בעידן המודרני ארגונים רבים מחזיקים בקניין רוחני, כולל פטנטים, עיצובים, מותגים מסחריים, תהליכי עבודה ייחודיים ומאמרים. ההחלטה על הצורך בהגנה על הקניין הרוחני היא אחת ההחלטות שיש לקבל בארגון כחלק מהצורך בשמירה על נכסיו. בארגון המחזיק בקניין רוחני, תפקידו של המבקר הפנימי הוא:

• בחינת יכולת הארגון לזהות את הקניין הרוחני שלו;
• בחינת האופן שבו הארגון מעגן את אחיזתו החוקית בקניין הרוחני שלו;
• יכולת הארגון לשמור על הקניין הרוחני שלו.

במאמר זה נסקור את הסוגים העיקריים של הקניין הרוחני, ונציין את הנקודות העיקריות שבהן צריך המבקר הפנימי להתחשב בעת הערכת הסיכונים המהותיים הקיימים בתהליך.

קניין רוחני הוא מונח משפטי המגדיר זכויות הקשורות בפרי יצירתו של האדם. בעוד ההגדרה היא רחבה וכוללת מגוון רחב של נכסים, במאמר זה נתמקד בעיקריים שבהם:

• פטנטים
• סימנים מסחריים
• זכויות יוצרים
• סודות מסחריים

השלושה הראשונים הם זכויות שברוב מדינות העולם ניתן להגן עליהן בחוק. בניגוד אליהם, היכולת להגן על הסוד המסחרי היא פחותה אך עדיין קיימת בחלק מהמדינות. לפני שנסקור את תהליכי עבודת הביקורת, נערוך היכרות קצרה עם נכסי הקניין הרוחני ונאמוד את ההבדלים העיקריים ביניהם.

פטנט – זכות משפטית בהמצאה שאינה מאפשרת לאחרים להשתמש בה לתקופת זמן מוגבלת. זכות זו מוענקת על ידי מדינה או חבר מדינות לכל המצאה תועלתית (מכונה, תהליך ייצור וכו') או עיצוב, בהתאם למידת הערך שיש בהמצאה מבחינת היצירתיות, וחשוב מכל – מבחינת חדשנות.

סימן מסחרי – מקור הזיהוי הבלעדי של ספק ומבדיל אותו מספקים/מוצרים אחרים. סימן מסחרי מתייחס למילים ייחודיות, ביטויים, עיצובים וסמלים. אין חבות לרשום את הסימן המסחרי על מנת להגן עליו בחוק, אך רישום כאמור יכול לחזק את מאמצי ההגנה המשפטיים בעת הצורך.

זכויות יוצרים – כוללות את הפרסומים המקצועיים והמקוריים של הארגון ושליחיו. זכות זאת מבוטאת בעיצוב היצירה ובצורתה האומנותית, וכוללת חומרים כתובים, צילומים, אנימציות, סרטי וידאו וכדומה. בישראל, כמו בעולם, זכויות היוצרים מעוגנות בחוק. מכאן שרישום בגוף ממשלתי או באמצעות עו"ד יכול להוות חיזוק לקו ההגנה במקרה הצורך אך אינו בהכרח נחוץ.

סוד מסחרי – מידע פרטי השייך לארגון. בניגוד לשאר סוגי הקניין הרוחני החשופים לציבור, ההגנה המשפטית על קניין זה היא קשה ומורכבת יותר משום שהחוקים השומרים עליו פחות ממוקדים מאלה השומרים על הזכויות האחרות שצוינו לעיל. מכאן שהאחריות המרבית בהגנה על זכויות אלה "נופלת" על הארגון.

במקרים רבים יכולים הסוד המסחרי והפטנט להגן על אותן היצירות, ולכן על הארגון לבחור את הדרך שבה הוא שומר על הקניין שלו. בכל אחת מן האפשרויות יש יתרונות וחסרונות. נבחן אותם על פני שתי דוגמאות המוכרות לרוב הקוראים: תרופת הקופקסון של חברת טבע אל מול הפורמולה של קוקה קולה.

ההכנה לביקורת הפנימית בנושא הקניין הרוחני צריכה להתחיל בבחירת צוות הביקורת. לאנשי הצוות חייבת להיות היכרות מעמיקה עם הארגון, עם הסביבה העסקית שבה הוא נמצא ועם המדינות שבהן הוא פועל. בנוסף, חברי הצוות חייבים לגלות הבנה בעולם הקניין הרוחני, ולכן חשוב כי צוות הביקורת יעבור הכשרה מקצועית בנושא. הכשרה מעין זאת יכולה לכלול קורסים וסדנאות בנושא הקניין הרוחני, שיחות עם גורמי מקצוע (לדוגמה, עם עו"ד בתחום הרישום והליטיגציה של פטנטים), איסוף חומרים מהרשת (תכניות ביקורת פנימית, מאמרים, פרסומים של גופים מקצועיים, פורומים של אנשי מקצוע וכו'). לבסוף, ניתן לקבל מידע נוסף מהגוף המבוקר עצמו באמצעות שיחות עם ההנהלה הבכירה, השתתפות בכנסים מקצועיים פנימיים וקריאת חומרים רלוונטיים של הארגון.

הביקורת הפנימית יכולה להיערך במגוון רחב של דרכים הנוגעות לקניין הרוחני בארגון. מיקוד הביקורת יכול לכלול אחד או יותר מהנושאים הבאים:

• יעילות תפעולית בתהליכי העבודה הקשורים בהיבטי הזיהוי, הפיתוח והניהול של הקניין הרוחני;
• מילוי הדרישות החוזיות והאחריות הארגונית בכל הקשור בקניין הרוחני;
• מילוי הדרישות הרגולטוריות ועמידה בחוקים הרלוונטיים באזורי הפעילות השונים;
• ההיבט הפיננסי והחשבונאי הקשור בקניין הרוחני.
• שמירה על הקניין הרוחני במערכות המידע של הארגון.

קביעת מיקוד הביקורת צריכה להיערך בהתאם לסקירה הראשונית של הקניין הרוחני הקיים בארגון, תהליכי העבודה הרלוונטיים וזיהוי ואמידת הסיכונים הקיימים בהם.

את הביקורת יש להתחיל בסקירה ראשונית של הגוף המבוקר ושל תהליכי העבודה הרלוונטיים לנושא הביקורת. סקירה זו תספק למבקר הפנימי ולצוותו הבנה ראשונית של זהות האחראים על הקניין הרוחני בארגון (פנימיים וחיצוניים) ומהי המחויבות של הגורמים הללו לשימור הקניין הרוחני הקיים ולזיהוי קניין חדש שיכול להוסיף ערך לארגון. במהלך הסקירה הראשונית על המבקר לתעד את כלל הנהלים הרלוונטיים בנושא ואת המסמכים המתארים את גישת ההנהלה ואת תהליכי העבודה הקיימים בארגון. מסמכים כאלה יכולים לכלול מצגות הנהלה, דיווחים לדירקטוריון, פרוטוקולים של דיונים פנימיים, תרשימים של תהליכים פנימיים בחברה, התכתבויות פנימיות וכו'. הסקירה הראשונית תאפשר למבקר למפות את המבנה הארגוני ואת תהליכי העבודה בארגון, ולהתחיל לגבש הבנה של הסיכונים שבפניהם עומד הארגון והיכן נמצאות החשיפות המהותיות.

כאשר המבקר עומד להעריך את הבקרות הקיימות בארגון לצורך שמירה על הקניין הרוחני, חשוב שיבין כיצד הארגון מזהה את הקניין הרוחני הפוטנציאלי הקיים בו ואת התהליך שהארגון מקיים לצורך הפיכתו לנכס. זיהוי הקניין הרוחני הוא תהליך מתמשך הדורש השקעת משאבים של הארגון. על המבקר לבחון האם קיימים תהליכי עבודה ונהלים סדורים המאפשרים את זיהוי הקניין שנוצר והעברתו לגורמים האמונים על כך לצורך "תפיסתו". הקניין הרוחני יכול להיווצר במחלקות שונות בארגון. מחלקת מחקר ופיתוח יכולה ליצור פיתוח חדש למוצר קיים, מחלקת פיתוח עסקי יכולה לחתום על חוזה לשיתוף פעולה עם ארגון אחר לצורך פיתוח משותף של מוצר חדש, ומחלקת השיווק יכולה לפרסם ידיעה באתר הארגון החושפת פרטים על המוצר החדש של החברה. במקרים אלה גלומות חשיפות רבות לגניבת ההמצאה על ידי גורמים חיצוניים או פנימיים. היכולת של הארגון לזהות את הקניין הרוחני שלו וליצור תהליכים המאפשרים לו בקרות מונעות ובזמן אמת, תאפשר לו להגן על נכסיו. באופן זה, תפיסת הקניין הרוחני ושיוכו לארגון יכולים להיעשות בצעדים פשוטים כגון:

• החתמת אנשי הפיתוח על חוזים המשמרים את הזכויות בקניין הרוחני לארגון.
• רישום מהיר של הקניין הרוחני או שמירה על סודיותו.
• חתימה על חוזים עם צד שלישי המבטיחים שמירה על זכויות הארגון בהמצאות משותפות עתידיות.
• כתיבת נוהלי עבודה סדורים המונעים פרסום או זליגה של מידע חסוי.
• ביצוע הדרכות שוטפות וריענון הידע של העובדים בדבר חשיבות הקניין הרוחני בארגון.

יש לוודא כי הארגון יודע מה שייך לו ומתחזק רשימת מלאי הכוללת את כלל החוזים והרישיונות הקיימים ואת המידע הרלוונטי לגביהם. לצורך כך, על המבקר להכיר את תהליך "תפיסת" הקניין הרוחני בארגון.

מרגע זיהוי הקניין הרוחני הפוטנציאלי, הארגון צריך לקבל שורת החלטות הקובעות כיצד יש לטפל בקניין הרוחני הזה. על הארגון לבצע בדיקות מקדימות בדבר החופש ליצור (FTO[1]) על מנת לוודא אי הפרה של זכויות קניין של ארגונים אחרים. בהמשך, הארגון צריך לקבל שורה של החלטות בדבר האופן שבו יש לשמור על הקניין הרוחני (לדוגמה, פטנט או סוד מסחרי) ובאילו מדינות (אם בחר לרשום כפטנט). במקרה של פטנט, יש חשיבות עליונה למועד ההגשה. מועד זה יוכל לקבוע את הזכאות לפטנט במקרה של קיום המצאות דומות. להלן תרשים לדוגמה לתהליך שעובר פטנט מההמצאה ועד לקבלת הפטנט:

מטרת המבקר היא לבחון את תהליכי קבלת ההחלטות, הביצוע והמעקב

בארגון. כחלק מזה יכול המבקר לבחון:

• האם ההנהלה מקיימת דיון לזיהוי הקניין הרוחני, לסיווגו

ולאופן הטיפול בו – מועד ההגשה, מקום ההגשה הגיאוגרפי וכו'?

• האם הארגון מיישם באופן נאות את ההחלטות שהתקבלו על ידי

ההנהלה בדרך, בזמן ובמקום שנקבעו?

• האם מבוצעת בקרה אחר טווח הזמן שבין יצירת ההמצאה לבין הגשתה

לרשויות?

• האם מתנהל מעקב סדור ומתועד אחר השלבים שבהם נמצא

הקניין הרוחני בדרך לקבלת הפטנט?

• האם מבוצע מעקב אחר הזמנים בין שלב לשלב מיום ההגשה ועד

ליום קבלת הפטנט?

לעתים יבחר הארגון לא לרשום את ההמצאה כפטנט אלא לשמור אותה

כסוד מסחרי. אין זה אומר שבמקרה זה לא צריך להחזיק תיעוד

להמצאה. על המבקר הפנימי לבחון את יכולתו של הארגון לזהות ולתעד את הסודות המסחריים שלו ולשמור עליהם. בתוך כך, על המבקר לבחון כי כל מי שחשוף לסודות המסחריים, לרבות עובדים, קבלני משנה וספקים, חתומים על מסמכים משפטיים תקפים המחייבים שמירת סודיות.

להלן דוגמה למדגם ביקורת הרלוונטי למשאבי האנוש בחברה:

בעוד שלכל ארגון קיימים סיכונים הקשורים בפעילות הייחודית שלו, יש מספר חשיפות הרלוונטיות לכל ארגון המחזיק בקניין רוחני. חשיפות אלה כוללות, בין היתר, גניבת קניין רוחני, כישלון ברישום הקניין או בחידוש הרישיון שלו, וחוסר בתקשורת בארגון בין גופים וממשקים שונים היוצרים קניין רוחני לבין אלה האמונים על השמירה עליו. על המבקר לוודא כי מדיניות ונוהלי הארגון נותנים מענה לסיכונים אלה. מלבד זיהוי הסיכונים בתהליך, ביקורת פנימית בנושא הקניין הרוחני יכולה להפנות את תשומת הלב של ההנהלה להזדמנויות הקיימות בו. אחת כזאת ניתן למצוא בבחינת החופש ליצור שהוזכרה לעיל. בעוד הבדיקה נועדה לצורך בחינה של אי קיום המצאות קודמות, סקירת השוק והפטנטים הקיימים בו יכולה לתת להנהלה תמונה על מצב התחרות בשוק, הבנת המגמות הקיימות לפי אזור גיאוגרפי וטכנולוגי וזיהוי כישרונות בתעשייה.

