ארגונים רבים במגזר העסקי, ובאופן חלקי גם במגזר הציבורי[1], מחויבים מכוח חקיקה ורגולציה לערוך סקר סיכונים ולעצב מדיניות ותהליכים לניהול סיכונים. כלי ניהול מתקדמים אלה הם גם כליו של המבקר הפנימי בבואו להציע תכנית ביקורת – תכנית עבודה שנתית ורב-שנתית של הביקורת הפנימית , בעת הערכתו את האפקטיביות של הבקרה הארגונית ושל עוצמת הממצאים שחשף.

הערכה וניהול סיכונים כבר מהווים חלק מהתרבות התאגידית-ארגונית. אך מהי "תרבות ארגונית"?

מטרת המאמר היא לנתח ולהבהיר מונח זה, ולהצביע על כלי ניתוח ומדידה הקשורים לתרבות ארגונית, ועל הצורך בבדיקת נושאים הקשורים לתרבות ארגונית ועשויים להצביע על סיכונים מהותיים, ובכך לסייע למבקר הפנימי בעבודתו. תרבות ארגונית נכונה תצביע על "גורמי שורש" לממצאים רבים, ובהם גורמי שורש לפגיעה באפקטיביות של תהליכים.

הבנה מעמיקה של התרבות הארגונית עשויה לתרום לעבודתם של מבקרים פנימיים, למנהלי סיכונים, לקציני ציות בתאגידים, וכן לשומרי הסף והרגולטורים.

תרבות ארגונית וסימניה

אדגר שיין (Edgar Schein)[2] הציע מודל להגדרת המונח "תרבות ארגונית", ונתן לראשונה כלים פרקטיים למדידה ולהערכה של התרבות הארגונית. על פי התיאוריה שלו[3], תרבות ארגונית היא אוסף של נורמות וערכים המשותפים להנהלה ולעובדים, היוצרים את הבסיס ללכידות ולשיתוף פעולה. תרבות ארגונית מסייעת לעובדים ולמנהלים בארגון לחזק את הלכידות ואת שיתוף הפעולה באמצעות ערכים ואמונות משותפים, באמצעות מיתוסים, אתוס ארגוני, טקסים, שפה, לעתים מדים או קוד לבוש, וכן תוצרי תרבות אחרים המיוחדים לארגון[4]. זהו "הדבק הארגוני" – האחדות והלכידות הארגונית, מידת ההזדהות עם הארגון ועם הנהלתו. תרבות ארגונית מייצרת את התדמית הארגונית.

תרבות ארגונית חיובית וביצועים עסקיים טובים יותר

מחקר[5] שבחן ביצועים בקרב 500 החברות במדד סטנדרד אנד פורס (Standard & Poor's) קובע כי יש קשר בין תרבות ארגונית חיובית לביצועים עסקיים טובים יותר. המחקר מעלה כי ככל שהעובדים מאמינים שההנהלה הבכירה בעלת ערכים של יושרה והתנהגות אתית, כך ביצועי הארגון והתוצאות העסקיות טובות יותר.

פערים בתרבות הארגונית כסיכונים

תחום זה של תדמית, לכידות ו"דבק ארגוני", הוא המבחן המשמעותי של התרבות הארגונית וטמונים בו גם סיכונים. מועצת המנהלים של הארגון והנהלתו הבכירה מייצרות ומשווקות סמלים, אסטרטגיה, החלטות על מדיניות, נהלים וערכים. שדרים פורמליים וא-פורמליים אלה, המנחים את הארגון ומנותבים מלמעלה למטה TOP-DOWN)), הם מרכיבים ברי מדידה, והם גם מבחן חשוב לתרבות הארגונית – האם אותם שדרים חלחלו, נקלטו ונטמעו בארגון? וחשוב לא פחות – האם שדרים על היעדר הטמעה עלו כלפי מעלה (BOTTOM-UP), כלומר האם מקבלי ההחלטות ערים לפערים ולכשלים בהטמעה?

בנוסף, במאה ה-21 גברה מאוד חשיבות המענה לשאלה האם השדרים חלחלו אף לבעלי העניין שמחוץ לארגון: לתודעת לקוחות, בנקים, ספקים ואף לציבור הרחב.

מבחן חשוב לא פחות של התרבות הארגונית הוא התרבות הארגונית הלא פורמלית שמועצת המנהלים וההנהלה הבכירה, באופן לא מודע, "מייצרים ומשדרים" כלפי ציבור המנהלים והעובדים. שדרים לא פורמליים, כגון כוחנות יתר, חוסר סובלנות לטעויות, שיפוט מהיר, תחרותיות חזקה על חשבון לכידות, ערך יתר לתוצאות על חשבון התהליך, חוסר יושרה ועוד, כל אלה יוצרים חוסר אמון ופוגעים בלכידות הארגונית.

פערים גדולים בין עמדות ההנהלה הבכירה (כולל שדרים לא פורמליים) לבין עמדות העובדים בדרגים השונים (כולל הבנות לא פורמליות של העובדים בנוגע ל"התנהגות" ההנהלה) צריכים להעלות סימני אזהרה. ככל שהפערים גדולים יותר, ניתן לומר שהתרבות הארגונית הפורמלית–ממוסדת היא "חלולה", הצהרתית ומעלה ספק באשר לאמינותה ויישומה. פערים גדולים יוצרים סיכונים אסטרטגיים-תדמיתיים לארגון, ראוי לאתר ולהתמודד עם סיכונים אלו מבעוד מועד ובכלים הראויים.

יש דוגמאות רבות לפערים שלעיל. אחת מהן היא מתחום מניעת הטרדות מיניות. ארגונים רבים מצהירים על מאבק פומבי בהטרדות מיניות. הצהרות ופעולות אלה, תוך הקפדה פורמלית על הוראות החוק[6], באות לשדר תרבות ארגונית בעלת גישה מגדרית מתקדמת הדואגת לכבוד האדם. אך אפשר שציבור העובדים, הלקוחות וגם הציבור הרחב אינו מאמין בשדר של הנהלת הארגון, וסבור שהמציאות בארגון שונה, כלומר שיש מראית עין של הצהרות, ולעומתה המציאות עגומה ושלילית. פער זה בין המוצהר-הפורמלי לבין המציאות הנתפסת מהווה סכנה מהותית, סכנה אסטרטגית-תדמיתית, משפטית וציבורית לארגון, ויש למדוד אותה ולהתריע עליה. זאת בהחלט סוגיה שהמבקר הפנימי עשוי להידרש אליה, שכן אבחון ומדידת הפער בתחום התרבות הארגונית, בין המוצהר והפומבי לבין "השדרים" הלא פורמליים שהעובדים והציבור תופסים או חשים, עשוי לסייע בהערכת סיכונים: בעיקר סיכוני תדמית שעלולים להפוך לסיכונים אסטרטגיים.

תחום התרבות הארגונית כתחום חדשני בעבודת המבקר הפנימי

האם על הביקורת הפנימית לעסוק בתחום התרבות הארגונית וסיכוניה כחלק מניהול הסיכונים הארגוני, או כגורם שורש לסיכונים שונים בארגון? תשובה לכך מציע איגוד המבקרים הפנימיים בבריטניה[7]. נייר עמדה שפורסם ועוסק בתחום התרבות הארגונית, קובע כי יש לגייס את הביקורת הפנימית לסייע למועצות המנהלים בהקשר של סוגיות בתרבות הארגונית: מועצות המנהלים צריכות משוב על כך שהתרבות הארגונית אכן הושרשה, ושהמבקר הפנימי יכול לבדוק, להתריע ולספק מידע על פערים (אם ישנם). תמיכה ברורה בכך מספק ריצ'רד ציי'מברס[8], נשיא ומנכ"ל ה-IIA. בנייר עמדה שלו קובע צ'יימברס כי יש כאן חזית חדשה לביקורת הפנימית, וכי לא ניתן לבצע שירותי ביקורת ללא בדיקת כשלים בתרבות הארגונית.

כלים למדידה והערכה משולבת של סיכונים בהקשר של תרבות ארגונית

השלב הראשון הוא השלב של הכרת הארגון לעומקו, בדגש על הכרת התרבות הארגונית. השלב הזה מחייב, בין היתר, השתתפות של המבקר כמשקיף בדיוני ההנהלה, שיחות לא פורמליות עם מנהלים ועובדים בדבר "פערים" בין "השדרים" של מועצת המנהלים וההנהלה לבין התחושות וההבנות ב"רמת השטח". שלב זה יוצר מעין ראייה מערכתית והסקת מסקנות ותובנות שחלקן עשוי להיות בצד האינטואיטיבי גרידא. בנוסף, שלב זה מסייע למבקר לתכנן תכנית עבודה שנתית ורב-שנתית המשלבת נושאים מהותיים מתחום התרבות הארגונית.

לאחר מכן מתחיל השלב הריאלי-אנליטי: שימוש בכלים אנליטיים למדידה והערכה של התרבות הארגונית ושל הסיכונים הכרוכים בכשלים בתחום זה.

בשלב האנליטי, הכלי הראשון למדידת התרבות הארגונית הוא פורמלי: תהליך של איסוף ועיון במסמכי הארגון. כלומר איסוף וניתוח של מסמכי חזון, אסטרטגיה, מדיניות, תקנונים, נהלים, הנחיות, החלטות, וכדומה. לדוגמה, האם בארגון קיים קוד אתי והנחיות להטמעתו; האם לארגון יש ממונה על סיכונים והנחיות ונהלים בנדון; האם לארגון יש מדיניות וכלים לטיפול בתלונות; האם הארגון מפרסם "דוח אחריות ציבורית וחברתית" ומה כולל הדוח[9]. במילים אחרות – הכלי האנליטי הראשון מאתר ומנתח את המסרים הפורמליים-רשמיים של התרבות הארגונית שהנהלת הארגון שואפת להעביר למנהלים, לעובדים ולבעלי העניין.

כאמור, המסר הפורמלי לא בהכרח הוטמע ומיושם בשטח. לכן יש חשיבות לכלי השני – תהליך של מדידה אנליטית-ניתוחית. כלי זה בנוי על שאלונים וראיונות מובנים[10] בקרב מנהלים לדרגיהם, עובדים ולקוחות. אלה יימדדו, ויצביעו על המצב התפיסתי-סובייקטיבי: מדידה של גודל ועוצמת הפער בין המוצהר לנתפס בעיני הציבור הרלוונטי, וככל שהפער ניכר, כך הסיכון משמעותי יותר.

הכלי השלישי תומך בכלי השני, ובאמצעות ניתוח שונה של מידע (רצוי ניתוח כמותי), נועד למדוד ולהמחיש פערים. לדוגמה, ניתוח כמותי וערכי של תלונות העובדים והציבור[11].

כאמור, שילוב שלושת הכלים האנליטיים, הוא זה שיוצר שיטה/מתודולוגיה/כלי בארגז הכלים של המבקר בבואו לבחון סוגיות בנושא התרבות הארגונית.

מדדים מרכזיים לבחינה משולבת של הטמעת התרבות הארגונית

לשם הרחבה והמחשה, בטבלה מוצגים מדדים (לדוגמה) ששילוב שלהם מאפשר ניתוח אנליטי לשם בחינת הטמעת התרבות הארגונית:

תרבות ארגונית במגזר הציבורי – איתור סימנים לכאורה לכשל וחשש לשחיתות

סקרים ומחקרים בדבר עמדות דעת קהל[16] מעלים שהציבור סובר כי התרבות הארגונית בחלק ניכר ממוסדות במגזר הציבורי: משרדי הממשלה, תאגידים ציבוריים-סטטוטוריים, חברות ממשלתיות והשלטון מקומי, היא למעשה תרבות ארגונית כושלת וכי יש פער תדמיתי ניכר בין המוצהר לנתפס בקרב הציבור. לא מדובר רק בפער תדמיתי. ניתוח של פרשות שחיתות ובהן: פרויקט הולילנד; נתיבי ישראל; נתיבי איילון; החטיבה להתיישבות; משרד התיירות; קופת חולים מאוחדת; חברת החשמל; נמל אשדוד; רכבת ישראל; מינויים פוליטיים במשרד להגנת הסביבה; שחיתות של ראשי ערים, סגני ראש עיר; ועוד. כל הפרשיות הללו מעלות סימנים המעידים לכאורה על תרבות ארגונית מושחתת[17].

לעניין זה, ראוי לצטט את דבריו של מבקר המדינה, השופט בדימוס מיכה לינדנשטראוס, שבפתיח לדוח ביקורת על קופת חולים מאוחדת[18] מסוף שנת 2010, ציין כדלקמן: "התמונה המצטיירת מממצאי הביקורת הנוגעים לתפקודה של הקופה במשך שנים לא מעטות, מצביעה על תרבות ארגונית קלוקלת, הנמשכת זה שנים, ועל חריגות חמורות מאוד מכללי מינהל תקין וליקויים המעוררים חשש לזילות כספי הציבור ובמקרים מסוימים אף חשש לפגיעה בטוהר המידות. חריגות וליקויים אלה התאפשרו בשל כשל ניהולי מתמשך של כלל מערכי הקופה – המוסדות המפקחים ודרגי הניהול הבכירים"[19].

סימנים אלה של שחיתות ארגונית קיימים בעיקר במגזר הציבורי ופחות במגזר העסקי. יש לכך מגוון רחב של  סיבות, ובהן ניתן למנות את הסיבות הבאות:

המגזר העסקי נתון לרגולציה מרובה (ישראלית ובינלאומית) ולחובות שמירה הדוקה על כללי בקרה ופיקוח והוא מחויב בשקיפות; המגזר העסקי נמצא בדרך כלל בסביבה תחרותית המחייבת אותו לתגובה מהירה ולשאיפה מתמשכת לשרידות תוך השתנות ארגונית, חדשנות וניידות של מנהלים ועובדים. המבחנים להצלחה של המגזר העסקי הם ברורים ופשוטים למדידה: תפוקות, מצב כספי, רווח, נזילות וחדשנות. בנוסף, "בעלי העניין", הבנקים והספקים, פוקחים עין על התאגיד.

לעומת זאת, מבחני ההצלחה במגזר הציבורי מורכבים יותר. סביבת הבקרה של העובד עמומה יותר[20], ושרידותו אינה תלויה בתפוקותיו. בנוסף, המגזר הציבורי ברובו מונופוליסטי-פוליטי ושרידותו של העובד כמעט מובטחת. כמו כן, במגזר הציבורי רווחים מינויים פוליטיים של ההנהלות, שפעמים רבות אינן נבחנות בהצלחות כלכליות ובהוכחת כושר ניהול, אלא בקשרים, בהפעלת שיקולים פוליטיים, בשינויים מועטים במבנה ובארגון, ועוד. הקביעות של העובדים במגזר הציבורי מובילה לניידות מועטה עקב הגנות באמצעות ועדי עובדים. העוצמות הבלתי סבירות של חלק מוועדי העובדים "היושבים על השלטר" בארגונים ממשלתיים, מובילה לתרבות ארגונית קלוקלת שנמשכה שנים רבות ואפשרה ריבוי קרובי משפחה בארגון ועוד רעות חולות.

ריבוי סימנים אלה ואחרים בארגון ממשלתי כלשהו, צריך להדליק "נורות אדומות" אצל שומרי הסף והרגולטורים.

הנה כי כן, על גורמי הפיקוח והבקרה, ובכלל זה מבקר המדינה, החשב הכללי, נציבות שירות המדינה, הממונה על השכר, רשות החברות הממשלתיות, מבקרי הפנים ורואי החשבון, ובתחום הפלילי הפרקליטות והמשטרה, לתת דעתם  להצטברות אותם סימנים בארגון ציבורי זה או אחר ולבנות בהתאם תכנית פיקוח, בקרה, ביקורת וחקירה מוכוונת.

תשומת לב מיוחדת נדרשת לשלטון המקומי. בנוסף על האמור לעיל, עקב הליכי בחירת ראשי מועצה בבחירות אישיות המחייבות מקורות מימון ניכרים, יש חשש לקיומן של עסקאות "הון-שלטון", במיוחד בתחומי התכנון והבנייה, קבלה והעדפת מקורבים, וכדומה.

תובנות ומסקנות

במגזר העסקי: הליכי קביעת תכנית  העבודה של המבקרים הפנימיים במגזר העסקי, הם הליכים מרכזיים-רוחביים חוצי ארגון. במגזר העסקי, מבקרים פנימיים רבים שמים דגש מיוחד על בדיקתם של סיכונים תפעוליים, כספיים ומשפטיים בתחומים הבאים: שרשרת האספקה-רכש, מלאי, תחום הניהול והבקרה הכספיים, תחום משאבי אנוש, תחומי סייבר ו-IT, וכדומה. לעומת זאת, באשר לבחינת הסיכונים במישור התרבות הארגונית, הדגש הוא דווקא על תהליכי עומק: בחינה של תהליכים מלמעלה למטה ((TOP- DOWN, וחשוב לא פחות, מלמטה למעלה BOTTOM-UP)ׂׂׂ).

הבדיקות מתמקדות בלכידות וב"דבק הארגוני", באמונה של העובדים ולעתים של בעלי העניין (לקוחות בנקים, ספקים) – בקוהרנטיות הארגונית. הבדיקה בוחנת למעשה את האמונה בניהול ובהנהגה הבכירה ביותר של הארגון: מועצת המנהלים, המנכ"ל וסגל הניהול הבכיר. בדיקת התרבות הארגונית עשויה להעלות סדקים שפירושם סימני התרעה בדבר סיכונים אסטרטגיים, בדבר כשל ניהולי ובדבר תרבות ארגונית המחייבת התייחסות ותיקון מהיר. בדיקות אלה מוליכות את המבקר הפנימי, ועמו ההנהלה הבכירה, לחשבון נפש ניהולי בנוגע לאותם סיכונים אסטרטגיים.

מבקר פנימי שיעסוק בתחום התרבות הארגונית הוא מבקר חדשן הנכנס לתחום סיכונים חדש ומהותי. יותר מזה, במציאות החשיפתית-תקשורתית של המאה ה-21, נדרש מהמבקר הפנימי להיכנס לתחום שיש עמו תמורה: הבאת ערך מהותי להנהלת הארגון בדבר הסיכונים האסטרטגיים המתהווים.

במגזר הציבורי: סימנים מצטברים המצביעים על סיכון גובר לכשל בתרבות ארגונית של גוף ציבורי, יכולים לשמש "מורה דרך" לצורך בבדיקות עומק בגוף הציבורי הזה, הכוללות בדיקות הנוגעות לסוגיות של טוהר המידות ועוד. יש בכך מעין יצירת מד סיכונים – "מפת דרכים" לכל הרגולטורים ושומרי הסף במגזר השלטוני, ובהם גם למבקר הפנימי, שתסייע להם לאתר, לבדוק, לבקר ולחקור סיכוני שחיתות פוטנציאליים באותם גופים שלטוניים.

[1] בתאגידים הסטטוטוריים הציבוריים אין הנחיה גורפת באשר להערכה וניהול סיכונים. במשרדי הממשלה החלו לעסוק רק בסיכונים תפעוליים, חברות ממשלתיות ושירותי הבריאות (קופות החולים) מחויבות לנהל סיכונים, במגזר השלטון המקומי אין הנחיות גורפות באשר להערכת סיכונים וניהולם.

יצויין כי ההמבקר הפנימי מחויב לבצע סקר סיכונים בהתאם לתקנים המקצועיים של ה- IIA – לשכת המבקרים הפנימיים העולמית, אשר תורגמו ואומצו במלואם בישראל ע"י IIA ישראל-איגוד מבקרים פנימיים בישראל.

• .Organizational Culture and Leadership in Classics of Organization Theory, Edgar Schein. (1993), Jay Shafritz and J. Steven Ott, eds. 2001. Fort Worth: Harcourt College Publishers. p. 45

[3]  קיימות גם תיאוריות אחרות.

[4] דוגמה בולטת לכך ניתן להביא מהמישור הצבאי: חטיבות בצבא על גדודיהם, פלוגותיהם ומחלקותיהם מייצרים ערכים, אמונות, טקסים, מיתוסים ואתוס ארגוני שיוצרים תרבות ארגונית –"דבק" ארגוני. תרבות זו נבחנת בשגרה ובאימונים, ונבחנת במיוחד במבצעים צבאיים ובמבחן המהותי ביותר – בעת מלחמה.

[5] The Value of Corporate Culture, Luigi Guiso, Paola Sapienza and Luigi Zingales, Journal of Financial Economics, 2013.

[6] חוק למניעת הטרדה מינית, תשנ"ח-1998.

[7] Chartered Institute of Internal Auditors: Culture and the role of internal audit – looking below the surface, 2014.

[8] Auditing the Organizational Culture: A New Frontier for Internal Audit, 6/2014.

[9] האם הוא כולל התייחסות לקידום נשים וסוגיות מגדר, מאבק בהטרדות מיניות, סוגיות של העסקת  אוכלוסיות חלשות, מאבק בשחיתות, עידוד עובדים לחשיפה של מעשי שחיתות, נתונים על זיהום סביבתי שהארגון יוצר, נתונים על תמיכות בפעילות חברתית, וכדומה.

[10] שאלונים וראיונות המבוססים על סדרת שאלות זהות, הבנויות על סולמות כמותיים, שאותן ניתן לכמת, למדוד ולהציג.

[11] ניתוח כזה כולל: משך הזמן למענה, על מה נסובו עיקרי התלונות, כמה תלונות נמצאו מוצדקות   בראיה רב שנתית ושנתית, האם יש מגמות שיפור, וכדומה.

[12] ניתן להוסיף לכל העמודה הזאת כמקור מידע את  דוחות הביקורת, עיון בדוחות ביקורת פנימית וחיצונית בכל נושא ונושא ועוד מקורות

[13] ניתן להרחיב כלי מדידה אלה של שאלון/ראיון מובנה גם לקהלים מחוץ לארגון.

[14] ככל שהתרבות הארגונית טובה  הרי שהנהלים משתנים ונגזרים ,במהרה, מתוך מסמכי  המדיניות החדשה ; וככל שיש פער בהטמעה עשויה לעלות המסקנה על פערים בהפנמה

[15] ישנם ארגונים שנוסף על הוראות החוק קובעים קוד מרחיב, וולונטרי. הקוד עשוי לכלול: הוספת נורמות או דרכים ליישום הנורמות שבדין; הקוד מנוסח בבהירות ולא רק בשפה משפטית והוא מפורט דיו בנוגע לתחום ההתנהגות המוסדרת; הקוד מנוסח בשיתוף עם בעלי העניין בתוכני הקוד; וכדומה.

[16] ביצועי המגזר הציבורי בישראל: ניתוח עמדות אזרחים והערכת מצב לאומית, אונ' חיפה והנגב ,(2014).

[17] קיים  מדרג של רמות שחיתות: החל מרמת שחיתות ראשונית – רמת השחיתות האישית של עובד זוטר; רמת שחיתות אישית של מנהל; וכלה ברמת שחיתות ארגונית – ארגון מושחת ועמו כשל מהותי של הפיקוח והבקרה.

[18] דוח מיוחד על קופת חולים מאוחדת – פגמים מהותיים בסדרי ניהול, פיקוח ובקרה – סוף 2010.

[19] כך לאחרונה הגישה הפרקליטות 11 כתבי אישום בנדון.

[20] לשם המחשה – במשרדי הממשלה ותאגידיה הסטטוטוריים אין עדיין מערכת של ניהול והערכת סיכונים; אין מערכת הדגשים ודרישות בקרה כמו COSO; אין כללים וחובות בקרה דמויי ISOX; הדוחות הכספיים של הממשלה אינם נמצאים תחת בקרת רואה חשבון, וכדומה.

The post תרבות ארגונית ככלי להערכת סיכונים וניהולם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

 סעיף 10 לחוק הביקורת הפנימית, תשנ"ב-1992 (להלן: "חוק הביקורת הפנימית") קבע את עיקרון אי-קבילות חומרי הביקורת הפנימית בהליכים המתקיימים בבית המשפט כהאי לישנה:

"(א) דוח, חוות דעת או כל מסמך אחר שהוציא או הכין המבקר הפנימי במילוי  תפקידו לא ישמשו ראיה בכל הליך משפטי, אך לא יהיו פסולים בשל כך לשמש ראיה בהליך משמעתי.

(ב) הודעה שנתקבלה אגב מילוי תפקידיו של המבקר הפנימי לא תשמש ראיה בהליך משפטי, אך תהא כשרה לשמש ראיה בהליך משמעתי."

