס שנראה כמסוגל להתאים לפיילוט.

הצוות בחר שלב ביקורת בפיילוט שכלל מספר משימות ביקורת ידניות: כניסות למספר מערכות, ניווט למסכי אפליקציה שונים, ליקוט רשימות ושדות נתונים ספציפיים כדי לזהות מדגם של פריטים לבדיקה, וכן ניתוח הנתונים המדגמיים בגיליון אלקטרוני כדי לקבוע את תוצאות הבדיקה. נוסף על כך, בהתחשב בתחומי ההתייעלות המשופרת הצפויה מהבוט, המבקרים יכלו להחליף דגימה שיפוטית בבדיקות של כלל האוכלוסייה.

אחרי שהגדיר את גישת הבדיקה החדשה, צוות הביקורת החל בפיתוח הבוט. התהליך כלל רישום של כל אחת ממשימות הביקורת, שלב אחרי שלב, בכלי ה-RPA. במובנים רבים, הפיתוח היה דומה להגדרות של מאקרו בתוכנת גיליון אלקטרוני – המבקרים לכדו משימות, כגון קליקים בעכבר, הקשות בקלידים, שמות משתמשים וסיסמאות, ואטמטו אותן באמצעות הכלי.

תוצאות הפיילוט

פרויקט הפיילוט הפיק תובנות בעלות ערך רב אודות פיתוח בוטים, כגון המורכבויות בתהליכים שאנשים לוקחים כמובנות מאליהן בעת ביצוע בדיקות. לדוגמה: הצוות הכיר בערך שבגישה ישירה לנתונים לעומת גישה עקיפה המתבצעת באמצעות לכידת מסך. חלק מהשלבים בתהליך פיתוח הבוט כללו השגת גישה למסכי מעבד מרכזי ו"גירוד" הנתונים הנדרשים מהם. אולם מסכי אפליקציה מסוימים מכילים רק תמונות ואין בהם נתונים של ממש (כלומר גרפיקה עבור ממשק המשתמש).

אנשים מסוגלים "לקרוא" תמונות בקלות, אך לכלים של RPA יש יכולות קריאת תמונות ברמות שונות. הבוט של הפיילוט לא הצליח לזהות נתונים המוצגים כתמונה (אינפוגרפיקה), וזה גרם לבעיות בשלב זה של משימות הביקורת. בכל פעם שהבוט נתקל במשימה כזו (זיהוי נתונים בתוך אינפוגרפיקה) הוא נכשל או נתקע, והמצב חייב התערבות ידנית על מנת להשלים את המשימה. כאשר הבוט השיג גישה ישירה לנתונים, הוא הצליח להמשיך בעיבודים של משימות הביקורת עד לסיומם. אולם בעת הפיילוט גישה ישירה לחלק מהנתונים לא היתה אפשרית.

כתוצאה מכך, הפיילוט של הבוט הפיק תוצאות חיוביות אך לא שלמות. משימת הביקורת שנבחרה עבור הפיילוט היא משימה שמבקר יכול להשלים באופן ידני בתוך שעה-שעתיים בדרך כלל. הבוט של הפיילוט השלים את המשימה בערך בתוך דקה – עד לנקודה שבה הוא נתקל באינפוגרפיקה שעצרה את פעולתו. בנקודה זו נדרש המבקר לבצע עיבודים ידניים במשך 20 דקות נוספות.

למרות העבודה הידנית, האוטומציה סיפקה חיסכון משמעותי בזמן. לו קיבלה הביקורת גישה ישירה לנתונים, הבוט היה מצליח להשלים את מלוא שלב הביקורת ביעילות משופרת עוד יותר – בשתי דקות או פחות. גילוי זה הבליט את החיוניות של גישה ישירה לנתונים לצורך פיתוח בוטים לקראת יישום עתידי של ה-RPA. הודות לתמיכה הנוספת שהוענקה על ידי מחלקת מערכות המידע, צוות הביקורת הפנימית השיג בסופו של דבר גישה ישירה לנתונים הנדרשים והשלים את הפיילוט של הבוט.

צוות הביקורת הפנימית ביצע השוואה בין תוצאות העבודה של הבוט לבין תוצאות העבודה הידנית על מנת לוודא תוצאות עקביות. הצוות מצא שתוצאות הפיילוט היו באיכות גבוהה יותר (בדיקה מלאה של אוכלוסייה מול בדיקה מדגמית) וביעילות גבוהה יותר באופן משמעותי (כ-90 שניות מול שעה-שעתיים להשלמת משימת הביקורת).

הדרך קדימה

לאחר תיקוף הפוטנציאל בבוטים להגדלת יעילות הביקורת הפנימית, מחלקת הביקורת הפנימית של YRCW מוכנה להשיק תוכנית פורמלית ליישום ה-RPA. התוכנית מתעדפת משימות ביקורת עבור פיתוח בוטים ותשקול את השלכות ממשל ה-RPA. התוכנית תתייחס להרבה מהשיקולים הנדרשים בכל סביבת פיתוח IT, לרבות סטנדרטים של פיתוח, ניהול שינויים ובדיקות משתמש.

הנהגת הביקורת הפנימית גם תצטרך להחליט על כלי ה-RPA שיהיה מתאים לאחר הפיילוט, ובמידת הצורך לגבש נימוקים עסקיים שיצדיקו ויבטיחו מימון לפרויקט. כמו כן, עליה לשקול כיצד לפרוס מחדש את צוות הביקורת לאחר שהיעילות המשופרת של תהליך ה-RPA יתחיל להבשיל.

כלי שינוי

כמו רוב הכלים הטכנולוגיים, כלי ה-RPA אינו פתרון של one-size-fits-all. מודל היישום שלו ופוטנציאל הערך שלו יהיו שונים בכל ארגון וארגון. בסופו של דבר, הערך שב-RPA הוא באיטמוט של פעילויות סטנדרטיות המבוצעות בתדירות גבוהה. למחלקות ביקורת פנימית שתוכניות הביקורת שלהן מכילות התקשרויות משמעותיות שחוזרות על עצמן להבטחת ציות, תהיה הצדקה טובה יותר ליישום ה-RPA מאשר למחלקות שתוכניותיהן מכילות שיעור גבוה יותר של פרויקטים תפעוליים ושל שירותי ייעוץ. עבור מחלקות ביקורת פנימית שבהן יישום ה-RPA הוא הגיוני – זה יכול להיות game-changer.

מיומנויות בפיתוח בוטים

התחלת השימוש ב-RPA אינה מחייבת מיומנויות מיוחדות. רוב כלי ה-RPA כוללים סוגים של ממשק משתמש גרפי טיפוסיים עם פונקציות של point and click המסייעות למשתמשים מתחילים להתחיל מיד.

כל בעל ניסיון בתוכנות בסיסיות כמו אקסל יכול לפתח בוטים בסיסיים. אולם ידע טכני, כמו כתיבת קוד, יכול להיות שימושי מאוד כשמבקשים לפתח בוט מתוחכם יותר, במיוחד אם יוזמת ה-RPA צפויה להיות מורכבת יותר.

כלים מתקדמים יותר של RPA מאפשרים גם כתיבת קוד בהתאמה אישית באמצעות SQL או בשפות קוד אחרות. אנשים בעלי מומחיות כאנליסט עסקי או בכתיבת קוד יכולים להוסיף ערך משמעותי לפרויקטים לפיתוח בוטים מורכבים.

תחשבו לפני שאתם מבצעים אוטומציה

אין זה רצוי שמבקרים פנימיים יתחילו בפרויקטים לפיתוח בוטים בפזיזות או ללא תכנון ותמיכה ראויים. מחלקות ביקורת פנימית השוקלות יישום של RPA צריכות לקחת בחשבון את הנקודות הבאות:

• יש לבצע הוכחות היתכנות (לרבות פיילוט) כדי לוודא שהמהלך מציע ערך גבוה מספיק ומצדיק את יוזמת ה-RPA.
• אפשר להשתמש בכלים בסיסיים חינמיים ובמיומנות בסיסית כדי להתחיל את הפרויקט, אבל כלים מתקדמים יותר ויכולת כתיבת קוד עשויים להיות חיוניים כדי להשלים את הפרויקט.
• גישה ישירה לנתונים מוסיפה ערך מעריכי.
• שותפות עם מחלקת מערכות המידע או עם מחלקות אחרות המשתמשות ב-RPA מאפשרת לביקורת הפנימית למנף מומחיות בנושאים פנים-ארגוניים ולהקטין את הוצאות הפיתוח.
• האיכות והקיימות של התוכנית מחייבות פיקוח צמוד על ממשל ה-RPA.

“*This article was reprinted with permission from the April 09, 2020 issue of Internal Auditor magazine, published by The Institute of Internal Auditors, Inc., and has been translated from English to Hebrew.”

The post מבקרים פנימיים בחברת הובלת מטענים לוקחים RPA למבחן דרכים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

(הודעה שפרסם מערך הסייבר הלאומי של ישראל בתאריך 23.04.2020)

תקיפת תשתיות מים וביוב, כפי שתוארה בפרסום, בוצעה על מנת לשבש את הספקת המים לצרכנים ואת הקליטה והעיבוד של השפכים. כלומר, התקיפה כוונה כנגד מה שמכונה בשפה המקצועית "טכנולוגיה תפעולית" (TECHNOLOGY OPERATIONAL – OT).