חשוב לזכור שבעולם של ממציאים שמתחדש כל הזמן, זיהוי החולשות בתהליך הקניין הרוחני הוא תהליך מתמשך שיש לבחון אחת לתקופה. בעולם כזה, עבודת המבקר הפנימי היא להתעדכן בהתפתחויות החלות בארגון עצמו, בסביבה העסקית שלו וברגולציה, ולוודא כי הארגון מתאים את הבקרות שלו לשינויים החלים בהם.

ביבליוגרפיה

Auditing Intellectual Property

James S. Fargason

Lee D. & Cynthia C. Bloch Distinguished Prof.

INTELLECTUAL PROPERTY

AUDITING THE PROCESS

IIA

Elements of An IP Audit – A check list

by Beveridge on January

Intellectual Property (IP) Audit

A Legal Perspective

INTELLECTUAL PROPERTY AUDIT CHECKLIST

Alan R. Singleton, Singleton Law Firm, P.C.

Cybersecurity: Keeping IP Under Lock and Key

IIA

Guidelines on Developing Intellectual Property Policy for Universities and R&D Organizations

WORLD INTELLECTUAL PROPERTY ORGANIZATION

A Guide To Conducting IP Due Diligence In M&A

Portfolio Media. Inc.

[1] Freedom To Operate

The post קניין רוחני – היבטי ביקורת פנימית הלכה למעשה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אחד החידושים בתורת ניהול והערכת הסיכונים הוא נטישת שיטת הבקרות CONTROL)) המצומצמת, שהתמקדה רובה ככולה בנעשה בארגון עצמו ובנוהלי הבקרה הפנימיים בו, לטובת הצבעה על סיכונים, חלקם בעלי עוצמה רבה שמעבר לגבולות הארגון: סיכוני רגולציה, סיכוני סחר, סיכוני מטבע, סיכונים טכנולוגיים, סיכוני תדמית ותקשורת, סיכוני סייבר ורבים אחרים. יצירת קטגוריות  הסיכונים  אפשרה וחייבה לקבוע מיהו הגורם הארגוני האחראי לסיכון בתחום זה או אחר וסייעה  בהערכה וניהול הסיכונים, לפי סוגיהם.

בנוסף, תורת הסיכונים אפשרה את ההבנה שניהול והערכת הסיכונים אינם רק  בתחום תפקידם ואחריותם של גורמי בקרה, גורמי מקצוע וגורמי ניהול בארגון, אלא שהאחריות הכוללת היא עניינה של ההנהלה הבכירה ביותר ושל הדירקטוריון, במיוחד באשר להתמודדות עם הסיכונים החיצוניים המשפיעים על הארגון  ומחייבים מענה מורכב-אסטרטגי.

בחלוף הזמן גם הובן שיש השפעות לוואי ואינטראקציה בין הסיכונים: סיכון תפעולי עלול להפוך לסיכון תדמיתי, רגולטורי ומשפטי, עד להתהוות סיכון  אסטרטגי שיפגע בהשגת יעדי הארגון ולעתים אף בעצם קיומו. האירוע בחברת "רמדיה" יצרנית מזון לתינוקות (שנחשף בנובמבר 2003) הוא דוגמה מוחשית  להתממשות "חזון גוג ומגוג" מעין זה. 

השפעות הלוואי בין סיכונים והגברת העוצמה של סיכון אחד על משנהו, יצרה עולם  מונחים של "סיכונים מורכבים[1]" – "סיכונים משולבים". המשמעות התפעולית והניהולית היא שאין לבחון סיכונים רק בקטגוריה המצומצמת שלהם (כסיכונים תפעוליים; סיכונים פיננסיים ועוד), אלא נדרש לראותם בפרספקטיבה מורכבת וכוללת ויש להתערב בזמן כדי למנוע העצמת תוצאות הלוואי העלולות להיווצר מסיכון אחד על משנהו. ניתן לדמות תופעה זאת ל"שרשרת של קוביות דומינו" הנופלות בזו אחר זו. התופעה מחייבת חיזוי, הערכת ההסתברות והנזק של הסיכון המשולב, והתערבות בטרם יהפכו הסיכונים לסיכונים אסטרטגיים.

תחום חדשני נוסף של תורת הערכה וניהול הסיכונים הוא תחום "הסיכונים הפורצים" – סיכונים חדשים המפתיעים ארגונים שאינם ערוכים  אליהם"[2]EMERGING RISKS" – . תופעת "הסיכונים הפורצים" הועצמה מאוד בשלהי המאה ה-20, ובמיוחד במאה ה-21 בעידן "הכפר הגלובלי". לדוגמה, משבר הסאב-פריים שפרץ בארה"ב (ביולי 2007) הפתיע את הממשלות ואת העולם העסקי, נמשך שנים רבות, והשלכותיו ניכרות עד היום; המשבר הפיננסי באיחוד האירופי שעדיין עמנו; ירידה בצמיחה בסין נתנה אותותיה לא רק בסין אלא במיטב הכלכלות, הבורסות ועולם העסקים; ירידת מחיר הנפט פגעה בכלכלות  ובתעשיות (כמו תעשיית הנפט) אך מינפה כלכלות ותעשיות אחרות (כמו תעשיית התעופה); שינויים גיאופוליטיים (כמו עליית האסלאם הרדיקלי ועמו הגירת תושבים) מובילים לתוצאות כבדות משקל; שינויים חברתיים המוליכים  לשינויים כלכליים רגולטוריים וצרכניים, למשל בישראל – מחאת הקוטג' ועמה מסקנות ועדת טרכטנברג, ועדת שישינסקי, רגולציה ענפה כנגד ריכוזיות, מאבק ב"פירמידות" והגברת התחרותיות. יש להביא בחשבון גם שינויים דמוגרפיים-חברתיים-כלכליים רבים שהואצו במאה ה-21 (כמו עליית תוחלת החיים ומשבר הפנסיה). הכפר הגלובלי אף מעצים ומשנע בין היבשות תופעות ביולוגיות-רפואיות על מכלול השפעותיהן הרפואיות והכלכליות, כמו נגיף האבולה, נגיף  הזיקה, שפעת החזירים והעופות – שהפכו מאירוע מקומי לאירוע גלובלי; התפתחויות טכנולוגיות (הסלולר, האינטרנט, פייסבוק, טוויטר, אינסטגרם), אפשרו פיתוח כלכלי-תקשורתי אך גם הביאו לתופעות כמו ה"שיימינג"[3]. תופעה זו  יוצרת  היום סיכון אסטרטגי חדש – לא רק לפרט אלא גם לארגונים. התפתחויות טכנולוגיות אלו יצרו גם סיכון חדש – סיכון הסייבר, שהוא בגדר סיכון פורץ המשנה במהירות את תכונותיו ואת שיטות התקיפה שלו, ומבחינת עוצמתו הוא סיכון אסטרטגי.

הנה כי כן, ארגונים עסקיים ולא עסקיים נדרשים להעריך ולהתמודד  לא רק עם הסיכונים השוטפים הידועים והקונבנציונליים, אלא גם עם הלא נודע – עם שינויים מהירים שמייצרים חדשים לבקרים סיכון חדש – סיכון פורץ ההופך לסיכון אסטרטגי, על מכלול תופעותיו. מכאן, שמועצות מנהלים והנהלות, גורמי בקרה וניהול חייבים לעסוק בחיזוי, בהערכה ובניתוח שוטפים-תקופתיים כדי להיערך למצבים העלולים לייצר סיכונים פורצים – סיכונים אסטרטגיים עבור הארגון.

ניתן לדמות זאת לפעולת מודיעין והערכה של צה"ל, שבו מיטב גורמי המודיעין עוסקים באיסוף, ניתוח והערכת מידע, ממגוון רחב של מקורות מידע. גורמים אלה מייצרים לצה"ל הערכה מודיעינית על הסיכונים-האיומים הצפויים שעמם יש להתמודד, וממנה צה"ל גוזר תכניות עבודה כדי לתת מענה אסטרטגי ותפעולי לסיכונים (איומים בעגה הצבאית).

כך גם מועצות מנהלים, הנהלות בכירות וזוטרות, גורמי הערכה וניהול של סיכונים וגורמי בקרה. כל אלה חייבים ליזום, לייצר ולהפעיל מערכי חיזוי והערכה של סיכונים, ובמיוחד סיכונים מורכבים, פורצים, וסיכונים אסטרטגיים, ולהיערך מראש לתת להם מענה.

סקר סיכונים אסטרטגיים – בראייה עולמית

סקר שנערך בשנת 2013[4] בקרב 300 מנהלים ברחבי העולם העלה כדלקמן:

• הגדרה רחבה של הסיכון האסטרטגי: "כל דבר, כל מכשלה, כל נושא שעלול לפגוע, באופן מהותי, בהשגת היעדים האסטרטגיים"[5].
• נושא הסיכונים האסטרטגיים קיבל מעמד מועדף מקרב כלל סוגי הסיכונים שעמם מתמודדים הארגונים.
• 23% מהמשתתפים בסקר השיבו שהנושא של הסיכון האסטרטגי וההתמודדות עמו  הוא באחריות המנהל הכללי (CEO); 19% – של הדירקטוריון; 25% – של ועדת סיכונים מיוחדת מטעם הדירקטוריון. יתר האחריות, לדברי המשתתפים בסקר שלעיל, מוטלת על ועדה ארגונית בתוך הארגון או באחריות של גורמים אחרים בארגון.
• מתוצאות הסקר עולה שסיכוני תדמית-תקשורת (רשתות חברתיות) צוינו כגבוהים מבין הסיכונים האסטרטגיים.
• 94% מהמשתתפים בסקר ציינו שבשלוש השנים הקודמות לסקר, הסיכונים האסטרטגיים כבר חייבו שינויים ארגוניים-תפישתיים בגישה להתמודדות עמם.
• תוצאות תפעוליות-ניהוליות – פעולות שכבר ננקטו על ידי המשיבים בסקר בהקשר של סיכונים אסטרטגיים:
  • ההתייחסות לסיכונים האסטרטגיים והערכת תוצאותיהם הפכה לחלק בלתי נפרד מהליך התכנון והאישור של התכניות האסטרטגיות-עסקיות, שבאות למעשה גם לתת מענה לסיכונים אלה.
  • בהתאם – חל שינוי באסטרטגיה העסקית של 91% מהארגונים עקב סיכונים הנובעים מהאצת השימוש בכלים טכנולוגיים: סיכוני רשתות חברתיות, סיכוני מערכות סלולאריות, סיכוני "התפוצצות המידע וזמינותו[6]" ((BIG DATAׂ.
  • גברה חשיבות האיסוף, הניתוח והערכת המידע בעולם העסקי ממגוון מקורות המדיה הזמינים ולא רק מקרב לקוחות הארגון. מידע זה אמנם קל לאסוף אך מורכב לנתח ולהעריך.
  • ירדה חשיבותו של הניתוח הפיננסי – ההסתמכות על נתונים כספיים-חשבונאיים המספקים מידע על ביצועי העבר ועל העמידה בתכניות העבודה, אך אינם מספקים מידע על הסיכונים בעתיד. לשון אחר – לדעת משתתפי הסקר, הכלים הכספיים-חשבונאיים חשובים לשימור ערך (VALUEׂ) ארגוני-כלכלי ולאו דווקא לפיתוח ערך חדשני.
  • מהסקר עולה, שהארגונים השקיעו משאבים ויצרו כלים חדשים ושיטות להתמודדות עם הסיכונים האסטרטגיים, ובהם: חלק מהארגונים הקצו משאבים והגבירו את תכיפות  הערכת  הסיכונים (52%); חלקם דאגו לאיסוף מתמיד ומתמשך של מידע בנדון (43%); חלקם הרחיבו את מספר המנהלים שתפקידם  לעסוק בסיכונים (38%).
• כלי נוסף להתמודדות עם העולם המשתנה במהירות, על הסיכונים הכרוכים בו, אינו מוזכר בסקר אך עולה בניירות עמדה ומחקרים אחרים[7]. כלי זה עוסק בהרכב הדירקטוריון:
  • הגישה החדשנית טוענת כי דירקטוריון המורכב רובו ככולו ללא איזון מגדרי ומההיבט המקצועי מאנשי כספים, רואי חשבון ומשפטנים אינו המענה הנכון-המאוזן, ויש לשלב בו מגוון חברים מדיסציפלינות שונות (שיווק, מדיה, חברה, גורמים מגזריים).
  • טענה אחרת מתייחסת למשך הכהונה הארוך מדי של דירקטורים, וכי ההתמודדות עם העולם המשתנה במהירות מחייבת ריענון שורות לאחר כהונה אחת בת כמה שנים ספורות.

חיזוי והערכות לסיכונים אסטרטגיים – דוגמאות והמחשות מתחום המזון

1. חברת מקדונלד'ס:

דוגמה טובה להמחשת תהליכים וכלים של חיזוי, הערכות מראש ומתן מענה  אסטרטגי, תפעולי ושיווקי לסיכונים אסטרטגיים היא חברת מקדונלד'ס הבינלאומית – מתחום המסעדנות. נכון ל-2016, החברה מעסיקה 420,000 עובדים במשרה מלאה, העובדים ביותר מ-36,000 מסעדות ברחבי העולם[8].

תחום המזון רווי סיכוני תפעול, סיכוני בריאות ואיכות מזון, יחד עם סיכונים  רגולטוריים, ולא פחות – סיכוני תקשורת ותדמית. מדובר ב"סיכונים  פורצים"  לתודעת הציבור, "סיכונים מורכבים" המשלבים סיכון מתחום הייצור ובקרת איכות המזון עם סיכוני תדמית, דרך חשיפה תקשורתית, ועמם סיכון רגולטורי. כל אלה יחד מהווים "סיכון אסטרטגי" לחוסנו ולשרידותו של הארגון, שבמונחים ציוריים נמצא במוקד הרעש – ב"רעידת אדמה" ארגונית.