מטרת מאמר זה היא לבחון היבטים שונים של יישום ההוראות הנ"ל בקשר לקבילות דוחות, חוות דעת, מסמכים שהוכנו או הוציא המבקר הפנימי, או הודעות שקיבל אגב מילוי תפקידיו (להלן: "חומרי ביקורת פנימית") לפי חוק הביקורת הפנימית, לעומת הפסיקה המקבילה המתייחסת לקבילות, לפי חוק מבקר המדינה תשי"ח-1958 [נוסח משולב] (להלן: "חוק מבקר המדינה"). הקשר בין קבילות הראייה בהליך משפטי לבין גילוי הראיה ומתן אפשרות לעיין בה, מה הרציונל שעמד מאחורי חקיקת הוראות אלו, וכיצד היא נשחקה במשך השנים בפסיקת בתי המשפט.

הטענה העיקרית של המאמר מצביעה על כך שמגמת הפסיקה בישראל בעת יישום הוראת סעיף 10 לחוק הביקורת הפנימית, הושפעה מהנהוג במשפט האנגלו-אמריקני, כלומר צמצום הסייגים החלים על קבילותן של ראיות, וזאת כדי להותיר בידי בית המשפט את הסמכות להחליט על משקלה של הראיה. כלומר, במקום המחסום, שהיקפו הולך ומצטמצם אט אט, מתפתחת גישה המבכרת בדיקה עניינית של הראיה על ידי הערכאה השיפוטית^[1].

מגמה זו החלה עת בית המשפט מצא להבחין בין כללי הקבילות לכללי החיסיון. בהסרת החיסיון על חומרי ביקורת פנימית החל הכרסום גם בכללי הקבילות.

עמדת כותב מאמר זה היא שמדובר במגמה שלילית, ושיש "להחזיר עטרה ליושנה" ושכדי לחזק את מעמדו ואת אי תלותו של המבקר, יש לחזק את עיקרון אי הקבילות של חומרי ביקורת פנימית שהוציא או הכין מבקר פנימי במילוי תפקידו, גם אם אגב כך יידרש לקבוע כללי חסינות כדי "לסתום" את הפרצות המדאיגות שהתרחשו בכרסום כללי הקבילות במשך כחצי יובל על ידי החלטות של הערכאות הדיוניות.

מה בין קבילות, חיסיון והרציונליים העומדים בבסיסם

מבין קשת התכליות הקיימות בכל הליך שיפוטי באשר הוא, יהא זה הליך פלילי או אזרחי, חשיפת האמת נחשבת ל"מטרת-על". תהליך חשיפת האמת מתבסס בין היתר על ידי מימוש הזכות של בעל דין לעיין במסמכי הצד שני. גילוי ועיון במסמכי היריב מאפשרים לשני הצדדים בהליך האדוורסרי לפעול בצורה המיטבית על בסיס אינפורמטיבי רחבי יותר.^[2]

כיום הגישה המקובלת בפסיקה היא שזכות העיון היא אחד מהמרכיבים של זכות הגישה לערכאות, זכות מוגנת על פי חוקי היסוד[3]. בבסיס אותה זכות עיון, שמולה עומדת חובת הגילוי, קיימים שני אינטרסים. אינטרס היעילות – המאפשר לבעלי הדין באמצעות הגילוי להכין את התשתיות הראייתיות והעובדתיות לתביעות או להגנות שהם מגישים לבית המשפט בלי שיעלה חשש שהן יופתעו מראיות חדשות שיגיש הצד השני לבית המשפט. אינטרס גילוי האמת – חשיפת המסמכים לצד שכנגד מסייעת בחשיפת האמת העובדתית.

כתוצאה מכך נעשתה הבחנה בפסיקה בין שאלת הקבילות לבין שאלת החיסיון[4]. חיסיון משמעו מניעת גילוי. מסמך הנהנה מחיסיון לא ייחשף לעיני בעל הדין. כמוהו כמסמך הנותר בחשכת המגירה. כל מסמך חסוי הוא בלתי קביל. אך לא להיפך: יכול שמסמך יהיה לא קביל בהליכי בית משפט, אך אין משמעות הדבר שהמסמך ייהנה מחיסיון. קבילות לחוד וחיסיון לחוד – קבילות במובן של Admissibility וחיסיון במובן של היפוכו של גילוי (Disclosure), במובן של פטור או חסינות מפני עיון (Privilege). אי-קבילות נועדה למנוע מבית המשפט מלבסס ממצא על ראיה בלתי קבילה, בעוד חיסיון נועד למנוע מבעל דין מלעיין במסמך. יש שבעל דין יהיה זכאי לעיין במסמך לא קביל, גם אם לא יהא רשאי להגישו בשל אי-קבילותו, על מנת לעשות בו שימוש לצורכי המשפט.^[5]

על בסיס הבחנה זו קבע בית המשפט העליון שלא קיים חיסיון על חומרי ביקורת פנימית בעניין אזולאי[6] :

"גילוי מסמכים משתרע על כל 'המסמכים הנוגעים לעניין הנידון' (תקנה 112 לתקנות סדר הדין האזרחי, תשמ"ד-1984). על צד לגלות כל אותם מסמכים, אשר סביר להניח כי הם כוללים מידע אשר יאפשר לצד, במישרין או בעקיפין, לקדם את העניין נשוא התובענה… נמצא כי הרלבנטיות של מסמך לעניין גילויו רחבה יותר משאלת קבילותו במשפט. הרלבנטיות לצורכי גילוי היא במידת האור שהמסמך עשוי לשפוך על המחלוקת שבן הצדדים".

משנקבע שחומרי ביקורת פנימית אינם חסים תחת שום חיסיון, מסתבר שגם נושא אי- קבילות חומרים אלו בין כותלי בית המשפט הלך ונשחק בפסיקה של הערכאות הדיוניות במשך חצי יובל מאז חקיקת חוק הביקורת הפנימית.

חוק מבקר המדינה

סעיף 10 לחוק הביקורת הפנימית שאב את עקרון אי הקבילות מההסדר הקבוע בסעיף 30 לחוק מבקר המדינה. הקשר בין שני הוראות חוק אלו הוזכר בדברי ההסבר לחוק הביקורת הפנימית, המפנה באופן ישיר לחוק מבקר המדינה:

"מוצע לקבוע כי ממצאים שהכין המבקר לא ישמשו ראיה בהליך משפטי, כפי שהדבר חל לגבי דוחות וחוות דעת של מבקר המדינה."

ההבדל היחיד בין שני החוקים מתייחס לקבלת חומרי ביקורת של המבקר הפנימי כראיה בהליך משמעתי, בעוד שבמסגרת חוק מבקר המדינה לא קיימת החרגה של הליכים משמעתיים.[7]

מוסד מבקר המדינה הוקם כדי לסייע בתחומים מסוימים המצריכים ביקורת, הפקת לקחים ותיקון מקום שבו מנגנוני הפיקוח והביקורת הקיימים אינם יעילים (במיוחד הכנסת ומערכת המשפט). כתוצאה מכך נוצר צורך לקבוע מנגנון בלתי תלוי, יעיל ובעל כושר מענה מהיר, הן לתחומי ביקורת יזומים והן לתלונותיהם של האזרחים.

עם יצירת מנגנון שמטרתו לאתר ליקויים ולהוות גורם בלתי תלוי ובלתי אמצעי בין הרשות לבין האזרח, חשוב היה לקבוע שלא ניתן להשתמש בדוחות שמפיק המבקר בבית המשפט, מתוך חשש כי הדבר יפגע ביכולת עבודתו של המבקר.

חוק מבקר המדינה המקורי לא כלל הוראת אי-קבילות, וזו הוספה רק בתיקון מס' 5 לחוק מבקר המדינה, תשכ"ט-1969.[8]

התיקון, בנוסחו הראשון, הוסיף לחוק את סעיף 30 הקובע להלן:

"30. עדות שגבה המבקר ודין חשבון, חוות דעת או מסמך אחר שהכין או הוציא במילוי תפקידיו, לא ישימו ראיה בהליך משפטי או משמעתי, לרבות הליכים בפני ועדת חקירה, חוץ ממשפט בפלילי בשל מסירת אותה עדות שנגבתה בשבועה או בהן צדק."

בדברי ההסבר לתיקון לחוק נאמר:

"אגב תיקון חוק מבקר המדינה מוצע להוסיף בו הוראה, שהייתה חסרה עד כה, בעניין כוחו הראייתי של חומר שהכין מבקר המדינה או עדות שגבה או גב מילוי תפקידו. הוראה בדומה לכך מצויה בסעיפים 14 ו-22 לחוק ועדות חקירה, תשכ"ט-1968, ומטרתה היא לאפשר למבקר המדינה לאסוף מידע באופן חפשי ולנותן המידע – למסרו באופן חפשי ללא חשש שהדבר ישמש ראיה משפטית. יצוין כי הוראה זו היא כללית והיא חלה הן לגבי מילוי תפקידי הביקורת הקיימים והן לגבי מילוי התפקיד החדש של בירור התלונות."

סעיפים 14 ו-22 לחוק ועדות חקירה, תשכ"ט-1968, קובעים כדלהלן:

14. עדות שנמסרה לפני ועדת חקירה או לפני מי שהוטל עליו לאסוף חומר כאמור בסעיף 13, לא תשמש ראיה בהליך משפטי, חוץ ממשפט פלילי בשל מסירת אותה עדות.
15. דין וחשבון של ועדת חקירה לא ישמש ראיה בכל הליך משפטי. 

אופן הפרשנות והרציונלים העומדים מאחורי השיקולים שצריך לשקול השופט בבואו לדון בסעיף זה, תוך בחינת משפט משווה בין השיטה הישראלית והרציונלים הקיימים בחובה לבין השיטות האמריקניות והאנגליות, נידונו בהרחבה בעניין יפת^[9]. נקבע בפסיקה לגבי סעיפים אלה כי עניין גילוי מסמכים והעיון בהם אינו גורף, שכן שיטת המשפט הישראלית אינה דוגלת בכלל טוטאלי של חשיפת האמת ועשיית צדק בכל מחיר בבחינת fiat justicia et pereat mundus (צדק במחיר חורבן העולם)[10].

בנוסחו השני של הסעיף (חוק מבקר המדינה (תיקון מס' 5), תשל"א-1971) התבצעה חלוקה של הסעיף לשני חלקים וכך נקבע:

"(א) דוחות, חוות דעת או כל מסמך אחר שהוציא או הכין המבקר במילוי      תפקידיו לא ישמשו ראיה בכל הליך משפטי או משמעתי.

(ב) הודעה שנתקבלה אגב מילוי תפקידיו של המבקר לא תשמש ראיה בהליך משפטי או משמעתי, חוץ ממשפט פלילי בשל מסירת עדות בשבועה או בהן צדק, שהושגה מכוח הסמכויות האמורות בסעיף 26."

התפתחות פסיקתית

ככל הנוגע לסעיף 30 לחוק מבקר המדינה, מגמת בתי המשפט הייתה[11] ועודנה[12] פרשנות דווקנית למדי של הסעיף[13]. לעומת זאת, מצאנו בסקירת הפסיקה בקשר לסעיף 10 לחוק הביקורת הפנימית נכונות הולכת וגדלה של ערכאות דיוניות לצמצם את תחולת החוק, לדוגמה:

1. בת"פ (ת"א) 4202-09 מדינת ישראל/פרקליטות מחוז תל־אביב (מיסוי וכלכלה) נ' שלמה רכט, התביעה ביקשה מהשופט צבי גורפינקל מבית משפט המחוזי בתל אביב להשמיע כעד עובד בנק ישראל האחראי לפיקוח על הבנקים. עוד בטרם עלה העד להעיד הושמעו התנגדויות לשמיעת עדותו, משום שהדוח שערך כולל בתוכו ממצאים של דוחות ביקורת פנימית, בניגוד לסעיף 10(א) לחוק הביקורת הפנימית. השופט גורפינקל שם את יהבו באישיות העד שמעיד, ובכך צמצם את תחולת סעיף 10, וקבע שאילו דובר בעד שהוא מבקר פנימי מטעם הבנק, הייתה עדותו נפסלת מראש מבלי צורך להעלותו לדוכן העדים. כאן מדובר באיש בנק ישראל שאיננו מבקר פנימי, ועל כן לכאורה אין מניעה לשמוע את עדותו. בהמשך החל ויכוח בקשר למוצג ת/591א' שבו צירף העד מסמך המכונה "דוח ביקורת פנימי", כאשר התביעה ביקשה להגישו וההגנה התנגדה לכך. בית המשפט קבע שהמסמך איננו נכלל בהסדר אי-קבילות של חוק הביקורת הפנימית, שכן סעיף 10 עוסק במבקר פנימי במילוי תפקידו, ולא בדוח של בנק ישראל על חברת בת של תאגיד בנקאי.
2. בתא (ת"א) 2289/90 י.מ.ש. השקעות בע"מ נ' כלל אינווסטמנט האוס בע"מ, השופטת הניה שטיין מבית משפט המחוזי בתל אביב שמה את יהבה בשלב שבו הוכן דוח הביקורת. לדעתה אי-קבילות ראיה היא חריג לכלל של בירור האמת בהליך משפטי. ככזה, יש לבחנו באופן מצמצם, על פי מטרתו הדווקנית. משכך היא קבעה שהדוח, מושא הדיון שנערך בטרם נכנס חוק הביקורת לתוקפו, קביל. שיתוף הפעולה של העובדים עם המבקר לא הושפע מהאפשרות כי הדוח לא יהיה קביל כראיה בפני בית המשפט, מכיוון שבעת עריכת הביקורת אפשרות כזו לא הייתה קיימת. מכאן, כי הוראות סעיף 10 לחוק הביקורת אינן חלות על דוח הביקורת שנערך לפני כניסת החוק לתוקף.[14]
3. בתא (ת"א) 1931/00 שטרית שמעון נ' אריסון השקעות בע"מ(19/7/2002), השופט ניסים ישעיה מבית המשפט המחוזי ת"א שם את יהבו בשלב שבו מצוי הדיון בפני בית המשפט. הוא ציין שהוראת ס' 10(א) מונעת שימוש בדוח של המבקר הפנימי כראיה ולא ניתן יהיה לבסס עליה ממצאים עובדתיים בסיום ההליך משפטי (בפס"ד), אך לדעתו רשאי בית המשפט, בשלב המקדמי שבו הוא דן האם לאשר תובענה נגזרת, להביא בחשבון במסגרת שיקוליו את העובדה כי המבקר הפנימי בדק את העסקה, מושא התובענה, והגיע למסקנות, הערכות או המלצות שאותן הוא העלה על הכתב בדוח מפורט. לדידו, עובדת קיומו של דוח בדיקה מפורט של המבקר הפנימי אינה "חסויה" ואינה בלתי קבילה, ועל כן אין מניעה מלהציג עובדה זו לבית המשפט ולהתבסס על עצם קיומו של הדוח כדי לתמוך בבקשה לאישור תובענה נגזרת. השופט ישעיה הוסיף שעצם עובדת קיומו של דוח המבקר הפנימי היא ראיה קבילה וניתן להוכיחה באחת מדרכי ההוכחה המקובלות. רק תוכנם של מסמכים אלה אינו קביל כראיה ולא ניתן לבסס עליהם ממצאים עובדתיים.
4. בבשא (ת"א) 4227/02 יעקב המלי נ' בנק המזרחי המאוחד בע"מ (18 בספטמבר 2003), השופטת ורדה סמט מבית הדין לעבודה ת"א סברה שהפתרון הראוי הוא עיונה בדוח הביקורת בטרם מתן הכרעה במחלוקת בין הצדדים בקשר לעניין.^[15]
5. בתא (ראשל"צ) 6793/01 שמש אהרון רוני נ' הסתור אלטיב בע"מ (02/04/2004), קבעה  השופטת עירית וינברג-נוטוביץ מבית המשפט השלום בראשל"צ,  שכאשר מדובר בחברה פרטית שאין עליה חובה למנות מבקר פנימי, לא חל סעיף 10. לכן דוח הביקורת הפנימי שנערך קביל כראייה במשפט אזרחי (כאשר המבקר שמונה באותו מקרה הוא מבקר חיצוני המשמש כמבקר פנימי של איסתא), על אף הכותרת הנוקבת "דוח ביקורת פנימית".
6. בעב (ת"א) 3831/02 גדעון פרוז'נסקי נ' החברה הממשלתית לפיתוח לוד ורמלה לור"ם – (9 באוגוסט 2006), השופטת דינה אפרתי מבית הדין האזורי לעבודה ת"א-יפו, ציינה שהיא סבורה כי הרציונל העומד בבסיס סעיף 10 לחוק הביקורת הפנימית היא יצירת גוף ביקורת פנימית בתוך הארגון, האוסף נתונים, מסיק מסקנות וממליץ המלצות לעתיד, זאת כדי שיוכלו אלו העומדים בראש הפירמידה של המשרד הממשלתי או הגוף הציבורי, לקבל מידע אובייקטיבי, מקצועי ומהימן, שיסייע בידם לשפר את השירות ולהעלות את איכותו ורמתו של המינהל הציבורי, וכן להבטיח שיהיה שיתוף פעולה מלא של העובדים עם המבקר הפנימי. במקרה הנידון בודקת שמונתה על ידי בעלי המניות דאז לא הייתה מבקרת פנימית של לור"ם, לא היוותה, ואף לא הייתה בפועל, חלק ממנגנון ביקורת פנימי של החברה, אלא מונתה בעקבות בג"צ 8501/00 והחלטה אד-הוק של האסיפה הכללית.
7. בתפ (ת"א) 40431/99 מדינת ישראל נ' עודד בן דוד גולד (3 ביוני 2007), השופט אורי שהם מבית המשפט המחוזי ת"א קיבל את דוח הביקורת הפנימית כראיה מטעם הנאשם, לאור עקרון המניעות. וכך קבע:

"התביעה סבורה כי סעיף 10 לחוק הביקורת הפנימית, בשילוב עם סעיף 14ה לפקודת הבנקאות 1941, אינו מאפשר לבית המשפט לקבל כראיה את דוח הביקורת של בנק המזרחי, הוא המוצג ת/6…גם אם המסמך ת/6 לא היה קביל כראיה מלכתחילה, הרי שהתביעה היא שעמדה מאחורי הגשתו לבית המשפט, והיא מנועה, כיום, מלטעון כי המסמך אינו קביל. כידוע הוא, כי גם ראיה בלתי קבילה ניתן להגיש בהסכמה ולעניין זה אין תחולה להוראת סעיף 56 לפקודת הראיות [נוסח חדש], התשל"א-1971".

הוא סבר שבנסיבות אלה, אין פגיעה בתכלית חקיקתו של סעיף 10 לחוק הביקורת הפנימית, שכן המדינה ביקשה מבית המשפט לעיין בו ולהסיק ממנו את המסקנות המתבקשות. השופט שהם סבור שדוח ביקורת פנימית, כמו עדות שמיעה, ניתן להכשיר כראיה בהיעדר התנגדות של אחד הצדדים. עם זאת, ציין השופט שהם שאין לקבל את הדברים המופיעים בדוח בבחינת "תורה למשה מסיני", וכאשר הדברים עומדים בסתירה לראיות אחרות שהוגשו במהלך המשפט, רשאית התביעה לבקש מבית המשפט להעדיף ראיות אלה על פני האמור במסמך.

8. בתא (ת"א) 1850-05 מגדלי ישי חברה לבניין בע"מ (בפירוק) נ' עיריית תל-אביב יפו (04 פברואר 2010) , השופט אורי שהם מבית המשפט המחוזי ת"א דן בבקשה לזמן לעדות את מבקרת העיריה, חיה הורוביץ. עדה זו הייתה מעורבת בטיפול בתלונות שהוגשו נגד עובדים מסוימים של המשיבה. בתגובה לבקשה טענה העירייה כי כל המסמכים שהכינה במהלך עבודתה כמבקרת פנימית של המשיבה אינם יכולים לשמש כראיה משפטית, מכוח סעיף 10 (א) לחוק הביקורת. השופט שהם דחה את ההתנגדות, זימן את העדה לעדות וציין שאינו סבור כי קיים טעם למנוע, באופן קטגורי, את העדת העדה, וזאת כדי לאפשר לבית המשפט להגיע לחקר האמת, בהסתמך על מלוא הנתונים הרלוונטיים להכרעה במחלוקת.
9. בתא (ראשל"צ) 2949-09 אלי חסון נ' המכללה לחינוך גופני ולספורט ע"ש זינמן במכון וינגייט בע"מ (16 מאי 2010), השופט יחזקאל קינר מבית משפט השלום בראשל"צ עשה הבחנה בין צירופו של הדוח לכתב התביעה לבין הגשתו כראיה במהלך ההוכחות בתיק, ולכן דחה בקשה להורות על הוצאתו של דוח הביקורת הפנימית מתיק בית המשפט.
10. בתא (ב"ש) 3283-04 מ. מזוז בע"מ נ' מדינת ישראל-משרד הביטחון (11 אוקטובר 2011), השופט שפסר מבית משפט מחוזי ב"ש דן בבקשת התובעת לזמן לחקירה את עורך דוח הביקורת. הנתבעת התנגדה מהטעם שהעורך מנוע מלהעיד על הדוח, וזאת בשל הוראות סעיף 10א לחוק הביקורת הפנימית. השופט שפסר הסתמך על ההלכה המאפשרת הכשרת עדות בלתי קבילה על ידי התנהגות הצדדים, ואפשר זימון המבקר והגשת הדוח כראיה.
11. בתא (חי') 47198-05-11 יעקב ארבל נ' רוני דוניו (03 יולי 2012), השופטת תמר נאות פרי מבית משפט השלום בחיפה דחתה בקשה להורות על מחיקת סעיפים מתצהירו מכיוון שהתייחסו לפרטים שבדוח הביקורת הפנימית. לדידה, מחיקת סעיפים היא "טכניקה בעייתית", לרבות "מבחינה תחבירית", מאחר שממילא בחלק מהסעיפים שמחיקתם מתבקשת ישנן אמירות שאינן חלק מדוח הביקורת אלא יכולות "לעמוד ברשות עצמן".
12. בת"א (י-ם) 2562/07 יעקב כהן נ' בנק מרכנתיל דיסקונט בע"מ, השופטת אביב מלכה מבית משפט השלום בירושלים קבעה שלמרות האמור בסעיף 10 לחוק הביקורת הפנימית, ניתן להציג את החומר כראיה כאשר הדבר נעשה בהסכמת הצדדים.
13. בתפ (נצ') 45458-06-11 מדינת ישראל נ' זוהר עובד, השופט אדריס נעמן מבית משפט השלום בנצרת ציין שמטרת הוראות סעיף 170 ג1 לפקודת העיריות וסעיף 10 לחוק הביקורת הפנימית היא להבטיח למבקר ולכל מי שמסר לו מידע לפעול באופן חופשי וללא כל חשש שמא תוכן המידע שנמסר ו/או הדוח שהוכן בעקבותיו ישמשו ראיה כנגדם בהליך משפטי. משכך אין מניעה מהגשת דוחות ביקורת פנימית רק בקשר לעצם קיומם ועריכתם, ואף זאת לא לשם שימוש הקשור בענייני הביקורת גופה. השופט אדריס קבע שלא חל הרציונל שבנידון, כאשר ממילא אין כעת צורך להגן על המבקר או על מקורות המידע שלו.
14. בסעש (ת"א) 26892-12-12 גיל פלדבוי נ' אגודה שיתופית של עובדי התעשייה האווירית לניהול קופות גמל בע"מ, השופטת מיכל לויט מבית הדין לעבודה ת"א קבעה שבנסיבות מקרה זה, אין להורות על מחיקת הסעיפים הנוגעים לדוח הביקורת הפנימית ו/או למידע שהוא בבחינת "חומר איסוף" של המבקר הפנימי. כמו כן אין להורות על מחיקת דוח הביקורת הפנימית או תרשומת הפגישה שנערכה בין התובע לבין המבקר הפנימי. לדעתה חוק הביקורת הפנימית אינו חל על הנתבעת במישרין, שכן היא אינה מנויה על רשימת הגופים הציבוריים שהחוק חל עליהם. היא סברה שההפניה לחוק הפיקוח על שירותים פיננסיים (קופות גמל), חוק הפיקוח על שירותים פיננסיים (ביטוח) וחוק החברות, אינו מחייב, שכן מצוין כי הוראות הסעיפים יחולו "בשינויים המחוייבים" ויש לבחון את תחולתו בהתאם לנסיבות העניין.