מטרת מאמר זה היא לספק למבקר הפנימי, למנהלי הסיכונים ולהנהלה בארגון, אשנב לסיכונים האפשריים הנובעים מהשימוש ב"טכנולוגיה תפעולית" (OT) בארגונים, וכן להמליץ על כיווני ביקורת כדי לוודא שהרציפות התפקודית של הארגון לא נפגעת.

בהתאם להגדרה שמציע מכון המחקר GARTNER, "טכנולוגיה תפעולית" היא "חומרה ותוכנה אשר מזהות או גורמות לשינוי באמצעות ניטור ו/ או בקרה ישירים על ציוד תעשייתי, נכסים, תהליכים ואירועים".

טכנולוגיה תפעולית כוללת שתי קבוצות משנה עיקריות:

1. מערכות בקרה תעשייתיות (ICS – INDUSTRIAL CONTROL SYSTEMS) מסוגים שונים, שתהליכי הייצור במפעלים תעשייתיים מושתתים עליהם. מערכות אלו משמשות לניטור ובקרה וכן בגופי תשתיות: תחנות כוח, מתקני מים וביוב, תשתיות גז ודלק, מערכות תחבורה, נמלים ועוד.
2. מערכות ניהול לבניין (BMS – BUILDING MANAGEMENT SYSTEMS). מדובר במשפחה רחבה של רשתות ומערכות, כגון מיזוג, תאורה, ביטחון ובטיחות, מעליות ועוד.

משמעות התממשות איומי הסייבר בסביבת ה-OT

ההבדל המהותי בין מערכות ה-IT (Informational Technology) לבין OT הוא בכך שבעוד שהמערכות מהסוג הראשון מאחסנות, מעבדות ומפיצות מידע ברמת ערכיות שונה, מערכות ה-OT מנהלות תהליכים פיזיים.

אירוע סייבר בסביבת ה-IT בדרך כלל עלול לפגוע בסודיות, בשלמות ובזמינות המידע הארגוני ולגרום לנזק כלכלי, תדמיתי ורגולטורי. לעומת זאת, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות חמורות בהרבה. המונחים שבהם נהוג להשתמש בסביבת ה-OT הם יציבות התהליך (RELIABILITY), איכות הייצור, בטיחות העובדים (SAFETY) ונזק סביבתי (מומלץ לעיין במסמך "ניהול סיכוני סייבר בסביבת OT – מדריך לדירקטוריון" שפורסם בחודש מרץ 2020 על ידי מערך הסייבר הלאומי).

פגיעה ביציבות התהליך עלולה לשבש או אפילו להפסיק לחלוטין שירות חיוני, כגון הספקת החשמל (לדוגמה, התקיפה הרוסית בתחנת כוח אוקראינית בשנת 2015). כמו כן, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות בטיחותיות וסביבתיות מחרידות. כך למשל, פקודה לפרוק מכל אמוניה עלולה לגרום למאות הרוגים.

תקיפת סייבר במערכות ניהול של בניין עלולה לגרום לשיבושים תפעוליים משמעותיים. כך לדוגמה, השבתת מערכת מעליות במגדל משרדים תקשה על עובדים ולקוחות להגיע ליעדם. השתלטות על מערכת בקרת כניסה תאפשר לתוקף להכניס גורמים לא מורשים למתחם לצורך פעילות זדונית.

כתוצאה מכך, אם הארגון עושה שימוש בטכנולוגיה תפעולית, המבקר הפנימי בארגון מחויב לוודא שתהליך ניהול הסיכונים בהקשר הזה מתנהל בצורה נאותה.

חולשות הגנת סייבר אופייניות בתחום ה-OT

מערכות בקרה תעשייתית רבות סובלות מחולשות הגנת סייבר חמורות. המשמעותיות שבהן:

1. חלקן פותחו והוטמעו לפני תחילת "עידן הסייבר" ולכן עושות שימוש ברכיבים, בתוכנות ובפרוטוקולי תקשורת שיש בהם חולשות הגנת סייבר מובנות. לדוגמה, פרוטוקול תקשורת נפוץ בסביבת ה-OT הוא MODBUS שפותח בשנת 1979. ניצול החולשות המובנות בפרוטוקול זה מאפשר לתוקף לבצע תקיפה מסוג man-in-the-middle לצורך שיבוש תהליכי הייצור, בעוד שמפעיל המערכת יוזן במידע כוזב בנוגע לתקינות התהליך (לדוגמה: “Man-In-The-Middle Attack Against Modbus TCP illustrated with Wireshark” ,Gabriel Sanchez    SANS Institute).
2. בחלק מרשתות הבקרה חסרה סגמנטציה, כלומר לנוזקה או לתוקף שיצליח לחדור בנקודה כלשהי לרשת יהיה קל להגיע לכל יעד בתוכה (לדוגמה: Top 10 Cybersecurity Vulnerabilities and Threats for Critical Infrastructure and SCADA/ICS).
3. עמדות מפעיל רבות (HMI – Human Machine Interface) עדיין מריצות מערכות הפעלה מיושנות מסוג XP WINDOWS ששדרוגן יגרום לשיבוש פעילות תוכנת הבקרה.
4. מערכות בקרה תעשייתית נועדו במקור לשמש ישויות המופרדות הן מרשת המחשוב הארגונית והן מרשת האינטרנט. במהלך השנים, כתוצאה מצרכים עסקיים ותפעוליים וכחלק מתפיסת המהפכה התעשייתית הרביעית, INDUSTRY 4.0, חוברו רשתות בקרה תעשייתית רבות הן לרשת הארגונית (IT) והן לרשת האינטרנט. עם זאת, לעיתים במערכות בקרה תעשייתיות לא בוצעה הקשחת רכיבים כנדרש (בקרים, מתגים, עמדות מפעיל), וכן לא קיימות יכולות ניטור הרשת (IDS – Intrusion Detection System) או בקרת הגישה לרשת (NOC או NAC).
5. היעדר ממשל OT נאות בארגון. במפעלים רבים, בשונה מהנורמה הקיימת באשר ל-IT, לא קיים מיפוי תהליכי עבודה ונכסים מפורט באשר לסביבת ה-OT, תפעולה ואחזקתה. למשל, לא ברור באילו בקרים ופרוטוקולי תקשורת נעשה שימוש, או לא ידועה הקישוריות הקיימת בין רשתות הבקרה לרשת הארגונית ולאינטרנט. יותר מזה, ייתכן כי הארגון לא מודע לחיבור הספקים לרשתות הייצור שלו לצורך תמיכה וניטור.
6. מודעות הסגל התפעולי וגורמי שרשרת האספקה לסיכוני הסייבר הנלווים לשימוש בטכנולוגיה תפעולית יכולה להיות נמוכה מאוד, מפני שגם אנשי אבטחת המידע בארגון מגבילים את תחום עיסוקם בסביבת ה-IT בלבד.

הבסיס הנורמטיבי להגנת סייבר על מערכות ה-OT

בשנים האחרונות בישראל (ובעולם) חל גידול משמעותי בנפח מעורבות הרגולטור בנושא הגנת הסייבר בתחום ה-OT בארגון. כך, לדוגמה, אגף שוק ההון, ביטוח וחיסכון במשרד האוצר פרסם בשנת 2016 חוזר בנושא ניהול סיכוני סייבר בגופים מוסדיים שבו נכתב: "הערכת הסיכונים תתייחס בין היתר למערכות OT ולסביבות פיתוח ובדיקות, העשויות להכיל מידע רגיש או לגלם חשיפות למערכות הגוף המוסדי כולו".

המשרד לאיכות הסביבה פרסם בינואר 2020 מדריך סייבר בנושא "עמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה". מדריך זה כולל דרישה לניהול נאות של סיכוני הסייבר בסביבת ה-OT ברשימת התנאים לקבלה ותיקוף מחדש של היתר הרעלים.

למשרד האנרגיה ולרשות הממשלתית למים ולביוב קיימים נהלים מחייבים שקובעים סטנדרט הגנה נדרש בנוגע לרשתות הבקרה של יצרני החשמל וספקי המים והביוב.