חברת מקדונלד'ס צלחה סיכונים כאלה וערכה עלה במהלך השנים: בסוף 2006 ערך המניה עמד על 42 דולר, ובסוף אוגוסט 2016 עמד על כ-115 דולר. מדובר במגמה, סדורה ונמשכת של עליות בעשור של טלטלות כלכליות, פיננסיות, חברתיות ורגולטוריות רבות עוצמה.

 זו דוגמה להפקת לקחים למתמודדים עם סיכונים אסטרטגיים, במיוחד בתחום המזון: כיצד צלחה חברת מקדונלד'ס תקופה ארוכה של סיכונים אלה? וכיצד "מגמות המזון הבריא" בתקשורת, ברשתות החברתיות ואצל הרגולטורים, שייצרו סיכון מהותי בתחום המזון, לא פגעו משמעותית בהישגי החברה?

התשובה היא בחיזוי – במודיעין עסקי, תכנית אסטרטגית, היערכות מול סיכונים  ופעולות שיווק שהחברה עשתה:

• מאז הקמתה בשנת 1940 פעלה חברת מקדונלד'ס באמצעות אסטרטגיות שיווקיות: מזון זמין-מהיר להגשה וצריכה, מגוון מוצרים לא גדול, מחיר זול, הפצה באמצעות זכיינים, שילוב נערים ונערות במכירה. דרכה של מקדונלד'ס לא הייתה סוגה בשושנים: כנגד החברה עלו במהלך השנים טענות כבדות משקל ובהן: פגיעה בבעלי חיים, זיהום הסביבה, ניצול כוח עבודה זול בשכר לא נאות, וטענות למזון משמין הפוגע בבריאות. החברה אף הסתבכה במשפטי דיבה, כשהיא תובעת גורמים שלכאורה פגעו בשמה. פגיעה תקשורתית תדמית ניכרת בחברה חלה בשנת 2004, כשהופק סרט על תרומתה לתופעת השמנת היתר –OBESITY – סרט שפגע קשה בתדמיתה.
• הסיכונים האחרונים שלעיל – הטענות בדבר פגיעה של החברה בבריאות הציבור ובדבר איכות המזון שהיא מציעה – המחישו לחברה באופן ברור וחד את הסיכונים האסטרטגיים שעליה להתמודד עמם. ניתן לומר שבכך הוצב בפני החברה "קו פרשת המים". כתשובה אסטרטגית  לסיכונים מהותיים-מוחשיים אלה הציבה החברה, החל משנת 2004 ואילך, מענה מהותי: החברה הייתה הראשונה – "חלוץ לפני המחנה" – בתחום המזון הבריא. מקדונלד'ס השקיעה משאבים, שילבה מחקר ופיתוח ופעלה לייצר ולשווק מזון איכותי יותר. להלן כמה מהשינויים שהחברה יישמה ומיישמת : הפחתה ניכרת בקלוריות ובשיעור השומנים, הוספת ירקות טריים בשיעור ניכר, השבחת הלחמניות ללחם מלא, הפחתת סוכרים, הפחתת נתרן (מלח), החלפת השמן לטיגון, שימוש בבשר ללא חומרים משמרים וללא אנטיביוטיקה, פרסום של קלוריות לכל רכיב ורכיב[9], מסע פרסום – "מקדונלד'ס, לא מה שחשבתם" – המשווה בין מוצרי מזון הנחשבים כדלי קלוריות (כמו פריכיות, דגני בקר) לעומת ערכי הקלוריות של מוצרי החברה, כמו גם שינוי אריזות וצבעים תוך שימוש בצבע ירוק ולבן. כל אלה יצרו מסר ברור ובולט – מוצרי החברה עומדים באופן נאות בתחרות על בריאות הציבור ואיכות המזון.

אין כוונה לשווק במאמר את החברה, אלא את "מרשם הקסם" להצלחתה, את  הגישה הניהולית ואת האסטרטגיה שצלחה ושיש ללמוד ממנה: הכרת מגמות השוק בראשית התהוותם, לימוד והכרת הסיכונים האסטרטגיים – הסיכונים הפורצים, הערכות ארגונית בתחומי המחקר ותכנון, שימת דגש על יצירתיות, חדשנות ושיווק. כל אלה עשויים ליצר אסטרטגיה נכונה כמענה לסיכונים העומדים בפני החברה.

2. חברת פרוטארום:

מהזווית המקומית, ניתן להציג גם דוגמה ישראלית מצליחה – חברת פרוטארום העוסקת בייצור ושיווק חומרי-גלם לתעשיית הטעם והריח ותערובות טעם וריח לתעשיות המזון והקוסמטיקה. פרוטארום היא אחת מ-10 החברות הגדולות בעולם בתחום זה. ערך מניותיה בבורסה עלו מסוף 2011 לסוף 2016 בשיעור של פי 5.8. האסטרטגיה של החברה: רכש חברות בעולם בעלות יתרון של מוצרים טבעיים-בריאים יותר, ודגש על פיתוח  מוצרים בעלי רכיבים טבעיים ובעלי ערך בריאותי גדול יותר. בבדוח הכספי של החברה לסוף 2015, בפרק העוסק על התפתחותה ועל האסטרטגיה של החברה, מופיעה המילה "טבעי-טבעיים" 28 פעמים; והמילה "בריאות –בריא" מופיעה 12 פעמים. יש כאן המחשה ברורה ומוצלחת של גילוי מוקדם של המגמות ושל הסיכונים האסטרטגיים למפעל, אם לא ייערך לכך בזמן וייתן מענה מבעוד מועד תוך ניצול ההצלחה.

3. חברת החלב "טרה":

זאת דוגמה ישראלית נוספת: החברה הפכה סיכון לסיכוי; החברה קבעה תכנית אסטרטגית שמיצבה את עצמה ואפשרה לה להתמודד  מול ענקיות החלב, זאת בין היתר באמצעות אסטרטגיה של "מזון בריא" שהיא אימצה: מוצרי גבינה ללא חומרים משמרים (לדוגמה, גבינת נעם). אסטרטגיה זאת יחד עם תכנון, מחקר, ייצור ושיווק נתנה מענה לציבורים רחבים בחברה הישראלית ואפשרו לטרה לנגוס  בנתח השוק על חשבון המתחרות ולבסס את עצמה כמותג מוכר ומוביל.

"הכתובת על הקיר"

מול החלוציות ומול הרף המצליח –  – BENCHMARKשממנו ראוי היה ללמוד, ניתן להציב שורה ארוכה (ועצובה) של חברות שלא היו ערות  למגמות  ולסיכונים ושנפגעו באופן מהותי.

בישראל למשל ניתן להציב את חברות הבשר המעובד, חברות הפסטרמה, ש"לא ראו את הכתובת על הקיר" – כתובת המזון הבריא נטול חומרים משמרים. תעשיות אלה לא נערכו כראוי ונפגעו קשות במכירותיהן. הן חוו ירידה של כ-30% במכירות בשנה האחרונה. חוסר ערנות, חוסר חיזוי וחוסר היערכות גרמו לשגיאות  אסטרטגיות, כשהאחראים להן הם הדרג המפקח והמנהל הבכיר בחברות אלה, כולל הדירקטוריונים וההנהלות.

סיכונים אסטרטגיים – סיכונים פורצים – הקונספציה והכלים של המבקר הפנימי לבדיקה והערכה 

בביקורת "מקובלת" שעיקרה ביקורת ציות, עומדים בפני המבקרים הפנימיים כלים וסרגלים ברורים הנמצאים "בשדות החרושים היטב" של הביקורת המסורתית: מגוון נהלים והחלטות. לעומת זאת, בבדיקות "מתקדמות", כאשר בדיקת נושא הסיכונים האסטרטגיים והפורצים היא בוודאי בתחום חדשני ומתקדם, עומד המבקר הפנימי נבוך מעט. הכלים המקובלים, הנהלים וההנחיות הארגוניות בתחום הסיכונים האסטרטגיים והסיכונים הפורצים אינם קיימים, או שהחלו בהקמתם, ביסוסם ויישומם רק לאחרונה, כך שהמבקר חסר סרגלים וחסר ממד של זמן להעריך את תקפותם ואת תרומתם של הנחיות ונהלים שזה עתה מיושמים.

מכאן שתפקידו של המבקר הפנימי בנושא זה אינו במישור ביקורת הציות. תפקידו נמצא במישור הסקירה, ההערכה ובמישור ההמלצה. בהעדר סרגלים, הנחיות ונהלים ברורים, בתחום הסיכונים האסטרטגיים והפורצים, כמו גם בתחומים חדשניים אחרים, תפקידו של המבקר הוא ללמוד, לסקור, לנתח, ובעיקר להשוות – לייצרBENCHMARKS  – לארגונים אחרים, למחקרים ומאמרים; לראיין ולשאול מקבלי החלטות בארגון: דירקטורים, מנכ"ל, הנהלה בכירה, מנהל הסיכונים ועוד רבים אחרים, וכך ליצור, בזהירות הראויה, תובנות מסתמנות המחייבות דיון והתלבטות, סוגיות רלוונטיות, כיווני מחשבה, כיווני פעולה, לקחים שהופקו או יש להפיק, להצביע על "חללים" – "לאקונות, שיש בארגון מי שסובר שקיימות, ועוד.

זהו תפקידו של המבקר הפנימי בשלב הראשוני של הערכת הסיכונים האסטרטגיים, כמענה לסיכונים הפורצים. המבקר אמור לתרום בשאלותיו לסוגיות המחייבות מחשבה ובחינה, לרבות באשר לשאלות שאף כי לובנו ייתכן שטרם מוצו.

לשון אחר – מהותה של הבדיקה של המבקר הפנימי אינה בהצבעה מקובלת על ממצאים-ליקויים, אלא דווקא במישור ההערכה, התובנות, ההכוונה, ההמלצות והייעוץ – דרך השאלות וההמלצות. אכן, מדובר בשיטה שונה[10] של בדיקה ושל דיווח!

[1] Compound risks-Combination of two or more related risks

 [2] Emerging Risks and Enterprise Risk Management; Risk and Insurance Management Society, Inc,2010

[3] התקפות מרושעות, פוגעניות, פעמים אף לשון הרע, שמופצות ברשתות החברתיות וגולשות למערכות מדיה רשמיות. התקפות אלו יוצרות פגיעה תדמיתית שהופכת לסיכון אסטרטגי.

[4] Exploring Strategic Risk– 300 executives around the world say their view of strategic risk is changing, 2013. –

[5] זאת ההגדרה של מנהל הסיכונים הראשי של חברת סימנס. הגדרה דומה/שונה היא של רשות החברות הממשלתיות, לפיה סיכונים אסטרטגיים הם: הסיכונים שיגרמו נזקים לחברה הממשלתית וליכולתה לממש את יעדיה, לרבות יעדים ממלכתיים כפי שהוגדרו בחקיקה, בתקנות או בהחלטות ממשלה ורשויות מדינה אחרות המוסמכות לכך, וכן הסיכון שיגרום נזק ליעדים העסקיים המהותיים והאסטרטגיים שקבעה לעצמה החברה.

[6] "התפוצצות המידע" יש בו יתרונות ניהוליים ומחקריים רבים, אבל גם "חרב פיפיות" המאפשרת חשיפת יתר של תאגידים.

[7] ראו פייננשל טיימס, 16.08.16, כפי שתורגם לעברית והופיע בעיתון גלובס, הקובע בין היתר שבארה"ב הדירקטוריונים "גבריים, קשישים וחלושים יותר".

[8] האמור לעיל מבוסס על נתוניYAHOO FINANCE

[9] כדי להעניק לצרכן תחושה של מזון איכותי, הרשת מפעילה בקופות סניפיה תוכנה חכמה המחשבת את הערך התזונתי של כל המוצרים המוצעים בתפריט וגם עבור מוצר מסוים שהוזמן לפי בקשת הלקוח.

התוכנה מפיקה מדבקה המוצמדת למוצר ובו מפורטים הערכים התזונתיים לפי קלוריות, שומנים, כולסטרול, סיבים תזונתיים ועוד. בנוסף, המערכת מפרטת כמה אחוזים מהווה המוצר מתוך תצרוכת הקלוריות היומית המומלצת, המפולחת לפי מגדר וגיל.

[10] במסגרת סדנאות להתחדשות והשתנות  ש IIA ישראל-איגוד מבקרים פנימיים בישראל מקיים, בהנחיית מחבר המאמר, נערך בין היתר סיעור מוחות, ומובאים אירועים והדגמות בדבר מהותם של כלי הביקורת בתחומים חדשניים כאלה.

The post סיכונים פורצים, סיכונים מורכבים-משולבים, סיכונים אסטרטגיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אין הכוונה לכך שמחלקות ביקורת פנימית אינן מתכננות את הפעילות שלהן. כיום, כמעט כולן יוצרות תכנית מבוססת סיכון על בסיס שנתי, ומעדכנות אותה במהלך השנה בהתבסס על אינפורמציה חדשה. עם זאת, באופן מפתיע, מעט מאוד מחלקות של ביקורת פנימית משלבות תכנון אסטרטגי מקיף בפעילות שלהן.