עם זאת, היו שופטים שעמדו על פרשנות דווקנית של הוראות סעיף 10 לחוק, לא הרשו הגשת דוחות ביקורת פנימית או העדת המבקר הפנימי: השופטת לקסר מבית הדין לעבודה בתל אביב[16], השופט בנימין ארבל מבית המשפט השלום בעפולה[17], השופטת אגי זהבה מבית משפט השלום בתל אביב[18], השופטת אביטל רימון-קפלן מבית דין לעבודה בחיפה[19], השופטת מ. אריסון-חילו, מבית הדין לעבודה בחיפה[20], השופט י. רטנר מבית משפט השלום בחיפה[21], השופטת מיכל נעים דיבנר מבית הדין האזורי לעבודה בחיפה[22], השופטת יהודית הופמן-גלטנר מבית הדין האזורי לעבודה בבאר שבע[23], השופט יוחנן כהן מבית הדין האזורי לעבודה בבאר שבע[24], השופטת חנה קיצס מבית משפט השלום נתניה[25], השופטת צילה צפת מבית המשפט המחוזי בתל אביב[26], השופטת אסתר נחליאלי-חיאט, מבית המשפט המחוזי בתל אביב[27], השופטת מיכל נעים דיבנר מבית הדין לעבודה בחיפה[28], השופטת שרון אלקיים מבית הדין האזורי לעבודה בתל אביב[29], השופט אפרים צ'יזיק מבית המשפט השלום בחיפה[30], השופטת איריס רש מבית הדין האיזורי לעבודה בחיפה[31].

סיכום ומסקנות

1. מגמת הפסיקה בקשר לפרשנות סעיף 10 לחוק הביקורת הפנימית מעניינת. יש שופטים המעניקים פרשנות דווקנית להוראות אי-קבילות חומרי ביקורת פנימית ולא מוכנים לאשר הגשת מסמך או השמעת עדות המתייחסים לחומרי הביקורת ומידע ששימש מבקר פנימי בעבודת הביקורת. ראוי לציין ששופטי בתי הדין לעבודה הם חוד החנית של גישה פרשנית זו. ניתן לשער שהבנתם את מורכבות יחסי העבודה בתוך הארגון ורגישותם למעמד המבקר הפנימי ותפקידו משפיע על כך.
2. עם זאת, רבים השופטים שבחרו, בשם עקרון ההגעה לחקר האמת בהליך השיפוטי, לתת פרשנות מצמצמת להוראות סעיף 10 ולאפשר עדויות ישירות בקשר לדוחות ביקורת פנימית וגם הגשתם של חומרי ביקורת בהליכים משפטיים. הדבר נעשה דרך "טכניקת האבחנה" ממספר נימוקים: אישיות העד שמעיד, השלב שבו הוכן דוח הביקורת, השלב שבו מצוי הדיון בפני בית המשפט, האם לגוף שנערכה ביקורת הייתה חובה על פי חוק למנות מבקר פנימי, שימוש בעקרון המניעות, הכשרת הראיה על סמך הסכמת הצד שכנגד או אף בהעדר התנגדות ואפילו על סמך התנהגות, צירוף דוח ביקורת לכתבי הטענות בלבד ללא הגשתו בשלב ההוכחות, ציון מידע מהדוחות בתצהירי עדות ראשית וכדומה. ראוי לציין שרוב השופטים מהקבוצה הזו מכהנים בערכאות דיוניות כלליות, ובמיוחד בבית משפט המחוזי.
3. פרשנות מרחיבה זו פוגעת בסופו של דבר בפעילותו ובתפקודו של המבקר הפנימי, שגם נאלץ להתרוצץ בין בתי המשפט ולהיחקר נגדית על המידע והממצאים של דוח הביקורת עליו עמל.
4. נראה שניצני פרשנות מצמצמת זו והכרסום בעקרון אי-קבילות חומרי ביקורת כראיה בבתי משפט שורשו בהבחנה שנעשתה בין אי-קבילות חומרי הביקורת לשאלת החיסיון. סבורני שהסרת החיסיון התירה את הרסן ואפשרה כרסום באי-קבילות.

מקור ההבחנה הנ"ל במה שנפסק בת"א (ת"א) 966/92 ד"ר הנרי אזולאי ואח' נ' בנק איגוד לישראל בע"מ על ידי מורי ורבי השופט ד"ר גבריאל קלינג מבית המשפט המחוזי בתל אביב. השופט קלינג קבע שכאשר חפץ המחוקק להעניק חיסיון הוא עשה כן בלשון מפורשת. לכן אין בהוראות סעיף  10לחוק הביקורת הפנימית כדי לקבוע חיסיון או סודיות לדוח הביקורת הפנימית ולמסמכיה. הוא הגיע למסקנה שאי-קבילותו של מסמך אינה פוגעת בזכותו של בעל-דין לגילויו ולעיון בו, כל עוד עשוי המסמך לעזור לבעל הדין "בין במישרין ובין בעקיפין". פסיקתו של השופט קלינג אושרה בבית המשפט העליון[32] והפכה להלכה מחייבת המצוטטת בכל ההחלטות שאפשרו בסופו של דבר הגשת חומרי חקירה כמוצגים בתיקים משפטיים וזימון מבקרים פנימיים כעדים בבתי משפט כדי שיצדיקו את דוחותיהם.

5. כאמור לעיל, התייחסות הפסיקה לסעיף 10 של חוק הביקורת הפנימית רצופה אי סדירות ומנעד פרשנות רחב, ושאלה מעניינת שאפשר לשאול היא: האם יש להשיב את העניין למחוקק כדי שיאמר את דברו בנושא, או שמא יש להעדיף את מרחב הפרשנות הרחב כפי שמשתקף כיום בפסיקה: לדעתי נראה שהפתרון היחידי לשינוי מגמה שלילית זו היא תיקון חקיקתי שיכלול גם חיסיון, מעבר למבחן הקבילות. ראוי לציין שכאשר ישנו אינטרס ציבורי ברור, עקרון אי הקבילות מתפרש גם כחיסיון. הדוגמה הבולטת לכך היא בעניין מסמכים שהוצגו בהליך גישור, על אף התקנות שמדברות רק על קבילות, בתי המשפט הרחיבו זאת גם לחיסיון של ממש[33].

* שופט בית משפט השלום בתל אביב-יפו, מרצה באוניברסיטת בר-אילן בקורסים "חוק ומשפט בביקורת ציבורית" ו-"משפט ואתיקה בביקורת פנימית", דוקטור למשפטים (Ph.D.) מטעם אוניברסיטת תל אביב. תודתי למר דניאל זקס ולמר זיו רביבו על הסיוע בכתיבת המאמר.

[1] רע 423/83 מדינת ישראל נ' עיזבון המנוחה ורד סילוורמן ז"ל , לז (4) 281, עמ' 286.

[2] ע"א 1412/94 הסתדרות מדיצינית הדסה נ' גלעד, פ"ד מט(2) 516, 522.

[3] ע"א 733/95 ארפל אלומיניום נ' קליל תעשיות, פ"ד נא(3) 577

[4] רעא 4999/95 Alberici International שותפות רשומה זרה הרשומה בישראל נ' מדינת ישראל , נ (1) 039, עמ' 47.

[5] י. עמית "קבילות, סודיות חיסיון ואינטרסים מוגנים בהליכי גילוי במשפט האזרחי – ניסיון להשלטת סדר" ספר אורי קיטאי, 252 (2007).

[6] רע"א 6546/94 בנק איגוד נ' אזולאי, פ"ד מט(4), 60.

[7] פרופ' גרוס העלה טענה (יוסף גרוס, חוק החברות החדש (מהדורה רביעית, 2007), עמ' 274) שלפיה ס' 10 לחוק הביקורת לא חל על חברה בע"מ אלא רק על גוף ציבורי. לדעתי אין ממש בטענה זו ואין כל הבדל בין דוח מבקר פנימי בחברה או בגוף ציבורי לעניין קבילות הדוח בהליך משפטי.

[8] ה"ח תשכ"ט מס' 858 עמ' 403.

[9] ע"פ 2910/94 יפת נ' מדינת ישראל, נ(2), עמ' 316-248.

[10] בגץ 844/06 אוניברסיטת חיפה נ' פרופ' אברהם עוז , סב (4) 167, עמ' 14-13.

[11] בשא 4886/01 (ת"א) אברהם קרמר נ' בזק החברה הישראלית לתקשורת בע"מ, תא (י-ם) 1519/98  יורם וינוגרד, עו"ד נ' ועד הנאמנים לכנסי הווקף המוסלמי בת"א-יפו, בשא (י-ם) 7512/02 הממונה על ההגבלים העסקיים נ' נגה תקשורת (1995) בע"מ,רע"א 9728/04 מיכאל עצמון נ' חיפה כימיקלים בע"מ נט(3) 760, בעמ' 765.  וכן ראו  בשא (י-ם) 4091/04 ווידן אליהו ו-12 אחרים נ' מדינת ישראל – משרד הבריאות (פורסם בנבו, 10.02.2004), עמ' 8.

[12] בגץ 8546/12 ד"ר ירון כץ נ' המכון הטכנולוגי חולון, עמ' 4. וכן ראו בגץ 232/16 התנועה למען איכות השלטון בישראל נ' ראש ממשלת ישראל, עמ' 11. וכן ראו עעמ 2851/13 אילן סויסה נ' מדינת ישראל – משרד הבינוי והשיכון, תצ (חי') 44664-03-15 עמית זילברג נ' מפעל הפיס (חל"צ), ברע (ארצי) 36450-05-15 עיריית פתח תקווה נ' ישראל דרורי, סעש (ת"א) 59935-03-15               ישראל דרורי נ' עיריית פתח תקווה, תא (ת"א) 19977-08-10 מרגלית עברו נ' עיריית טבריה.

[13] אך ראו גם סעש (ת"א) 43635-09-14 אמיר קינן נ' רשות שדות התעופה בישראל, עמ' 15-13 וכן עע (ארצי) 283/07 יוסי משה נ' רשות העתיקות – מוזיאון רוקפלר.

[14] ערעור על החלטה זו נדחה ע"י השופט תיאודור אור ברע"א 5476/97 כלל אינווסטמנט נ' י.מ.ש. השקעות בע"מ (8.12.97).

[15] השווה למה שהוכרע ברע"א 1917/92 סקולר ואח' נ' ג'רבי פ"ד מז(5) 764, 781; רע"א 900/99 קמינסקי בע"מ נ' בנק הפועלים בע"מ תקדין-עליון 1999(2) 118.

[16] בשא (ת"א) 201018/99 בזק חברה לתקשורת בע"מ נ' בתיה אברהם ואח' (החלטה מיום 14/10/99).

[17] ת.א. (עפ')   2033/96 איתן פרי נ' בנק דיסקונט לישראל בע"מ (החלטה מיום 23/3/98).

[18] תא (ת"א) 69448/00 ‏עזבון המנוח הרצל אדרי ז"ל נ' שלמה (צרלי) בן שושן ( 4/7/2001).

[19] עב (חי') 206/01 קושניר רמי  נ' האגודה להנצחת זכרו של אורי מיימון ז"ל (25/2/2003).

[20] בשא (חי') 1992/05 משה חזות נ' רכבת ישראל בע"מ(19 ביולי 2005).

[21] בבית בבשא (חי') 16743/06 שרה הובר נ' מרים פרקש  (13 בדצמבר 2006).

[22] סע (חי') 17205-03-10 ארגון עובדי חברת החשמל-מרחב צפון נ' חברת החשמל.

[23] בסע (ב"ש) 16864-08-10 עירית רהט נ' סאלמה אבו דעאבס (25/1/12).

[24] סע (ב"ש) 33019-09-10 רונית אמזלג נ' החברה העירונית לתרבות באשדוד ( 15 פברואר 2012).

[25] תא (נת') 10507-01-10 בנק הפועלים בעמ סניף 678 מגדיאל נ' מירב נוימן צעירי( 3/2/015).

[26]  תא (ת"א) 32173-05-12 רשות השידור נ' חברת שידורי מדיה (2003) בע"מ (16 מרץ 2015).

[27] בת"א 2201/04 קווי אשראי לישראל (מרכז) בע"מ נ' רן ואח'(30 יוני 2015).

[28] סעש (חי') 25670-10-13 דוד פרץ נ' חברת נמל חיפה בע"מ (26 יולי 2015).

[29] סעש (ת"א) 22761-05-15 אהוד גבאי נ' חברת דואר ישראל בע"מ (06 אוקטובר 2015).

[30] תא (חי') 15286-12-13 ראיסה בורנקוב נ' עיריית חיפה (14 אוקטובר 2015).

[31] סע (חי') 29294-05-12 יהודה סבריגו נ' אמבר מכון לתערובת אגודה שיתופית בע"מ (02 מרץ 2016).

[32] רע"א 6546/94 בנק איגוד נ' אזולאי, פ"ד מט(4), 60.

[33] בתקנה 3 (ב) לתקנות בתי המשפט (גישור), התשנ"ג- 1993, כתוב רק עקרון הקבילות:

"בית המשפט יסביר לבעלי הדין כי דברים שיימסרו במסגרת הליך הגישור לא ישמשו ראיה בהליך משפטי אזרחי, וכי אי הסכמתם להעברת העניין לגישור או הפסקת הגישור לא ישפיעו על תוצאות הדיון בבית המשפט", אך בפועל בתי משפט הפעילו כללי חיסיון על מסמכי גישור (ראו למשל רע"א 4781/12 י.מ. עיני קונדיטוריה בע"מ נ' בנק לאומי לישראל בע"מ [פורסם בנבו] (6.3.2013)  וכן רעא 1496/15  בנימין לוי נ' טל דרורי (21.5.2015).

The post שחיקת עיקרון אי-קבילות חומרי ביקורת פנימית בבית משפט appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

 החלטה בתנג (ת"א) 35114-03-12 יהודה אשש נ' יוסף עטיה מיום 24.6.2015 התקבלה בביהמ"ש המחוזי בת"א (המחלקה הכלכלית), במסגרת בקשה לאשר את תובענת המבקשים כתובענה כנגזרת[1].

 רקע

שמונה בעלי מניות הגישו לביהמ"ש המחוזי בת"א (המחלקה הכלכלית) בקשה להגיש תביעה נגזרת בשמה של חברת עטיה גרופ בע"מ (להלן – "החברה"), כנגד בעלי שליטה, דירקטורים ויועצים שהיו שותפים למספר עסקאות שלטענת המבקשים גרמו לחברה לנזק.

עיקר התביעה נסב סביב ההחלטה של החברה להקצות בשנת 2007 מניות שליטה בחברה. לטענת המבקשים, קבוצת עטיה נקטה שיטה של "pump and dump", שבה משתלטת קבוצה מסוימת על חברה, מנסה לגייס כספים מהציבור או מגורמים אחרים (גיוס שלא עלה יפה במקרה דנן), ולבסוף מרוקנת את החברה ואת החברות הבנות שלה, תוך ניצול שליטתה בחברה לצורך הברחת נכסיה, לצורך החזר הלוואות בעלים שלא כדין, ולצורך ביצוע עסקאות שאינן לטובת החברה.

ביהמ"ש שקיבל את הבקשה בחן, בין היתר, את התנהלותו של מבקר הפנים, וקבע כדלקמן:

תיתכן למבקר פנים אחריות למעשי תרמית בארגון

ביהמ"ש קבע כי ייתכן שתחול על מבקר הפנים "אחריות למעשי תרמית, הונאה ומעילה. אם מבוצעים מעשים כאלה. [במקרים כאלה] יש מקום לבחון האם מבקר הפנים היה יכול היה באמצעות ביקורת הפנים שביצע לחשוף אותם או אף למונעם. זהו אחד מתפקידיו של המבקר הפנימי בחברה".

העברת דוחות ביקורת בחברה ציבורית

דוחות הביקורת של מבקר הפנים אמורים להימסר לחברה ולא לצדדים שלישיים כלשהם. מסקנה זו עולה בין היתר מתקנות ניירות ערך (דוחות תקופתיים ומיידים) התש"ל – 1970. תקנה 10(ב)(11) לתקנות קובע כי דוח הדירקטוריון צריך לכלול, בין היתר, "פרטים בדבר המבקר הפנימי של התאגיד, כמפורט בתוספת הרביעית". בתוספת הרביעית מפורטים העניינים שלגביהם נדרש הדירקטוריון לתת פירוט. מדובר בפרטים אודות זהות המבקר, תכנית העבודה שלו, אופן התגמול שלו, המסמכים שנמסרו לו וכיו"ב עניינים. אין חובה לדירקטוריון למסור דיווח על תוכן דוח הביקורת.

מכאן עולה כי ממצאי דוח הביקורת נועדו לצרכים פנימיים של החברה, ואין בהכרח חובה לחשוף אותם בפני צדדים שלישיים. יש לציין כי דוח המבקר הפנימי גם אינו יכול לשמש ראיה בבית-המשפט בכל הליך משפטי (ראו סעיף 10 לחוק הביקורת הפנימית התשנ"ב – 1992).

[1] תובענה נגזרת היא תביעה המוגשת על ידי בעל מניות בשם החברה בשל עילת תביעה של החברה כאשר זו לא עומדת על זכות (לדוגמה, כאשר החברה מוותרת על חוב). הגשת תובענה שכזו מחייבת תחילה בקבלת אישור על כך מבית המשפט.

The post האם קיימת חובה להעביר דוחות ביקורת בחברה ציבורית לצדדים שלישיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הריאיון הבא נערך עם שלושה מבקרים פנימיים מהמגזר הממשלתי:

• מירב שגיא יהודיין:

מירב היא המבקרת הפנימית של המשרד להגנת הסביבה. למירב יש ניסיון של 22 שנים בביקורת פנימית בשלושה משרדי ממשלה. היא בעלת תואר שני במינהל ציבורי ומדיניות ציבורית וכן סיימה גם קורס דו-שנתי – לימודי תעודה בביקורת פנימית.

באגף הביקורת שבהנהלתה יש שני תקנים וכן משרד חיצוני במיקור חוץ לשירותי ביקורת.

• איריס פרידמן:

איריס היא המבקרת הפנימית של משרד המשפטים. בעלת יותר מ-20 שנות ניסיון בביקורת פנימית. בהשכלתה רואת חשבון מוסמכת וכן סיימה קורס דו-שנתי – לימודי תעודה בביקורת פנימית.

באגף שבניהולה יש 10 תקני כוח אדם, מתוכם 6 לביקורת ו-4 לתלונות הציבור. כל עובדי הביקורת הם עובדים מקצועיים בתחום הביקורת, ובעלי השכלה בתחומי ראיית החשבון, משפטים ומינהל ציבורי. כמו כן, האגף מעסיק 4 משרדים חיצוניים – מיקור חוץ לעריכת ביקורות ביחידות המשרד.

• דוד כהן:

דוד הוא המבקר הפנימי של המשרד לביטחון פנים. הביקורת מקיפה לא רק את המשרד אלא גם את משטרת ישראל, שירות בתי הסוהר, הרשות הארצית לכבאות והצלה והרשות להגנה על עדים. לדוד יש 15 שנות ניסיון בביקורת פנימית. הוא בעל תואר שני במדעי המדינה והתמחות בביקורת פנימית מאוניברסיטת בר אילן. באגף שבניהולו ישנם 7 עובדי ביקורת, 6 מהם עובדים בתחום תלונות הציבור ועוד 3 עובדי מנהלה.

כרקע כללי לריאיון שומה להדגיש ולציין סוף סוף את תחילת השינוי אצל מקבלי ההחלטות באשר לתפקיד המבקר הפנימי במגזר הממשלתי. לשם כך נפתח בדבריה של מירב שגיא יהודיין:

"בימים אלו מתחולל שינוי היסטורי ורפורמה בכל הנוגע לביקורת הפנימית במשרדי הממשלה וביחידות הסמך. הרפורמה נולדה לאחר שנים שבהן מצב הביקורת הפנימית במשרדי הממשלה היה עגום ביותר, למרות שורה של דוחות חשובים שנכתבו בנושא אך לא נעשה בעקבותיהם דבר. בעקבות בג"צ המבקרים שהוגש ב-2012, ודוח מבקר המדינה, הקים נציב שירות המדינה משה דיין צוות יישומי בראשות רוני פרידמן, המשנה למנכ"ל האוצר. בחלוף שנה הוגש הדוח והנציב החליט ליישמו. אני גאה ונרגשת לקחת חלק ביישום הרפורמה, שכאמור קורמת עור וגידים בימים אלו. צוות היישום עוסק (לראשונה) בקביעת תקינה בסיסית ליחידות הביקורת במשרדי הממשלה, וכן בהשוואת מעמד הביקורת במשרדים לזה של שומרי הסף האחרים, בהקצאת משאבים נדרשים ובפעילויות נוספות לקידום הנושא".

ועתה לריאיון עצמו: הסוגיה הראשונה היא מערכת היחסים, קשרי העבודה,  בין המבקר הפנימי במגזר הממשלתי לבין הגורם הממונה – השר או המנכ"ל  שלעתים הוא גם המבוקר – הגורם שהמבקר הפנימי בודק. מערכת זאת יכולה להיות משתפת או טעונה – לעומתית.

דוד כהן, מבקר המשרד לביטחון פנים: מערכת היחסים שלי עם המנכ"ל היא טובה מאוד: עיקרי הממצאים מוצגים למנכ"ל ויש גם דיון עומק בתוך 45 יום, כולל התייחסות הגופים המבוקרים, מבחינת תיקון הליקויים ויישום ההמלצות. באשר לשר – ישנן פגישות עִתיות שבהן המבקר הפנימי מעדכן את השר בעיקרי הממצאים. בנוסף, כאשר השר דן בנושאים מסוימים שבהם עסק גם המבקר הפנימי, המבקר הפנימי מתבקש להשתתף בדיון ולהציג את עיקרי הממצאים.  מירב שגיא יהודיין, מבקרת המשרד להגנת הסביבה: מערכת היחסים, המאוד מורכבת, מבוססת רבות על מקצועיות המבקר, הכימיה האישית שנוצרת, האמון ההדדי, ההבנה שהביקורת היא כלי ניהולי מרכזי והרצון לקדם במשותף את יעדי הארגון.

השאלה הבאה נסבה על חוק הביקורת הפנימית. החוק הוא משנת 1992 ומאז עבר שינויים מועטים. לחוק אין גם תקנות. מזווית ראייתך וניסיונך, מה לדעתך הנושאים המרכזיים שיש לשפר/לתקן בחוק ואילו תקנות חשובות להסדרת עבודת הביקורת הפנימית יש להתקין?

מירב שגיא יהודיין: מאז ועד היום לא הותקנו תקנות המסדירות את נושא הקצאת המשאבים החיוניים, ההסדרים ארגוניים לתפקוד ליחידות הביקורת, ההכשרות המקצועיות, מעמד המבקר במדרג הארגוני ועוד. לא מן הנמנע כי היעדר התקנות מאז ועד היום, לפחות בסקטור הממשלתי, הקשו עוד יותר על עבודת המבקר הפנימי במשרד.

איריס פרידמן, מבקרת משרד המשפטים: התיקונים העיקריים הנדרשים בחוק הביקורת הפנימית הם: הקמת "גוף-על" [1] כמשמעותו בדוח ועדת זיילר, הסדרת מעמדו של המבקר הפנימי ועצמאותו.

דוד כהן: בחוק הביקורת הפנימית קיימת סתירה מובנת לתוך מעמדו של המבקר הפנימי, בין תפקידו המחייב לבדוק את כל הפעולות של הגוף המבוקר ובין כפיפותו לממונה עליו. יש להסדיר בתקנות את נושא התקציב השנתי של אגף הביקורת בכל גוף/משרד, לחייב את יחידות הביקורת לערוך תחקירים פנימיים על ביצוע הביקורת ולהפיק לקחים להמשך (על פי מודל שייקבע), מתן "שיניים" לביקורת אם במהלך ביצוע הביקורת מתגלים ממצאים המחייבים טיפול משמעתי כנגד מבוקר.

איך פעלת אתה בבואך להשתלב בארגון כמבקר פנימי, להפחתת עוינות ולהגברת שיתוף הפעולה?

מירב שגיא יהודיין: כשעובדי המשרד ומנהליו נוכחים לראות כי עבודתו של המבקר מקצועית, עניינית ונטולת פניות, המסר עובר והמבקר רוכש את האמון החיוני להגברת שיתוף הפעולה. חשוב כי גם בתהליך העבודה על דוחות הביקורת, המבקר ינהג בהוגנות כלפי המבוקרים, בענייניות, תוך קיומו של שיח פתוח ומתוך רצון להביא לשיפור עבודת המשרד באמצעות יישום ההמלצות.

איריס פרידמן: גישה אסרטיבית אך מכילה, סבלנות ואורך רוח. במשך השנים הביקורת הוכיחה כי היא ביקורת בונה שבאה לסייע ליחידות במטלותיהן הרבות ולא באה לחפש תקלות ואשמים בכל מחיר. הביקורת אף מציינת נקודות חוזקה שעלו במהלך הביקורת ואת שיתוף הפעולה של המבוקרים.