המלצות לביקורת ניהול סיכוני ה-OT בארגון

כצעד ראשון, יש לקבל הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגון, ובכלל זה:

1. הכרת היקף השימוש של הארגון המבוקר ב-ICS ) Industrial Control Systems) וב-BMS (Building Management Systems).
2. הבנת רמת הקריטיות של התהליכים המנוהלים על ידי המערכות הללו ורמת הסיכון השורשי הגלומה בתהליכים הללו.
3. מיפוי בעלי התפקידים הרלוונטיים לתפעול מערכות אלו ולמנגנוני הגנת הסייבר המוטמעים בהן. מומלץ לברר ולבחון האם קיים ניהול נכסים נאות: מיפוי רכבים ותרשימי רשתות, פירוט קישורים הדדיים וחיצוניים, רשימת גורמי שרשרת אספקה רלוונטיים, רשימת מורשים לגישה מרחוק, נהלים לעדכון רכיבים, הקשחה ועוד.
4. בחינה האם מתקיים תהליך סדור לניהול סיכוני סייבר בסביבת ה-OT, ובחינה האם קיימת תפיסה לניהול אירוע סייבר ברשתות ה-OT ולהתאוששות ממנו. חשוב מאוד לוודא כי תפיסה זו עולה בקנה אחד עם התפיסה הארגונית הכללית להמשכיות עסקית.
5. בחינה האם נערך סקר סיכוני סייבר בסביבת ה-OT, ואם בוצע – נדרש לבדוק מהו סטטוס יישום ההמלצות שעלו בו לשיפור רמת הגנת הסייבר הכוללת בארגון (בדגש על התחומים המשותפים לסביבת ה-IT).
6. בחינה האם סגל התפעול מודע לסיכוני הסייבר האפשריים.

לאחר שלמבקר הפנימי ישנה הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגונו, מומלץ לתכנן ביקורת ייעודית מקיפה בנושא, בדגש על העמידה ברגולציה הרלוונטית. מומלץ להיעזר במתודולוגיות ייעודיות (הנגזרות לרוב מהנחיות המפורטות במדריךNIST Special Publication 800-82 Revision 2"Guide to Industrial Control Systems (ICS) Security") ותשתמש בכלים טכנולוגיים תואמים שחלקם שונים מסביבת ה-IT. כך למשל, בסביבת ה-OT לא מקובל לבצע סריקות רשת אקטיביות, ולכן מנתחים לרוב את הקלטת התעבורה במצב "offline".

לסיכום, מתקפות הסייבר הולכות ומתפתחות גם לטכנולוגיות תפעוליות שמשמשות לניטור ובקרה של תהליכים תפעוליים, תעשייתיים, יצרניים ופיזיים בארגון. לכן על הארגון והמבקר הפנימי להכיר ולזהות את השוני ואת ההשפעות של איומי סייבר על הסביבה הפיזית לעומת סביבות אחרות, לדעת מהם הסיכונים ולהבין איך לנהל אותם ולהתגונן מפניהם.

The post מהם סיכוני OT בארגון, ואיך נדרש לבקר אותם? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתקופה שבה אנו נדרשים יותר מהרגיל להתמקד רק בסיכונים המהותיים, ולצמצם ככל שניתן את מרכיב ההפרעה לפעילות השוטפת של המבוקרים, עלינו להמציא את עצמנו מחדש ולמצוא דרכים להשקיע את משאבי הביקורת בצורה יעילה, דיפרנציאלית, ובאזורים שיגדילו את ערכי התוצרים וההשפעה שלנו בארגון.

כולנו מכירים את הדרך ה"קלאסית" להערכת סביבת הבקרה ובחינת תהליכי עבודה, הנעשית באינטראקציה מול המבוקרים על ידי שימוש בטכניקה של תשאול (שיחות, פגישות ומיילים) ופעילות עצמאית של סקירת חומרים ונתונים. תהליך ביקורת המתבסס ברובו על טכניקה זו עלול לעיתים להקשות על קבלת תמונה מלאה המגובה בעובדות, ואף להסיק מסקנות והערכות העלולות להיתפס כסובייקטיביות.

אז מה אנחנו מציעים?

אחת הדרכים להתמודד עם אתגר זה היא "ירידה לשטח". לא מדובר בשיטה חדשה, אך המטרה היא להגביר את השימוש בטכניקה של "בדיקת ערנות" או בשמה הפחות ידידותי "בדיקת פתע".

אפשר לשלב בדיקת ערנות כמעט בכל ביקורת, ובהמשך המאמר נציג רעיונות ודוגמאות מניסיוננו.

מה נרוויח מזה?

קודם כל, נחזק את היכולת להגיע למסקנות אובייקטיביות. על הדרך, נוכל לאתגר את אפקטיביות הבקרות באופן בלתי ניתן לערעור, נפחית התנגדויות וויכוחים, נצמצם "הפרעה" על ידי הפחתת הבדיקות והאינטראקציה עם המבוקרים, ונקבל תחושת נוחות מתוצרי הבדיקות. אם באמצעות בדיקת ערנות נגיע למסקנה שבקרה מסוימת אינה פועלת כמצופה או אינה פועלת כלל, נוכל לקדם ביעילות את מטרת הביקורת מבחינת הערכת סביבת הבקרה, ולפנות משאבים לבדיקות נוספות. במקביל, ניתן להעביר באופן מיידי למבוקר את תוצאות הבדיקה על מנת שיוכל לטפל בהמלצות בהתאם לרמת החומרה. וכמובן איך אפשר בלי הנהלת הארגון וועדת הביקורת? גם הם מרוויחים מהתהליך, שכן נוכל להציג בפניהן תמונת מצב מוחשית של סביבת הבקרה בנושא הנבדק.

איך זה יתבצע בפועל?

על מנת לבצע את משימת הביקורת בצורה האפקטיבית ביותר ולהעריך את אופן התמודדות הארגון עם הסיכון "בזמן אמת", על המבקר לעבור מספר שלבים:

1. לסקור את הבקרות הקיימות בארגון בתהליך הנבדק.
2. לזהות בקרות חסרות.
3. להגדיר את התרחישים המהותיים שהוא ירצה לבדוק.
4. לבצע בדיקות ערנות לאתגור הבקרות בתרחישים שהוגדרו.

קצת המחשות?

בביקורת בנושא דלף מידע, מטרת הביקורת הייתה לבחון את תהליכי העבודה והבקרות לצמצום סיכוני דלף המידע. בהנחה שהארגון הגדיר סט של בקרות כמענה לתרחישי דלף שונים, משימתנו היא להעריך את אופן התמודדות הארגון עם סיכון זה. בתהליך הקלאסי יסקור המבקר את מדיניות הארגון בנושא, את נוהלי העבודה, תהליכי הגדרת בקרות, תהליכי טיפול בהתראות, תחזוקה שוטפת ועוד. סקירה זו בהחלט עשויה לתרום להסקת המסקנות בנוגע לתהליך בכללותו אך האם היא תספיק לקבלת מענה לשאלה: "האם הארגון אכן מוגן מתרחיש דלף מסוים?" – כנראה שלא.

לעומת זאת, באמצעות בדיקת ערנות המבקר יבצע אתגור מוחשי של הבקרות בכך שינסה לשלוח מידע רגיש אל מחוץ לארגון. ומה ניתן יהיה להסיק מכך?

• אם הוגדרו בקרות והמידע נחסם – הבקרות הקיימות אפקטיביות.
• אם הוגדרו בקרות והמידע יצא – הבקרות הקיימות אינן אפקטיביות והארגון לא מוגן בתרחיש זה.
• אם לא הוגדרו בקרות – לארגון קיימת חשיפה לדלף מידע ועליו לנהל את הסיכון בגינו.

דוגמה נוספת היא בביקורת סייבר שבמסגרתה נבקש לבצע ניסיונות חדירה למערכות הארגון מתוך חצרות הארגון. נתחבר באמצעות כלים שונים אל נקודות התקשורת או למצלמות הרשת הפזורות בארגון, וננסה לעקוף את מנגנוני הבקרה הקיימים. גם בבדיקה זו יש להגדיר מראש את המטרות שנרצה להשיג (מעבר בין סביבות עבודה בארגון, חדירה למערכת מסוימת וכו'), ולבחון את רמת ההקשחה (FireWall, מדיניות סיסמאות וכו') הקיימת בארגון.

כמובן שחוץ מלהסיק מסקנות על רמת ההגנה, נוכל גם לבחון בזמן אמת את אפקטיביות מערך הניטור בהקפצת התראות בתרחישים שונים. אם התגלו חוסרים – תוצאות הבדיקה יעזרו בעדכון ההתראות.

בדיקות ערנות רלוונטיות לרוב עולמות התוכן של המבקרים

• ניתן לאתגר בקרות עסקיות ולבצע פעולות יזומות מעל סף הבקרות שהוגדר.
• ניתן לאתגר בקרות טכנולוגיות על ידי התחברות לארגון מאתר של ספק מאושר ולבחון את שרשרת האבטחה, או לחילופין לבצע תרגיל יזום של אירוע חירום/סייבר ולבחון את המודעות העובדים המהווים, במרבית המקרים, את החוליה החלשה ביותר בשרשרת האבטחה בארגון.
• ניתן לאתגר בקרות תפעוליות או לזהות חשיפות בהיבטים רכים יותר, כמו נגישות, שירות וחוויית לקוח על ידי שליחת לקוח/עובד סמוי לארגון, ביצוע האזנות לשיחות מוקלטות, או צפייה בהקלטות מצלמות האבטחה על פעילות העובדים באתרים רגישים.

מרבית הבדיקות ניתנות לביצוע באופן עצמאי או בסיוע יועץ מומחה, אך לעיתים יידרש, ואפילו מומלץ, לפעול בשיתוף פעולה עם גורם נוסף מתוך הארגון שיתבקש להקפיד על דיסקרטיות לצורך שמירה על אפקטיביות הבדיקה.