מחלקות הביקורת הפנימית הטובות ביותר מבינות כי שני סוגי התכנון הם הכרחיים: כפי שציינתי ברשת החברתית "טוויטר" לאחרונה: "תכנית שנתית מבוססת סיכון תנחה את הביקורת הפנימית לאורך השנה, בעוד שתכנית אסטרטגית תתווה את הדרך מעבר לעתיד הנראה לעין".

תכנון אסטרטגי מהווה עבור הביקורת הפנימית דרך מצוינת לזיהוי, ייצור ואומדן של הערך שעליה לספק לבעלי העניין. אני מאמין כי נקיטת גישה שיטתית ומוסדרת, כדוגמת הליך שבעת השלבים הכלול בהנחיות המקצועיות של ה-IIA, תסייע להבטיח שהביקורת הפנימית תתקדם בכיוון הנכון. השלבים הם כדלקמן:

1. הבנת התחומים הרלוונטיים והמטרות של הארגון.
2. לקיחה בחשבון של מסגרת הכללים המקצועיים הבינלאומיים של ה-IIA.
3. הבנת ציפיות בעלי העניין.
4. עדכון החזון והמטרה של הביקורת הפנימית.
5. הגדרת הפרמטרים הקריטיים להצלחה.
6. עריכת ניתוח SWOT (חוזקות, חולשות, הזדמנויות ואיומים).
7. זיהוי יוזמות מרכזיות.

קל להגדיר את השלבים שיש לכלול בתכנית אסטרטגית, אך קשה יותר להבטיח תוצאות חיוביות. למרבה המזל, תכנון אסטרטגי מוצלח בדרך כלל אינו עניין של מזל. כמו פעילויות רבות של ביקורת פנימית, התכניות האסטרטגיות הטובות ביותר הן אלו המופקות באמצעות עבודה קשה ומחויבות עיקשת להצלחה על ידי כל הגורמים בארגון.

חשוב מאוד לגשת לכל שלב בתהליך בקפדנות רבה. כדי "להבין את מטרותיו של הארגון" למשל, לא די בהשגת העתק של מסמך המטרות העדכני ביותר של הארגון. נדרש גם להבין את המטרות הלא-כתובות שלו, כמו גם את התכנית האסטרטגית, התקציב, הטכנולוגיות ונכסים אחרים. בתכנון אסטרטגי מקיף של הביקורת הפנימית, כל השלבים בתהליך הם חשובים, אך אולי החשוב מכל הוא האופן שבו התכנון מתיישר עם היעדים הכוללים של הארגון. הרבה מהניתוח המבוצע במסגרת התכנון האסטרטגי נועד לצורך סיוע בפיתוח יעדים בני השגה המשקפים את המציאות העסקית.

על מנת שיהיה יעיל, תהליך התכנון האסטרטגי צריך להתפרש מעבר לפיתוח של סדרי עדיפויות ויעדים ברמה גבוהה. זאת משום שכדי ליישם את התכנית באופן אפקטיבי, יעדים אלה צריכים להיות מתורגמים למדיניות או לתכניות מפורטות המובנות ומיושמות על ידי פונקציית הביקורת הפנימית.

ראייה ברורה יותר של העתיד היא נקודת הפתיחה לשינוי חיובי. לא רק שעלינו לפתח ראייה אסטרטגית לעתיד, עלינו גם לסייע בקביעת מסגרת ותרבות להמרת הראייה לעתיד לכדי פעולות.

כפי שאמרתי, תכנון אסטרטגי אפקטיבי אינו פשוט. לצורך כך נדרשת השקעה משמעותית של זמן ומשאבים. אך אני מאמין כי פיתוח של תכנית אסטרטגית פורמלית וכתובה היא חיונית לצורך פיתוח פונקציית ביקורת פנימית אפקטיבית לחלוטין. הדבר מהווה גם חותמת איכות של מחלקות מובילות של ביקורת פנימית, מאחר שתכניות אסטרטגיות מקיפות יכולות לשמש כתכנית לשיפור משמעותי.

אם טרם שילבתם תכנון אסטרטגי בפעילות התכנון הכללית שלכם, תשקלו לבחון את ההנחיות לפיתוח תכנית אסטרטגית של ה-IIA[1]. זהו חלק חשוב מהקווים המנחים המומלצים על ידי ה-IIA, והוא זמין ללא תשלום לחברי ה-IIA[2].

* נשיא ומנכ"ל לשכת המבקרים הפנימיים העולמית IIA.

המאמר הוא תרגום מהבלוג Chambers on the profession  מאוגוסט 2014. בבלוג זה משתף מר צ'יימברס בדעותיו ובתובנותיו, המבוססות על 40 שנות ניסיון במקצוע הביקורת הפנימית.

[1] The IIA Practice Guide: developing the Internal Audit Strategies

[2] ישראל – איגוד מבקרים פנימיים בישראל IIAלרבות חברי

The post מטוב למעולה: תכנון אסטרטגי יכול להגדיר את פונקציית הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

תמורות מהירות בתהליכים עסקיים, גידול בהיקפי המידע הנשמר בארגונים והגידול במרחב הסיכונים שאליהם חשוף הארגון מהווים אתגר למבקר הפנימי, כיום יותר מתמיד.

מעבר מתהליכים ידניים לתהליכים אוטומטיים, וריבוי תהליכים המבוצעים ללא מגע יד אדם, מדגישים את חסרונות המתודולוגיות הקיימות המבוססות על דגימה ידנית.

גידול מתמיד בהיקפי המידע, זמינותו, גודלו ומורכבותו, בין אם מובנה (בעל מבנה ותוכן מוגדרים) או שאינו מובנה, מאלצים את הביקורת הפנימית לרכוש יכולות מתקדמות הקשורות לאיסוף המידע, אחסונו וניתוחו (למשל, זיהוי אוכלוסיות חריגות לתחקור הביקורת).

כיום כבר ברור מעל לכל ספק כי ככל שהסביבה העסקית מורכבת יותר, כך הציפיות של בעלי העניין השונים מגופי הביקורת הפנימית גדולים יותר. הם תובעים תובנות עמוקות יותר מהמידע הארגוני הקיים, אשר מגובות בעובדות ברורות שיהוו בסיס לתמיכה בתהליך קבלת החלטות ניהוליות. הם ידרשו מהביקורת הפנימית מיקוד מתמיד בגורמי הסיכון שאליהם חשוף הארגון. דרישה זו של בעלי העניין תוכל לבוא על סיפוקה באופן המיטבי ככל שהמידע שעליו תתבסס עבודת המבקר הפנימי יהיה איכותי יותר, כזה שכולל ניתוח אוכלוסיית מידע גדולה, וכזה שידווח בזמן אמת או בסמוך לו. בעלי העניין מצפים כי המידע שיקבלו יסייע לניתוח מצבו של הארגון, או לחלופין ישמש אותם ככלי תומך בהחלטות ניהוליות ו/או ככלי תחקור אוכלוסיית המידע המבוקרת.

להשגת מטרות אלו, הביקורת הפנימית נדרשת לבחון את אפקטיביות ניהול הסיכון על ידי שימוש בכלים מתקדמים שיאפשרו הפקת ערך ממשי ועסקי לארגון.

Data Capital ^TM (ערך/ הון המידע)

מידע הוא אבן היסוד של כל ארגון ומהווה אחד מנכסיו העיקריים של הארגון. יש המכנים אותו כמטבע של המאה ה-21.

הגידול בהיקפי המידע הנשמרים בארגון יצר ברוב החברות מסד נתוני עתק ("ביג דאטה") הכולל נתונים מבוזרים שאינם מאורגנים על פי שיטה מסוימת. נתונים אלה מגיעים ממקורות רבים, בכמויות גדולות, בפורמטים שונים ובאיכויות מגוונות, ונהוג לאפיינם בחמש תכונות (חמשת ה-V-ים):

1. Volume- נפחי מידע הולכים וגדלים.
2. Velocity- מהירות זרימת המידע גדלה בקצב מתמיד.
3. – Varietyהגיוון במאפייני המידע הולך וגדל.
4. – Volatilityקצב זרימת המידע הולך וגדל.
5. Veracity- מהימנות איכות נתונים מוטלת בספק.

האתגר בניהול נתוני העתק בכלל וניתוחם בפרט הוא גדול. מסדי הנתונים הקיימים כיום בארגונים אינם בנויים לאחסון ולניתוח כמויות מידע גדולות, שאינו מובנה לפי תבניות אחידות וידועות מראש. עם זאת, העלות הזולה יחסית של אמצעי האחסון מאפשרת לאותו מידע, המגיע משלל מקורות (אתרי אינטרנט, רשתות חברתיות, מכשירים סלולריים, מצלמות אבטחה, חיישנים ועוד), להיאגר בארגון, להשביח מידע קיים ולהוות כלי תומך להחלטות ניהוליות המתקבלות לאחר ניתוחם, או לחלופין להוות כלי תומך לבחינת יישום החלטות ניהוליות ועסקיות בארגון.

Data Analytics

המושג Data Analytics מייצג תהליך של בחינת נתונים גולמיים במטרה להסיק מסקנות ותובנות בנוגע לסוגיה עסקית. תהליך זה מאפשר לארגון לחשוף דפוסי התנהגות ואירועים חריגים ולבסס תובנות הנוגעות לנושא הנבחן.

ביקורת אנליטית היא שילוב של טכנולוגיות העוסקות בכריית מידע (Data Mining)^[1] והצגתו (Data Visualization) ^[2]. טכנולוגיות אלו מאפשרות איתור ושליפת נתונים ממאגרי המידע.

החידוש בביקורת פנימית מבוססת אנליטיקס, לעומת הביקורת המסורתית, הוא שהראשונה תשתמש  במידע הארגוני ותייצר ממנו תובנות המזינות את תהליכי קבלת ההחלטות בארגון. כמו כן, בביקורת מבוססת אנליטיקס, נלקחת בחשבון כל האוכלוסייה המבוקרת, בהתאם לתקופה המבוקרת, והיא כוללת את הנתונים אודות האוכלוסייה המבוקרת מכל המערכות המעורבות בתהליך העסקי. לעומת זאת, הביקורת המסורתית תמשיך להיות מבוססת על תהליך מחזורי שתחילתו בזיהוי ידני של מטרות הביקורת, המשכו בהערכת אפקטיביות הבקרות באמצעות בדיקתן, וסופו בדגימת אוכלוסייה למדידת אפקטיביות הבקרות או הביצועים התפעוליים. בנוסף, ביקורת פנימית מבוססת אנליטיקס משלבת ניתוח נתונים על בסיס מודלים סטטיסטיים, המאפשרים זיהוי אוטונומי של חריגים מבלי שהוגדרו באופן ספציפי מראש על ידי המבקר, זאת בניגוד לביקורת המסורתית שמזהה חריגים על סמך מודלים דטרמינסטיים בלבד (לדוגמה Rule Base, כלומר ניתוח נתונים על פי חוקים עסקיים שנועדו לבחון הלימה בין הרגולציה ונוהלי הארגון לבין הקיים בפועל בתהליך העסקי).

הטמעת ביקורת פנימית מבוססת אנליטיקס תצמצם את המגבלה המובנית של הסתמכות מסורתית על מדגמים מוגבלים בהיקפם שנלקחו ממאגרי המידע של הארגון.

יישום תהליכי ביקורת מבוססי אנליטיקס בארגון נשען על שלושה נדבכים עיקריים: המשאב האנושי, מאגרי מידע ויכולות טכנולוגיות. מחזור הניתוח מתחיל מאיסוף נתונים, ממשיך בניתוחם באמצעות כלים אנליטיים וסטטיסטיים, ומתקדם לבניית תובנות וידע עסקי. הניתוח משלב גם ניתוח סטטיסטי, כאשר בשילוב עם שיטות ניתוח משולבות אחרות יכול הארגון לפתח מודלים של חיזוי ובקרה מתמשכים. כלומר, שימוש בטכניקות של אנליטיקס מגביר את ניצול המשאבים הארגוניים, מאפשר לארגון לחזות בעיות פוטנציאליות, ומסייע לו לעבור לגישה פרואקטיבית של קבלת החלטות. משכך, ביקורת פנימית מבוססת אנליטיקס תאפשר לביקורת הפנימית לאתר ולנתח נתונים כדי להרכיב להנהלת הארגון תובנות חוזות פני עתיד, המתמקדות בהשאת הערך העסקי של הארגון ולהקטנת פער המידע כפי שמודגם באיור הבא.

האיור ממחיש את הפער הקיים בין בחינת המידע הקיים בארגון לתהליך הפקת החלטות ניהוליות. ניתוח המידע בראייה היסטורית מספק למקבלי ההחלטות תמונת מראה של הסוגיה העסקית הנבחנת, וממנה נדרשים מקבלי ההחלטות לפרש את המפה העסקית העתידית שתתמוך בהחלטות עסקיות. פער זה מטופל בתהליכי Data Analytics המספק למקבלי ההחלטות ראייה צופה פני עתיד בהתייחס למידע הקיים בארגון, ומשקלל את אופן קבלת ההחלטות על ידי שימוש במודלים המאפשרים לארגון לבחון את השפעת מגוון האירועים בהתנהלות עתידית.

 ביקורת מתמשכת (Continuous Auditing) וניטור מתמשך (Continuous Monitoring) 

הביקורת האנליטית עצמה תבוצע בשני וקטורים במקביל, על ידי שתי פונקציות נפרדות בארגון:

ביקורת מתמשכת (Continuous Auditing) מבוצעת על ידי "קו ההגנה" השלישי – יחידת הביקורת הפנימית, וניטור מתמשך (Continuous Monitoring) מבוצע על ידי "קו הגנה" הראשון והשני – היחידות העסקיות.