דוד כהן: מבקר המשרד הוא חבר סגל הפיקוד הבכיר של משטרת ישראל ומשתתף בדיונים  פעם בשבוע. כמו כן, המבקר הפנימי משתתף לעתים בדיוני  הסגל הבכיר של שירות בתי הסוהר והרשות הארצית לכבאות והצלה. מעצם השתתפותו של המבקר בדיונים אלו הוא מכיר את  מפקדי הארגונים, "חי את הארגון", מכיר את התרבות הארגונית של הגופים ובכך הוא משתלב בארגון, מפחית עוינות ומגביר את שיתוף הפעולה, תוך כדי ביצוע ביקורת מקצועית הגונה, ישרה וללא משוא פנים.

תאר את הליך בניית התכנית השנתית וקביעת הנושאים לבדיקה: האם  ההחלטה על הנושאים המיועדים לבדיקה השנתית היא אוטונומית – פרי החלטה שלך, כמובן באישור הממונה; או שההליך הוא משתף – אתה משתף ומתייעץ עם עוד גורמים  בארגון?

התשובות מלמדות, ככלל, על הליכי שיתוף והתייעצות, אך אין הסכמה מוחלטת  בנדון והגישות בכל זאת שונות:

איריס פרידמן: מדי שנה אנו פונים למנהלי היחידות והאגפים ומאפשרים להם להציע הצעות לנושאי ביקורת שנראים להם כנחוצים לצורך ייעול עבודתם. מלבד זאת, נושאי הביקורת נגזרים מתוך המטרות והיעדים של המשרד, תלונות החוזרות על עצמן במהלך השנה ביחידת תלונות הציבור, סקרי סיכונים, נושאים שטרם נבדקו ועוד.

דוד כהן: אני דוגל בביטוי הלקוח מהמקורות ביהדות: "מכל מלמדיי השכלתי", ולכן במהלך הכנת תכנית העבודה השנתית אני מתייעץ עם הסמנכ"לים וראשי אגפים בכירים במשרד ושומע מהם המלצות לנושאי ביקורת במשרד ובגופים. תכנית העבודה השנתית היא פרי החלטתי הבלעדית, כמובן באישור המנכ"ל והשר כפי שמבוצע לכל יחידות המשרד. לעתים השר או המנכ"ל במהלך השנה או במהלך הצגת תכנית העבודה השנתית מבקש שנבדוק נושא כלשהו.

מירב שגיא יהודיין: מניסיוני, התהליך הנכון הוא שדווקא המבקר הפנימי מחליט על מרבית הנושאים בתכנית העבודה, לאחר קיום שיחות עם מנהלים ועובדים תוך מתן אפשרות למנכ"ל להציע נושא או שניים לפי ראות עיניו.

מהם עיקרי ההדגשים שלך לקידום הרמה המקצועית של העובדים ושל יחידת הביקורת: תכניות לכניסה לתחומי ביקורת חדשים וכן להשבחה של השיטות  לאיסוף ועיבוד נתונים?

איריס פרידמן: בשנים האחרונות אנו משלבים נושאי ביקורת רוחביים בתוך המשרד. השיפור במערכות המחשוב במשרד מאפשר לנו להוציא דוחות בחתכים שונים ולבצע ניתוחים והצלבות נתונים המסייעים לנו בביקורות. נושאים רבים מתחילים בשאלונים שנשלחים ליחידות.

מירב שגיא יהודיין: המבקרים הפנימיים החלו להתוודע רק לאחרונה לתחום ההולך ומתפתח של ניהול סיכונים וממשקי הביקורת עם הנושא. גם הנושא של ביקורת מערכות מידע, סיכוני סייבר ועוד, הופך למרכזי יותר בעבודת המשרדים ובהכרת הסיכונים ומחייב אותנו בהעמקת הידע בנושא. גם אם מרבית המבקרים אינם אנשי מקצוע בתחום ומסתייעים במיקור חוץ לשם כך, יש צורך בהעמקת ההיכרות עם העולם הטכנולוגי – הן עם הכלים שהוא מספק והן עם האתגרים שהוא מציב בפנינו.

דוד כהן: השנה הצבתי לעצמי יעד להכין תכנית הכשרה וההעשרה מקצועית לעובדי האגף הן בתחום הביקורת והן בתחום תלונות הציבור ולהגיש אותה לאישור תקציבי לסמנכ"לית למינהל ומשאבי אנוש במשרד. תחומי ביקורת חדשים שאנו בוחנים הם: מערך הסייבר, אבטחת מידע, ותקציבים.

מזווית ראייתך, מה עיקר תרומת הביקורת הפנימית לארגון?

איריס פרידמן: עיקר תרומת הביקורת למשרד הוא ביצירת שינוי תרבותי במשרד המקבל את הביקורת כחלק אינטגרלי שבא לסייע ליחידות בהתנהלותן ובשיפור תהליכי עבודה. כמו כן אנו מציפים נושאי רוחב ודואגים לקדם הפקת לקחים מערכתית.

דוד כהן: מרבית הביקורות שלנו צריכות להיות ממוקדות כביקורות מתקדמות.  אנו צריכים להתמקד יותר בתקני הביקורת העוסקים בתחום היעילות והמועילות (אפקטיביות) ולבדוק האם המטרות של המערך/יחידה הנבדקים אכן הושגו. ביקורת אפקטיבית עוסקת בבחינת הישגיות היחידה ובמשקל התועלת שהיא מפיקה מפעולותיה, באיכות הביצוע, וטיב שיקול הדעת. כמו כן אני מבקש להדגיש את הצורך בבדיקת ממשקי העבודה – סדרי שיתוף הפעולה והתיאום בין היחידות.

מירב שגיא יהודיין: לביקורת הפנימית יש תועלות משמעותיות. ברמת הארגון: חסכון והתייעלות כספית, שיפור ביצועי היחידות, שיפור סביבת העבודה והשירות לציבור והגברת אמון הציבור תוך שמירת האינטרס הציבורי. בנוסף, יש תועלות לדרג הניהולי, ובהן הצפת קשיים וחסמים הפוגעים בתקינות הפעילות, הצעת פלטפורמה לשימור החוזקות ותיקון הליקויים, כלי עבודה ניהולי ומנוף לשיפור ולהתייעלות.

על רקע ניסיונך, מהן עיקרי ההמלצות שהיית נותן למבקר פנימי חדש במגזר הממשלתי שנבחר זה עתה לתפקידו?

מירב שגיא יהודיין: ללמוד על המשרד, להכיר את דוחות הביקורת הפנימים שנערכו בו ואת דוחות מבקר המדינה, לקיים סבב שיחות עם כל גורמי ההנהלה ואנשי מפתח במשרד, במטה ובמחוזות, להקשיב ולעשות בין היתר תיאום ציפיות, להציג את התועלות שבביקורת להנהלה ולארגון כולו, להציג ולשווק את ה"אני מאמין" שלו בקרב הנהלת המשרד, במטה ובמחוזות ובכך לחשוף את העובדים ליחידת הביקורת הפנימית במשרד, ולבסוף: למצב את הביקורת הפנימית ככלי ניהולי וככתובת לעובדי המשרד.

דוד כהן: להכיר טוב את המשרד על כל גופיו, לערוך סבב פגישות עם סמנכ"לים וראשי אגפים, ראשי יחידות סמך או גופים הכפופים למשרד. להכיר ולשמוע את תהליכי העבודה במשרד ובגופים, פרויקטים ותכניות רב-שנתיות, לבדוק האם בוצע במשרד "סקר סיכונים" ועוד, כל אלו יסייעו לו בכניסתו לתפקיד.

איריס פרידמן: ללמוד את המשרד על יחידותיו, סמכויותיו ותפקידיו, בניית צוות עובדים/מיקור חוץ בהתאם לצרכים של המשרד, קריאת דוחות ביקורת קודמים של הביקורת הפנימית ושל מבקר המדינה, מפגש עם המבוקרים, בניית תכנית עבודה בהתייעצות עם גורמים במשרד, יצירת קשרי עבודה ולימוד משותף – עם מבקרים פנימיים במשרדי הממשלה האחרים.

במה לדעתך שונה הביקורת הפנימית במגזר הממשלתי מזו של הפרטי?

מירב שגיא יהודיין:  במגזר הממשלתי המבקר כפוף מנהלית ומקצועית למנכ"ל המשרד ולשר, ולעתים הוא גם יכול בה בעת לבקר אותם במסגרת עבודתו. עובדה זו פוגעת במישרין בעצמאות המבקר ובאפקטיביות של עבודתו, זאת בניגוד למגזר העסקי שבו יש ועדת ביקורת בלתי תלויה והכפיפות שלה היא ליו"ר הדירקטוריון או בחברות ממשלתיות כפיפות דואלית. כך, במגזר העסקי ועדת הביקורת היא הממליצה על מינוי המבקר הפנימי, מנחה את פעילותו, דנה בדוחותיו ומוודאת יישום ההמלצות. זהו שוני מהותי לעומת ההליכים במגזר הממשלתי. שוני נוסף הוא ההכרה בחשיבות תפקידו של המבקר לקידום מטרות הארגון: במגזר הפרטי, ההכרה מלווה במשאבים ובקביעת מעמד המבקר במדרג העליון בהנהלת הארגון. בסקטור הממשלתי, לעומת זאת, על אף דוחות מבקר המדינה ודוח ועדת זיילר, רק לאחרונה, בין היתר בעקבות עתירת בג"צ של המבקרים הפנימיים נגד מדינת ישראל, החלה רפורמה בנושא. הרפורמה נועדה לחזק את הביקורת הפנימית במשרדי הממשלה על ידי קביעת תקינת מינימום לאגפי הביקורת, הקצאת משאבים ליחידות ושדרוג מתח הדרגות הנמוך של המבקר ועובדיו.

דוד כהן: המגזר העסקי הפרטי, להבדיל מהמגזר הממשלתי, נמצא בשלבים מתקדמים יותר של חדשנות ושינויים. לדבריו, הדבר נובע  מכך שהמבקר הפנימי במגזר העסקי  שוקל יותר ויותר כיצד לייעל  את החברה, ובשורה תחתונה – כיצד  להרוויח יותר, כיצד להוביל על פני חברות מתחרות, כיצד לתת שירות איכותי יותר ללקוחות ועוד.

לקראת סיום, ספר אנקדוטה מעניינת מעבודתך:

מירב שגיא יהודיין: באחד המשרדים שבהם עבדתי טיפלתי גם בתלונות הציבור. קיבלתי מכתב ממתלונן סדרתי המוכר לכל הרשויות כאדם לא מאוד יציב נפשית. הוא הציב לי אולטימטום (עד חצות), לכנס את כל שופטי בית המשפט העליון לדון בעניינו, ולא – יאונה לי רע. המכתב היה מעוטר בצלבי קרס. אגף הביטחון במשרד התייחס אל מכתב האיום במלוא הרצינות, הצמיד לי מאבטח בכניסה וביציאה מהחניון והגיש תלונה במשטרה. עם שובי הביתה אחר הצהריים התייצב אצלי שוטר במדים ששהה בביתי עד חצות, מועד פקיעת האולטימטום… לימים, הצליחה המשטרה לאתר את המתלונן.

ואנקדוטה נוספת: מירב אינה מבטאת את הערותיה והמלצותיה רק בדוחות.. לפני כשנה וחצי היא הקימה במשרד להגנת הסביבה הרכב מוזיקלי המורכב מעובדי המשרד, והיא לוקחת בו חלק בנגינה ובשירה. ההרכב מופיע בכל טקסי המשרד, בהתנדבות במוסדות שונים ועוד. מעבר לתרומה ללכידות המשרדית, לתחושת הגאווה של עובדי המשרד, חשוב שיראו צדדים נוספים, חשובים לא פחות, של הביקורת הפנימית….

תובנות וסיכום של העורך והמראיין:

חוק הביקורת הפנימית נחקק בשנת 1992. לחוק אין תקנות ולא נעשו בו גם השינויים הנדרשים כדי להתאימו לרוח המאה ה-21 ולתמורות המהותיות שחלו במקצוע הביקורת הפנימית. על רקע האמור לעיל נוצר תסכול ואף רוח של מאבק בקרב המבקרים הפנימיים במשרדי הממשלה. המאבק היה  ממושך,  די אם נציין את דוח ועדת זיילר כבר בשנת 2006 – לפני כעשור, את דוח מבקר המדינה משנת 2013, וכמובן את העתירה לבג"צ נגד מוסדות המדינה שהגישו בשנת 2012 שורה של מבקרים פנימיים במשרדי הממשלה – כל אלה הצביעו על הצורך בתמורות מהותיות. סוף דבר – המאבק החל לשאת פרי והחל הליך של שינוי. אבל, זאת רק תחילת הדרך, בין היתר גם משום שהריאיון מעלה עוד שורה של סוגיות רגולטוריות, שלדעת המבקרים הפנימיים ולדעת רבים אחרים, יש לטפל בהן ולהביא לשיפור. לתשומת לב מקבלי ההחלטות ובראשם שרת המשפטים שהיא השר הממונה בנידון!

אגב זאת: בהשוואה בין מבקרים פנימיים במגזרים שונים, הריאיון מעלה שוני  ופער מהותי, לרעה, בין הביקורת הפנימית במגזר הממשלתי לבין הביקורת במגזר העסקי. פער זה מחייב את מקבלי ההחלטות השלטוניות למתן מענה רגולטורי, ובה בעת – מחייב את המבקרים הפנימיים במגזר הממשלתי למתן מענה תוכני ומקצועי.

הריאיון משדר גם רוח של תקווה: שומה לציין לשבח, שעל אף מגבלות החוק, הרי שהמבקרים הפנימיים שהתראיינו הצליחו לייצור יחסי עבודה הוגנים ואף פוריים עם המנכ"לים של משרדי הממשלה שבהם הם עובדים.

הריאיון גם מעלה כי המבקרים הם בעלי שאיפות מקצועיות וכיוונים להתפתחות מקצועית. עיקרי השאיפות הן: להתמודד עם נושא סיכונים, ובכלל זה עם תחומי סייבר ואיומים על מערכות מידע; להגביר ביקורות מערכתיות, להעמיק במתודולוגיה של ניתוחים באמצעות המחשב וכן באמצעות שאלונים; להביא ערך ולהעמיק לא רק בביקורת של ציות ((COMPLIANCE, אלא גם לעסוק ביתר שאת ולתרום בתחומים של יעילות ומועילות.

[1] דוח עדת זיילר משנת 2006 כמו גם דוח מבקר המדינה משנת 2013  "הביקורת הפנימית במגזר הציבורי", מציינים את הצורך בגורם-על – גורם מנחה מקצועית שמהווה גם מעין קו הגנה למבקרי הפנים בממשלה: דמוי החשב הכללי באשר לחשבי המשרדים, היועץ המשפטי לממשלה באשר ליועצים משפטיים של המשרדים הממשלתיים; נציב שירות המדינה באשר לסמנכ"לים למשאבי אנוש ומינהל.

The post מבקרים פנימיים במגזר הממשלתי – אתגרים, קשיים, תמורות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

האתגר: כיצד ניתן לחזק את השינוי עליו אנחנו ממליצים, על מנת שייושם הלכה למעשה?

מטרתו של מאמר זה הינה לתת כלים למבקר הפנימי לעזור להנהלה ביישום המלצות ביום שאחרי קבלת דוח הביקורת,  לעמוד על הסיבות האישיות והארגוניות שבעטיין המלצות לא מיושמות ולתת מספר כלים פשוטים שיסייעו להפוך המלצות למציאות ארגונית.

חלק מהכלים שנציג מיועדים לשימוש ישיר של המבקר עצמו, בסגנון "כיצד להציג את הדברים, כדי ליצור מינימום אנטגוניזם", וחלקם – לצורך ביצוע "חניכה" למבוקר, כיצד האחרון יכול להגביר את הסיכויים שההמלצות אכן ייושמו. נחיצותם של האחרונים נובעת מהעובדה שכדי "לרתום" את המבוקר לשינוי, לא מספיקה הגשת דוח כתוב. תחת זאת הגישה המומלצת היא זאת ההופכת את המבוקר לשותף אקטיבי הבוחן ביחד עם המבקר את הממצאים וההשלכות ומגבש, שוב יחד, דרכי פעולה אפקטיביות יותר לצורך הפחתת הסיכונים שזוהו והטמעת שינויים, ככל שיידרשו.

חשוב להדגיש: מטרת המאמר אינה להפוך את המבקר הפנימי ליועץ ארגוני. לכל מקצוע יש את המקום שלו, המיומנויות והגישה המתאימים. עם זאת, גם המבקר יכול לעשות שימוש בכלים מתחום מדעי ההתנהגות, ולהעצים את המבוקרים בדרכם לעשות שינוי.

אז בואו נדבר קצת על שינוי, או ליתר דיוק בלשון מקצועית  על "ההתנגדות לשינוי". מבחינתנו, בין אם אנו יועצים ארגוניים או מבקרים פנימיים – עשינו את מלאכתנו. אנו מאתרים את הבעיות, נותנים את התובנות שהפקנו, מספקים את ההמלצות, ומחכים שהשינוי יקרה. הם – איתם הבעיה. הם לא מבינים את נחיצות השינוי, הם לא מפנימים עד הסוף למה התכוונו, הם דבקים בנהלי העבר, ולא "נותנים צ'אנס" למשהו חדש. למה זה קורה?

Bridges (1996) (1) מספק לנו הסבר. שינוי מורכב משני מושגים, אותם אנחנו כורכים בטעות יחד. ה-Change הוא האירוע, האובייקטיבי, הנקודתי, החד-חד ערכי. ה-Transition הוא כל מה שקורה לנו כאינדיבידואלים, לנוכח ה-Change. בניגוד ל-Change, ה-Transition הוא סובייקטיבי, אישי, תהליכי, והאפור בו מרובה על השחור והלבן. נדגים זאת על אירוע ארגוני-חיובי, הפעם: מנהל מדרג נמוך יחסית  התקדם ומונה לתפקיד מנהל ביניים. אנחנו מוצאים אותו שוקע בשוטף, עושה micro management למנהלים שתחתיו, לא משחרר ולא מעצים. ה-Change הוא ברור, ואפילו חיובי – הקידום הניהולי. ה-Transition מעט יותר בעייתי. המנהל שקיבל זה עתה את התפקיד מבין שהציפיות ממנו גדלו, הוא מפחד שלא ידע למצוא את האיזון בין דיבור בגובה העיניים של כפיפיו החדשים לבין לדרוש ולתבוע, הוא חושש שהעמיתים שלו לשעבר לא יפרגנו לו. הוא נזכר במנהל שהיה לו כעובד, שלא הצליח להחזיק מעמד בתפקידו ועזב אחרי שלושה חודשים. את כל הדברים האלה הוא חווה פסיכולוגית, ונכנס לתהליך ארוך וסובייקטיבי, שבסופו יעבור את השינוי. בכל מקרה, ברור שאנחנו לא מדברים פה על משהו נקודתי, אובייקטיבי וקצר.

בצורה דומה ובהשלכה לעבודת הביקורת, כשאנחנו מגישים את ההמלצות שגיבשנו, אנחנו רואים את ההמלצות האובייקטיביות, הנקודתיות, הברורות, ופחות רואים את חלקו של הקרחון שנמצא מתחת למים: את חששם של אלה שאמורים ליישם את המלצותינו , חששות מאי-ידיעה של המצב החדש, מהצורך להתעמת עם העובדים שלהם, על הצורך הלא קל לשנות פרקטיקות ,חלקן פסולות, אך שהפכו לנוהג בחברה, משינוי סדרי עולם שמוציא אותם ואת העובדים שלהם מאזור הנוחות. מושאי ההמלצות חוששים להיפרד מהמוכר והידוע ומפחדים להיכשל בהטמעה. שלא לדבר על פחדם מ-shaming או התבזות בפני מנכ"ל' או דירקטוריון. תגובות אלו הן טבעיות ואנושיות!!

אז מה עושים? Kotter (2005) (2) מדבר על שמונה שלבים בדרך להטמעת שינוי בארגון. לא נתעכב על כל השמונה, אבל כן נדגיש שניים מתוכם: תחושת דחיפות ויצירת קואליציה מובילה. בתחושת הדחיפות, הכוונה היא להבין מדוע דרוש השינוי, מה יקרה אם לא נשנה? לדוגמא, עובדים העוסקים במתן שירות יגידו "מעצבן כל פעם להרים את הטלפון ולהגיד: 'חברת X שלום, מדבר שלמה, במה אוכל לעזור? הרבה יותר פשוט להגיד 'הלו'". מסיבה זו הם מתנגדים לשינוי. לעומת זאת, אם הם יבינו את ההשלכות, שהסטנדרט של מתן שירות בעולם השתנה, ושאם לא נעמוד כארגון בסטנדרטים החדשים, אולי לא תהיה לנו עבודה בתוך שנה, אז תחושת הדחיפות והנחיצות האישית של אותו עובד אל מול השינוי תהיה אחרת.

שלב הקמת הקואליציה, שגם עליו מדבר Kotter, מסביר שאדם אחד לבדו לא יוכל להוביל את השינוי, גם אם הוא המנכ"ל. הוא פשוט לא יכול להגיע לכל אחד מהעובדים. גם אם יוריד הנחיה מלמעלה, העובדים שלא באמת מאמינים בצורך בשינוי, פשוט יקיימו את ההנחיה מן הפה ולחוץ, ללא מעורבות  והטמעה מלאה, או אף ינסו למצוא מנגנונים עוקפים. לא מכבר, התבשרנו על ארגון שכולנו מכירים, שעל מנת  לעמוד במשימה ולהוריד את אחוזי הפשיעה, דאג שאזרחים לא יגישו תלונות. כלומר הקשה על מגישי התלונות, וראו זה פלא: כמות התלונות– כמדד לפשיעה – ירדה פלאים. הפשיעה, דרך אגב, נשארה אותו הדבר.

אם כך, כדי שההמלצות שנתנו יהפכו למציאות ארגונית שני הכלים הראשונים אותם נרצה לאמץ, הינם: 1. יצירת תחושת דחיפות – העובדים שמיישמים את השינוי צריכים להבין מה יקרה להם אם השינוי לא יקרה. איך הדבר ישליך לרעה על מציאות העבודה שלהם. כיועץ, אני נוהג לעבוד לפי עקרון אמיל"י, או בעברית פשוטה – "אני מה יוצא לי מזה?". את העובד לא מעניינות ההשלכות של ההמלצות על ה-CFO או המנכ"ל, מעניינות אותו ההשלכות עליו. אם העובד יבין שיישום השינוי יוריד את רמת התלונות שהוא מקבל, או את העוצמה שלהן, הוא יטה ליישם את השינוי.

הכלי השני הוא הקמת קואליציה. כשהמבקר הפנימי מוסר את ההמלצות שלו, רצוי שיציע למבוקר להקים קואליציה שתוביל את השינוי בארגון. משימות הקואליציה יהיו: להתוות את דרך הפעולה לשינוי, לשגרר (מלשון שגריר) את התהליך בפני הארגון, לדווח על בעיות בהטמעה, ולוודא שהתהליך נשאר במקום גבוה בסדר העדיפות הארגוני.

קואליציה מובילה טובה, מורכבת בדרך-כלל מדמויות ארגוניות משמעותיות, עובדים הנתפסים כמובילי דעת קהל, מוכרים כבעלי יושרה, ומנהיגים לא פורמליים, והכי חשוב, שיתחברו לנושא ולהמלצות המוצגות. מומלץ שקואליציה זו תהיה חוצת דרגים ניהוליים, ותכלול גם עובדים, דבר שיגביר את אמינותה בעיני העובדים המיישמים את ההמלצות. לאחר שהארגון אייש את הקבוצה, יש לבנות אותה כצוות, לתת לה עצמאות בבחירת דרך ההגעה למצב הרצוי (ראו למטה "מטרה לעומת מטלה"), ולבנות תכנית פעולה הכוללת בקרה ומעקב תקופתיים (לא כעבור שנה…).

הכלי השלישי שאליו אתייחס במאמר זה  הוא הכלי של מטרה לעומת מטלה. ניקח לדוגמא את לירון, מנהל צעיר של צוות מפתחים. כבכיר המתכנתים, הוא המנוסה מכולם, והוא מנחה את עובדיו בדיוק מה צריך לעשות. נותן להם את כל המטלות. הבעיה היא עם המוטיבציה. העובדים שלו מתלוננים שהוא עושה להם "מיקרו-ניהול", יושב להם מאחורי הכתף, ולא נותן חופש פעולה וכר ליצירתיות. שניים כבר עזבו, והשלישי בדרך. נניח שלירון היה מגדיר לעובדיו את המטרות, במקום את המטלות. לדוגמא, שחרור גרסה מספר 2.1 עד לתאריך 3/5, עם תיקון של שני הבאגים המרכזיים. פתאום הדרך לא מוגדרת על ידי המנהל, אלא רק היעד אליו נרצה להגיע. העובד לוקח על עצמו יותר אחריות, מתקדם עצמאית ופונה למנהל לייעוץ רק כאשר הוא נתקע, ומי יודע, אולי אפילו מוצא דרך יותר יצירתית לפתרון. מה שבטוח הוא שבשיטת המטרה, בניגוד לשיטת המטלה, העובד מועצם, ובאורח פלא, גם לירון פתאום מתפנה לתכנון, ל-Networking , ואולי אפילו יכול לקחת את החופשה השנתית שמחכה לו שנתיים.