לפני שרצים להעיר את כולם – בואו ננהל גם אנחנו את הסיכונים

בעת שימוש בבדיקות ערנות, חשוב מאוד ליישם תהליך של "ניהול סיכוני הבדיקה" ולהביאו לידיעת הנהלת הגוף המבקר ואישורו. תהליך זה נועד לצמצם את ההשלכות האפשריות של הצלחת הבדיקה (ומהצד השני כישלון הבקרה) והסיכונים שעלולים להיווצר. כך למשל, בדוגמה על אתגור בקרות דלף מידע, אם המידע יצא מחוץ לחצרות הארגון, נוצר מצב שבו מידע רגיש של הארגון "מסתובב" ברשת הציבורית או באמצעי נתיק (DOK) ששימש להוצאת המידע. בדוגמה של ניסיונות חדירה למערכות הארגון, בעת אתגור של בקרה המונעת/מנטרת חיבור רכיב זר לרשת, עלול להיגרם נזק על ידי "הדבקת" הרשת הארגונית או אף חסימתה.

מה חשוב לכלול בתהליך ניהול סיכוני הבדיקה? – זיהוי ומיפוי מראש של הסיכונים תוך בחינת כלל הנושאים שעלולים "להשתבש", הגדרת תוכנית הפחתה מתאימה ויצירת מנגנון של עצירה מיידית בעת הצורך. דרך נוספת לצמצם את הסיכונים היא באמצעות שיתוף רמה בכירה של היחידה המבוקרת. כך ניתן לרתום את המבוקר לתהליך שבו הוא מקבל הזדמנות להיות שותף בבדיקה, ואנו זוכים בשיתוף פעולה בקבלת תוצאות הבדיקה וביישום המלצות הביקורת.

והתיעוד – לנצח יישאר

היבט חשוב לא פחות בבדיקות מסוג זה הוא התיעוד. על מנת להציג למבוקר את תוצאות הבדיקות שביצענו (וכן – גם קצת להשוויץ J), חשוב לאסוף תיעוד מסודר לאורך כל אחד מהתרחישים הנבדקים. לדוגמה: ריכוז הקבצים שאנו מעוניינים להדליף מחוץ לארגון, צילומי מסך של הוצאת המידע וקבלתו מחוץ לארגון, הודעות שהתקבלו בגין תרחישים שנחסמו ו/או שנוטרו על ידי מרכז הבקרה, צילום תמונות/סרטונים של הציוד שאנחנו מחברים וכו'. כך נוכל להעביר למבוקר תמונה מדויקת ומבוססת עובדות של מצב סביבת הבקרה לגבי החשיפות והסיכונים הנבדקים באופן שיצמצם התנגדויות ויהפוך כמעט כל ויכוח להסכמה.

אז מה היה לנו?

גילינו שעל ידי שימוש מושכל בטכניקה של "בדיקות ערנות", הכולל הכנת תרחישי בדיקה, שיתוף גורמים רלוונטיים, ניהול סיכונים אפשריים ותיעוד מסודר – ניתן להגביר לאין ערוך את אפקטיביות הבדיקות המבוצעות במסגרת הביקורת. בשיטה זו ניתן לספק יתרון משמעותי על פני טכניקות בדיקה אחרות ולהציג הוכחות חד-משמעיות המקלות על קבלת הממצאים על ידי הגורם המבוקר.

The post על היתרונות שבבדיקת עירנות (בדיקת פתע) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

החשש היה דווקא מסטגנציה וחוסר מוטיבציה לבצע שינויים ושיפורים, ומחוסר רצון לצאת מאזור הנוחות שעלול לפגוע באפקטיביות הביקורת. המאמר נועד לקדם יוזמה לשינוי, גם אם הוא לא נכפה עלינו.

כולנו ידענו שהיכולת להתאים את עצמנו לשינויים וגמישות הביקורת הן חשובות. ידענו, אבל לא הבנו עד הסוף. שום דבר לא הכין אותנו למשבר הקורונה, שבה כלל העסקים במשק נקלעו למצב חירום. מרבית תשומת הלב הופנתה לשימור רציפות תפקודית, ובבנקים ניתן דגש על מתן שירות ללקוחות במוקדי שירות, בחדרי העסקאות ובסניפים. בתקופה זו נדרשה הביקורת להתאים את עצמה במהירות למצב החדש ולבחון את מקומה בעת חירום.

בתקופה זו עלו שאלות כמו האם הביקורת צריכה להמשיך בפעילותה הקלאסית, הכוללת הפקת דוחות ביקורת וניהול מעקב אחר יישום המלצותיה, או שמא היא נדרשת להתאים את פעילותה ולעבור לפעולות חשובות יותר לארגון, כגון סקירת הבקרות והאפקטיביות שלהן על רקע השינויים בתהליכי העבודה ובפעילות בתקופת המשבר.

על פי התיאוריה של המדען דניאל וולפרט, המוח דרוש אך ורק כדי לאפשר תנועה, כלומר שינוי. במחקר שבו בדק את האיצטלן, ייצור תת-ימי המנווט את דרכו באוקיינוס הגדול, הוא מצא שכאשר האיצטלן בוחר בסביבה המיטבית עבורו, הוא קובע בה את מושבו עד סוף חייו, ומוחו נעלם.

הביקורת היא אורגן חי. תפקידה הוא לספק מענה לצרכים משתנים בסביבה חיצונית משתנה ולפי דרישות של בעלי עניין שונים. היא נדרשת להיות בתנועה ולהתאים את עצמה תוך שמירה על מטרותיה ועקרונותיה. בעת משבר הקורונה נדרשה הביקורת להקפיא את פעילותה לרגע, כדי לאפשר לבנק להתמודד ולהתאושש ולחזור לפעילות באופן מותאם אחר למגבלות הקורונה.

השינויים בביקורת הפנימית לא התחילו עכשיו. במהלך עשרות שנים חוותה הביקורת שינויים רבים בסביבתה הארגונית, העסקית, הרגולטורית והטכנולוגית, כמו גם שינוי בצרכים של בעלי העניין, ובהם ההנהלה והדירקטוריון.

למרות זאת, ביצוע שינויים כחלק משגרת החיים של הביקורת בימים כתיקונם נותר אתגר, בין היתר בשל התשומות שנדרש להשקיע בשינוי, הסיכון לפגוע בקיים, והיציאה מאזור הנוחות הכרוכה בכך. לעומת זאת, השינויים בתקופת הקורונה שתוארו לעיל אומנם לא היו פשוטים, אך היו כרוכים בפחות היסוסים והתחבטויות מפני שהם נכפו מחוסר ברירה.

כדי להביא ערך אמיתי, הביקורת חייבת ללמוד את השינויים באופן מתמיד ולפעול בין היתר כ"סוכן שינוי", הן לגבי עצמה והן לגבי הארגון בכל "תנאי מזג אוויר".

במאמר זה נציין את ההיבטים העיקריים שבהם חל שינוי בביקורת הפנימית ושהביאו להתפתחותה במהלך העשורים האחרונים. הדברים נכונים לכלל הארגונים ולבנקים בפרט.

אילו שינויים חלו בביקורת בשנים האחרונות?

בעשורים האחרונים חלו שינויים מהותיים בפעילות הארגונים בענפים השונים, שינויים שמקורם בהתפתחויות רגולציה ובתקנים חדשים שפורסמו על ידי גופים מקצועיים מובילים בעולם.

בעקבות המשבר העולמי במהלך 2009-2008 חוזקו הבקרות, ובענפים מסוימים (לרבות ענף הבנקאות) ניתנה הנחיה לגיבוש מסגרת לניהול סיכונים הכוללת שלושה קווי הגנה ולהקמת מעגל בקרה שני. בנוסף נדרשה הביקורת להעריך את אפקטיביות הבקרות וניהול הסיכונים בארגון ולהתייחס לנושאים ולידע שלא נדרשה להם בעבר.

אם כן, הביקורת נאלצה להגדיר את מקומה מחדש בארגון, לחדד את גבולות הגזרה, ולקבוע ממשקי עבודה עם יחידת ניהול הסיכונים.

תקופת המשבר הנוכחי חידדה את חשיבות תפקיד הביקורת בעת הזו. לאור החשיפה ההולכת וגוברת של סיכונים שאליהם חשוף הארגון בעת משבר, כאשר יחידות עסוקות בהישרדות תוך נוכחות מצומצמת של עובדים ותחת מגבלות הקורונה, קיים צורך אמיתי בהפניית משאבים לניהול הסיכונים. לפיכך החלטנו להגביר את מעורבות הביקורת בניהול הסיכונים, בדגש על סיכוני מעילות והונאות וסיכוני סייבר. המטרה היא לוודא כי אפקטיביות הבקרות נשמרת גם במקרים שבהם חל שינוי מהותי בתהליכי העבודה או בסביבה העסקית.

המשברים שאירעו וההתפתחויות הרגולטוריות שהגיעו בעקבותיהם הביאו את הביקורת הפנימית למספר התפתחויות משמעותיות.