על פי הגדרות ה-IIA, ביקורת מתמשכת היא ביצוע הערכה מתמשכת של גורמי סיכון או אמצעי בקרה, המבוססת על היקף נתונים או עסקאות עצום. זאת בשונה מביצוע הערכות תקופתיות של גורמי סיכון או אמצעי בקרה מבוססי מדגם. ביקורת מתמשכת כוללת ניתוח של מקורות מידע אחרים העשויים לחשוף אירועים חריגים בסביבה העסקית של הארגון, כדוגמת זיהוי אירועי אבטחת מידע, שימוש שאינו הולם בהרשאות למערכות המידע, זיהוי אירועים חריגים בתהליכים עסקיים, שינויים שאינם מורשים בהגדרות מערכות מידע, בחינת אפקטיביות הבקרות האפליקטיביות או הפרדת תפקידים.

ניטור מתמשך מאפשר שימוש בדגימה רחבה ומטריציונית המגדילה את הביטחון של ההנהלה בנושא הביקורת, ומאפשר החלפת דגימות ידניות בניתוח אנליטי תוך שמירה על יכולת כיסוי של 100% מהאוכלוסייה הנבדקת.

ניתוח נתונים וניטור רציף של בקרות (במקום שימוש בטכניקות דגימה בלבד) מביאים לארגון ערך מוסף בכך שמאפשרים ליחידות העסקיות (קו ההגנה הראשון והשני) לבצע ניטור מתמשך שאינו תלוי במועד הביקורת. המשמעות היא שיחידות עסקיות אלו יוודאו באופן רציף ציות לנהלים, תקנות, הוראות ותהליכים על פי כוונת ההנהלה, על ידי ניתוח פרואקטיבי של חריגים באוכלוסייה המנותחת, אשר יאפשר יצירת מודל של חיזוי אנליטי להתרעה על חריגות, ללא צורך בהכרח בביקורת יזומה.

יתרונות שימוש במתודולוגיית אנליטיקס בביקורת הפנימית

טכנולוגיות העוסקות באיתור מידע (Data Mining) והצגתו (Data Visualization) מאפשרות איתור ושליפת נתונים ממגוון מאגרי מידע בארגון הנוגעים לתהליך העסקי. ביקורת אנליטית תתבסס על נתונים אורכיים (נתונים לאורך זמן). ככל שמשך התקופה גדול יותר, כמות הנתונים גדולה יותר, ומכאן שרמת הדיוק בזיהוי הסיכונים שאליהם חשוף הארגון בתהליך תגדל. כאמור, שילוב אנליטיקס יפיק לדרג הניהולי תוצר המבוסס על תובנות עסקיות מהמידע הארגוני הקיים, לרבות ניתוח דפוסי נתונים על פני מערכות מרובות עסקאות. תובנות עסקיות אלה יתארו את העתיד, עם דגש על דפוסים אנליטיים לניבוי תחזיות, נתונים להדמיה וניתוחים של מצבים שונים. תובנות אלו יסייעו להנהלה לקבל החלטות מהירות, אפקטיביות ומדויקות. כמו כן, שימוש בכלים אנליטיים יאפשר איתור רציף מבעוד מועד של מעילות והונאות, שגיאות או מגמות שליליות תוך איתור הסיבות לחריגים ובחינה מעמיקה של הסיבות לליקוי/טעות. יישומים אלו, המייצרים ערך מוסף משמעותי לארגון, ניתנים להעברה לשימוש רציף ביחידה העסקית המבוקרת.

יתרון נוסף הוא שיפור דרמטי ביכולות הבקרה על ביצועים עסקיים, תפעוליים ופיננסיים. הארגון יעבור מביצוע ביקורות נקודתיות לביקורות רחבות ומקיפות יותר. טכניקות אלה יאפשרו למבקר הפנימי למזער את השימוש בביקורת המבוצעת באופן ידני, להסיט תשומות מביקורות מוטות תשומות כ"א לביקורות ממוכנות, וליצור מפת סיכונים דינמית המושפעת מהביצועים העסקיים של הארגון. השימוש בטכניקות אנליטיקס יסייע למבקר לענות על שאלות כדוגמת: "מה קרה ולמה?", "היכן הבעיה?", "מה נדרש לעשות כדי לפתור אותה?" ו"מה יקרה אם המגמות הללו ימשכו"?

בעזרת שימוש באנליטיקס, יוכל המבקר הפנימי לבצע ניתוח מתוחכם של מפת הסיכונים שאליה חשוף הארגון ולטפל בגורמי הסיכון ביעילות. יישום טכניקות חיזוי ותחקור, כמו גם אוטומציה של רוטינות המאיצות את הערכת הסיכון הארגוני, מאפשרים לביקורת הפנימית להתמקד באופן אינטנסיבי בסיכונים הנוכחיים ובאלה המתהווים שאליהם חשוף הארגון, ואף מספקים לארגון מידע מהיר שבו הוא יכול להשתמש כדי לקבל החלטות לגבי הסיכונים שזוהו. שילוב אנליטיקס יביא להנהלה ערך מוסף בדמות יכולת מתמשכת לבקר ולמזער סיכונים אלה, תוך קבלת החלטות איכותיות וכמותיות הקשורות ברמת הסיכון שזוהה.

אתגרים בשימוש במתודולוגיית אנליטיקס בביקורת הפנימית

השימוש באנליטיקס בביקורת פנימית מחייב התמודדות עם אתגרים לא פשוטים. להלן העיקריים שבהם:

1. חוסר פתיחות מצד הארגון לקבל ממצאים שלא בדוח כתוב, אלא באמצעות כלי ויזואלי המאפשר תחקור מעמיק.
2. שוני בתפיסה בין "חריג" שהתקבל בבדיקות ה-Rule Base לבין "חריג סטטיסטי" (תצפית חריגה ביחס לאוכלוסייה שאליה היא מושוות).
3. קושי בשליפת נתונים ממערכות המידע הקיימות בארגון.
4. טיוב נתונים המגיעים ממגוון מאגרי מידע וערוצי מידע ויצירת קובץ נתונים אחוד.
5. התמודדות עם ערכים חסרים בשדות.
6. מחסור בנתונים – למשל, עומק תקופה, כמות רשומות נמוכה יחסית להסקה סטטיסטית ומספר מאפיינים קטן. כל אלה מקשים לבסס מסקנות באופן אנליטי.

 דוגמאות ליישום אנליטיקס כחלק מעבודת הביקורת הפנימית

ביקורת שכר אנליטית

המניע העסקי לביצוע ביקורת זו הוא צמצום חשיפות החברה בנושא השכר, מכיוון שתהליך השכר מורכב וכפוף למספר גדול של חוקים, רגולציה, ושינויים תכופים בהגדרות תפקידים. לפיכך, תהליך זה יכול לחשוף את החברה לסיכונים משמעותיים, כגון סיכוני תביעות מצד עובדים, קנסות לפי דיני העבודה, חשיפה למעילות והונאות וכיו"ב.

בשונה מביקורות קודמות, שבהן צוות הביקורת ביקש לדגום מספר מוגבל של אירועים ו/או תלושי שכר של עובדים – החליטה ההנהלה על שילוב כלים אנליטיים בביקורת, החלטה שתאפשר לבחון את תהליך השכר במלואו, על פני מספר שנים, לרבות כל המערכות המעורבות בתהליך השכר: מערכת דיווח נוכחות של הארגון, מערכת ה-ERP של הארגון, מערכת עיבוד השכר וקובצי מס"ב. כמו כן, תהליך הביקורת כלל את כל אוכלוסיית העובדים בהתאם לתקופת הביקורת ולא התבסס רק על מדגם של עובדים. מטרת העל היא יצירת מנגנון לזיהוי חריגות בשכר באמצעות ניתוח כלל מרכיבי השכר (סמלי שכר), בהתבסס על כלים אנליטיים, מודלים סטטיסטיים ושימוש בכלי ויזואליזציה לצורך המחשת התובנות ותחקור תופעות חריגות.

ביצוע תהליך הביקורת כלל יצירת בסיס נתונים אחוד המורכב מכל נתוני תלושי השכר, מערכת ה-ERP של הארגון, מערכת עיבוד השכר והמס"ב, וביצוע ניתוחים אנליטיים וסטטיסטיים על מאגר הנתונים שהתקבל.

הנגשת תוצר הביקורת כוללת פיתוח כלי תחקור המכיל את כלל נתוני השכר בכלי ויזואלי, שבו הדוח הופך להיות דוח "חי" ואינטראקטיבי ומאפשר לבצע תחקור ולהפיק תובנות עסקיות בצורה ידידותית למשתמש. כלומר, עיבוד של מיליוני רשומות (כ-120 מיליון) לכדי תמונה ברורה של ממצאים חריגים (למשל, עובד שהערך שקיבל בסמל שכר ספציפי, חורג מהממוצע בתוספת שתי סטיות תקן של קבוצת העובדים הדומים לו מבחינת דרגה/ותק, תפקיד בחודש מסוים). תמונה כזו מאפשרת לצוות הביקורת לדגום בצורה מושכלת, מתוך מאגר החריגים ולא באופן אקראי.

להלן דוגמה לגיליון אחד (מתוך מספר גיליונות) שאופיין בכלי הוויזואליזציה והיווה תוצר לביקורת. בתרשימים ניתן לראות כי הגודל מבטא את כמות החריגים. לחיצה על "דירוג" ספציפי יסנן את יתר הגרפים בגיליון בהתאם. באופן דומה, לחיצה על "תפקיד" ספציפי יסנן את הגרפים העוקבים בהתאם.

ביקורת רכש אנליטית

לפניכם דוגמה נוספת לתכנית ביקורת על תהליך הרכש ותשלומים לספקים שבוצעה בחברה המתקשרת עם מאות ספקים ומבצעת אלפי פעולות תשלום חודשיות. הסיכונים שהביקורת תבקש לבדוק בתהליכים אלו כוללים פגיעה בניהול תזרים המזומנים, פגיעה במוניטין, וכמובן סיכוני הונאה ומעילה, שבגינם התבקשה הביקורת לאתר גורמים שיאפשרו להנהלת החברה למנוע מעילות והונאות ולשמור על ניהול תקין של תהליכי הרכש ותשלומים לספקים.

תהליך הביקורת הוגדר ככזה שיתמקד בכל מעגל הרכש, החל מדרישת הרכש ואישור ההזמנה, עובר לקבלת הטובין/שירות וכלה בביצוע התשלום לספק. אולם, בעוד הביקורת המסורתית הייתה מבקשת לדגום מספר מוגבל של אירועים – החליטה ההנהלה על שילוב כלים אנליטיים בביקורת, החלטה שתאפשר לבחון את תהליך הרכש במלואו, על האוכלוסייה כולה, על פני מספר שנים ותוך זיהוי מוקדי סיכון קיימים ופוטנציאליים. יחידת האנליטיקס ביצעה את התהליך באמצעות ניתוח ממוחשב והצלבה של מסד הנתונים הקיים בחברה הקשור לתהליך הרכש: נתוני ספקים והתקשרויות, דרישות רכש, הזמנות רכש, בקרת איכות, חשבוניות ותשלומים לספקים. שימוש בטכנולוגיות אנליטיות אלה מאפשר לארגון להשיג בקרה אפקטיבית על תשלום חשבוניות, לבצע מעקב אחר התקשרויות עם ספקים, ולזהות התנהלות חריגה או דפוסים יוצאי דופן בתהליך, לרבות אנומליות, תוך ניתוח החריגות שנצפו בשרשרת התשלומים והחיובים. התוצר שהעבירה הביקורת הפנימית להנהלת החברה התבסס על החריגות שזוהו, ויאפשר לחברה לבנות תכנית ביקורת המכוונת לאזורים שבהם זוהו החריגות.

בדוגמה זו ניתן לראות התפלגות חשבוניות לאורך זמן ואת ערך החשבונית לכל ספק. ניתן לבצע סינון על ספק ספציפי ולראות את כל הפרטים לגביו, לרבות כמות חריגים לספק לאורך זמן (אם ישנם). ניתן לזהות ענפים שמהם מגיעים ספקים חריגים, יחידות ארגוניות שלא פועלות בהתאם לנוהלי הרכש של החברה, תקופות ספציפיות לאורך השנה שהן חריגות ועוד.

צילום מסך מכלי תחקור שפותח לצוות הביקורת

טכניקות אנליזה אלו, בתהליך הביקורת, אפקטיביות לא רק בתהליך ספציפי כדוגמת רכש, אלא בכל תהליך ארגוני הטומן בחובו סיכון המפוזר על מספר אתרים גיאוגרפיים או פעילות אופרטיבית גלובלית.

דוגמה זו, המתארת שימוש בטכניקות אנליטיות בביקורת הפנימית, היא אחת מיני רבות. אפשר לציין בהקשר זה גם בדיקה אחרת שבוצעה במסגרת ביקורת פנימית בקרב חברה קמעונאית. הביקורת בחנה נתוני מכירות אל מול נתוני הוצאות בגין מדיה ופרסום Return On Marketing Investment)) במשך תקופת זמן זהה. באמצעות טכניקות אנליטיות שונות נותחו מגמות וחריגות מהיחס הישיר בין הגידול בהוצאות לגידול במכירות. תוצאות הבדיקה אפשרו להנהלה לבחון את תהליך אפקטיביות הפרסום שבוצע על ידי החברה במדיות השונות.