כיצד הדברים מיתרגמים לעבודתו של המבקר הפנימי? גם המבקר הפנימי יכול בטעות להשתמש בגישה של "מטלות": וכך לוותר על שיחת סיכום ולכתוב דוח ביקורת חריף הקובע בדקדקנות מה על כל מבוקר לעשות. מצד שני, המבקר יכול לעבוד בשיטת המטרות. במסגרת שיחת הסיכום לכנס את המבוקרים, להעלות בפניהם את הבעיות שמצא, להציג את המצב הרצוי מבחינתו, ולשאול אותם: "כיצד אתם חושבים שניתן לתת מענה לממצא? כיצד, לדעתכם, ניתן להפחית את הסיכון? אילו שינויים, יגרמו לדעתכם לאפקט החזק ביותר?". הוא מעלה את המלצותיו ומבקש מהמבוקרים להעלות את המלצותיהם. מדיון משותף כזה, רק טוב יכול לצאת לארגון. בצורה מקבילה, הוא יכול לייעץ למבוקר להניע תהליך דומה עם עובדיו, כדי לייצר איתם את המחויבות שתידרש להובלת השינוי. או בצורה פשוטה: "מעורבות שווה מחויבות".

הבה נציג מקרה מבחן הממחיש את הנושא: במחלקה בבית חולים איתה עבדתי, הייתה בעיה של סטנדרטים לא-אחידים בכל הקשור להתנהלות אל מול לקוחות, ובין העובדים לבין עצמם. מנהלת המחלקה ואני כינסנו את העובדים, תיארנו להם את המצב ואת ההשלכות הבעייתיות מבחינתם. לדוגמא, אחד מהעובדים מספק למשפחה של חולה שירות שאסור לו לתת (כניסה למטבחון להכנת קפה). במשמרת הבאה, אותה המשפחה מתלוננת בפני עובד אחר, שלא נתן להם גישה למטבחון: "קיבלנו אתמול מהחבר שלך, למה אין לך לב?". לאחר מכן, שאלנו את העובדים, "מה הייתם רוצים לראות כסטנדרט פעולה שגם ירים את הרמה במחלקה, וגם יגן עליכם כעובדים?" העובדים העלו נושאים כמו: חלוקת תרופות ע"י כל אנשי הצוות, שמירה על זמני הפסקות ע"י כל חברי הצוות, איסור כניסה של בני משפחה לחדר צוות או למטבחון, ודיווח בכתב של כל אירוע חריג. נסו לחשוב מה היה קורה אם אנחנו היינו מנחיתים את הדברים, במקום שזה יבוא מהם? מה הייתה המחוייבות שלהם אז?

הכלי הרביעי והאחרון אותו אציג, כדי לסייע למבקר להעביר את הממצאים וההמלצות עם מקסימום סיכויי היתכנות ומינימום אנטגוניזם נקרא "זה לא אישי". בתקופת עבודתי באינטל, כמנהל משאבי-אנוש, נהגנו להגיד "Attack the Issue, not the `Ish-`".  ובעברית:  בחן את הנושא ולא את הנשוא-האיש האחראי. כאינדיבידואלים, קשה לנו לקבל מסמך ביקורת הממוקד בנו, וקל לנו יותר להתעסק במסמך המדבר על תהליכים או דפוסי התנהגות-פעולה. קיים שוני בין להגיד "שמואל ודני לא מעבירים דיווחים להנהלה כנדרש" לבין להגיד "ההנהלה לא מקבלת את הדיווחים בזמן אמת, וכתוצאה מכך נוצרות תגובות שגויות ומאוחרות לבקשות לקוח". אם אנחנו רוצים לגייס שותפים, ולא אויבים, מוצע לדבר בדוח הביקורת על תופעות ותהליכים ולא על אנשים. את האנשים שאמורים לתקן את הבעיה נוכל לכלול בטבלת יישום ההמלצות בסופו של הדוח, יחד עם המשימות ותאריך היעד. בחברות רבות איתן עבדתי, לקח שנים להפוך תחקירים מאקט של חיפוש אשמים לאקט של למידה. אבל ברגע שהובהר שמדובר בלמידה, והגרדום הועבר מכיכר העיר למחסן הגרוטאות, אנשים הפסיקו להסתיר ולטייח, הדיונים הפכו למועילים-קונסטרוקטיביים יותר, וסיכויי ההיתכנות של יישום ההמלצות עלו פלאים.

לסיכום, בפראפראזה על הפתגם "אנשים קונים מאנשים", הרי שמי שמיישם את השינויים עליהם אנחנו ממליצים הם אנשים. לאנשים אלו יש רצונות, פחדים, שאיפות ומאפיינים אישיותיים שונים. בעזרת ארבעת הכלים דלעיל:

1. יצירת תחושת דחיפות.
2. המלצה ליצירת קואליציה מובילת שינוי.
3. מטרה לעומת מטלה.
4. זה לא אישי.

ניתן להפוך את העובדים למיישמים פעילים של השינוי, שמבינים מה יקרה אם לא יתחולל השינוי, שמיישמים את הניסיון, הידע והתובנות האישיים שלהם, שיודעים להגדיל ראש ולהציע הצעות נוספות וטובות יותר להטמעה של השינוי שרצינו. הדבר לא הופך את המבקר הפנימי ליועץ ארגוני, אלא רק מעשיר את ארסנל הכלים בהם הוא יכול להשתמש.

כשהמבקר הפנימי ישאל את עצמו ואת המבוקר שאלות פשוטות כמו:

1. "האם אני חייב לפרט כל אחת ואחת מהמטלות, או שאני יכול להציג מצב רצוי בקווים כלליים, ולשתף את המבוקר בחשיבה על הדרך להשגתו?"
2. "כיצד עוזרים לעובדים להבין את ההשלכות שייגרמו מחוסר שינוי?"
3. "מי, חוץ ממך, יכול לסייע בהובלת מהלך כזה?"
4. "היכן ניתן לאפשר לעובדים חופש פעולה בהתווית הדרך אל היעד אותו הגדרנו?"

זאת, בעוד הוא שומר על אובייקטיביות ועל כך שמדידת השינוי הסופית תתבצע על ידי המבקר, הוא יוכל להפוך את המבוקר לשותף מעורב, ולשפר את הסיכויים להצלחת השינוי עליו המליץ.

 ביבליוגרפיה:

1. Bridges, William R., (1996), Surviving Corporate Transitions, William Bridges & Associates
2. Kotter, John P. (2005), Leading Change, Harvard Business School Press.

The post כלים בין-אישיים להשלמת עבודתו של המבקר הפנימי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

להלן כמה מסקנות ותובנות שעלו מהסקר:

• ישנה הבנה ברורה בין הנשאלים כי אירועי סייבר עלולים להוביל לפגיעה משמעותית בארגון.
• 74% ממשתתפי הסקר צופים כי יהיו קורבן למתקפת סייבר בשנת 2016.
• 60% חוו מתקפת פישינג (Phishing) בשנת 2015, וב-30% מארגונים אלה מתרחשות מתקפות כאלה מדי יום. 20% מהארגונים חווים נזק מבפנים וגניבת קניין רוחני (Intellectual Property) על בסיס רבעוני.
• 60% מהנשאלים מאמינים כי צוות אבטחת המידע שלהם מסוגל לטפל באירועי סייבר פשוטים בלבד.
• שלוש המתקפות המצליחות השכיחות בשנת 2015 היו: פישינג (Phishing), הנדסה חברתית (Social Engineering) וניסיונות פריצה (Hacking) לרשת הארגונית. נתונים אלו מצביעים על צורך ברור בהגברת המודעות בקרב עובדי הארגון, מכיוון שבלימת התקפות אלו תלויה בעיקר בהם.
• תוצאות הסקר מטרידות מכיוון שכ-25% מהנשאלים ענו שהם אינם יודעים האם לארגון נגרם נזק כתוצאה מהתקפת סייבר. עובדה זו עשויה להצביע על הצורך בניטור טוב יותר, לרבות הצורך לעקב אחר יומני הפעילות (לוגים) של מערכות הארגון ולהבין טוב יותר את משמעות הפעילות שבוצעה. כמו כן, מצביע הסקר על הצורך בחיזוק מיומנויות העובדים.
• 82% מהנשאלים ציינו כי חברי דירקטוריון בארגונם מוטרדים או מוטרדים מאוד מיכולת הארגון לעמוד בפני אירוע סייבר, וכתוצאה מכך צופים כי יהיה גידול בתקציב, שיתוף הידע בנוגע לאיומים יעלה, בקרות ייבדקו ותתגבר תמיכת הדרג המנהלי בתכניות אבטחה בארגונים.

לסיום, ברצוננו להמליץ לכם על אתר ייחודי, שבו תוכלו למצוא מאגר של כל אירועי הסייבר הגדולים שהתפרסמו ברחבי העולם, כולל תיאור האירוע והנזק שנגרם ממנו. האירועים מוצגים באתר בצורה אינפו-גרפית מדהימה, עם יכולות סינון אירועים לפי השנה שבה התרחש האירוע, התחום שבו עוסקת החברה שהותקפה, אופי ההתקפה ורגישות המידע שנגנב.

האתר נקרא: World's Biggest Data Breaches, ותוכלו למצוא אותו בכתובת הבאה:

https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

האתר מעודכן באופן שוטף. אנו סמוכים ובטוחים כי תמצאו בו אוצר בלום של מידע שיכול לסייע לארגונכם בהבנה, בזיהוי ובטיפול באירועי סייבר.

The post חידושים ובהתפתחויות בתחום ביקורת טכנולוגיות מידע וסייבר appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שינויים טכנולוגיים מהירים גרמו לטרנספורמציה של העולם העסקי והובילו כלכלות יציבות וחברות חזקות לסף קריסה. כדי לשמור על הרלוונטיות שלהן, נדרשות מחלקות הביקורת הפנימית לאמץ חידושים נועזים. לא די בשיפור הערכת הסיכונים באמצעות שינוי תדירות, היקף ועומק הביקורת. כעת תובנה עסקית חדשנית היא היעד.

הסביבה הנוכחית

החברות כיום הן יותר אינטגרטיביות, תלויות הדדית ומפוזרות גיאוגרפית מאי פעם, בעוד שהביקורת הפנימית נדרשת לעשות יותר עם פחות משאבים. שתי העובדות הללו מציבות אתגרים משמעותיים עבור מודלים מסורתיים של ביקורת פנימית. במחקר שנערך על ידי פירמת PWC ב-2014 תחת הכותרת "מצבו של מקצוע הביקורת הפנימית", נמנות האיכות והחדשנות כמאפיינים יסודיים לערך מוסף של הביקורת ולפיתוח מערכת יחסים עם יועץ שניתן לסמוך עליו.

כדי לענות על הציפיות של ההנהלה בסביבת עבודה דינמית, יש צורך לאמץ גישה חדשה. מחלקות הביקורת הפנימית אינן יכולות להרשות לעצמן להשקיע חודשים רבים בתכנון עולם סיכונים מקיף שיהפוך מיד ללא רלוונטי, ואינן יכולות להקדיש משאבים לעריכת מחקר חיצוני רחב-היקף כדי להקצות דרגות סיכון בעלות חיי מדף קצרים. הצורך להגיב לאירועים ולמקרי הבוחן האחרונים דורש גישה מתוחכמת יותר המחלחלת לכל היבטי הביקורת, החל מתכנון, דרך ביצוע וכלה בדיווח. תם העידן שבו הביקורת הפנימית הייתה יכולה להקדיש שלושה חודשים להערכת סיכונים, ארבעה חודשים לביצוע הביקורת וחודש לדיווח. גם רכישת משאבים נוספים כדי להתייחס לסוגיה חדשה העולה בשנת הביקורת אינה סבירה. מכאן עולה השאלה: איך יכולה הביקורת הפנימית לאסוף ידע ארגוני כאשר האינפורמציה נמצאת אצל מגוון רחב מאוד של אנשים, מערכות ומשאבים, בלי להגדיל את כמות המשאבים הנדרשת לצורך כך?

למרבה המזל, הטכנולוגיות של העידן הנוכחי נותנות לביקורת הפנימית את היכולת לשקף את מערכות היחסים הרבות המגדירות את המודלים העסקיים הנוכחיים. טכנולוגיה ניידת הופכת את הגישה לנתונים בזמן אמת לפשוטה יותר. כלים חזותיים מעניקים את ההזדמנות להציג מערכות יחסים בדרך חדשה המעוררת שיח חדש. כלים לניהול ידע יכולים להפנות את תשומת הלב למערכות יחסים מורכבות ואת הסיבות להן.

כמו בני האדם, גם ארגונים סובלים ממחלות רב-סיבתיות. טיפול בגורם אחד של המחלה יכול להוביל לשיפורים צנועים וזמניים אך אינו מרפא את המחלה בכללותה. יש צורך בגישה הוליסטית יותר כדי למנוע הישנות של גורמים אלו ולהשיג שיפורים של ממש.

על המבקרים הפנימיים לחבר נקודות מידע נפרדות, לנקוט בגישה של פתרון בעיות רב-סיבתיות, ולפעול באופן מתוחכם במסגרת המשאבים המוגבלים שעומדים לרשותם. הצעד הראשון הוא התמקדות פנימה בהטמעת חדשנות במסגרת מודל הפעילות של המחלקה. מקרה הבוחן של Nationwide Mutual Insurance Co. (שיפורט בהמשך) ממחיש את ההשפעה שיכולה להיות לחדשנות פנימית על הביקורת הפנימית.

התועלת שבחדשנות

מחלקות ביקורת פנימית המטמיעות חדשנות בפעילותן לא רק מתייעלות בתהליכים, אלא גם מפתחות תובנות מעמיקות הממצבות אותן כמומחיות בתחומים שונים. הן מתחילות לבחון פעילויות עסקיות באופן אחר ושואלות סוגים שונים של שאלות חקירתיות. דוחות ביקורת הופכים להיות ממוקדים יותר הן מבחינת ה"מסר" והן מבחינת התמונה הגדולה שמספקת הקשר ויוצרת רצון לשינוי. מנהלים מתחילים לבקש מעורבות של הביקורת הפנימית, פרקטיקות תפעוליות משתנות כדי להתאים את עצמן לדרישות ההנהלה וכן לסמכויות ועדת הביקורת, מערכת היחסים בין ההנהלה לביקורת הפנימית משתפרת, והביקורת הפנימית מרוויחה את מושבה בשולחן הניהולי.

התוצאה הסופית היא שהביקורת הפנימית מקבלת מידע בעל ערך רב יותר, המאפשר לה לספק תובנות טובות יותר. בו-בזמן, בשל רמת הידע העמוקה יותר והגישה הטובה יותר למידע (הנובעות מהחדשנות), הביקורת הפנימית יכולה להעריך את הארגון באופן אובייקטיבי יותר ולשפר את תהליכי ניהול הסיכונים, הממשל התאגידי והבקרה. כך תפקידה הניטורי של הביקורת הפנימית מתעצם. עם זאת, כדי להגיע לנקודה זו יש דרך לא פשוטה לעבור. אמנם אין גישה אחת שמתאימה לכל הנסיבות, אך ישנם כמה מאפייני חדשנות משותפים שאליהן צריכות מחלקות הביקורת הפנימית לשאוף.

יצירת מסגרת

אין סטנדרטים רשמיים לחדשנות. עם זאת, בזירה האקדמית מקובל להניח שחדשנות מתקיימת במקום שבו אנשים יוצרים ערך באמצעות הטמעת רעיונות חדשים. הגדרה זו יוצרת מסגרת בסיסית המכירה בכך שחדשנות מתקיימת רק באמצעות אנשים, ובאופן כללי – רק באמצעות קבוצות העובדות בשיתוף פעולה. המסגרת הזאת מתייחסת למערכות לשיתוף ידע, לימוד בשיתוף פעולה, וניהול פרויקטים ושינויים. מומחים בתחום החדשנות מסכימים כי החדשנות מתרחשת על ספקטרום של שינוי.

דוגמה לכך היא המודל התלת-שלבי: שיפור, התפתחות וטרנספורמציה. חדשנות בדרגה ראשונה כוללת שיפורים המובילים להפחתת עלויות וייעול תהליכים. לדוגמה: בדיקות תפעוליות, הערכת פרויקטים ופרויקטים מיוחדים מתמקדים בתובנות מדרגה ראשונה. חדשנות בדרגה שנייה מסייעת להתפתחות של מוצרים, שירותים ותהליכים קיימים ומזהה שימושים, שווקים ולקוחות חדשים. דרגת חדשנות זו מצריכה שאילת שאלות מגוונות המתמקדות בצרכים האחרים שניתן לשרת בעזרת האמצעים הקיימים. הביקורת הפנימית עשויה לבחון כיצד ניתן להרחיב את השימוש בניירות עבודה אלקטרוניים, במערכות תכנון, במערכות לניהול ידע או בכלים לניתוח נתונים כדי לענות על הצרכים של בעל העניין.

כאשר הביקורת הפנימית מגיעה לחדשנות בדרגה שלישית מתרחשת טרנספורמציה. במקרה כזה מוצרים ומודלים עסקיים חדשים מתפתחים ונוצרות התפתחויות משנות-משחק ברמת התעשייה כולה. חדשנות מדרגה ראשונה ודרגה שנייה הן מבודדות יותר וההשפעה התחרותית שלהן מוגבלת, אך חדשנות מדרגה שלישית יוצרת שינויים ברמת המפה התחרותית. בשל רמת הסיכון הגבוהה ורמת התועלת הפוטנציאלית הגבוהה המאפיינים אותה, חדשנות בדרגה שלישית מתרחשת לרוב בקרב חברות ומיזמי סטארט-אפ. לדוגמה, מיקור חוץ רחב-היקף של תפקידים בתחום הכספים והסיכונים קרא תיגר על מודלים תעשייתיים שהיו מקובלים החל משנות התשעים המוקדמות. דוגמה עדכנית יותר: Netflix הובילה לטרנספורמציה במודל העסקי של השכרת סרטים בכך שיצרה שוק חדש לצפייה ישירה של סרטים באמצעות האינטרנט. מחלקות ביקורת פנימית הלוקחות חלק בחדשנות טרנספורמטיבית או מזהות הזדמנויות לחדשנות חיצונית, משרתות היטב את ארגוניהן.

הנעת החדשנות

כדי להטמיע חדשנות ב-DNA של הביקורת הפנימית יש להתמקד בשלושה עמודי תווך: כישורים, תרבות ותשתית. מבקרים פנימיים צריכים לחשוב באופן ביקורתי, לפתור בעיות ולרצות ללמוד עוד באופן תמידי (ראה דיאגרמת "גלגל הכשירות"). על המבקרים לחקור את סביב העבודה שלהם, להבחין אילו אלמנטים עובדים כראוי ואילו יוצרים בעיות או תסכול, ולהשתמש בחשיבה אסוציאטיבית כדי לגלות מערכות יחסים בין נקודות ידע מופשטות או מנותקות. עליהם לבחון מגוון רחב של נושאים ולהרחיב את הידע שלהם, להיות ערניים בנוגע למשוכות בחדשנות, ולפנות לעצמם זמן לנתח בעיות באופן מעמיק יותר. כמו כן, עליהם להיות בעלי תבונה עסקית ויכולות תקשורתיות ולהבין את הכלים, השיטות והפרקטיקות של התעשייה.

כישורים: לביקורת הפנימית צריכה להיות תכנית למידה מובנית הכוללת למידה פורמלית, לא פורמלית וחברתית. על תהליך הפיתוח לכלול סדנאות, כנסים, הכשרה פרונטלית ומקוונת, קריאה עצמית ופיתוח קשרים ("נטוורקינג"). כמות השעות המוקצות ללמידה צריכה לעלות על 40 השעות השנתיות שבאופן מסורתי מוקצות ללמידה. פיתוח דפוסי חשיבה חדשניים מצריך השקעה אישית של זמן, אנרגיה ואמביציה, וכן מחויבות ארוכת-טווח. על הביקורת הפנימית להיות הקבוצה המעודכנת, המלומדת והמקושרת ביותר בארגון. המבקרים צריכים להוות דוגמה "לפי הספר" של שימוש במדיה החברתית לצורך ניתוח וקידום של אינפורמציה.

תרבות: התרבות חייבת לתמוך בחדשנות באמצעות יצירת סביבה שמקבלת בהבנה כישלונות ומעודדת חדשנות באופן אקטיבי באמצעות תגמול בגין לקיחת סיכונים בצורה מושכלת, ניסוי וטעייה, ופילוסופיות ניהוליות גמישות. על התרבות להיות מאופיינת בהעצמה, אמון, פתיחות ולמידה מתמשכת (פורמלית ולא-פורמלית). ניתן לצפות שבתרבות כזו חברי הקבוצה יְפתחו קשרים בתוך הקבוצה ומחוצה לה.

חברת 3M מעודדת את המדענים שלה לצאת לשטח, להתבונן בלקוחות ולהבין את נקודות התורפה שלהם. כמו כן, הלקוחות מבקרים במרכזי חדשנות שהוקמו במיוחד לצורך בחינת אפשרויות, פתרון בעיות ויצירת רעיונות למוצרים. הדרישה למעורבות של תחום הכספים והחשבונאות ממשיכה להתעצם. בניית מערכות יחסים בתחום ושימוש במדיה החברתית כדי לשפר את יכולות שיתוף המידע הם צעדים ראשונים פשוטים ליישום.

תשתית: כדי שהתשתית תתמוך בחדשנות עליה לכלול תהליכים אפקטיביים של ניהול פרויקטים, שינויים ניהוליים, תקצוב וקביעת לוחות זמנים; להעמיד לרשות הקבוצה כלים המאפשרים רתימת מידע, למידה ושיתוף פעולה; ולהגדיר מחדש את האומדנים להצלחה. החברות גוגל, Atlassian ו-3M ייעדו אחוז מסוים מזמןי העבודה של העובדים לחדשנות. לדוגמה, 3M וגוגל מקצות 10% מהזמן לחדשנות, בעוד ש-Atlassian מקיימת "FedEx Days", ימים מיוחדים שבמסגרתם העובדים חייבים להציג רעיון בעל ערך בתוך 24 שעות של עבודה חופשית. הקצאת הזמן אינה משמעותית כמו הסמכות המוקנית לעובד להפעיל שיקול דעת עצמאי.

התשתית הנכונה מאזנת בין שיתוף בידע לבין זמן חופשי באמצעות פרויקטים פורמליים הנמדדים לפי התוצאות והרעיונות שבבסיסם. על המדידה לעודד לקיחת סיכונים מחושבים ולאפשר את הגמישות הנדרשת בפרויקטים של חדשנות. על סמך המדידה, יזוקקו רעיונות, ישתנו דרישות וסדרי עדיפויות, ויוקצו משאבים. המדידה המתאימה משתנה מארגון לארגון כתלות בתרבות, בכישורים ובתשתית הקיימים בארגון. עם זאת, קיימים מספר קריטריונים שבהם מחלקות ביקורת פנימית יכולות להשתמש כדי לקבוע את אופן המדידה שלהם. באופן כללי, המדידה צריכה לענות על הקריטריונים הבאים:

• לתמוך בהתמקדות בתבונה עסקית ובסוגיות המעסיקות את בעלי העניין באמצעות מדידת התרומה לניהול הסיכונים ודיונים ניהוליים.
• לעודד פרטים לחקור באופן מכוון רעיונות חדשים באמצעות אמות מידה חינוכיות.
• לעודד יצירת קשרים באמצעות אמות מידה של ניהול קשרים.
• לעודד שיתוף במסקנות ולקחים שנלמדו מפרויקטים שהצליחו או נכשלו באמצעות אמות מידה של שיפור מתמשך.
• למדוד השפעה תפעולית באמצעות אמות מידה המעריכות את צבר הרעיונות החדשים המשפרים את הביצועים התפעוליים ואת רמת אימוצם על ידי החברה.
• לקשור את הפעילות לתכניות ביצוע או לטבלאות ניקוד כדי לאזן בין ההשקעה למטרות העסקיות.
• לקשור את הפעילות לתגמול כלשהו. תגמול סמלי ותמריצים כספיים יכולים להניע לפעולה.