תפיסת הביקורת בארגון

לאורך שנות קיומה של הביקורת חל שינוי בתפיסת הביקורת בארגון ממצב של קיום ביקורת כחובה חוקית לתפיסת הביקורת כגורם חיוני המצמצם סיכונים לארגון ולגורמי הנהלה החשופים לדרישות רגולציה ולאחריות אישית.

לפיכך, קיימת חשיבות רבה לתפיסת הביקורת בארגון ולמיצובה כפונקציה משמעותית וחיונית עבור ההנהלה והדירקטוריון.

ביקורת שנתפסת כעניינית, אובייקטיבית ובלתי תלויה על ידי המבוקרים, תוכל לקיים את תפקידה טוב יותר ולהביא ערך משמעותי יותר לארגון. לצורך כך, הביקורת נדרשת להציג תמונה מאוזנת של הפעילות הנבדקת ולציין נקודות לשיפור, תוך התייחסות לפעולות מהותיות שנמצאו תקינות.

מגמה זו מתחזקת בשל הצורך במתן ציון והערכה כוללת (כפי שנדרש מהביקורת הפנימית בבנקים בהתאם להוראת ניהול בנקאי תקין 307), המחייבים הסתכלות כוללת על פעילות היחידה או הישות הנבדקת.

על מנת לספק מענה לשינויים אלה, נדרשת אבולוציה בתחומים הבאים:

פרופיל המבקר

כבר היום, על מנת לתת מענה לצורכי הביקורת, המבקר הפנימי נדרש לקשת יכולות ולכישורים רבים ומגוונים, כמו יכולת למידה וניתוח לוגי ותהליכי, תקשורת בין-אישית, יכולות כתיבה והבחנה בין עיקר לטפל, וכן ידע וניסיון בתחומים המבוקרים, כגון כספים, מערכות מידע, פעילויות מטה תומכות ועוד.

בעקבות שינויים שחלו בשנים האחרונות, מלבד סט הכישורים והיכולות הללו, המבקר נדרש גם לכישורי שליפה וניתוח נתונים, לרבות יכולות שליפה וניתוח נתונים ממספר מקורות מידע, חשיבת BI ושליטה בכלים טכנולוגיים מתקדמים לביצוע תחקורים. מגמה זו צפויה להתעצם בשנים הקרובות.

אתגרים אלה יחייבו את הביקורת לשים דגש על קליטת מבקרים המשלבים יכולות בין-אישיות המאפשרות תקשורת פתוחה ועניינית עם הגורמים בארגון, ראייה מאוזנת וחסרת משוא פנים, וידע מקצועי. בו-בזמן נדרשת הכשרת כלל המבקרים לידע בנושאים טכנולוגיים, והנגשת השימוש בכלי תחקור לכלל המבקרים ביחידה.

שיטת ביצוע הביקורת

1. ביקורות בין צוותיות

יחידות הביקורת מחולקות בהתאם להתמחותן בסיכונים השונים או על פי סוג הפעילות (כגון ביקרות סניפים, מערכות מידע). על מנת לייצר תמונה כוללת של ניהול הסיכונים בנושא, עולה בשנים האחרונות הצורך בעבודה צוותית המשלבת מספר מיומנויות שונות לתוצר אחד.

מדברים יותר ויותר על עבודה בתצורת Agile. שינוי זה דורש שיתוף פעולה ותיאום תוך כדי תנועה, ויוצר אתגרים הנוגעים לתיאום זמנים, לתיאום הבדיקות, לכתיבת הדוח ועוד. כדי להתמודד עם השינוי הזה נדרשת הגדרה של שיטת עבודה עדכנית לתהליך הביקורת, והדרכת המבקרים והמנהלים לעבודה משותפת.

2. כלים טכנולוגיים

סקר מוקדם שכולל איסוף חומרים לפגישה ראשונית, יהווה התחלה טובה לביקורת. אז למה צריך לשנות? אנו חיים בסביבה עתירת נתונים, ולרוב יש לנו גישה ישירה ועצמאית לנתונים שמאפשרים לנו לקבל מידע רב באמצעות זיהוי חריגים וניתוח אנומליות שיכולים להוות לידים כבר בשלב הראשון לביקורת. לשימוש בכלים טכנולוגיים יש מגוון יתרונות, ובהם:

• כיסוי רחב יותר.
• מעבר מבדיקות מדגמיות לבדיקות אוטומטיות, המאפשרות לבחון היקף גדול יותר של נתונים ואף אוכלוסייה שלמה.
• ביצוע בדיקות נתונים בכלים ממוכנים המותאמים לצורכי הביקורת, עשוי לייעל את עבודת הביקורת ולהפחית את היקף המשאבים הנדרש.
• זיהוי קשרים או אנומליות יכול לחשוף ליקויים שגם המבוקר אינו מודע להם, ושלא יעלו בשיחות או בבדיקות מדגמיות.

עם זאת, קיימות גם מגבלות לשיטה זו:

• זמן ומומחיות בביצוע שליפות ממוקדות ומדויקות לצורך הבדיקה.
• תלות בגורמי BI.
• סיכון שלא נגלה בדרך זו ליקויים שהיינו מגלים בבדיקות תיקים ובשיחות.

לפיכך, ההתמודדות עם השינוי תחייב אותנו לבצע התאמות:

• גיוס אנליסטים מומחים לשליפות נתונים. צפוי כי מספר העובדים בתחום זה יגדל משמעותית בשנים הבאות.
• כאמור, נדרשת הכשרת מבקרים לתחומי ה-BI, SQL, ו-SAS, על מנת להפחית את התלות בגורמים השולפים את הנתונים, ולשם יצירת מבקרים בעלי ידע מקצועי הכולל ידע בשליפת נתונים.

חשוב להדגיש שלצד ההיערכות לשינויים, יש לשמר את היתרונות של הביקורת המסורתית ולזכור שתקני הביקורת שלא השתנו במהותם, מהווים בסיס טוב ורלוונטי גם היום. לאור זאת, שילוב של ביקורות חדשניות באמצעות שליפות נתונים, לצד הביקורות המסורתיות לצורך קבלת מידע שלם על סיכונים בפעילות, עשוי להביא לביקורת אפקטיבית התורמת לארגון.

עם החזרה לפעילות ביקורת מסורתית בשגרת קורונה, שבה פעלו ארגונים תחת עומס, אילוצי כ"א מצומצם ומגבלות על התקהלות ושמירת מרחק, מגובשים בימים אלה עקרונות לפעילות הביקורת הפנימית בתקופת הקורונה.

מטרת הביקורת היא להמשיך בפעילות הביקורת תחת המגבלות והקשיים הקיימים, תוך נקיטת זהירות מיוחדת הנוגעת לסיכוני בריאות והשבתת יחידות.

בהתאם לזאת, תהליך הביקורת והיקף הנושאים הנבדק התחדד ודויק, ושיטת הביקורת הותאמה למציאות שבה פגישות פיזיות נדירות. ההתאמות שאליהן נדרשנו, בתחילה כאילוץ, התגלו כהזדמנות להתייעלות וחידוד דוחות הביקורת ולשדרוג היכולות ושיטות העבודה.

לסיכום, אנחנו המבקרים עוסקים בשינויים של אחרים באופן שוטף, אך האם נוכל לבחון ולהחיל את אותם עקרונות גם על עצמנו?

לאור ההתבוננות בשינויים שחווינו בתקופת הקורונה אל מול השינויים שביצענו בתקופות קודמות – הן מבחינת קצב והן מבחינת עוצמה – עולות מספר שאלות שמן הראוי לשאול את עצמנו. נזכיר שהביקורת עושה זאת באופן מובנה ופנימי כחלק מתהליך מתמשך ושוטף של שיפור איכות הביקורת, וכן באמצעות סקירה חיצונית אחת לתקופה.

The post הדחף לשינויים בביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

במבט ראשון, וגם במבט שני, נראה שביטול הנסיעה הוא תקלה רצינית שתמנע מאיתנו לדעת מה קורה בחברת הבת המרוחקת. האם זה באמת כך? הסיטואציה מזמינה אותנו להתבונן מחדש ולחשוב באיזו מידה הקונספט של 'שבוע ביקורת ביחידה בחו"ל' באמת מביא ערך? האם יכול להיות שיש דרכים נוספות לבדוק את נושא רכש המכונות בחברת הבת?

על מנת להתרענן ולקבל זווית חדשה, פתחתי גיליונות קודמים של המגזין שלנו. מצאתי בהם שפע של רעיונות נפלאים, ידע וניסיון מקצועי מארגונים שונים שאפשר לגייס לטובת פתרונות יצירתיים של הסיטואציה. ראו בבקשה חמישה רעיונות:

1. מומחה מקומי בתחום המקצועי

במאמר נפלא של דוד אגרנט בגיליון מס' 9 ממרץ 2019, "המסלול המהיר להבנת התרבויות השונות", הוא מפרט חסמים תרבותיים שעלולים להשפיע על עבודת הביקורת. לדוגמה: ברוסיה מעורבוּת הגורמים הזוטרים בקבלת החלטות נמוכה ויש ציפייה לצייתנות ללא דופי. לאור זאת יש לקבל בעירבון מוגבל מידע הנמסר בראיונות ולשים דגש על בדיקות מבססות. ככל הנראה, גם במדינות נוספות במזרח אירופה בעלות עבר קומוניסטי יש לצפות לחסמים תרבותיים דומים. דוד ממליץ: "אם משאבי הביקורת מאפשרים זאת, מומלץ לשקול להיעזר בנותן שירותים מקומי ששולט בשפה ובעל הבנה עמוקה של היבטים מקצועיים בתהליכים עסקיים יחודיים לאותה מדינה".