עולם האנליטיקס מאפשר למבקר לבצע ביקורת חכמה ואיכותית יותר במגוון תהליכים ארגוניים, כגון שכר, הפרשות פנסיוניות, הכנסות, ניהול קשרי לקוחות, הוצאות שיווק ופרסום, תפעול מוקדי טלמרקטינג, שרשראות אספקה, זיהוי מגמות דמוגרפיות, ניהול מערכות מידע ועוד.

 שלב 1 – זהה את הסיכונים לתהליך הביקורת הרלוונטי. התחל את הניתוח באזורי סיכון גבוהים.

שלב 2 – ודא כי אתה מבין את התהליכים העסקיים והסיכונים הטמונים בתהליכים אלו. חשוב ששלב זה יבוצע על ידי תהליך סיעור מוחות בין חברי צוות הביקורת במטרה להציף מגוון רחב של סיכונים ותרחישים אפשריים, קביעת ערכים תקינים וחריגים ועוד.

שלב 3 – הגדר את מערכות המידע הקשורות בתהליך וישויות המידע הנדרשות לתחקור.

שלב 4 – ניתוח ראשוני של המידע שהתקבל (לדוגמה – סטטיסטיקה תיאורית) וטיובו מול הגורם המבוקר.

שלב 5 – פיתוח מודלים דטרמיניסטיים (על סמך כללים עסקיים) לאיתור מקרים החורגים מתחומי הערכים התקינים.

שלב 6 – ביצוע ניתוחים סטטיסטיים לזיהוי אוכלוסיות חריגות שישמשו כבסיס לאוכלוסיית דגימה.

שלב 7 – פיתוח מודלים אנליטיים לזיהוי קשרים בין ישויות המידע וזיהוי חריגים.

שלב 8 – פיתוח כלי ויזואליזציה להפקת תובנות מניתוח המידע בתהליך המבוקר.

גורמי מפתח ליישום נכון של אנליטיקס בארגונים: (Side Bar)

1. זהה היכן אתה נמצא: הערך את היכולות הנוכחיות שלך, קבל תמונה מדויקת של הפערים. התמקד בפירות התלויים נמוך על העץ ופתח מפת דרכים אנליטית לטווח הארוך.
2. שאל שאלות קשות: ודא אילו שאלות חשובות לתעשייה, לאסטרטגיה ולסדרי העדיפויות.
3. העצם את איתור הסיכונים בארגון – איתור ותגובה מהירה לסיכונים הם המפתח להשגת יתרון תחרותי.
4. האץ את התובנות המושגות באמצעות אוטומציה של תהליכים קבועים המופעלים על המידע המורכב של הארגון.
5. הפוך את אספקת המידע לאוטומטית – ספק אותה להנהלה, ליחידות העסקיות וליחידות הביקורת.
6. חתור למגע – התפוקה חייבת לכלול תובנות ומתן מענה על צרכים על מנת לאפשר למנהלים  לקבל החלטות מבוססות עובדות. בעלי העניין השונים בארגון ירצו לראות את המידע, כי הוא הבסיס לקבלת החלטות. המטרה היא להביא את הניתוח ואת המידע כמה שיותר קרוב לשולחנם של מקבלי ההחלטות. יש לשקול שימוש בכלים כדוגמת SAS, ACL, IDEA או TABLEAU.
7. פתח תרבות מבוססת עובדות. שלב יכולות אנליטיות בתהליך קבלת ההחלטות.
8. תרגל אנליטיקס. התאם את הטכניקות לעבודה שאתה רוצה לבצע.      

סיכום

ביישום אנליטיקס כחלק מעבודת הביקורת הפנימית יש אתגרים אך גם יתרונות רבים. על מנת לעבור לביקורת מבוססת אנליטיקס, על ההנהלה לחשוב מחוץ לקופסה. עליה לדעת לשאול את השאלות הנכונות ולשקול עובדות אנליטיות חדשות, כאשר היא עומדת לקבל החלטה ולוודא כי הכלים האנליטיים והטכנולוגיות שתיישם חייבים לתמוך באסטרטגיה הכללית של הארגון. 

[1] תהליך שבאמצעותו מופעלים על מערכות המידע בארגון אלגוריתמים המאתרים חוקיות או חריגות בבסיסי הנתונים של הארגון.

[2] תהליך הבניית Big Data בצורה ויזואלית נוחה המאפשר לתחקר את הנתונים ולהבין מגמות, טרנדים וקשרים בין הנתונים בצורה ידידותית למשתמש.

The post מהפיכת המידע האנליטי בביקורת הפנימית בארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מומחים בנושא מסכימים כי אנשים הם נקודת תורפה מהותית בניסיונות תקיפה של מערכות ורשתות בהנדסה חברתית. הבנה זו חיונית כדי לספק מידה רצויה של אבטחת מידע. פעולה, התעלמות, חוסר ידיעה או אי ציות של עובדים יכול להוביל לאירוע אבטחת מידע – למשל על ידי גילוי מידע רגיש (סיסמאות וכו') לגורם שאינו מורשה, התעלמות מפעילות חריגה או שימוש במידע רגיש על ידי עובד שלא לצורך ביצוע תפקידו תוך אי ציות לנהלים.

לתכנית מודעות והדרכת עובדים יש חשיבות רבה כחלק מאסטרטגיית אבטחת המידע הארגונית והיא המפתח לטיפול באיומי הנדסה חברתית. על העובדים להיות מודעים לאיומים הנפוצים, לאחריותם במניעת איומים אלה, לזיהויים ולדיווח עליהם.

בשנים האחרונות פותחו מתודולוגיות רבות בעניין בניית תכנית מודעות והדרכה באבטחת מידע בארגונים. לדוגמה, המכון האמריקאי הלאומי לתקנים וטכנולוגיה NIST פרסם תדריך מפורט בנושא (NIST SP 800-50[1]) עוד בשנת 2003. תדריך זה מתאר את הצעדים לבניית תכנית כזו, ובהם עיצוב תכנית המודעות וההדרכה (כולל סקר דרישות, פיתוח ואישור אסטרטגיית הדרכה וכו'), פיתוח משאבי הדרכה (תוכן ההדרכות, חומרי ההדרכה וכו'), יישום תכנית המודעות וההדרכה, קביעת דרכי תקשור התכנים ומעקב תמידי אחר אפקטיביות התכנית.

סקר שנעשה לאחרונה על ידי ה-SANS (Security Awareness Report 2016) מצביע על מספר אתגרים ביישום תכנית מודעות והדרכה. שלושת האתגרים העיקריים שעליהם מצביע הסקר הם: חוסר במשאבים, קשיים באימוץ התכנית וחוסר תמיכה של ההנהלה בתהליך.

ביקורת פנימית בנושא תכנית מודעות והדרכה עשויה להוסיף ערך רב לארגון, בדגש על הנושאים הבאים:

• הירתמות של ההנהלה היא חיונית להצלחתה. מומלץ לבחון את מידת המעורבות והאחריות של ההנהלה.
• יש לבדוק את מידת מעורבותם של גורמים מקצועיים בתהליך הבנייה והיישום של תכנית המודעות וההדרכה. למשל, מקובל שמחלקת אבטחת המידע אחראית על התכנים, ואילו אנשי מחלקת ההדרכה אחראים על דרכי ההנגשה ותקשור המסרים. כמו כן, חשוב לשלב גם את מחלקת הביטחון (שבדרך כלל אחראית על האבטחה הפיזית).
• יש לבחון כיצד נבנתה התכנית והאם קיים קשר מובהק למטרות הארגון, לתהליך ניהול הסיכונים, לתהליך ניהול אירועי אבטחת המידע (Incident Management) ולמגמות עולמיות.
• יש לבדוק את אופן תקשור התכנית לעובדים – האם המסר הרלוונטי הועבר לגורם הרלוונטי? מהם ערוצי התקשורת שנבחרו לשם כך?
• מומלץ לבדוק את אפקטיביות התכנית להשגת מטרותיה. ניתן לבדוק אפקטיביות באמצעות בדיקות פתע (שיחות טלפון המדמות תקיפה להשגת מידע רגיש, תרגילי התחזות ברשתות חברתיות, שליחת דואל ממקור לא ידוע למייל הפנימי של העובדים כדי לבחון את ערנותם למיילים זדוניים ובדיקה האם יפתחו את הקישורים הללו, וכו'), קביעת יעדים מדידים ובחינת עמידה בהם (למשל הורדת כמות המשתמשים שהקליקו על דואר אלקטרוני זדוני שנשלח אליהם, בחינת כמות הדיווחים על אירוע חריג, וכו'), שימוש בסקרים, סריקת הרשת החיצונית לארגון והפנימית של הארגון כדי לבדוק האם דלף מידע רגיש מהארגון ומאיזה מקור בארגון, ועוד.
• יש לבחון האם פעילות המודעות וההדרכה תוקצבה בצורה מספקת. תקציב זה יכול להיקבע כאחוז מתקציב ההדרכה הכללי, אחוז מתוך תקציב ה-IT הכללי, הקצאה תקציבית לעובד, ועוד.
• יש לבדוק האם מופו קהלי יעד בקרב העובדים ולדרגם על פי סיכון. בהתאם לסיכון יש לתעדף ולהדגיש נושאים ספציפיים (דוגמאות לאוכלוסיות רגישות הן: אנשי מערכות מידע ורשתות, הנהלה, אנשי כספים, עוזרות אישיות, עובדי קבלן, עובדים חדשים או עובדים ששינו תפקיד בארגון, וכו').
• כחלק מהתכנית, יש לבדוק האם ניתן דגש להגברת המודעות לדרכי הדיווח של העובדים בנוגע לחשד להתקפה. דיווח מיידי הוא קריטי לעצירת ההתקפה ולהפחתת הנזק.

נושאי בדיקה נוספים מופיעים בתדריך שפרסם ה-NIST. מומלץ לעיין בו בהרחבה.

[1] https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf

The post על החשיבות של מודעות העובדים לזיהוי ומניעה של התקפות סייבר באמצעות הנדסה חברתית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מרכז המידע והמחקר של הכנסת הגדיר[1] שחיתות ציבורית  כ"שימוש בלתי הולם במשרה ציבורית במטרה לקדם אינטרסים פרטיים". בפברואר 2016 ערכה הוועדה לענייני ביקורת המדינה של הכנסת דיון שכותרתו: "בקשה לחות דעת מבקר המדינה בנושא: השחיתות השלטונית בישראל וטיפול רשויות החוק בסוגיה".

עיקרי הדיון:

במהלך הדיון עלה הצורך בגוף מתכלל, ובלשון יו"ר הוועדה – ח"כ אלהרר: "משרדים ממשלתיים בגדול לא יודעים לדבר אחד עם השני… נניח שקיבלתם תלונה, איך המשרדים הממשלתיים משלבים כוחות ביניהם… הגיע הזמן לעשות ניתוח מקיף ולהסדיר את הסוגיה".

נציגת הפרקליטות הסתייגה והציעה חלופה: "לחשוב האם נכון לעשות איזשהו הליך של כמו ועדה מתמדת כזאת (גוף או הליך), שיתכלל ויסתכל באופן רוחבי יותר ובאופן יותר רשמי על מה שנעשה היום ובאופן יותר סדור ושיטתי".

במהלך הדיון עלתה הצעה חלופית: למסד "שולחן עגול", שבו ייפגשו מעת לעת היועץ המשפטי לממשלה ונציגי משרד המשפטים עם נציגי מבקר המדינה, מבקרים פנימיים במגזר השלטוני, חשבים וגזברים בשלטון המקומי, גורמי מודיעין  וחקירה משטרתיים ועוד. מפגשים אלה יאפשרו לאפיין מגמות בשחיתות הציבורית ופרצות שיש למנען, להחליף מידע, ולהגביר שיתוף פעולה בין-ארגוני במאבק.

"לא עכברא גנב אלא חורא גנב"

באשר לשחיתות שלטונית, במיוחד בשלטון המקומי, בדיון הומחשה הטענה שחסרה ראייה  מערכתית: כבר היו חקירות רבות ובמשך השנים כבר נצברו פסקי דין רבים המרשיעים ראשי ערים וסגניהם בשחיתות שלטונית. יש בכך הישג אבל המאפיין של ההליכים הללו הוא מרוץ אחר מי ש"גנב" – אחרי "העכבר", ולמיטב ידיעת עורך המאמר  ,באותן שנים לא מומש הליך מקיף-חקיקתי  שהוליך  לסגירת  הפרצות באמצעות חוק או בתקנות , מלשון מניעת "הפרצה הקוראת לגנב".

סיכום

בסיום הדיון[2] קראה הוועדה לחשיבה מחודשת על הדרך הנכונה למלחמה בשחיתות.

עוד סוכם, שהוועדה תִפנה בבקשה לראש הממשלה ולשרת המשפטים כדי לקבל בתוך חודש (עד ליום 22 במארס 2016) את התייחסותם לנושא הקמת הגוף המתכלל.

דבר העורך

האם בעקבות הדיון יתחיל שינוי מחשבתי-תהליכי? האם יוקם גוף מתכלל או לפחות יחל מיסודו של "שולחן עגול" בין-ארגוני? האם יואצו הליכים לאיתור הפרצות  ותואץ רגולציה-להסדרה? ימים יגידו…

[1] "גופים להתמודדות עם שחיתות ציבורית במדינות שונות", מרכז המידע והמחקר, 16.11.15

[2] הוועדה לענייני ביקורת המדינה, סיכום דיון מיום י"ג באדר א', התשע"ו, 22 בפברואר 2016 בנושא:

בקשה לחוות דעת מבקר המדינה בנושא: השחיתות השלטונית בישראל וטיפול רשויות החוק בסוגיה

The post דיון על השחיתות השלטונית בישראל   appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאמר זה סוקר את מושגי היסוד של עולם מחשוב הענן, המודלים והמאפיינים השונים של שירותי מחשוב הענן, הסיכונים בעולם זה, תפקידו של המבקר הפנימי בתחום וגישה מומלצת לביצוע ביקורות בנושא זה.