כדי ליצור סביבה חדשנית ברת-קיימא, על כל שלושת עמודי התווך להתקיים. קיומם בצוות של פרטים בעלי חשיבה חדשנית ללא תרבות או תשתית של חדשנות יוביל לתסכול, לחוסר חיבור ולתחלופת עובדים. מחלקה בעלת תרבות של חדשנות ותשתית תומכת, ללא הכישורים הנדרשים לחדשנות, תהיה מחלקה מוגבלת. העובדים לא יוכלו למצות את הידע והכלים לשיתוף פעולה העומדים לרשותם, והמבקרים לא יהיו ערוכים לרדת לעומק הבעיות באופן שיאפשר השגת תוצאות משמעותיות. אם המחלקה מחזיקה בכישורים ובתרבות הנדרשים אך לא קיימת בה התשתית המתאימה, לא יהיה לה את המידע הנדרש לצורך מיקוד מאמציה. כתוצאה מכך, היא לא תנצל את הזמן באופן היעיל והפרודוקטיבי ביותר. אם מובילי הביקורת הפנימית אינם בטוחים ששלושת עמודי התווך מתקיימים אצלם, ייתכן שעליהם לבצע הערכה זריזה של מצבם. בשלב הראשון, עליהם לדרג את הביקורת הפנימית בשמונה פרמטרים:

1. אנו יודעים מה מקומנו בשרשרת הערך של הארגון.
2. אנו כוללים חשיבה יצירתית וחדשנות במסגרת תחומי האחריות היומיומיים שלנו.
3. יש לנו תהליכים יעילים לזיהוי ולניתוח מגמות וטכנולוגיות חדשות.
4. הצוות שלנו יעיל במציאה, בהכרה ובשילוב של רעיונות חדשים.
5. אנו חולקים מידע באופן גלוי עם בעלי העניין שלנו.
6. לאנשים יש הזדמנויות לעבוד עם קבוצות אחרות וללמוד מהן.
7. לאנשים יש הזדמנויות לפתח כישורי חדשנות.
8. לאנשים יש זמן חופשי המוקצה לעבודה על פרויקטים של חדשנות.

איך מתחילים

גישת הניסוי והטעייה היא הגישה הטובה ביותר להיכנס איתה לעולם החדשנות. מחלקות ביקורת פנימית צריכות להימנע מהפיתוי לבלות חודשים ארוכים בהערכה וניתוח. במקום זאת, עליהן להדגים חדשנות. ניתן לשקול את אפשרויות ההתנעה הבאות:

• לוח חדשנות. אפשרו לאנשים לבחור מבין מגוון הזדמנויות המוצגות על לוח חדשנות, לנהל בעצמם ישיבות חדשנות ולבחור שינוי להטמעה.
• "Jam Session". ערכו אסיפה שבמסגרתה יוכלו העובדים לתת ביטוי לתסכולים ולבעיות שלהם. נסו לזהות מוטיבים חוזרים והשתדלו שלא להפריך את דבריהם. נסו לאתר שפה המעידה על הצבה עצמית של מגבלות ובחנו מה יקרה אם מגבלות אלו יוסרו.
• פורום פתוח. השתמשו במדיה כדי לגלות מה חושבים עובדי הארגון על הצורה שבה המחלקה יכולה לפתור סוגיות שונות.

יכולתה של הביקורת הפנימית לספק ערך בסביבה עסקית דינמית ומורכבת דורשת דפוס חשיבה חדשני. מבקרים צריכים להיות בעלי אופי חקרני, חשיבה אסוציאטיבית ויכולת למידה. הם מתמודדים עם נושאים בעלי ערך עבור הארגונים שלהם, ועליהם ליצור תובנות חדשות שיאתגרו את ההנהלה ויגרמו לה לחשוב בדרכים חדשות. הטמעת חדשנות ברת-קיימא במחלקה לביקורת פנימית כרוכה בעבודה קשה. עם זאת, ברגע שהמבקרים מדמיינים את האפשרויות הגלומות בכך ומתחילים לעשות צעדים לכיוון מימושן, מתחילה להיווצר תנופה שקשה לעצור.

מקרה בוחן –

Nationwide Mutual Insurance Co. היא חברת ביטוח ושירותים פיננסיים אמריקנית הנמנית ברשימת Fortune 100. תכנית ניתוח הנתונים של מחלקת הביקורת הפנימית בחברה החלה כשיטה להפחתת זמן הביקורת תוך הרחבת היקף הביקורת. לדבריהם של ראש הביקורת Kai Monahan וסגן הנשיא לענייני ביקורת פנימית Chris Tennant, התכנית התפתחה כך שהיא מסוגלת לספק תובנות עסקיות הנוגעות לסיכונים ובקרות. הטרנספורמציה החלה כאשר התכנית הורחבה וכללה גם כלים של ניתוח נתונים והדמיה. הביקורת הפנימית משתמשת בכלים אלו כדי להדגיש מגמות שטרם זוהו בתחומים מורכבים כדוגמת חיתום. הכלים מצביעים על מערכות יחסים מורכבות ועל חריגים פוטנציאליים באמצעות קיבוץ וניתוח נתונים ממגוון מקורות.

כמו כן, המבקרים ב-Nationwide השתמשו בניתוח נתונים ובכלים להמחשה ויזואלית כדי לנתח אינפורמציה ממקורות שונים המשמשת בתהליכי ציות בזמן אמת, כגון התגוננות מפני הלבנת כספים. כתוצאה מכך, הביקורת הפנימית שיפרה את יכולתה של מחלקת הציות להסתמך על המידע בתהליכים קריטיים. צוות הביקורת הפנימית ממשיך לעבוד כדי לזהות הזדמנויות לשימוש בניתוח נתונים בתחומים נוספים. Monahan ו-Tenant אומרים כי הם צופים שתפקידה הייעוצי של הביקורת הפנימית ימשיך לצמוח ככל שתחומים עסקיים נוספים יחוו את הערך המוסף שהיא מספקת.

Monahan ו-Tenant ממליצים למחלקות לביקורת פנימית שמעוניינות להנחיל חדשנות באמצעות כלים אנליטיים לפעול באופן הבא:

• לקבוע קווי מִתאר לאסטרטגיה. האם מטרת התהליך היא לתמוך בביקורות, להתקדם לכיוון ביקורת מתמשכת, להצית תהליכי חדשנות, או שמא מדובר במטרה אחרת?
• לקבוע את הצרכים. יש לבדוק לאילו משאבים תזדקק הביקורת הפנימית (לא רק כלים אלא גם כישורים) כדי לממש את האסטרטגיה שלה. הביקורת הפנימית תזדקק לידע טכני ברמה גבוהה, סקרנות, וכישורים אנליטיים כלליים.
• להתחיל בקטן. כדאי להתחיל בתחומים מסורתיים יותר שאינם מורכבים מבחינת הבנת התהליך. לצבור ידע, להשיג הישגים מהירים, ולהרוויח תמיכה במסגרת מחלקת הביקורת הפנימית ושותפים עסקיים. ככל שמאמציה של הביקורת הפנימית יבשילו, כך הם יוכלו להתרחב לתחומים מורכבים יותר.
• מאמר זה הוא תרגום של המאמר Embedding innovative thinking into Internal Audit DNA by Tiffany Crosby , Ia Internal Audit magazine, August 2014

The post הטמעת חשיבה חדשנית ב-DNA של הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מתוקף אחריותו לדוחות הכספיים, חלה על המבקר הפנימי החובה לפעול למניעה ולאיתור הונאות בתאגיד. ההונאות הגדולות ביותר, הן בממדיהן והן בנזקיהן, הן ההונאות הניהוליות[1], שבהן מוצגים דוחות כספיים כוזבים, בחלקם או במלואם.

לפי תקני לשכת המבקרים הפנימיים העולמית (ה-IIA), בתרגום לעברית[2]:

1210.A2 מבקרים פנימיים חייבים להיות בעל ידע מספק כדי להעריך סיכון להונאה, ואת האופן שבו הוא מנוהל על ידי הארגון. עם זאת, אין לצפות מהם להיות בעלי ההתמחויות של מי שתפקידו העיקרי הוא לגלות ולחקור הונאות.

1220.A1 מבקרים פנימיים חייבים לנהוג בזהירות מקצועית ראויה על ידי הפעלת שיקול דעת בנושאים הבאים:

… הסתברות לטעויות משמעותיות, לאי סדרים (הונאות) ולאי ציות…

2120.A1  הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי,  פעילויות ומערכות מידע של הארגון,  בנוגע ל:

אמינות ושלמות המידע הכספי והתפעולי…

2120.A2  הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה וכיצד הארגון מנהל סיכוני הונאה.

2130.A1  הביקורת הפנימית חייבת להעריך את ההלימות והאפקטיביות של הבקרות, במענה לסיכונים בממשל התאגידי, בפעילויות ובמערכות המידע של הארגון, בנוגע ל:

אמינות ושלמות המידע הכספי והתפעולי…

2210.A2  במהלך קביעת מטרות מטלת הביקורת, מבקרים פנימיים חייבים לשקול את  ההסתברות של טעויות משמעותיות, הונאות, אי ציות וחשיפות  אחרות[3].

בפועל, קיימת סתירה בין האחריות המוטלת על המבקר הפנימי לבין הפרקטיקה הנהוגה.

במקרה של ת.מ.מ. תעשיות מיחזור משולבות בע״מ[4] – חברה ציבורית בשנים 2002 עד 2005, החברה העניקה שתי הלוואות בשנים 1996-7 לבעלי המניות של ספק, בסך מצטבר של 4.7 מיליון ש״ח, כנגד ביטחון של מתן אופציה לרכישת 30.4% ממניות הספק, לתקופה של חמש שנים, עם מועד אחרון למימוש האופציה ביום 30 בספטמבר 2002. בשנת 2002 התברר לחברה כי הספק בקשיים כלכליים ועֵרך ההלוואה שניתנה לבעליו אינו משתווה לערך מניותיו, לכן האופציה למימוש המניות אינה משתלמת ולא ניתן להיפרע מבעלי החוב.

על פי כללי החשבונאות, באין יכולת ללווה להחזיר את ההלוואה יש למחוק את ערכה מספרי החשבונות של החברה ולרשום הפסד מיידי בגובה ההלוואה שנמחקה. נכון ליום 30 בספטמבר 2002, הוא מועד פקיעת האופציה, עמד סכום יתרת ההלוואה על סך 4.2 מיליון ש״ח.

כדי להימנע ממחיקת ההלוואה, חתמה החברה על מערכת הסכמים חדשה להחזר התשלומים. בין היתר, מימשה החברה את האופציה וקיבלה מניות שמכרה לספק באותו סכום. בנוסף, הלוותה החברה לספק סך מצטבר של 1.9 מיליון ש״ח. על פי ההסכם החדש, החזר סכום ההלוואה ומכירת המניות ייעשו באופן שהספק מתחייב לספק שירותים לחברה מינואר 2003 ועד דצמבר 2007, בהיקף חודשי שלא יפחת מסכום ההחזר החודשי של סכום ההלוואה ומכירת המניות הכולל. הספק סיפק את השירותים האמורים עד למרץ 2003, אולם החל מתאריך זה פסקה פעילותו והוא חדל להתקיים. מנהלי ת.מ.מ. ידעו שהסיכויים שרם צח תחזור לפעילות ותספק שירותים כפי שהתחייבה קלושים ביותר וקיים סיכוי רב שלא ניתן יהיה לגבות את סכומי ההלוואה ואת חובותיה של רם צח.

לכן, על פי כללי החשבונאות, היה על מנהליה למחוק את ערך ההלוואה לרם צח בסך של 4.5 מיליון ש״ח מדוחות החברה. אולם מנהלי ת.מ.מ. המשיכו להפחית סכומי התשלומים החודשיים שהיו אמורים להתקבל מהספק, באופן שנחזה להיות המשך תשלומי חובותיה של רם צח כסדרם. גם בביאור לדוחות הכספיים, המתייחס לנתוני הלוואות ויתרות חובה לזמן ארוך, הוצג מצג מטעה לפיו רם צח ממשיכה לפרוע את חובה לחברה כתמול שלשום. מנהלי ת.מ.מ. לא הביאו לכך שבדוחות הכספיים של החברה, החל מהרבעון השני לשנת 2003, יהיה ביטוי לכך שהספק חדל להתקיים, ולא הביאו למחיקת סכום ההלוואה כאמור ממאזן החברה כנדרש.

בדוחות הכספיים שנערכו החל מהדוח הרבעוני הראשון לשנת 2003 ועד לדוח השנתי לשנת 2005, לא הוכנסו דיווחים כאמור, למרות הידיעה כי הפרטים המפורטים לעיל הם מטעים. בכך עשו מנהלי ת.מ.מ. ביודעין, מעשים הפוגעים בדרך הניהול התקין של עסקי התאגיד. המנהלים והחברה הורשעו במסגרת הסדר טיעון בעבירות על חוק ניירות ערך. במקרה זה לא היה כל אזכור של הביקורת הפנימית, על אף החובה המוטלת עליה להעריך, בין השאר, חשיפות לסיכונים הקשורים לממשל תאגידי, בנוגע לאמינות ולשלמות המידע הכספי והתפעולי ועמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים.

מבלי להיכנס להחלטות בתי המשפט או ועדת האכיפה המנהלית, שקבעו למעשה כי היה מקום להערת עסק חי בדיווחים של החברות, עולות השאלות: מה מקום המבקר הפנימי בבדיקת ההתנהלות וההחלטות שהתקבלו על ידי בעלי תפקידים בחברה שהיו אחראים להכנה ולחתימה על הדוחות הכספיים? מה מקום המבקר הפנימי בבדיקת הנהלים הפנימיים של אותן חברות, בקיומם וביישומם?

בתכניות העבודה של המבקר הפנימי וכן במטלות המוכוונות על ידי ועדת הביקורת ודירקטוריון התאגיד, נדרש המבקר הפנימי לערוך, מדי פעם, ביקורות על נושאים המהווים חלק מהותי בדוחות הכספיים, או שיש להם השלכה עליהם.

המדיניות החשבונאית של התאגיד, כמו גם סוגיות חשבונאיות (כגון יישומי IFRS בתאגיד, מדיניות ההכרה בהכנסה, מדיניות פחת והפרשות, שיעורי היוון לצרכים אקטואריים ועוד), אינן נכנסות לתחומי עיסוקו של המבקר הפנימי, על אף שבמקרים רבים למבקר הפנימי ולמבקר החיצוני יש הכשרה גם בתחום החשבונאי.

על פי שיטת העבודה של המבקר החיצוני, בבדיקות מדגמיות המתבססות על ניתוחים אנליטיים ככלי לבניית המדגם, קיים קושי לחשוף תופעות הונאה בנכסים, לקוחות, אשראי ועוד, ככל שישנן תופעות כאלה בתאגיד, אף אם הן מהותיות. קושי זה מתבטא בעיקר בהונאות ניהוליות, המתבצעות בדרך כלל על ידי בעלי מקצוע המודעים לשיטות העבודה של המבקר החיצוני.

מיקומו של המבקר הפנימי בתוך העשייה השוטפת של התאגיד וסמכויותיו מציבים אותו בעמדת יתרון על המבקר החיצוני בכל הקשור לאיתור הונאות ניהוליות בתאגיד, אם וכאשר נבחר נושא זה כמטלה בביקורת הפנימית.

באיתור הונאות ניהוליות, בשונה מהונאות תאגידיות[5], נפגשות למעשה שלוש האסכולות: הביקורת החיצונית, הביקורת הפנימית והביקורת החקירתית. תפקידה העיקרי של הביקורת החקירתית הוא לגלות ולחקור הונאות[6], והיא נדרשת לכך, בדרך כלל, כאשר קיים חשד לקיום הונאה או במסגרת סקר לחשיפה להונאות. לא פעם נדרש המבקר החקירתי אף לחוות דעתו לגבי רשלנות המבקר החיצוני ו/או אחריות בעלי תפקיד לדיווח שגוי או כוזב. עם זאת, הביקורת החקירתית אינה מהווה, בדרך כלל[7], חלק ממערך הביקורת והבקרה הקבוע של התאגיד, שלא כמו הביקורת החיצונית והפנימית.

גם חוק הביקורת הפנימית[8], המגדיר את תפקידי המבקר הפנימי, קובע כי המבקר יבדוק, בין היתר[9]:

• אם הפעולות של הגוף המבוקר תקינות, מבחינת השמירה על החוק, על הניהול התקין ועל טוהר המידות;
• אם מקוימות ההוראות המחייבות את הגוף המבוקר;
• את ניהול הנכסים וההתחייבויות של הגוף המבוקר, ובכלל זה את הנהלת החשבונות שלו, וכן את דרכי שמירת הרכוש והחזקת הכספים והשקעתם;

פעולות ביקורת אלו, אם נפרוט אותן לרכיביהן, מתבצעות גם על ידי המבקר החיצוני, בדרכו לאישור הדוחות הכספיים.

על המבקר החיצוני מוטלת האחריות לתכנן ולבצע את עבודת הביקורת על הדוחות הכספיים של התאגיד, כדי לקבל ודאות סבירה שהדוחות הכספיים נקיים מדיווחים מוטעים מהותיים, כולל מסיכונים של טעויות והונאות. ההיקף ומגבלות הביקורת החיצונית מונחים על ידי תקני הביקורת, המהווים קווים מנחים לעבודת המבקר החיצוני. תקני הביקורת גם קובעים כי לאור המגבלות הטבועות בעבודת הביקורת החיצונית קיים סיכון בלתי נמנע שדיווחים כוזבים מהותיים, הנובעים מהונאה, לא יתגלו על ידי המבקר החיצוני, אף שתכנן וערך את עבודתו בהתאם לתקנים המקובלים[10].

במקרה של אקסטרא פלסטיק בע״מ[11] – חברה ציבורית שעסקה בייצור, פיתוח ושיווק של מוצרי אריזה מפוליאתילן, הואשמה החברה, יחד עם מנהלים בה, בהצגת פרטים מטעים בדוחותיה הכספיים, כמו גם ביאור מטעה ששולב על ידי החברה בשני דוחות.

החברה הנפיקה לציבור איגרות חוב על סך 49 מיליון ש"ח ערך נקוב בתשקיף שפרסמה ביום 30 במאי 2006. על פי התשקיף, איגרות החוב היו אמורות לעמוד לפירעון ב-4 תשלומי קרן וריבית שווים בשנים 2010-2003, אולם זמן לא רב לאחר ההנפקה החל מצבה של החברה להידרדר. עקב מצבה ויתרה החברה על יציאה להנפקה לצורך גיוס הון נוסף, ובמקום זאת פנתה בבקשת הלוואה לבנק מסחרי. מטרת ההלוואה הייתה להחליף מסגרת אשראי קודמת שהייתה לחברה בבנק אחר.

ביום 12 ביוני 2011 חתמה החברה מול הבנק על כתב התחייבות בסך כולל של 35 מיליון ש״ח, שמתוכו סכום של 25 מיליון ש״ח הוגדר כהלוואה לזמן ארוך שנסגרו כפיקדון בבנק. בכתב ההתחייבות קיבלה החברה על עצמה להעמיד לטובת הבנק, בתוך 60 יום מיום ההתחייבות, בטוחות נוספות להלוואה, כאשר אם לא יעלה בידי החברה להשלים את תנאי כתב ההתחייבות בתוך פרק זמן של 60 ימים, ניתנה הרשאה לבנק להעמיד את ההלוואה לפירעון מיידי.

בישיבת ועדת המאזן מיום 22 באוגוסט 2011, הסביר רואה החשבון המבקר של החברה לשאלת אחד המשתתפים, כי אף שמדובר בכספי פיקדון חסומים שאינם ניתנים לשימוש, מאחר שמדובר בפיקדון המתחדש מדי חודש בחודשו, ניתן לכלול את הכספים המופקדים בו בסעיף מזומנים ושווה מזומנים. עם זאת, הציע רואה החשבון המבקר להוסיף ביאור שיאמר כי ״מדובר בסכום אשר נמצא בפיקדון ולא זמין כרגע״. ועדת המאזן אימצה את עמדתו של רואה החשבון והחליטה לאשר את הדוחות הכספיים לרבעון השני, בכפוף להבהרה בעניין הפיקדון החסום. בפועל הביאור שהוסף לדוחות הכספיים נוסח בצורה מעורפלת, כך שלא היה בו כדי להבהיר שהפיקדון אינו זמין לשימוש:

"א. היתרה כוללת פיקדון חודשי בתאגיד בנקאי…. אשר התקבל במסגרת הלוואה לזמן ארוך מאותו תאגיד.

 ב. כספי הפיקדון הנ"ל ישמשו בחלקם לפירעון הלוואה מתאגיד בנקאי אחר לאחר שיתקבל אישורו של התאגיד בו מופקד הפיקדון".

שני הדוחות הכספיים, הן הדוח הכספי לרבעון השני והן הדוח הכספי לרבעון השלישי, אושרו על ידי הדירקטוריון כשהפיקדון מסווג בהם כנכס שוטף, וההלוואה כהתחייבות לזמן ארוך.

רק ביום 7 בפברואר 2012 פרסמה החברה דוח מיידי, שבו הודיעה כי השימוש בפיקדון על סך 25 מיליון ש״ח הותנה על ידי הבנק בקיום מספר תנאים, שנכון למועד פרסום הדוחות לרבעון השני ולרבעון השלישי, כמו גם למועד פרסום הדוח המיידי, לא התקיימו במלואם, וכי בשל כך הייתה החברה מנועה מלהשתמש בכספי הפיקדון.

ביום 27 במרץ 2012 פרסמה החברה דוח מיידי נוסף שבו הודיעה כי תפרסם מחדש את שני הדוחות הכספיים וכי בפרסום מחדש (restatement) תציג כיאות את כספי הפיקדון. במסגרת האכיפה המינהלית הוטלו על החברה ועל מנהלים בה סנקציות כספיות.

גם במקרה זה לא ניתנה התייחסות למקומו של המבקר הפנימי או לאחריותו בתהליך הבקרה או הביקורת ובהכנת הדוחות הכספיים. הפרטיכלים של הדירקטוריון וועדותיו, כולל ועדת מאזן, פתוחים לעיון המבקר הפנימי, כמו גם טיוטות הדוחות הכספיים והדוחות הכספיים עצמם, ואמורים לשמש אותו בעבודתו השוטפת.

הדוחות של המבקר הפנימי פתוחים בפני המבקר החיצוני ומשמשים אותו כחלק מנוהלי הביקורת. הספרות המקצועית ממליצה על דיאלוג קבוע בין שני המבקרים, שיכלול גם העברת מידע על כל אירוע חריג ומהותי העלול להשפיע על התאגיד ועל דוחותיו הכספיים.

סיכוני ההונאה הפוטנציאליים מחולקים לשלוש קטגוריות[12] עיקריות:

• מניפולציה מכוונת של הדוחות הכספיים;
• גזילה או הונאה (Misappropriation) של נכסי התאגיד;
• שחיתות (למשל: שוחד);

כאשר הקטגוריה הראשונה עלולה לגרום לבאים:

• דיווח מעוות של ההכנסות;
• דיווח מעוות של ההוצאות;
• דיווח מעוות של סכומים במאזן, כולל עתודות וקרנות;
• גילויים מעורפלים ו/או חסרים (בביאורים למשל);
• הסתרה של גזילת נכסים מהתאגיד;
• הסתרת תקבולים והוצאות;
• הסתרת רכישות, העברות נכסים והשימוש בהם.

כך למשל, ניפוח הכנסות באמצעות מדיניות של זירוז הכרה בהכנסה יכולה להיות מושגת בשיטות שונות, כמו:

• הסכמים רטרואקטיביים (Backdating);
• הכרה במוצר שטרם נשלח עד ליום הדוח הכספי;
• העברה לסוכני מכירות/מפיצים של סחורה שטרם נמכרה ללקוח הסופי (Channel Stuffing).

ישנן שיטות המאפיינות מגזרים עסקיים מסוימים, למשל: channel stuffing בקרב יצרנים של מוצרים בסיטונות, ו-backdating בבתי תוכנה.

בעת בחינת קיום דיווחים כוזבים של הכנסות, הנובעים ממדיניות קלוקלת של הכרה בהכנסה, יבנה המבקר את תכנית הביקורת ברכיב זה למתן מענה על השאלות הבאות:

• מהם המנופים העיקריים להכנסה בתאגיד?
• האם ההכנסות נובעות ממכירות בהיקפים גדולים של מוצרים אחידים או ממספר קטן של עסקאות?
• מהם הלחצים והמגמות בתאגיד מנקודת הראות של מנהליו?
• האם ההכנסות נרשמות בצורה ידנית או באופן אוטומטי/ממוחשב?
• האם קיימים סיכוני הונאה בהכרה בהכנסה הייחודיים לתעשייה או לענף שבו נמצא התאגיד?

שוב חוזרת השאלה, מתפקידו של איזה מבקר לשאול זאת?