בסיטואציה שלנו, הישענות על מהנדס מכונות מקומי או מומחה מקומי לרכש ציוד מכני משדרגת את איכות הביקורת! ולעניין המשאבים: דווקא משום שהיום כולנו התכווצנו, זו הזדמנות פז למצוא מומחים מקומיים תותחים שבימים כתיקונם עמוסים ויקרים, ולתכנן מחדש את התקציב.

2. ביקורת מרחוק באמצעות תקשורת וידאו (SKYPE,ZOOM, TEAMS )

בסיטואציית הקורונה שאליה נקלענו, ייתכן מצב שבו האתרים נסגרים למבקרים מן החוץ כמדיניות, או שישנה הנחיה גורפת שלא לקיים פגישות פרונטליות. בנוגע למקרה שתיארתי בפתיח, עוד לא צברנו מספיק ניסיון בניהול ביקורת באמצעות תקשורת וידאו, והייתי חושבת פעמיים אם להיכנס לביקורת כזו בנושא טעון ארגונית, במרחק רב מהאנשים ומהמכונות. אם החלטתם שכן – כמה טיפים לביצוע ביקורת בפגישות ZOOM:

Ice Breakers – הנעת ביקורת באמצעות שיחת וידאו עשויה להיות אירוע מתוח יותר מהרגיל בשל השפעת המדיה והריחוק. כבר אי אפשר לשבור את הקרח באמצעות הכנת קפה ביחד במטבחון. כדאי לחשוב מראש על Ice Breakers שיתאימו לסיטואציה – שיתוף במשהו אישי או מצחיק ואפילו גיחה של אחד הילדים בסביבה עשויה להועיל…

הדגמת ניתוח נתונים ב-LIVE – באחת משיחות ההנעה שקיימתי לאחרונה, תיאר לי השותף לשיחה תופעה מסוימת. שאלתי אם יוכל להיכנס למערכת המידע וננתח את הנתונים יחד ב-LIVE. בשונה מפגישה פרונטלית, הרגשתי שותפה מכיוון שראיתי את התוצאות מקרוב על המסך שמולי.

מכיוון שביקשתי להקליט את הפגישה, הקלטה בהסכמה, יכולתי לשחזר מאוחר יותר את אופן הניתוח ואת התוצאות של כל שלב, ולבחון זאת מחדש תחת הנחות שונות.

מתברר שלפגישות בזום יש גם יתרונות ואנחנו נמשיך לגלות אותם בתקופה הקרובה…

3. ביקורת מרחוק – סימולציה על כדאיות השקעות

במאמר המרתק של אנה רוזנברג שפירו בגיליון מס' 10 מספטמבר 2019, "שימוש בכלים טכנולוגיים וחדשניים בביקורת פנימית", מדגימה המחברת כיצד מבצעים ביקורת באמצעות בניית סימולציה המדמה את החישוב ומריצים אותה על האוכלוסיה כולה (המאמר כולל גם התייחסות להסתמכות על נתוני המבוקר. מומלץ לעיין).

ניתן לבצע ביקורת השקעות, הצטיידות ומכונות באמצעות סימולציה. בנייה של מודל כזה והרצת נתוני המכר והעלויות בפועל ביחס לכלל אוכלוסיית המכונות הנרכשות היא בעלת ערך רב, בין אם בארגון קיימת מתודולוגיה לבחינה (מראש) של כדאיות ההשקעות באמצעות מודל מוסכם וניתוחי רגישות של התחזיות ובין אם לאו.

בסיטואציה שלנו, גם אם לא נוסעים לחברת הבת ניתן להשתמש בנתונים שנשלפו על ידי המבוקרים להרצת סימולציה מדמה. אם יש מודל ארגוני, הפערים שיימצאו משמשים אינדיקטורים לסוגיות הטעונות הבהרה ולתיקונים הנדרשים במודל הקיים. אם לא קיים בארגון מודל, הסימולציה יכולה לשמש דוגמה לתועלת שצומחת מקיומו של מודל כזה.

4. קרוב ורחוק – מיקוד במשילות ויחסי מטה שטח

כחלופה נוספת לבדיקה שתוכננה, מוצע לבדוק את תהליכי העבודה של המטה מול חברת הבת בהתייחס לשני רבדים:

• שגרות הבקרה הכלליות: אילו גורמים אחראים לבקרה שוטפת מטעם המטה? מה הסמכויות שלהם? כיצד הם מיישמים בפועל את הבקרה? מה מקומן של חבילות דיווח (נתונים תקופתיים שחברות בנות מעבירות לחברת האם)? מה החבילות כוללות ומה אינן כוללות? מי עורך בדיקות על הנתונים המסופקים בחבילות אלה, שואל שאלות ומבקש תגובות?

• משילות וקבלת החלטות בנושא השקעות והצטיידות: מכיוון שבמקרה שתיארתי בפתיח, יש לנו מידע מוקדם על מערכת יחסים מתוחה על רקע ההשקעות, אפשר לבחור כדוגמה את המתואר בסעיף א', מספר מקרים ספציפיים של הצטיידות, ולנתח את תהליכי העבודה בהקשר של יחסי מטה ושטח. האם קבלת ההחלטות נערכת מתוך ראייה רחבה?

לעיתים קרובות בבדיקה זו מתברר שישנם ממשקים ותחומים חשובים שמערך הבקרה וחבילת הדיווח אינם מכסים.

ניתוח כזה של שגרות העבודה והמשילות יכול להביא ערך ותובנות ברמת חברות הבנות כולן, מכיוון שהתיקון נערך ברמת המטה.

5. הערכה השוואתית של בשלות החברות הבנות

במאמר החשוב של דני פרידמן, דרור בר משה ודוד ניסים בגיליון מס' 11 ממרץ 2020, "כפרי בשל – מודל הבשלות בשירות הביקורת הפנימית", הם מתארים את יתרונות השימוש במודל בשלות מבוסס COSO ככלי להערכת רמת הממשל התאגידי, ניהול הסיכונים ומערך הבקרות, המאפשר הערכה אובייקטיבית והשוואה בין תהליכים ובין יחידות.

אחת הדרכים ליישם את המודל מרחוק היא כשאלון להערכה עצמית (Control Self-Assessment) הנשלח לגורמים רלוונטיים, והם מתבקשים להעריך את רמת הבשלות ביחס לעקרונות הבקרה הפנימית. אפשר להתאים את העקרונות המפורטים במאמר לנושא ההצטיידות במכונות. דוגמה לעקרון בקרה פנימית שהותאם: "הארגון בוחר ומפתח פעילויות בקרה על רכש מכונות חדשות והטמעתן כדי לתמוך ביעדי ההצטיידות שהוגדרו". הוא ידורג על ידי המשיבים מ-1 (נמוך) ועד 5.

הערכה השוואתית בדרך זו מתאימה כשיש מספר חברות בנות והיא תלויה במהימנות התשובות לשאלון ההערכה העצמית.

בסיטואציה שלנו – בדיקה רוחבית של מרכיבי הבקרה הפנימית במספר חברות בנות בחו"ל, באמצעות סטנדרטים אחידים וברי השוואה, מאפשרת התבוננות על חברות הבנות מזווית חדשה.

סיכום

בשעת משבר אנחנו נדרשים להמציא את עצמנו מחדש. לא צריך ללכת רחוק! המגזין שלנו מספק שפע רעיונות מגוונים איך להתמודד עם אתגרים, גם עם אתגרי הקורונה. זו הזדמנות לומר תודה גדולה לעורכת הנפלאה, לכותבים החרוצים, לצוות המערכת שנרתם למשימה, לסטודיו ולמעצבת ולכל מי ששולחים ידם במלאכה החשובה!

The post קורונה. בדיקה מרחוק – בדיקה מקרוב appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הכלכלה העולמית נפגעה בצורה קשה ממגפת הקורונה שהתפשטה במהירות מפתיעה בעולם. המומחים מסכימים שלא מדובר אירוע חולף, ושעסקים ימשיכו לסבול מההשפעות השליליות של המגפה עוד הרבה זמן. הצורך החיוני "לשטח את העקומה" כדי להכיל את התפשטות הנגיף גרם לשיבושים משמעותיים, המלווים בירידות חדות בהיקפי העסקים ובהכנסות. ירידות נוספות צפויות לכל אורך שנת 2020 וגם ב-2021. כבר עכשיו ארגונים חווים אובדן לקוחות, משברי נזילות, שיבושים בשרשרת האספקה, צמצומים ופיטורים של כוח אדם.