מה זה מִחשוב ענן

אנחנו פותחים את הברז, מדליקים את האור, מפעילים את הקומקום החשמלי ושותים קפה. כל זאת ללא צורך לשאוב את המים מן הבאר ולהחזיק תחנת כוח לייצור חשמל בחצר האחורית שלנו.

ארגונים מודרניים נדרשים ליותר ויותר יכולות מחשוב על מנת לפעול ולספק את שירותיהם. עד לפני שנים אחדות, שימוש משמעותי בשירותי מחשוב הצריך החזקה של חדר שרתים, חומרה, תוכנה ומערכות הפעלה, תשתיות תקשורת ומומחים לתחזוקה של כל הרכיבים האלה.

משאבי המחשוב בענן נצרכים ממש כמו המים והחשמל. אנחנו צורכים את כמות המים שאנו צריכים, בזמן שמתאים לנו ומשלמים עבור הכמות שצרכנו בלבד. בהינתן שירותים אלה, יכול כל ארגון להתמקד במטרותיו ולהתייחס לשירותי המחשוב כעוד הוצאה שוטפת הנדרשת לקיומו.

ארגון התקנים האמריקאי NIST[1], מגדיר מחשוב ענן כמודל המאפשר גישה קלה ונוחה, על פי הצורך, למאגר משאבי מחשוב (למשל: רשת, שרתים, אחסון, אפליקציות, שירותים) שאותם ניתן לצרוך או לשחרר בכל עת, במאמץ ניהולי מזערי או מעורבות מזערית של ספק השירות.

קיימים שלושה מודלי שירות בסיסיים למחשוב ענן. השוני העיקרי בין מודלים אלה הוא חלוקת האחריות בין ספק השירות לבין הלקוח:

• תשתית כשירות (IaaS) Infrastructure as a Service – היכולת לספק תשתיות מחשוב, משאבי עיבוד, אחסון ותקשורת שבאמצעותם יכולים הלקוחות לעשות שימוש במערכות ובתוכנות. מודל זה מאפשר ללקוחות לעסוק בתחום מומחיותם, לצרוך שירותי מחשוב ללא צורך בקניית שרתים, ציוד תקשורת, מערכות הפעלה ורכיבים תשתיתיים, ולקבל סיוע של אנשי מערכת ואנשי תוכנה. יותר מזה, מודל התשלום הוא על פי השימוש בפועל בלבד – לא השתמשת, לא שילמת.
• תוכנה כשירות Software as a Service (SaaS) – מודל שבו התוכנה והמידע הרלוונטי מתארחים במקום מרכזי (בדרך כלל בתשתית הענן). הגישה לשירותים אלה היא בדרך כלל באמצעות ממשק פשוט על מחשב הקצה כגון דפדפן.
• פלטפורמה כשירות Platform as a Service (PaaS) – מודל זה הוא שכבה נוספת מעל ה- IaaS והוא מספק שירותים נוספים המאפשרים לזרז את תהליך יישומן של אפליקציות ללא צורך לקנות ולנהל את החומרה והתוכנה הנדרשת לשם כך. שירותים אלה יכולים לכלול, בין היתר, סביבות פיתוח, טווחה (Middleware) ופונקציות כגון בסיסי נתונים, הפצת מסרים וניהול תורים.

ללא קשר למודל השירות שתואר לעיל IaaS), PaaS או SaaS), קיימים ארבעה מודלים לפריסה של שירותי ענן:

• ענן ציבורי (Public Cloud) – תשתית הענן זמינה לכלל הציבור והיא בבעלות ארגון המוכר את שירותי הענן ללקוחות.
• ענן פרטי (Private Cloud) – תשתית הענן מופעלת עבור לקוח אחד בלבד. התשתית יכולה להיות מופעלת על ידי הארגון עצמו או על ידי ספק חיצוני, ויכולה להיות ממוקמת בחצרות הארגון או מחוץ להן.
• ענן קהילתי (Community Cloud) – תשתית הענן משותפת בין מספר ארגונים ותומכת קהילה מסוימת ומוגדרת בעלת עניין משותף. התשתית יכולה להיות מופעלת על ידי הקהילה או מי מחבריה או על ידי ספק חיצוני. היא יכולה להיות ממוקמת בחצרות אחד הארגונים בקהילה או מחוץ להן.
• ענן היברידי (Hybrid Cloud) – תשתית הענן משלבת שניים או שלושה מודלים (ענן ציבורי, פרטי או קהילתי) הפועלים באורח עצמאי אך משתפים בינם סטנדרטים וטכנולוגיות המאפשרים שיתוף והעברת מידע ואפליקציות (למשל, לצורך איזון עומסים).

התרשים הבא מסכם את המאפיינים של מחשוב הענן כפי שהוגדרו על ידי NIST:

כפי שתיארנו לעיל, חלוקת האחריות בין הספק ללקוח שונה במודלים השונים.

כך למשל, אמזון AWS)), ספק תשתיות הענן (IaaS) הגדול בעולם, אחראי לתשתיות המפעילות את השרתים המופעלים אצלם, לאבטחתם הפיזית ולזמינותם. העדכניות, האמינות והאבטחה של מערכת ההפעלה, התוכנה והנתונים המותקנים על יחידה זו הם באחריות הלקוח. הסכמי ההתקשרות בין אמזון ללקוחותיה מדגישים את חלוקת האחריות בין ספק שירותי הענן לבין הלקוח במודל הנקרא Shared Responsibility.

מאידך, ספק כמו Salesforce.com, אחד מהספקים הגדולים בעולם של שירותי תוכנה כשירות (SaaS), אחראי לא רק על האבטחה הפיזית ועל תחזוקת התשתית של הפתרון אלא גם על התקנה, תחזוקה והאבטחה של מערכות ההפעלה, התשתיות, הנתונים והתוכנה. מודל זה מסיר חלק מן האחריות מן הלקוח. עם זאת, שימוש נאות במידע ובכלים שהספק מציע, כגון ניהול משתמשים והרשאות, הוא עדיין בתחום האחריות של הלקוח.

ניהול סיכונים בענן

מחשוב ענן מציע לא מעט יתרונות למשתמשים בו, לרבות:

• ניצול אופטימלי הן בצד הספק והן בצד הלקוח.
• חיסכון כספי – הלקוח אינו נדרש להקים תשתיות מחשוב בחצרו, להקדיש להם משאבים כמו שטח רצפה, חשמל, תחזוקה ואנשים. לספק יש את "יתרון הגודל" – לקוחות רבים מאפשרים לו לחסוך עלויות תוך ניצול יעיל של המשאבים.
• מעבר מהוצאה הונית (CAPEX) להוצאה תפעולית (OPEX).
• יכולת גידול (וקיטון) כמעט בלתי מוגבלת של משאבי המחשוב במהירות וביעילות.
• קיצור מחזור החיים של הפיתוח – התרכזות בעיקר ולא בהקמת התשתית ותחזוקה.
• קיצור הזמן הנדרש ליישום דרישות עסקיות חדשות – הקמת סביבת בדיקות, הוכחת היתכנות וייצור היא קלה ומהירה.

עם זאת, שירותי הענן מציבים לא מעט סיכונים שיש לנהל בצורה קפדנית. חשוב לבצע ניתוח שלם ומקיף של הסיכונים הרלוונטיים לסביבתו ולסביבת הספק הנבחר.

להלן מספר דוגמאות לסיכונים הנובעים ממעבר מערכות מידע לענן:

• המעבר לענן גורם לאובדן חלק מן השקיפות לגבי תהליכי התחזוקה המפורטים של המערכות והמידע, מתודולוגיות העבודה שבהן נעשה שימוש, מיקומו הפיזי של המידע, הבקרות, האלגוריתמים שבהם נעשה שימוש וכדומה. רוב ספקי מחשוב הענן לא יסכימו לחלוק עם לקוחותיהם מידע מפורט בנושא זה, ודאי לא באופן שוטף.
• המעבר לענן מרחיב את החשיפה של הארגון לאיומי סייבר בשל העובדה כי מידע של הארגון הופך להיות זמין במדיה ציבורית, ובדרך כלל נגיש באמצעות ממשק ציבורי באינטרנט.
• המודל הישן של הפרדה ברורה בין המידע שנמצא "בתוך הארגון" למידע הנמצא "מחוץ לארגון" אינו תקף יותר. היתרון של שירות הענן – יכולת גישה אליו מכל מקום בכל עת – הוא גם הסיכון המרכזי.
• העובדה כי ספקי הענן מחזיקים מידע רב של לקוחות רבים הופכת אותם למטרה מועדפת על תוקפים פוטנציאליים.
• אם הספק חווה מתקפת מניעת שירות או שהתקשורת מהארגון אליו אִטית, הארגון נשאר ללא יכולת עבודה פנימית, שכן משאבי המחשוב שלו נמצאים אצל הספק.
• לארגון אין שליטה ישירה על העובדים המועסקים על ידי הספק ומטפלים בתשתיות החומרה והתוכנה שהם הבסיס לשירותים שהוא מספק ועליהם נמצא המידע הארגוני הרגיש.
• חשיפת המידע לגורמי ממשל – גורמי ממשל עשויים לדרוש ולאלץ ספק ענן לחשוף בפניהם את המידע של לקוחותיהם השמור אצלם.
• "נעילה" אצל הספק – ספקים שאינם עושים שימוש בסביבה סטנדרטית עלולים לגרום לכך שיהיה קשה עד בלתי אפשרי ללקוחות שלהם לעבור לספקים אחרים אם השירות או האבטחה אינם עומדים ברמה הנדרשת.
• אחריות יחידת טכנולוגיות המידע בארגון משתנה בשל העובדה שחלק מהשירותים שסופקו בעבר על ידי יחידה זו מסופקים כעת על ידי גורמים חיצוניים. הדבר עלול לגרום לירידה במורל ובמוטיבציה של צוות זה.
• סיכונים הנובעים מן התשתית הטכנולוגית של השירות – פרטים נוספים יובאו בהמשך, בפרק העוסק בנושא זה.

לאור מגוון הסיכונים, יש לנהל את סיכוני מחשוב הענן כחלק מניהול הסיכונים הכולל בארגון. המסגרת לניהול סיכוני ענן אינה שונה בעיקרה מכל מסגרת אחרת לניהול סיכונים. עליה לכלול תהליכים לזיהוי הסיכון והערכתו, זיהוי האיומים והפגיעויות והערכתם, ניתוח תרחישי סיכון, סבירותם והשפעתם, הצגת הסיכונים להנהלה וקבלת החלטה באשר לתגובה לסיכון, ובניית תכנית טיפול ומעקב אחר ביצועה. ראוי לציין כי COSO פרסמו מסמך ייחודי המתמקד בניהול סיכונים בסביבת מחשוב ענן[2].

ניהול הסיכונים במחשוב הענן חייב להיות מאמץ משותף של הארגון ושל ספקיו. ניתוח וניהול הסיכונים מתחיל עוד בטרם ההתקשרות עם הספק. חשוב להבין הן את רגישות המידע והאפליקציות שהוא רוצה להעביר והן את הבקרות הקיימות/מתוכננות אצל הספק לצמצום הסיכונים העומדים בפני מידע זה.

כאשר אנו מתמקדים במבחן התוצאה מנקודת מבט עסקית (business impact), יהיו הדברים דומים מאוד לעולם המחשוב הקלאסי. הנושאים שחששנו מהם ב"עולם הישן" כללו, בין היתר, פגיעה בזמינות, שלמות וסודיות המידע, אי עמידה בדרישות ציות ופגיעה ביעילות השירות. נושאים אלה חשובים גם בעולם הענן. ההבדל הוא בתרחישי המימוש של סיכונים אלה ועוצמתם, ובבקרות שיש ליישם כדי לצמצם סיכונים אלה.

בשירותי ענן מעורבים בדרך כלל לפחות שני גורמים – ספק השירות והלקוח שלו. במקרים רבים קיימים מספר גורמים – מספר ספקים המספקים שירותים זה לזה. יש לנהל את הסיכונים תוך הבנת המשמעויות הנובעות מכך: בנוסף על ניהול הסיכונים שלו, כל גורם אחראי גם על הסיכונים הנובעים מן העבודה מול הגורמים האחרים. נציג לדוגמה ארגון פיננסי העושה שימוש באפליקציה בענן המתבססת על ספק ענן המספק תשתיות. פריצת אבטחת מידע המתבצעת אצל ספק התשתיות עשויה להשפיע על ספק האפליקציה ובהתאמה על הארגון הפיננסי ולקוחותיו. הארגון הפיננסי לא יכול להתנער מאחריותו לתוצאות של התקרית ולהפנות את לקוחותיו אל ספק הענן כאחראי למחדל.

יש להגדיר וליישם תהליכי עבודה, דיווח ובקרה יעילים בין כל הצדדים, הלקוח והספקים. יש להבטיח כי ניהול סיכונים שוטף יהיה מובנה היטב ביחסי הגומלין בין הצדדים: על הספק לקיים וליישם מסגרת מתועדת לניהול סיכונים, להציג אותה ללקוח ולאפשר ללקוח לבחון בעצמו את הסיכונים באורח תקופתי.