גם באירוע הבא ניתן לראות, כי שימוש באחד מכלי העבודה של המבקר הפנימי – הפרטיכלים של החברה – מאפשר לשפוך אור באופן מקיף על הדיווחים הכספיים הלקויים, ואף מעבר לכך, של התאגיד הציבורי.

מקרה נוסף: חברת גליקומיינדס בע״מ^[13] עסקה בפיתוח ובשיווק בדיקות בתחום הביוטכנולוגיה, המאפשרות אבחון וזיהוי של מחלת הטרשת הנפוצה ומחלות אוטואימוניות נוספות. חברה זו פרסמה ביום 23 בפברואר 2012 תשקיף מדף. בביאור לדוחות הכספיים שצורפו לתשקיף התייחסה כך אל מצבה הכספי:

"לקבוצה נגרמו הפסדים בסך של 4,257 אלפי ש״ח ו-2,589 אלפי ש״ח בתקופות של תשעה ושלושה חודשים שהסתיימו ביום 30 בספטמבר 2011, בהתאמה. כמו כן, לקבוצה תזרים מזומנים שלילי מפעילות שוטפת לאותם תאריכים בסך של 10,177 אלפי ש״ח ו-2,012 אלפי ש״ח, בהתאמה.

הקבוצה פועלת לגיוס הון נוסף על מנת לממן את פעילותה השוטפת ובמקרה ולא תצליח לגיוס הון כאמור, הקבוצה תפעיל תכנית התייעלות".

בדוחות אלה לא נכללה הערת עסק חי, אף לא בדוח הסקירה שערך רואה החשבון המבקר של המשיבה ונכלל גם הוא בדוחות הכספיים שבתשקיף.

כל שהובא בדוח זה הסתכם בהפניית תשומת לב לתכניותיה של המשיבה לגיוס הון נוסף על ידה בעתיד הקרוב, בזו הלשון:

"מבלי לסייג את סקירתנו הנ״ל, אנו מפנים את תשומת הלב לאמור בביאור 1 לדוחות הכספיים. בדבר תוכניות ההנהלה לגיוס הון נוסף, להערכת הנהלת הקבוצה, הקבוצה תוכל להמשיך לממן את פעילותה במתכונתה הנוכחית במשך 12 החודשים הקרובים, מעבר לתקופה האמורה המשך פעילות במתכונת הנוכחית מותנה בגיוס הון נוסף ו/או ביישום תוכנית התייעלות".

ביום 28 בפברואר 2012, חמישה ימים בלבד לאחר פרסום התשקיף, פרסמה המשיבה את הדוח התקופתי לשנת 2011 שכלל את הדוח הכספי לאותה שנה. בדוח זה נכללה הערת עסק חי במסגרת ביאור בזו הלשון:

"לחברה נגרמו הפסדים בסך של 8,672 אלפי ש״ח ו-17,277 אלפי ש"ח בשנים שהסתיימו בימים 31 בדצמבר 2011 ו-2010, בהתאמה. כמו כן, לחברה תזרים מזומנים שלילי מפעילות שוטפת לשנים שהסתיימו באותם תאריכים בסך של 13,745 אלפי ש״ח ו-9,648 אלפי ש״ח, בהתאמה. גורמים אלה מעוררים ספקות משמעותיים בדבר המשך קיומה של החברה כעסק חי. בדוחות הכספיים לא נכללו כל התאמות לגבי ערכי הנכסים וההתחייבויות וסיווגם שייתכן שתהיינה דרושות אם החברה לא תוכל להמשיך ולפעול כעסק חי".

גם בחוות הדעת של רואה החשבון של החברה שצורפה לדוחות השנתיים, הופנתה תשומת הלב להערת עסק חי שנכללה בביאור. מניתוח האירועים שקדמו ובמהלך הדיווחים הכספיים עולה רצף האירועים הבא:

ביום 22 בפברואר 2012, יום לפני פרסום התשקיף, התקיימה ישיבה טלפונית של ועדת כספים ומאזן.

במהלך ישיבת הוועדה הציגה הנהלת ההחברה את הערכתה כי ניתן יהיה לבצע גיוס הון בגובה של 3 מיליון דולר ממקורות שונים, וכן שאין לכלול הערת עסק חי בדוחות השנתיים לשנת 2011 לאור גיוסי ההון האמורים. לא הוצגה לוועדה תכנית התייעלות ועניין זה לא נדון בישיבה.

בסיומה של ישיבת הוועדה הוחלט להמליץ לדירקטוריון לאשר את הדוחות השנתיים לשנת 2011 כפי שהם. עם זאת, לבקשת הדירקטורים החיצוניים (הדח״צים) הוחלט לשקול שוב אם להסתפק בהפניית תשומת הלב בדוחות למצב החברה, או להעדיף מטעמי זהירות הוספת הערת עסק חי.

ביום 23 בפברואר 2012, עד לשעות הצהריים וטרם פרסום תשקיף המדף, היו מנכ״ל החברה וסמנכ״ל הכספים שלה מודעים לכך שרואה החשבון המבקר הבהיר כי יש לכלול הערת עסק חי בדוחות הכספיים השנתיים ל-2011, שאמורים היו להתפרסם מספר ימים לאחר תשקיף המדף. כמו כן, ידעו השניים שלא ניתן להסתמך על ההשקעות הנוספות לעניין המצב הפיננסי שיוצג בתשקיף המדף. על אף זאת, החליט דירקטוריון החברה, באותו יום, בסמוך לצהריים, לאשר את הנוסח הסופי של תשקיף המדף, ללא הערת עסק חי, גם לאור העובדה שהמנכ״ל וסמנכ״ל הכספים לא עדכנו את הדירקטוריון באמור.

בלילה שבין ה-23 ל-24 בפברואר 2012, בשעה 1:34 לאחר חצות, שלח סמנכ״ל הכספים מכתב בדוא״ל אל חברי הדירקטוריון, שהם חברי ועדת כספים והמאזן, עם העתק להנהלה, לרואה חשבון המבקר וליועץ המשפטי, ובו ציין כי הוחלט בחברה לנקוט גישה שמרנית, כך שחוות דעת המבקר המצורפת לדוחות השנתיים תכלול הערת עסק חי.

בתשקיף המדף שפורסם מוקדם יותר באותו היום לא בוצע תיקון בעקבות זאת.

ביום 27 בפברואר 2012, נערכה ישיבת דירקטוריון שבה עדכן סמנכ״ל הכספים את הנוכחים כי הוחלט לאשר את הדוחות השנתיים לשנת 2011 עם הערת עסק חי. זאת, לאחר שנעשתה בחינה מחדש של הנושא בעקבות החלטת הוועדה, ונמצא כי אין ודאות שלחברה יהיו די מזומנים לתקופה של 12 חודשים ממועד פרסום הדוחות.

החלטות בתי המשפט או ועדת האכיפה המינהלית קבעו למעשה כי היה מקום להערת עסק חי בדיווחים של החברות, והטילו על המנהלים, רואה החשבון המבקר ולאחר מכן על המבקרים החיצוניים אחריות לדיווחים הלקויים ואי נאותות הדוחות הכספיים. מבלי להיכנס להחלטות אלו, הרי שאלת האחריות על גילוי דיווחים כוזבים מהותיים מוטלת גם לפתחם של המבקרים הפנימיים, מתוקף היכרותם את נתוני הבסיס שעליהם נשענים הדוחות הכספיים. סוגיה זו לא נדונה באותן החלטות.

לסיכום, לא יהיה זה מיותר לצטט שוב מחוק הביקורת הפנימית[14]:

" המבקר הפנימי יבדוק, בין היתר אם הפעולות של הגוף הציבורי שבו הוא משמש מבקר ושל נושאי משרה וממלאי תפקידים באותו גוף תקינות, מבחינת השמירה על החוק, על הניהול התקין, על טוהר המידות…"

על המבקרים הפנימיים להיות בעלי יכולת להעריך סיכון להונאות והסתברויות לטעויות משמעותיות (כולל תופעות של אי ציות, סוגיה שזכתה להקמת ועדה באיגוד המבקרים הפנימיים בישראל – ועדה לנושאי מעילות והונאות[15]). בפועל, כף רגלם אינה דורכת בטריטוריה השייכת למבקרים החיצוניים – הביקורת על הדוחות הכספיים. הנזק העלול להיגרם לארגון מדוחות כספיים לקויים, שלא לומר כוזבים, עולה בעשרות מונים על תופעות של הונאה תאגידית.

[1]  עמ' 12 בדוח: Report to The Nations on Occupational Fraud and Abuse 2014 / Association of Certified Fraud Examiners (ACFE) . ניתן לראות זאת גם בכל אחד מהדוחות השנתיים הקודמים של Association of Certified Fraud Examiners בפרק של Occupational Frauds by Category

[2] התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית  (IIA), על פי תרגום איגוד מבקרים פנימיים בישראל – IIA ישראל.

[3] שם- עמ' 30

[4] ת״פ 56619-12-11 ו-ת"פ 18141-03-12 מדינת ישראל נ׳ סבג, אלון ואח׳ בפני כבוד השופט חאלד כבוב. המתואר כאן ניתן בתמצית והפרטים המלאים בפסק הדין.

[5] על הגדרת הונאות ניהוליות והונאות תאגידיות ועל ההבדלים ביניהם ראה המאמר "השומר והצייד יצאו ליער"/יהודה ברלב, "רואה החשבון", יוני 2015, עמ' 65-60.

[6] הגדרת הביקורת החקירתית – מניעה, איתור וכימות של הונאות, הלבנות הון, כספי טרור ומעשי שחיתות בכלל.

[7] מניסיונו של כותב המאמר, בשנים האחרונות בתאגידים מקומיים ורב-לאומיים שסבלו מאירועי הונאה מכוננים קיימת נטייה לשימוש קבוע בביקורת חקירתית חיצונית, כולל דיווחים חודשיים לדירקטוריון ו/או ועדת הביקורת.

[8] חוק הביקורת הפנימית, התשנ"ב-1992

[9] שם – סעיף 4(1) – 4(3)

[10] לדוגמה:  – Consideration of Fraud in a Financial Statement Audit (SAS) No. 99 Statements on Auditing Standards

[11] מתוך החלטת ועדת האכיפה המינהלית על פי חוק ניירות ערך, תיק מינהלי: 2/14, מתאריך 9 בפברואר 2015. המתואר כאן ניתן בתמצית והפרטים המלאים בהחלטה של ועדת האכיפה.

[12] Managing the Business Risk of Fraud: A Practical Guide שיצא במשותף על ידי שלוש הלשכות: ACFE, IIA ו-  The American Institute of Certified Public Accountants

The American Institute of Certified Public Accountants

[13] מתוך החלטה של ועדת האכיפה המינהלית על פי חוק ניירות ערך, תיק מינהלי: 8/13, מיום 8 באפריל, 2014. המתואר כאן ניתן בתמצית והפרטים המלאים בהחלטה של ועדת האכיפה.

[14] חוק הביקורת הפנימית, תשנ"ב-1992, סעיף 4. (א) (1)

[15] שם שגוי – מאחר שמעילה היא אחת מיני רבות משיטות ההונאה ומתייחסת להונאה על ידי עובדים (embezzlement). זוהי טעות נפוצה והשם הנכון צריך להיות: ועדה לנושאי הונאות או ועדה לנושאי מעילות.

The post אחריות המבקר הפנימי לפעול למניעת הונאות בדוחות הכספיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעשורים האחרונים המורכבות בעולם העסקי מושפעת מגישת ניהול סיכונים, לפיה התממשות סיכונים עלולה לפגום בפעילותו השוטפת של הארגון עד כדי מצב של פגיעה בהשגת יעדיו.

במקביל לסטנדרטים שנקבעו על ידי רגולציות שונות (כגון באזל 2), המעודדים יישום של תהליכי ניהול סיכונים בארגון, התפתחה בארגונים נורמה של בחינה מעמיקה יותר של ניהול הסיכונים כחלק מהממשל התאגידי.

כחלק מהתפתחות זו, טבעי שעבודתם של מבקרים פנימיים, העוסקים בסיכונים במהלך עבודתם השוטפת, תושפע מניהול הסיכונים בארגון ותשפיע עליו.

מעורבות בתהליך יישום ניהול סיכונים בארגון עשויה להיות מאתגרת עבור מבקרים פנימיים, אך אלו בעלי רמות המיומנות והניסיון המתאימות, יכולים לעורר את המודעות והחשיבות לנושא בקרב הנהלת הארגון, למלא תפקיד מפתח ולהיות חלק מתהליך היישום תוך הוספת ערך משמעותי.

מבקר פנימי המבקש להוסיף ערך לארגון בתחום זה צריך לעשות זאת בזהירות יתרה ובכפוף לתקנים מקצועיים.

במאמר זה נדון בפעילויות שמבקר הפנים יכול ורצוי שיהיה מעורב בהן כחלק מתהליך ניהול הסיכונים בארגון, בפעילויות לגיטימיות, ובפעילויות שעל המבקר הפנימי להימנע מהן.

ניהול סיכונים כולל בתאגיד (Enterprise-wide Risk Management – ERM)

ניהול סיכונים כולל הוא תהליך ארגוני שוטף הכולל זיהוי, הערכה, החלטה, תגובה ודיווח, בכל הנוגע להזדמנויות ואיומים העלולים להשפיע על השגת יעדי הארגון.

 לתהליך זה יתרונות רבים, ובהם היכולת להביא תרומה משמעותית לארגון לצורך השגת יעדיו. לדוגמה:

• סבירות גבוהה יותר להשגת מטרות הארגון.
• שיפור היכולת לאתר סיכוני מפתח והבנת ההשלכות הרחבות שלהם.
• זיהוי ושיתוף של סיכונים חוצי ארגון.
• התמקדות גדולה יותר של ההנהלה בנושאים מהותיים.
• אפשרות לצפות מראש משברים ובכך להימנע מהם.
• שיפור סביבת הבקרה של הארגון.

תהליך זה מקיף פעילויות רבות של זיהוי, הערכה, דירוג וניטור של סיכונים, לרבות:

• קביעת ה"תיאבון לסיכון" (Risk Appetite) של הארגון.
• הקמת מודל ניהול סיכונים.
• זיהוי איומים פוטנציאליים להשגת יעדי הארגון.
• הערכת הסיכון (השפעת האיום והסיכוי להתממשותו) – ההשפעה ((Impact והסבירות (Likelihood) של האיום.
• בחירת התגובות לסיכונים.
• יישום בקרות וטיפול בסיכונים.
• העברת מידע בנוגע לסיכונים באופן עקבי בכל שכבות הארגון.
• ניטור ותיאום של תהליכי ניהול הסיכונים ותוצריו.
• בדיקת והבטחת האפקטיביות של ניהול הסיכונים.

 האחריות על ניהול הסיכונים נתונה בידי ההנהלה הבכירה. בשנים האחרונות הורחבה אחריותם של חברי הדירקטוריון בנושא, וכיום מצופה מהדירקטוריון לוודא כי סיכונים בארגון מנוהלים. בפועל, הדירקטוריון בדרך כלל מסמיך את הנהלת הארגון לביצוע ניהול הסיכונים, וכך האחריות לזיהוי הסיכונים וניהולם היא של ההנהלה.

ישנם ארגונים, בייחוד במגזר הפיננסי, שבהם קיימת פונקציה בעלת ידע מקצועי בארגון שתפקידה לתאם ולנהל את מגוון פעילויות ניהול הסיכונים.

מעורבות הביקורת הפנימית בתהליך ניהול סיכונים

לאור החשיבות הרבה של תהליך ניהול הסיכונים בארגון, נבחן האם וכיצד יכולה הביקורת הפנימית להוסיף ערך כחלק מתהליך זה.

ככלל, הביקורת הפנימית היא פעילות עצמאית, "בלתי תלויה ואובייקטיבית של הבטחה (Assurance) וייעוץ (הגדרת הביקורת הפנימית, IPPF). נראה כי אין מחלוקת לגבי פעילויות הביקורת הפנימית המותרות והרצויות כחלק מניהול סיכונים, ובעיקרן לספק לדירקטוריון הבטחה בנוגע לאפקטיביות ניהול הסיכונים (הבטחה שהסיכונים העיקריים מנוהלים באופן הולם ומספקים ביטחון שניהול הסיכונים ומסגרת הבקרה הפנימית פועלים באופן אפקטיבי). פעילויות אלו מייצגות תהליכי ליבה של הביקורת הפנימית עבור תהליך ניהול סיכונים.

תקן 2120 של לשכת המבקרים הפנימיים העולמית (IIA) בנושא ניהול סיכונים קובע כי: "הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים". על פי הביאור לתקן, קביעה אם תהליכי ניהול סיכונים הם אפקטיביים, היא שיפוט הנובע מהערכת מבקרים פנימיים כאשר:

• סיכונים משמעותיים מזוהים ומוערכים (בהתבסס על יעדי הארגון).
• תגובות הולמות לסיכונים נבחרות בהתאמה ל"תיאבון הארגון לסיכון".
• מידע רלוונטי אודות סיכונים נקלט ומדווח במועד בארגון, כדי לאפשר לצוות העובדים, להנהלה ולדירקטוריון לממש את תחומי האחריות שלהם.

כמו כן, התקנים הבאים מוסיפים עוד נדבכים לפעילויות המבקר הקשורות בניהול סיכונים:

• על פי תקן A1 הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי, פעילויות ומערכות מידע של הארגון, בנוגע ל:
• השגת המטרות האסטרטגיות של הארגון.
• אמינות ושלמות המידע הכספי והתפעולי.
• אפקטיביות ויעילות הפעולות והתכניות.
• שמירה על נכסים.
• עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים.
• על פי תקן A2, הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה וכיצד הארגון מנהל סיכוני הונאה.
• תקן 2600 קובע כי כאשר המבקר הפנימי הראשי מסיק שההנהלה השלימה עם רמה מסוימת של סיכון, שעלול להיות בלתי-מקובל על הארגון, חובה עליו לשוחח על כך עם ההנהלה הבכירה. אם המבקר הפנימי הראשי מסיק כי הסוגיה לא נפתרה, המבקר הפנימי הראשי חייב לדווח על הסוגיה לדירקטוריון.

לאור האמור לעיל, ניתן לראות כי הגורמים העיקריים שיש להביא בחשבון בבואנו לקבוע את מעורבות הביקורת הפנימית בפעילות הם:

1. האם הפעילות מאיימת על העצמאות והאובייקטיביות של הביקורת הפנימית?
2. האם הביקורת הפנימית עשויה לשפר את תהליכי ניהול הסיכונים הארגוני, הבקרה והממשל התאגידי?

נדגיש כי היקף פעילות הייעוץ המבוצעת על ידי הביקורת הפנימית חייבת להיקבע בכתב האמנה של הביקורת הפנימית (Charter) על פי תקן 1000.C1 של לשכת המבקרים הפנימיים העולמית, וכן יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש מומחיות בהן במשאבים הקיימים. תקן 1210.C1 קובע כי המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הדרושים לביצוע פעילות הייעוץ או חלקים ממנה.

כמו כן, על פי תקן 1130.C2, אם קיימת אפשרות לפגיעה באי-תלות או באובייקטיביות של המבקרים הפנימיים, הקשורות לשירותי הייעוץ המוצעים, חובה לתת על כך גילוי לפני קבלת מטלת הייעוץ.

אין לקבל מטלות ייעוץ רק מכיוון שההנהלה מבקשת זאת. המטלה חייבת להיות רלוונטית ומתוכננת. התקנים הבאים קובעים הוראות בנוגע למטלות ייעוץ:

• תקן C1 קובע כי ראוי שהמבקר הפנימי הראשי ישקול לבצע מטלות ייעוץ המבוססות על הפוטנציאל לשיפור ניהול הסיכונים, להוספת ערך לארגון ולשיפור פעולתו. מטלות הייעוץ שהתקבלו חייבות להיכלל בתכנית העבודה המאושרת על ידי ועדת הביקורת.
• תקן C1 קובע כי מטרות מטלת הייעוץ חייבות להתייחס לתהליכי הממשל התאגידי, ניהול הסיכונים, והבקרה במידה המוסכמת עם הלקוח.
• תקן C2 קובע כי מטרות מטלת הייעוץ חייבות להיות עקביות עם האסטרטגיות, המטרות וערכי הארגון.
• תקן C1 קובע כי במהלך ביצוע מטלת ייעוץ, מבקרים פנימיים חייבים להבטיח כי היקף מטלת הייעוץ מספק כדי לעמוד במטרות שעליהן הוסכם. אם מבקרים פנימיים מפתחים הסתייגות בנוגע להיקף המטלה במהלכה, חובה עליהם לדון עם הלקוח אודות הסתייגויות אלה, כדי לקבוע אם להמשיך בביצוע מטלת הייעוץ.

בנוסף, תקן 2120.C3 קובע כי בעת סיוע להנהלה במיסוד או בשיפור תהליכי ניהול סיכונים, מבקרים פנימיים חייבים להימנע מלקחת על עצמם אחריות ניהולית על ידי ניהול הסיכונים בפועל.

התרשים הבא (להלן – "המניפה") לקוח מתוך נייר עמדה שפורסם על ידי לשכת המבקרים הפנימיים העולמית. הוא מתאר את מגוון פעילויות ניהול הסיכונים התאגידי ומציין אלו פעילויות רצוי שיבוצעו על ידי הביקורת הפנימית, כאלה שהן לגיטימיות לביצוע על ידי הביקורת הפנימית וכאלה שרצוי כי הביקורת הפנימית לא תבצע:

מקור: IIA Position Paper: The Role Of Internal Auditing in Enterprise-Wide Risk Management, IIA The Institute of Internal Auditors, January 2009. תרגום: עו"ד אלון קוחלני

הפעילויות בצד שמאל של ה"מניפה" הן פעילויות הבטחה. פעילות ביקורת פנימית העומדת בתקנים הבינלאומיים, צריכה לבצע לפחות חלק מהפעילויות האלו.

הפעילויות במרכז התרשים הן פעילויות ייעוץ העשויות לשפר את הממשל התאגידי, ניהול הסיכונים, ותהליכי הבקרה בארגון. פעילויות אלו הן לגיטימיות בכפוף לאמצעי זהירות מקצועיים. בעוד נייר העמדה מתאר אמצעי זהירות שיש לנקוט, פעילויות אלו מתמקדות באי לקיחת החלטות ניהוליות. מעורבות הביקורת הפנימית בפעילויות אלו עשויות להוסיף ערך לארגון.

לבסוף, הפעילויות בצד ימין הן כאלה שרצוי כי הביקורת הפנימית לא תיקח על עצמה מכיוון שהן באחריות ההנהלה ועלולות לפגוע באופן ברור בעצמאות ובאובייקטיביות הביקורת הפנימית.

נציין כי כאשר בשלות תהליך ניהול הסיכונים בארגון גדלה וניהול הסיכונים הופך להיות מוטבע יותר בפעילות העסקית, תפקיד הביקורת הפנימית בניהול הסיכונים התאגידי עשוי וצריך להצטמצם. באותו אופן, אם ארגון מעסיק את שירותיו של מומחה לניהול סיכונים או פונקציה שכזו, סביר כי הביקורת הפנימית תיתן ערך על ידי התמקדות בתפקיד ההבטחה שלה, מאשר ביצוע של פעילויות ייעוץ.

בתחומים שבחלקה האמצעי של ה"מניפה" טמון לדעתנו הערך המוסף של הביקורת הפנימית – בכפוף לזהירות הראויה, כדלקמן:

• סיוע בזיהוי ובהערכת הסיכונים

הכוונה במילה "סיוע" (Facilitation) היא לאפשר/לקדם את התרחשותו.

מבקרי פנים יכולים ליישם את מומחיותם וכישרונם כדי לספק ייעוץ מועיל להנהלה בנוגע לזיהוי והערכה של סיכונים. סיוע זה יכול להיעשות לדוגמה על ידי השתתפות בסדנת סיכונים (סיעור מוחות), באמצעות מתן משובים על מטריצת תעדוף הסיכונים של ההנהלה, באמצעות סקירה של ממצאי ביקורת מהותיים שמומלץ להנהלה לקחת בחשבון בעת התהליך, ועוד. על הביקורת הפנימית להקפיד כי במהלך הסיוע להנהלה היא לא הופכת לגורם המנחה את ההנהלה באילו סיכונים להתמקד ובקביעת התיאבון לסיכון, כדי שלא ליטול את האחריות מההנהלה.