בתגובה לאתגרים אלה, ארגונים בכל רחבי העולם נקטו יוזמות וביצעו צעדים מהירים. לדוגמה, ארגונים רבים הקימו צוותים ייעודיים לניהול המשבר תוך התמקדות בטיפול בצרכים המיידיים של לקוחות ועובדים. כמו כן, צוותי מנהלים בכירים מבצעים מבחני לחץ על תרחישים אסטרטגיים, פיננסיים ותפעוליים, ויש ארגונים שכבר התחילו להיערך לחידוש הפעילות העסקית לאחר המשבר. בהינתן הירידות הצפויות בתזרימי ההכנסות העיקריים, סביר להניח שמנהלים יתמקדו בצעדים ספציפיים במטרה להקטין את אובדן ההכנסות. במקביל, מנהלים ינסו לשפר רווחיות על ידי שמירה על מבנה עלויות תפעוליות רזה ככל האפשר, הרחבת היכולות הדיגיטליות, הקצאת משאבים באופן משתנה והגברת החוסן הארגוני.

סביר להניח שצמצומי כוח האדם (בין פיטורין ובין חל"ת) יפגעו בתהליכים עסקיים באופן מהותי ויחלישו בצורה ניכרת מנגנונים של בקרות פנימיות. אין ספק שמצב שבו כוח אדם מצומצם עובד מהבית במשך תקופה ארוכה ומקיים קשר פרונטלי מינימלי יגרום לארגונים להיות פגיעים. בנסיבות אלו, ארגונים צפויים לראות גידול חד ומתמשך במעילות ובהונאות, בפשעים פיננסיים ובמתקפות סייבר, ורמאים רבים ינסו לנצל את האוכלוסייה הפגיעה והלחוצה מאוד עקב המשבר.

אתגרים אלה מחייבים תגובה חדשנית מצד הביקורת הפנימית ומהווים הזדמנות ייחודית עבור מבקרים פנימיים להמציא מחדש את תפקידם בשרשרת הערך בארגון. שאלנו מספר מבקרים פנימיים ראשיים (CAEs) במוסדות פיננסיים לגבי דרכי ההתנהלות במחלקותיהם מאז פרוץ המשבר. מספר גישות חדשניות, לרבות כאלה שמציעים מבקרים אלה, יכולות להוסיף ערך עבור הארגון ולעזור ללקוחות להבין את החשיבות של הביקורת הפנימית במהלך הימים הקשים האלה.

יישום פתרונות ניהול משבר

ועדות ביקורת ובעלי עניין מרכזיים סומכים על כך שהביקורת הפנימית תספק שירותי הבטחה רחבים וממוקדים ושירותי ייעוץ כדי להתגבר על האתגרים בעתיד הקרוב. מבקרים פנימיים ראשיים צריכים לעבוד בשיתוף פעולה עם ועדות הביקורת ועם חברי ההנהלה הבכירה בתכנון סדרה של פעולות אפשריות להפחתת סיכונים באופן מחושב, אבל גם גמיש בהתאם להתפתחויות. מבקרים פנימיים ראשיים שעימם שוחחנו ציינו שתפקידם כיום כולל השתתפות ישירה בוועדות ניהול משבר הקורונה ובצוותי ניהול משבר בארגוניהם. הם סייעו בגיבוש התגובות הארגוניות כדי לוודא שההודעות בנושא המשבר אכן נמסרות ללקוחות, לבעלי העניין ולציבור הרחב בצורה מתאימה ושקופה.

גורם מרכזי בקבלת החלטות אצל בעלי העניין הוא קצב החרפת הסיכונים ואיכות הניתוח של השפעותיהם. לכן מבקרים בעלי ניסיון בזיהוי סיכונים ובביצוע הערכות הוליסטיות יכולים לבצע הערכות טובות יותר של ההשלכות הטווח הקצר והטווח הארוך של החלטות בעת משבר.

בנוסף, מבקרים פנימיים ראשיים ציינו שהם הוסיפו לתוכנית העבודה בחינה של נושאים הקשורים בקורונה, לרבות לגבי בחינת פעילויות המבוצעות מרחוק ובחינת שינויים בתהליכים עסקיים. חלק מהבדיקות האלה בוצעו במהירות רבה – לפעמים תוך כמה ימים – על מנת לדווח ולהציף סוגיות מבעוד מועד.

תמיכה בעובדים, בבעלי עניין ובלקוחות

המשבר מציף הזדמנויות רבות עבור מבקרים פנימיים לפעול כיועצים מהימנים ולסייע לארגון לשמור על פונקציות הליבה, לתמוך בלקוחות, לנהל את הסיכונים העיקריים ולשמור על חוסן. אחד המבקרים הפנימיים הראשיים ציין כי המשימה הראשונה של מחלקת הביקורת הפנימית שלו הייתה להתמקד בשמירה על בטיחות ושלום עובדי המחלקה, וכי הם יישמו במהירות נוהלי עבודה מהבית, אפשרו הסדרי שעות עבודה גמישות על מנת לאפשר חינוך ביתי, ותמכו בעובדים השוהים בבידוד עצמי. במטרה לתעדף את צורכי הלקוחות, מחלקות ביקורת פנימית רבות צמצמו משימות הבטחה מסורתיות והקלו על לוחות הזמנים להשלמת תיקונים לסוגיות שעלו בביקורת הפנימית, במטרה לתת למרחב תמרון בתחומים עסקיים כדי לשרת את הלקוחות. מחלקות ביקורת פנימית אחרות עשו הרבה מעבר, והפגינו גמישות ומחויבות לבעלי העניין שלהן, ונתנו כתף בצורות שונות, כגון ביצוע בדיקות טרומיות של תהליכי סגירת הדוחות הכספיים הרבעוניים, מתן דחיפה למאמצי תיקוף ולמאמצי תיקון אחרים, וסיפקו פעולות ניטור משופרות. בעוד שעבודות ביקורת חשובות ומוגבלות בזמן המשיכו להתקדם, ההיקף של ביקורות אלה נבחן על מנת להתמקד בסיכונים העיקריים.

מחלקות מסוימות בארגונים מבצעות רמות פעילות חסרות תקדים ומתמודדות עם אתגרים מבחינת משאבים, כגון מחלקות מערכות המידע הנדרשות לעמוד בדרישות תשתית גבוהות, לרבות הגברת יכולות עבודה מרחוק ויכולות דיגיטליות, שירות לקוחות ותמיכה תפעולית. ככל שעולה מספר העובדים הנעדרים עקב מחלות ומצבי חירום – או כאלה העובדים תחת הסדרי עבודה גמישים – או כאלה המאבדים ניידות עקב המגבלות על נסיעה ותחבורה ציבורית – כך גובר המחסור במשאבים

לאחר מגפה עולמית, ארגונים יהיו זקוקים לתמיכה בגיבוש מחדש של תוכניות עסקיות ושל תחזיות דרישה, הכנסות, עלויות ורווחיות, בהערכת סיכונים מרכזיים ובבחינה מחדש של הנחות יסוד. מתן שירותי מומחים באופן זמני לעסק, יחד עם אמצעי הגנה ראויים, יגביר את הערך של הביקורת הפנימית. פעילויות מסוג זה עלולות לגרום לניגודי עניינים בעתיד ויש לבחון אותן בזהירות ולנהל אותן בהתאם.

ניתן להשיג חיסכון משמעותי במשאבים באמצעות שיתוף פעולה מוגבר עם קווי ההגנה הראשון והשני – מבקרים חיצוניים ורגולטורים. יש בידי הביקורת הפנימית היכולת לסייע במתן ביטוי מדויק של הערכות סיכונים מקיפות, תוך דאגה לפעולות מתואמות כדי למנוע כיסוי כפול.

מציאת דרכי עבודה חדשות

הביקורת הפנימית תצטרך להבין כיצד המגפה משפיעה על גישות עבודה, על שיתופי פעולה ועל יחסי הגומלין עם בעלי העניין. "הקורונה הבליטה את היתרונות של עבודה מרחוק ושל הפרודוקטיביות שאפשר להשיג בסביבת עבודה מרחוק", אמר אחד מהמבקרים הפנימיים הראשיים. "בה בעת, היא גם מבליטה את היתרונות של אינטראקציה פנים אל פנים, לא משנה כמה איתנה הסביבה הווירטואלית".

חשיבה על האתגרים וההצלחות של עבודה מרחוק תעזור בגיבוש יוזמות אסטרטגיות לטווח הארוך או אפילו באופן קבוע. מודל העבודה החדש הזה יחייב שימוש מוגבר בכלי אוטומציה, ומגעים תכופים עם צוותי הביקורת, עם לקוחות ועם בעלי העניין. בתרחיש הזה, הביקורת הפנימית צריכה להעריך את השפעת העבודה מרחוק על משימות ביקורת של ישויות ויחידות עסקיות הנמצאות במקומות שונים ועם יכולת מוגבלת לנהל אינטראקציות פנים אל פנים, ראיונות, סיורים וכו'. סביר להניח שתהיה הישענות מוגברת על תשתיות IT מבוססות ענן בסביבת העבודה הדיגיטלית והמרוחקת הזו. כבר היום אנו רואים עלייה בשימוש בשיחות וידאו, כמו זום, ווב-אקס וסקייפ, אולם פלטפורמות אלו גם עלולות להיות חשופות לסיכוני אבטחה. אם נתונים ורשומות המיועדים לבדיקה אינם מסופרתים או זמינים באופן אלקטרוני, מבקרים פנימיים יצטרכו לבחון אם ניתן לבצע נוהלי אימות אלטרנטיביים מרחוק, בהתחשב בהיעדר הגישה למסמכים או לנתונים הפיזיים. עליהם גם לבדוק אם הדבר גורם לירידה בכיסוי או בהיקף הביקורת וכתוצאה מכך לירידה ברמת ההבטחה שהיא מספקת.