• הדרכת/אימון ההנהלה להגיב לסיכונים

אימון משמעו נקיטת פעולות שונות, ובהן סדנאות הדמיה, כדי לאמן ולהכין את ההנהלה למצבי סיכון שונים, ובכך להבטיח את ההמשכיות העסקית של הארגון. במילים אחרות, אימון נועד לשפר את יכולת ההנהלה להגיב באופן אפקטיבי לסיכון, כדי שההנהלה תוכל להתמודד טוב יותר עם סיכונים ולקבל החלטות מושכלות בתכנון וביישום התגובות לסיכונים. האימון יכול להתמקד בבקרות ספציפיות כאשר מזוהות חולשות מסוימות. לחילופין, אימון יכול להיות כללי יותר, במטרה לבנות הבנה רחבה של הסיכונים והחלופות לתגובה אליהם. המטרה באימון היא ליצור תנאים שבהם הנהלה עושה שימוש מושכל בידע ובכישורים שנרכשו.

למבקרים הפנימיים יש יתרונות רבים היכולים לסייע לאימון ההנהלה במוכנות ובתגובה לסיכון, וזאת מכיוון ש:

• המבקרים הפנימיים מכירים ומבינים את הארגון.
• המבקרים הפנימיים מומחים בממשל, סיכון ובקרה.
• האינטראקציה של המבקרים הפנימיים עם אנשי הארגון כרוכה לעתים קרובות באימון והדרכה.
• תיאום פעילויות ניהול סיכונים

לא כל הארגונים מיישמים פרקטיקה לניהול סיכונים כולל. המבקרים הפנימיים יכולים לסייע להנהלה בתיאום פעילויות ניהול סיכונים, כדי לשפר את העקביות, האפקטיביות והיעילות שלהן.

כדי לנהוג באופן עקבי, סביר כי המבקרים הפנימיים יהיו מעורבים בתיאום נושאים בניהול סיכונים, לדוגמה:

• סקירת מסמכים הקשורים לניהול סיכונים כדי לזהות האם הארגון כולו משתמש באותם מונחים והגדרות.
• פגישות עם מנהלים כדי להגביר את המודעות שלהם לאחריותם, לשימוש בנוהלי ניהול סיכונים, ואת הבנתם באשר לסובלנות לסיכון.
• החלטה על לוחות זמנים של סקירת סיכונים, הכנת רשימת סיכונים ועדכונם. 

• דיווחים מאוחדים על הסיכונים

בעלי עניין רבים (מתוך הארגון ומחוצה לו) סומכים על אפקטיביות הדיווחים. היכולת לאחד דיווחים תחת מערכת מובנית אחת, נשענת על תיאום אפקטיבי של פעילויות ניהול סיכונים וזיהוי קהל היעד לדיווח ודרישותיו.

אחד מתפקידי המפתח של מנהל הסיכונים הראשי (CRO) הוא לאחד דיווחים שונים לדוח אחד המציג את כל הסיכונים שאליהם הארגון החשוף. בהיעדר מנהל סיכונים ראשי, מבקר הפנים יכול להתבקש לקחת על עצמו תפקיד זה.

• תחזוקה ופיתוח של מסגרת ניהול הסיכונים

לתחזק מסגרת ניהול סיכונים משמעו לקיים פרקטיקה מתפקדת לניהול סיכונים, על ידי בדיקה כי רכיבי המודל פועלים כראוי וכי החריגים מדווחים להנהלה. פיתוח המסגרת דורש ניתוח של המצב הקיים, הסכמה לגבי השיפורים הנדרשים, והצעת תכנית להנהלה ליישום השינויים הנדרשים. בקשה לייעוץ שכזה צריכה להיות לפרק זמן מוגבל בלבד, ובסיומו על ההנהלה ליטול אחריות מלאה.

• תמיכה בהקמת ניהול סיכונים

המבקרים הפנימיים, כסוכני שינוי בארגון, מעודדים את ההנהלה, באמצעות המלצות, להגביר את בשלות תהליכי ניהול הסיכונים. גם הביקורת הפנימית עצמה "נהנית" ממסגרת ניהול סיכונים מפותחת.

• פיתוח אסטרטגיית ניהול סיכונים לאישור הדירקטוריון

הדירקטוריון אחראי לוודא כי ניהול הסיכונים קיים ולאשר את האסטרטגיה. הביקורת הפנימית יכולה לסייע בניסוח אסטרטגיית ניהול סיכונים. הביקורת הפנימית יכולה לסייע להנהלה בפיתוח גישה לניהול סיכונים, תהליכים ונהלים. מעורבות כזו בהקמת האסטרטגיה היא דרך להגביר את ההבנה ולקדם את חשיבות הנושא.

אמצעי זהירות

מבקר פנימי המבקש לעזור להנהלה להקים או לשפר תהליכי ניהול סיכונים, חייב לנקוט משנה זהירות כדי לא להפר את אי התלות. תכנית העבודה תכלול מדיניות ברורה ולוח זמנים מסודר להעברת האחריות על מקטעים בתהליך ניהול הסיכונים שהובילה הביקורת הפנימית לזמן קצוב עד למיסודם על ידי ההנהלה.

כדי להבטיח כי מעורבותה של הביקורת הפנימית בניהול הסיכונים התאגידי אינה פוגעת באי-תלות, מומלץ לנקוט את אמצעי הזהירות הבאים:

• יש להבהיר כי תהיה מעורבות של הביקורת הפנימית אשר תהיה, ההנהלה היא זו שנשארת אחראית לניהול הסיכונים.
• אחריות המבקר הפנימי צריכה להיות מתועדת בכתב האמנה של הביקורת הפנימית ומאושרת על ידי הדירקטוריון.
• הביקורת הפנימית לא תנהל עבור ההנהלה סיכונים.
• ביקורת פנימית צריכה לספק ייעוץ להנהלה כדי לסייע לה לקבל החלטות, בניגוד לקבלת החלטות בניהול סיכונים במקום ההנהלה.
• הביקורת הפנימית לא יכולה, בנוסף על פעילות הייעוץ, לתת הבטחה אובייקטיבית על כל חלק של מסגרת ניהול סיכונים תאגידי שייעצה בו. במקרים כאלה ההבטחה צריכה להינתן על ידי גורם מתאים אחר.

כישורים וידע

יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש את הכישורים המתאימים והידע בהן. ללא אלה, המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הנדרשים לביצוע פעילות הייעוץ או חלק ממנה. 

סיכום

בעשורים האחרונים המורכבות בעולם העסקי מתגברת. עובדה זו שמה במוקד את הסיכונים שעלולים לפגוע ביעדי הארגון ולפגום בפעילותו. במקביל לרוח הגבית מכיוון הרגולציה, שמחייבת ומעודדת יישום של תהליך ניהול סיכונים בארגון, גוברת חשיבות ניהול הסיכונים לארגון.

כחלק מתפקידי הליבה של המבקר הפנימי בניהול הסיכונים התאגידי, הביקורת הפנימית צריכה לספק הבטחה להנהלה ולדירקטוריון על אפקטיביות ניהול הסיכונים. כאשר הביקורת הפנימית מרחיבה את פעילותה מעבר לתפקיד ליבה זה, יש לנקוט אמצעי זהירות על פי התקנים הבינלאומיים. כך הביקורת הפנימית תגן על עצמאותה ועל האובייקטיביות שלה.

בתוך אילוצים אלו, תרומתה של הביקורת הפנימית היא בהוספת הערך ושיפור הבקרה הפנימית. כמו כן, המבקר הפנימי יכול לנצל את הידע הרב שצבר על התהליכים בארגון כדי לסייע בשיפור תהליך ניהול הסיכונים.

מבקרים פנימיים שיבחרו שלא להיות מעורבים בתהליך ניהול הסיכונים עלולים להחמיץ הזדמנות להוסיף ערך לארגון ולפתח קשר חזק יותר עם הדירקטוריון.

ביבליוגרפיה

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA), מהדורת יולי 2015, איגוד המבקרים הפנימיים בישראל (www.theiia.org.il)

IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management, The Institute of Internal Auditors (IIA), January 2009

Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation (IIARF) White Paper, March 2011

קוחלני, א', ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, , 2012

CRMA (Certification in Risk Management Assurance), Exam Study Guide, The Institute of Internal Auditors Research Foundation (IIARF), 1^st Edition

Internal Audit Involvement in Enterprise Risk Management, Griffith Business School Discussion Paper, Laura de Zwaan, Jenny Stewart and Nava Subramaniam, 2009

The post הביקורת הפנימית וניהול הסיכונים בארגון – היכן עובר הגבול? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעולם של גישה אלחוטית לאינטרנט, לטלפונים לווייניים ולעוד אמצעי תקשורת מגוונים כגון שיחות ועידה, לרבות בווידאו (חלקם אף חינמיים או בעלות שולית), ניתן לבצע ביקורת על פעילויות הפרוסות ברחבי העולם בלי לעזוב את המשרד או אפילו את הבית.

המאמר יסקור את יתרונות הביקורת מרחוק, את מגבלותיה ואת השיקולים שיש לקחת בחשבון בבואנו להחליט האם לבצע ביקורת מרחוק או להגיע פיזית לפעילות המרוחקת לצורך ביצוע הביקורת.

יתרונות הביקורת מרחוק

היתרונות בביצוע ביקורת מרחוק הם:

• היתרון המרכזי הוא ללא ספק חיסכון משמעותי בעלויות. עלויות אלה כוללות את כרטיסי הטיסה של חברי צוות הביקורת ועלות שהייתם בחו"ל. בחברות גלובליות רבות תקציב, עלות הנסיעות של מחלקת הביקורת הפנימית מהותית מאוד ומהווה נתח נכבד מסך תקציב הביקורת הפנימית.
• חיסכון בזמן של טיסות ונסיעות צוות הביקורת, לרבות מניעת אובדן פרודוקטיביות של המבקרים בעת ההסתגלות לעבודה בארץ היעד (כתוצאה מיעפת – ג'טלג).
• לאור החיסכון האמור, יכולה הביקורת הפנימית באותה כמות נתונה של משאבים:
• לכסות יותר תחומים ולהגדיל בכך את היקף שירותי ההבטחה או הייעוץ שהיא מעניקה לדירקטוריון ולהנהלה הבכירה.
• להרחיב את הבדיקה בתחומים הנבדקים על ידי הכללת יותר אתרים או יחידות עסקיות. הרחבה כזו יכולה לכלול השוואה בין מספר אתרים לצורך קבלת פרספקטיבה רחבה יותר על התהליכים הנבדקים.
• ביקורת מרחוק ממטה החברה כרוכה ברוב המקרים באינטראקציה רבה יותר עם אנשי המטה מאשר ביקורת המתבצעת באתר מרוחק. לרוב, לאנשי המטה יש ראייה רחבה יותר לגבי הסיכונים שבפניהם עומדת החברה ומשמעותם.
• שיפור ב"איזון בין עבודה לחיים" (Work life balance) של חברי צוות הביקורת הפנימית. בארגונים רבים הדרישה לנסיעות רבות לחו"ל מדירה עובדים ועובדות מוכשרים מלהצטרף לביקורת הפנימית ומקצרת את תקופת הכהונה של אחרים.
• ביקורת באתר מרוחק מלווה לעתים בזמן רב שהגוף המבוקר נדרש להשקיע כדי לארח את חברי צוות הביקורת, זמן שנחסך בעת ביקורת מרחוק. זמן זה כולל אדמיניסטרציה של מציאת מקום למבקרים לבצע את עבודתם ולקיים את פגישותיהם, הזמנת האורחים מחו"ל לארוחת ערב במהלך הביקור, וכדומה.
• לעתים ישנן פעילויות המבוצעות על ידי אנשי הארגון הממוקמים במדינות שונות, כך שפגישה עם כל אנשי המפתח עלולה להיות כרוכה בנסיעות רבות. במצב כזה ביקורת מרחוק היא פתרון הגיוני לאור הטכנולוגיה המאפשרת כיום פגישות "וירטואליות" בהשתתפות צדדים הפרוסים ברחבי העולם.
• גמישות בקביעת מועדי הביקורת, לרבות שינויי מועד, לאור העובדה שאין עלויות נגזרות של ביטול טיסות או שינויים במועדי טיסות.
• אפשרות לבצע ביקורת באתרים שקשה להגיע אליהם לאור בעיות ביטחוניות או בעיות סביבתיות (כגון וירוס שהתפשט באזור).
• ביקורת מרחוק עשויה להקל על המבקרים לשמור על אובייקטיביות, מכיוון שפחות סביר שיפתחו היכרות קרובה והזדהות עם המבוקרים.

מגבלות הביקורת מרחוק

המגבלות בביצוע ביקורת מרחוק הן:

• מבקרים רבים סבורים כי אין תחליף לאינטראקציה פנים אל פנים עם המבוקרים לצורך תקשורת יעילה, אפקטיבית ופתוחה, ללחיצת היד בתחילת הפגישה, לsmall talk"-" במסדרון ולמפגשים הבלתי פורמליים במהלך פרויקט הביקורת.
• אינטראקציה זו מקלה על מחסומי תקשורת של שפה, תרבות ומעמד בארגון שקיימים לא פעם בין המבקרים למבוקרים. מבקרים הפוגשים את המבוקרים פנים אל פנים יוכלו לתת את הדעת על שפת גופם והתנהגותם, ולנקוט טכניקות שיסירו את מחסומי התקשורת. לעתים האינטראקציה הפחות פורמלית הזאת מקלה על התהליך, במיוחד כאשר מתגלות מחלוקות בין המבקרים למבוקרים לגבי ממצאים שהתגלו ומידת חומרתם.
• בעת קיום ראיונות פנים אל פנים עם מבוקרים, מבקרים יכולים לבחון את שפת הגוף של המבוקרים ואת תגובותיהם ולהעריך האם המבוקרים משדרים סימני אי נוחות או מצוקה היכולים להעיד על בעיה בהתנהלותם או בתהליך הנבדק. בחינה כזו אינה אפשרית, או פחות מהימנה, במרבית האמצעים המשמשים לתקשורת מרחוק.
• שהות פיזית בפעילות המרוחקת יכולה לאפשר למבקרים להבין טוב יותר את ההֶקשר (הקונטקסט) הכללי של הפעילות או הגיאוגרפיה, ולהציג תמונה שלמה ומאוזנת יותר של הבעיה שהם מציפים. לדוגמה, בעת שהות באתר הם יכולים להיות עדים באופן בלתי אמצעי לבעיות תשתית, לשביתות, או לפגעי מזג אוויר הגורמים לגידול בעלויות לעומת הבנצ'מרק המצופה.
• ביקורת מרחוק מקשה על המבקרים לוודא כי המסמכים שקיבלו אותנטיים ולא שונו בטרם נמסרו להם. בנוסף, תהליך קבלת המסמכים עלול להתארך יתר על המידה לאור הצורך לסורקם לפני שליחה למבקרים.
• שהות של המבקרים באתר יכולה להסב את תשומת לִבם לבעיות ולסוגיות שלא ניתן היה לזהותן בביקורת מרחוק, לרבות נושאים שלא נכללו בתכנית הביקורת המקורית. לדוגמה, המבקרים יכולים להיות עדים להתנהלות לא בטיחותית באתר, לבקרות פיזיות לא מספקות בכניסה לאתר, וכדומה.
• בעת שהות פיזית באתר, עובדים ומנהלים, לרבות כאלה שאינם מבוקרים ישירים, יכולים להסב את תשומת לב המבקרים לסוגיות שמטרידות אותם. לדוגמה, להתנהלות לא אתית של גורמים בארגון.
• ישנם תחומים שלא ניתן לבדוק באופן אפקטיבי ללא שהות באתר, כגון אבטחה פיזית של הפעילות או ניהול חומרים מסוכנים.
• קושי הנובע מהבדלי אזורי זמן בין מדינות המבקרים והמבוקרים, שיאלץ את הצדדים (לרוב את המבקרים) לעבוד בשעות לא שגרתיות במהלך מטלת הביקורת.
• תלות רבה בטכנולוגיה לא יציבה לחלוטין. כשלים בתשתית האינטרנט בין האתרים או בציוד הקצה עלולים לגרום לשיבושים חמורים בביקורת.

שיקולים בבחירת שיטת הביקורת

על  הביקורת הפנימית לקחת בחשבון את השיקולים הבאים בעת ההחלטה על אופן ביצוע הביקורת באתר המרוחק:

סוג התהליך הנבדק – תהליכים המתועדים היטב עם בקרות חזקות ומתבצעים באופן עקבי ברחבי הארגון במערכות מרכזיות יתאימו יותר לביקורת מרחוק, תהליכים מורכבים המיושמים באתר המרוחק בלבד יתאימו יותר לבחינה מקרוב.

רמת הסיכון של הפעילות המבוקרת – ככל שהסיכון המובנה או השיורי בפעילות המבוקרת נמוך יותר, כך ביקורת מרחוק תתאים יותר. באתרים שבהם מתבצעת פעילות קריטית עם סיכון מובנה או שיורי גבוה, תידרש קרוב לוודאי ביקורת פיזית באתר.

רמת האינטראקציה הנדרשת – כאשר הביקורת דורשת אינטראקציה תכופה עם המבוקרים, ביקור באתר יתאים יותר. לעומת זאת, כאשר עבודת הביקורת היא בעיקרה איסוף חומר מהמבוקר וניתוחו תוך בקשות הבהרות לא מרובות, ניתן יהיה לבצע את הביקורת מרחוק ללא קושי מיוחד.

חשיבות האינטראקציה בין חברי צוות הביקורת – כאשר חברי צוות הביקורת פרוסים בעצמם במדינות שונות ועליהם לשתף פעולה במידה רבה בעת ביצוע הביקורת, התאספותם באתר המבוקר תהיה לרוב היעילה והאפקטיבית ביותר.

תחום הפעילות הנבדק – ישנם תחומים שמעצם טבעם דורשים נוכחות של צוות הביקורת. לדוגמה, ביקורות בתחומים כגון ביטחון ובטיחות, ניהול חומרים מסוכנים ובינוי.

נתיב הביקורת של התהליך הנבדק – כאשר נתיב הביקורת של התהליך נמצא במערכת ממוחשבת שאליה המבקרים יכולים לקבל גישה (לדוגמה, חתימות מאשרים), או כאשר המסמכים נסרקים למערכת מרכזית, נעדיף לבצע את הביקורת מרחוק. לעומת זאת, כאשר נתיב הביקורת כולל מסמכים וחומר רב המצויים באתר המבוקר, הגיוני יותר שהביקורת תיעשה באתר עצמו.

רגישות המידע הנבדק – כאשר המידע הנסקר במהלך הביקורת הוא חסוי או רגיש, לרבות היבטי שמירת פרטיות, נבצע את הביקורת מרחוק רק אם אמצעי האבטחה להעברת המידע מספקים אמינות מוחלטת כי המידע יגיע לגורמים מורשים בלבד.

חשוב לציין כי בעת תכנון הביקורת ניתן להחליט כי חלק מהביקורת יתבצע מרחוק, כמו איסוף נתונים והניתוח שלהם, וחלק אחר מהביקורת יתבצע באתר עצמו, כמו ראיונות עומק, סיורים באתר, צפייה בתהליכים הדורשים את נוכחות המבקרים, ועוד.

כלים ושיטות לביצוע ביקורת מרחוק

התפתחות הטכנולוגיות מאפשרת שימוש במגוון כלים לביצוע ביקורות מרחוק:

קיימים כיום מגוון כלים לביצוע שיחות אודיו ווידאו, לרבות שיחות ועידה, הנמצאים במחשבים ובמכשירים ניידים חכמים (סקייפ לדוגמה). המשתתפים יכולים במהלך הפגישה לשתף תוכן של מצגות ויישומים. לדוגמה, המבוקר יכול להציג את התהליך למבקרים (walkthrough), והמבקרים מצדם יכולים בקלות יחסית לצלם את המסך של המוצג להם כראיית ביקורת לניירות העבודה שלהם.

בחלק מהכלים ניתן להקליט שיחות, מה שיכול לחסוך למבקר את הצורך לתעד את הנאמר במהלך השיחה ולהתרכז בהפקת המרב מהשיחה עצמה. אפשרות זו יעילה במיוחד כאשר המבוקרים לא ברורים לחלוטין (לדוגמה, בשל מבטא מיוחד) או כאשר הקו משתבש במהלך השיחה. ההקלטה צריכה להיות מעוגנת כנוהל שאושר משפטית על ידי הגורמים המתאימים בארגון.

לפגישות ולראיונות עומק, לישיבות רבות משתתפים, ולפגישות שבהן חשוב לראות את כל המשתתפים ואת שפת גופם – תידרש תשתית של חדרים המצוידים במצלמות ובטלפונים ייעודיים לשיחות וידאו. העלות של תשתית כזו (שלרוב אף מאפשרת תקשורת מאובטחת יותר) היא יקרה יותר, ואף שהיא נפוצה כיום יותר מאשר בעבר, בארגונים רבים היא עדיין אינה נחשבת כנורמה לאור עלותה.

האפשרות לצילום וידאו זמינה כיום בכל טלפון חכם, ואפשר להשתמש בה כדי לצפות בזמן אמת במתרחש במקומות מרוחקים, לרבות במקומות שקשה או מסוכן להגיע אליהם פיזית. כדי לשמור על אי-תלות, המבקרים הפנימיים יכולים להיעזר לשם כך בגורמים באתר שלא שייכים ליחידה המבוקרת.

כלים סטנדרטים, כמו דוא"ל, יכולים לשמש אמצעי יעיל וזמין להעברת מידע בין המבוקר למבקר ולהבהרות הנדרשות במהלך הביקורת.

כלים להעברת מסרים מיידים יכולים לסייע לתקשורת יעילה ופחות פורמלית בין המבוקר למבקר.

אם קיימות בארגון מערכות אלקטרוניות לניהול מסמכיםElectronic Document Management System (EDMS) , הן יסייעו לביקורת הפנימית לבצע ביקורת מרחוק. ניתן לתת למבקרים גישה מאובטחת למסמכים שלהם הם נזקקים, והם יוכלו לצפות בהם ממשרדם בלי להגיע לאתר המבוקר.

כאמור, ביקורת מרחוק תלויה מאוד בטכנולוגיה, ולכן היא יכולה להיפגע במקרה של כשלים בתשתית האינטרנט בין האתרים או בציוד הקצה. שיחות נקטעות או משובשות הן עדיין עניין שבשגרה, לפיכך על הביקורת הפנימית לקחת זאת בחשבון ולהכין תכנית מגירה למקרה שהשיבושים לא יאפשרו לבצע את הביקורת באופן נאות.

היבט נוסף שחשוב לקחת בחשבון הוא אבטחת המידע המועבר במהלך הביקורת מרחוק. על הביקורת הפנימית לשתף פעולה עם ארגון מערכות המידע כדי למצוא פתרונות מספקים בנושא.

כדי לעשות שימוש מיטבי בביקורת מרחוק, המבקר הפנימי צריך להיות מודע לטכנולוגיות הקיימות בתעשייה ובארגונו. לעתים יהיה עליו לנסות להשפיע על גורמים בארגון לשפר את התשתיות, כך שהביקורת הפנימית תרחיב את השימוש בביקורת מרחוק. לדוגמה, יהיה עליו להשפיע על הארגון להקים חדרי ישיבות המיועדים לישיבות וידאו מאובטחות.

מכיוון שהשימוש בביקורת מרחוק הולך ומתפתח, רצוי ליישם תהליך של הפקת לקחים ממטלות ביקורת שבוצעו. לדוגמה, לאחר ביקורת שבוצעה פיזית באתר מרוחק כדאי לבצע הערכה ולבדוק האם ניתן היה לקצר את הביקור באתר ולבצע מרחוק חלק מתהליך הביקורת.

סיכום

בעידן שבו הביקורת הפנימית נדרשת להוסיף ערך מוסף עם משאבים מוגבלים (Do more with less") בעת שהיא בוחנת פעילויות הפרוסות ברחבי העולם, חובה עליה לבנות תמהיל יעיל ואפקטיבי של ביקורות הכוללות ביקורים באתרים המרוחקים ושל ביקורת מרחוק.

לשם כך עליה לעשות שימוש מושכל בטכנולוגיות הקיימות, תוך מעקב אחר חידושים בתחום. בעת בחירת שיטת הביקורת יש לקחת בחשבון היבטים כמו התחום הנבדק, רמת הסיכון הטבועה בו, מידת האינטראקציה עם המבוקרים, נתיב הביקורת בתהליך הנבדק ועוד.

ביבליוגרפיה

What is remote auditing? Colin MacNee, https://www.irca.org/en-gb/resources/INform/archive/issue26/Features/remote-auditing/

Getting online, Colin MacNee, https://www.irca.org/en-gb/resources/INform/archive/issue27/Features/Building-on-safety2/

Remote Audit: Out of Sight but Not Out of Mind, David Ade, https://www.mastercontrol.com/audit-management/remote-audit-out-of-sight-not-out-of-mind.html

The post ביקורת בשלט רחוק בארגונים גלובליים – יתרונות וחסרונות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.