מודלים גמישים של תכנון וביצוע ביקורות

משבר הקורונה נותן הזדמנות לחשיבה מחודשת לגבי תהליכי תכנון הביקורת הפנימית. הוכח כי המודל המסורתי של כיסוי על פני מספר שנים ושל מחזורי ביצוע ארוכים הוא נוקשה מדי כדי להגיב לסביבה בלתי יציבה. לכן בעלי העניין ידרשו גמישות לגבי ההיקף, הכיסוי ואופן הביצוע, וכן לגבי העיתוי ושיטות אסקלציה. יישום גישה גמישה במודל תכנון וביצוע הביקורת יסייע בשמירה על ההתמקדות בסוגיות המרכזיות, כאשר התנאים משתנים בכל עת ובביצוע מהיר של תעדוף מחדש של משימות. תהליכי גילוי גמישים יכולים לסייע בהתייחסות מהירה להתפתחויות ולסיכונים חדשים. מטלות ביקורת קצרות בגישה שיתופית יותר, יאפשרו הסקה מהירה יותר של תובנות ברות ביצוע ופעולות תיקון מהירות. אחד מהמבקרים הפנימיים הראשיים בארגון גלובלי ציין שהוא משתמש בגישת ביקורת גמישה לכל אורך מחזור החיים של מטלות הביקורת על מנת לספק את אותה רמה של הבטחה בפחות זמן. ה-CAE הוסיף כי "ההשפעה של שיבושים במצבת כוח האדם על התרבות ועל סביבת הציות היא סיכון מהותי חדש העומד בפני הארגון."

מבקרים פנימיים יצטרכו להגדיר מחדש את המתודולוגיה ואת תהליכי העבודה שלהם כדי להפוך אותם לגמישים יותר ומותאמים לתרחישים בלתי צפויים. מתפתח קונצנזוס לגבי תעדוף מספר תחומים ראשונים לטיפול על ידי הביקורת הפנימית בסביבה שלאחר המגפה, לרבות:

• חוסן עסקי ותכנון המשכיות, במיוחד בכל הקשור לשילוב לקחים שנלמדו.
• גילויים והתחייבויות לציבור הנוגעים למשבר הקורונה.
• שיקולי בטיחות ובריאות העובדים, הלקוחות ובעלי העניין.
• בקרות על פשעי סייבר ואבטחת סייבר.
• אבטחת מידע בתנאי עבודה מרחוק.
• גילוי ומניעת הונאות ופשיעה פיננסית.
• כיול מחדש של תוכניות ויעדים עסקיים.
• אספקת מוצרים ושירותים דיגיטליים.
• תכנון תרחישים ומבחני לחץ.
• תחזיות הון, תזרים מזומנים ונזילות.
• ביטול הדרגתי של ויתורים והנחות שניתנו במהלך משבר הקורונה.
• הקטנת סיכונים גיאוגרפיים, סיכוני ערוצי אספקה וסיכוני ריכוזיות ספקים.
• סיכונים משפטיים וחוזיים וסכסוכים מסחריים.
• תביעות משפטיות עקב ההשפעות הכלכליות של המגפה.
• אינטגרציה של חוסן עסקי, היערכות למגפה עולמית, ומדדי ייחוס בניהול משברים בתוכניות תגמול לבכירים.
• כיול מחדש של מדדי תגמול מבוסס ביצועי העובדים.

מבקר פנימי ראשי סיפר איך הוא משתמש בדוחות בזק כדי לספק תובנות מהירות יותר להנהלה בתגובה לציפיות ולתיאבון גדול יותר של בעלי העניין לגמישות. מבקר ראשי אחר מיישם פתרונות חדשניים של פעילויות ביקורת מתמשכת – הבוחנות ומנטרות תהליכים הקשורים לקורונה בנוגע לשלמות, נכונות ודייקנות. מבקרים פנימיים ראשיים אחרים ציינו שהם החלו ליישם תהליכי ניטור פעילויות עסקיות משופרים על מנת לספק משוב על סיכונים בזמן אמת.

שימוש נרחב של ניתוח נתונים – תוך מינוף בינה מלאכותית, לימוד מכונה ואוטומציה רובוטית של תהליכים – יהיה המפתח לתמיכה בגישה הגמישה של הביקורת הפנימית. "מבקרים פנימיים חייבים לקבל גישה לנתונים של ארגוניהם כדי לתפקד ברמה הגבוהה ביותר, וחלק מתוכנית הביקורת צריך להתמקד בהבטחת השלמות של אותם נתונים", אמר מנהל לשעבר של הביקורת הפנימית והציות בחברת ייעוץ גלובלית. "ניטור תמידי של נתונים יכול להניע שיחות עם המנהלים וההנהלה הבכירה במידה ומתגלות חריגות, וכך לקדם דו-שיח ומערכות יחסים טובות יותר".

מבקר פנימי ראשי אחר ציין את הערך שבנקיטת גישה גמישה יותר ומגיבה יותר. "החיוניות של הביקורת הפנימית מעולם לא הייתה גדולה יותר, לכן פיתחנו תהליך המאפשר דיווחים בתדירות גבוהה יותר לגבי הסטטוסים של משימות הביקורת וכדי להציף מחסומים פוטנציאליים לצוות ההנהלה הבכירה. בנוסף, ביצענו בדיקות בריאות הבקרות בזמן אמת, ושמנו את הדגש על אזורים בחברה בעלי סיכון גבוה, על מנת לספק הבטחה במועד שהתהליכים פועלים כמתוכנן. בדיקות בריאות אלו לוקחות בחשבון סיכונים במגמת עלייה – למשל, הן לוקחות בחשבון שעבודה מהבית עלולה להשפיע על סביבת הבקרה".

הסביבה תיצור מגמות חדשות מבחינת היקפים עסקיים, הכנסות, עלויות ומדדי סיכונים פיננסיים ותפעוליים אחרים. כתוצאה מכך, נוהלי ניתוח הנשענים על השוואות מול נתונים היסטוריים, וכן ניתוחי מגמות מבוססי תקציב או נתוני שנה קודמת, עלולים להיות לא מהימנים. כמו כן כדאי לשקול קיום "בקרות מינימליות" המקובלות בסביבות בקרה הנמצאות תחת לחץ אדיר ובתהליכים עסקיים הנמצאים בתהליך פיתוח וניטור.

מבט קדימה

מספר חידושים ושיפורים מבוססי-צורך לטווח הקצר, המיושמים על ידי מבקרים פנימיים כתוצאה ישירה של המשבר, עשויים להישאר על כנם ולהפוך ל"מצב הנורמלי החדש". הסדרים גמישים לעבודה מרחוק עם פחות יחסי גומלין פנים אל פנים עשויים להמשיך, ומאגר הרבה יותר גדול של כישרונות יהיה זמין ללא המגבלה הגיאוגרפית של "נוכחות פיזית". צוותי הביקורת הפנימית יצטרכו לקחת בחשבון בתהליכי הערכות סיכונים את הפוטנציאל – נמוך ככל שיהיה – לאירועי "ברבור שחור" בעלי השפעה גדולה. באופן ספציפי, במספר מוסדות פיננסיים גלובליים יש התמקדות מוגברת בסיכונים פורצים או באיומים חיצוניים (כגון שינוי אקלים), שבדומה למגפת הקורונה מתפתחים כל הזמן והם קשים למדידה. כיום, יותר מתמיד, חשוב להתעדכן לגבי סיכונים אלה ולשקול איך לספק כיסוי ביקורת עבורם.

מחלקות הביקורת הפנימית יכולות לסייע לארגונים לשפר את היכולות שלהם לחוש סיכונים ולזהות איתותים מהשוק בצורה טובה יותר, במיוחד תזוזות קריטיות בסביבה העסקית העלולות להשפיע על סיכונים. מבקרים פנימיים ראשיים אומרים שבעלי העניין ימשיכו לצפות למנהיגות חשיבתית וליוזמות מצד הביקורת הפנימית כדי לעזור לארגון להישאר בטוח אבל עדיין תחרותי. התמיכה והשותפות מצד הביקורת הפנימית, יחד עם בעלי תפקידים אחרים במהלך המשבר, עשויות להגביר את ההוקרה ההדדית על תפקידיהם של שני הצדדים ואת האמפתיה ביניהם, לצמצם מחלוקות ולהגביר את שיתוף הפעולה. כפי שאמר אחד המבקרים, "המצב יוצר הזדמנות ללחוץ, לפחות חלקית, על כפתור האיפוס של היבטים של התפקיד שכרגע אינם מתיישבים באופן מעשי עם הכינוי יועץ ושותף מהימן".

The post חדשנות בעת משבר appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.