כמו כן, על לקוחות וספקי שירותי הענן לבנות מערך ממשל ובקרה יעילים, ללא קשר למודל היישום של הענן. על ניהול הסיכונים להיות משותף בין הספק ללקוח על מנת להשיג את היעדים שהוסכמו.

אנו חווים יותר ויותר דרישות של לקוחות המופנות אל ספקי שירותי ענן המפרטים בקרות טכנולוגיות ותהליכיות אותן על הספקים ליישם כתנאי להסכמתם לעשות שימוש בשירותים אלה.

דרישות רגולטוריות בשירותי הענן

במדינות רבות בעולם קיימות רגולציות ותקנות העוסקות בהגנה על פרטיות המידע ודורשות יישום בקרות טכנולוגיות, פיזיות ומנהליות הנדרשות על מנת להגן על המידע מפני אובדן, שימוש לרעה או שינוי. בין היתר ניתן לציין את HIPAA העוסקים במידע רפואי, PCI העוסקים במידע כרטיסי אשראי, הוראות הפרטיות של מדינות באירופה (שהתעדכנו לאחרונה) ועוד. כמובן שתקנות אלו רלוונטיות גם בענן.

קיימות מספר רגולציות הממוקדות באופן ספציפי באבטחת מידע בענן. כך, למשל, בארה"ב פרסם הממשל הוראה בשם FedRAMP העוסקת בנושא זה. ההוראה מתייחסת לבקרות אבטחת מידע אשר הוגדרו בתקן 800-53 של ארגון התקנים האמריקאי NIST בהתאמה לסביבות הענן.

בעולם מתגבשים מספר סטנדרטים ספציפיים לנושא אבטחת מידע בענן. ביניהם 27017 ו-27018 של ISO, ותקן STAR של ארגון ה-Cloud Security Alliance. שלושת התקנים הללו מהווים הרחבה לתקן אבטחת המידע הבינלאומי 27001 ISO וההנחיות המעשיות ליישומו – תקן 27002 ISO.

מובן כי תקנים, הנחיות והוראות כלליות נוספות בתחום אבטחת מידע והגנת הסייבר תקפים גם בעולם מחשוב הענן בהתאמה הנדרשת לסביבה זו.

בישראל מספר רגולציות העוסקות בנושא זה. ביוני 2015 פרסם המפקח על הבנקים הוראה המתמקדת בנושא ניהול סיכונים בענן3 הוראה זו דורשת לקבל החלטות בנושא זה ברמת הדירקטוריון, לבחור בקפידה את המערכות והשירותים שניתן להעביר לענן, להעריך סיכונים באופן תדיר, לכלול דרישות פרטניות מספקי השירותים, לקבל דוחות מפורטים על יישום הבקרות הנדרשות ועל היכולת להפסיק את השירות בכל עת.

רגולציות נוספות של בנק ישראל ושל המפקח על הגופים המוסדיים נוגעות בניהול סיכוני אבטחת מידע וסייבר, ומתייחסים בין היתר לנושא הענן.

אנו מצפים כי בתקופה הקרובה יתפרסמו הנחיות והוראות נוספות בתחום זה בארץ ובעולם בקרב מגזרים שונים כמו המגזר הממשלתי, הביטחוני, הבריאותי ועוד.

היבטים טכנולוגיים של מחשוב הענן והסיכונים העיקריים בסביבה זו

להלן הסבר קצר על רכיבים טכנולוגיים בסיסיים במחשוב הענן ונקודות התורפה של רכיבים אלה:

• ממשק הניהול – מאפשר ללקוחות לנהל את התצורה של הסביבה שלהם בענן. בדרך כלל קיים פורטל ניהול וכן ממשק תכנות (API). ממשק זה הוא אחת הנקודות הרגישות ביותר בסביבת הענן ויש להקפיד להגן עליה כראוי. רוב הספקים מאפשרים להגדיר הזדהות חזקה לממשק הניהול, ולהגדיר תפקידים ואחריות ממוקדים המאפשרים לבצע רק את מה נדרש.
• וירטואליזציה – אחת מאבני היסוד של מודל התשתית כשירות (IaaS) ובסיס לשירותים בשכבות הגבוהות יותר. וירטואליזציה מנתקת את הצימוד בין החומרה הפיזית לבין מערכת ההפעלה או תשתיות תוכנה בסיסיות אחרות, ומאפשרת להריץ בו-בזמן, על אותה חומרה פיזית, מספר מערכות בלי תלות ביניהן. וירטואליזציה מאפשרת ניצול טוב יותר של משאבים, שימוש בשטח רצפה קטן יותר, צמצום ההוצאות הנדרשות לחומרה, יכולת טובה יותר לשלוט על משאבי מחשוב רבים ושיפור היעילות התפעולית. עם זאת, הווירטואליזציה מביאה עמה סיכונים חדשים. למשל, מכונות וירטואליות יכולות לתקשר ביניהן דרך המחשב המארח ובכך נוצרת "נקודה עיוורת" – כלומר, נתיב תקשורת שאיננו מבוקר ויכול לשמש להתקפת התשתית והמידע האצור בה.
• רכיבי עיבוד (Compute Engine) – מחשוב הענן מאפשר להקים "מחשבים" מגדלים שונים שעליהם מותקנים רכיבי תוכנה, כולל מערכות הפעלה ואפליקציות. יש לזכור כי ברגע שנבחר רכיב העיבוד, עדכוני תכנה ופגיעויות הם באחריות הלקוח ולא באחריות הספק.
• רכיבי אחסון (Storage) – קיימים סוגים שונים של רכיבי אחסון הנבדלים ביניהם בגודל, בביצועים, בזמן שליפת הנתונים ובצורת הארגון שלהם. רכיבים אלה כוללים מנגנוני הרשאות גישה. יש להקפיד ליישם מנגנונים אלה כראוי.
• רכיבי תקשורת (Communication) – התקשורת בענן מדמה עבודה בעולם המחשוב הקלאסי. ניתן לבנות אזורים מוגנים ברמות שונות ברשת, להגביל את הגישה הפנימית/חיצונית אליהם על ידי סט של חוקים, וכדומה.
• מיקום המידע – אחד מהיתרונות של מחשוב הענן הוא שניתן לשמור את המידע ולגבות אותו באזורים גאוגרפיים שונים ובכך להגדיל את זמינותו. עם זאת, חשוב לשים לב לדרישות רגולטוריות המגבילות את מיקומו הגיאוגרפי של המידע.
• ניטור ובקרה – חשוב לזהות אירועים המתרחשים הן ברמת התשתיות של הספק והן ברמת הסביבה של הלקוח. לרוב הספקים יש יכולת לספק שירות זה.

רוב ספקי הענן מספקים מגוון רחב של כלים שבאמצעותם ניתן ליישם בקרות טכנולוגיות בענן. אם הכלים קיימים – יש לעודד שימוש בהם.

ביקורת פנימית של סביבת ושירותי הענן

ממשל תאגידי תקין דורש לקיים ביקורת על תהליכים ותשתיות מהותיים לארגון. בארגון שבו נעשה שימוש משמעותי בשירותי ענן, חשוב לכלול ביקורת על שירותים אלה כחלק מתכנית הביקורת התקופתית של הארגון.

יעדי הבדיקה של הביקורת ישתנו בהתאם לאופי השירות שהארגון מספק או צורך. אם מדובר בארגון שיישם שירותי ענן, ארגון המציע תשתיות ענן (IaaS או PaaS) או ארגון המפתח ומספק תוכנה כשירות (SaaS). מובן כי בלא מעט מקרים נמצא ארגונים שיהיו בעת ועונה אחת ספקים של שירותי ענן וגם לקוחות של שירותים כאלה.

כמו כן, מודל היישום של הענן – ענן פרטי, ציבורי, קהילתי או היברידי, ישפיע על היקף הביקורת וצורתה.

תכנון מקיף ומפורט של ביקורת זו הוא חיוני מפני שמדובר בביקורת מורכבת ביותר הכוללת היבטים שונים ורבים. מובן שאין חובה לבדוק את כל ההיבטים במהלך ביקורת אחת, אלא ניתן ורצוי לפצל את הנושא למספר תתי ביקורות שיתבצעו במועדים שונים או ברצף.

היבט נוסף הוא באיזה שלב של מעבר לענן נמצא הארגון – בחינת הרעיון, תכנון המעבר, ביצוע המעבר, כניסה מבוקרת לענן או שימוש מסיבי בו.

בנוסף על ההיבטים לעיל, הנוגעים בעיקר לשלב של תכנון הביקורת מבחינת היקפה ואופייה, להלן מספר נקודות חשובות הנוגעות לנושאי תפעול ובקרה, שאותן ניתן לכלול במסגרת ביצוע ביקורת פנימית:

• ניתוח איומים – בביצוע הביקורת חשוב לנתח את תסריטי האיום הרלוונטיים לסביבת העבודה בענן, ולוודא שהארגון הציב בקרות בהתאם וכי קיימת פונקציה שמתפקידה לבחון באופן שוטף את יעילותן של הבקרות.
• מדיניות ובקרות – על הארגון להתאים את המדיניות ואת נוהלי העבודה שלו לסביבת העבודה בענן. במסגרת הביקורת ניתן לוודא כי הארגון הגדיר מי בוחר מערכות בענן, על פי אילו מדדים, מי רשאי לאשר, וכיצד.
• תפקידים ואחריות – במסגרת הביקורת חשוב לוודא כי הוגדרה האחריות לניהול סיכוני הענן, הן מבחינה חוזית והן מבחינת יישום פרקטי. כחלק מביקורת פנימית יש לבחון מעורבות ואחריות של ההנהלה בתהליכים.
• הגדרת דרישות למערכת – במסגרת הביקורת יש לוודא כי בעת פיתוח ו/או רכישה של מערכת הוגדרו דרישות אבטחת המידע הרלוונטיות, לרבות התייחסות לנושאים כגון שמירה על פרטיות המשתמשים, שמירה על חיסיון הנתונים, שמירה על שלמות המידע, שמירה על אמינות המידע, שמירה על זמינות המערכת, שמירה על שלמות תהליכים עסקיים, ממשקים עם מערכות חיצוניות, ועוד.
• יישום המערכת – כחלק מתהליכי העבודה יש להקפיד על כתיבת קוד בהתאם לכללי פיתוח מאובטח. כמו כן, יש לבצע סקר קוד (Code Review) על מנת לוודא את יישום דרישות אבטחת המידע. ניתן לעשות זאת תוך שימוש בכלים אוטומטיים כגון Static Code Analyzer.

על הביקורת לוודא כי נעשה שימוש בכלים אלו שמטרתם שמירה על פיתוח מאובטח.

• בדיקות – יש לדאוג כי פיתוח ויישום בדיקות יכללו את כל היבטי אבטחת המידע. במסגרת ביצוע הביקורת ניתן לערוך בדיקות המתייחסות לבקרה אחר שלמות ביצוע הבדיקות תוך שימוש ברשימות תיוג מובנות וכו'.
• בחינות חדירות – הואיל וכל מערכות הענן חשופות לרשת, לפני יישום מערכת חדשה חשוב לקיים מבדקי חדירות (Penetration Test).
• הקשחת סביבת המערכת – מלבד האפליקציה עצמה, כל מערכת מידע כוללת רכיבי תוכנה וחומרה נוספים כגון מערכות הפעלה, בסיסי נתונים וכדומה. יש לוודא כי כל רכיבי המערכת מוקשחים בצורה מיטבית.
• תחזוקה של המערכת – לאחר שהמערכת פועלת בסביבת הייצור יש לדאוג לבצע עדכוני אבטחת מידע שוטפים לתשתית המערכת (Security Patches).

במסגרת הביקורת ניתן לבחון האם הוגדרו עדכונים שוטפים כאמור והאם הם מבוצעים באופן תקין.

• ניהול נכסים ותצורה – נושא זה מורכב מאוד בענן, מפני שרכיבי מחשוב משתנים באופן תדיר. חשוב לעקוב אחר הנכסים הנוכחיים ולבדוק כיצד הם מוגנים.
• אבטחה ותשתיות פיזית – זוהי בקרה באחריותו של הספק. בסופו של דבר מחשוב הענן נמצא במיקומים פיזיים. יש לוודא כי המיקום הפיזי אינו באזור בסיכון גבוה וכי קיימות בקרות פיזיות מספיקות, כגון גדרות, מצלמות, חיישני תנועה, בקרת אש, אספקת חשמל, דלק, מיזוג וכדומה, וכן יכולת גיבוי.
• המשאב האנושי – יש לוודא כי הספק מקפיד על בחירת האנשים, מיונם, הדרכתם ובקרה על ביצועיהם וכי תפקידם ואחריותם מוגדרים היטב. כמו כן יש לוודא שלכל אחד יש גישה רק למידע הנדרש לו במסגרת תפקידו.

בעת ביצוע הביקורת מומלץ לוודא גם כי נושאים אלה הוסדרו במסגרת חוזה ההתקשרות וקיימת היכולת וההרשאה המתאימה לבדוק אותם מעת לעת.

• ניהול משתמשים והרשאות – יש להקפיד על ניהול הרשאות הגישה של עובדי הספק למערכות ולנתונים בכל הרמות – התשתית, מערכות ההפעלה, ציוד התקשורת והאפליקציות. ניתן לבחון במסגרת הביקורת את מדיניות ההרשאות ויישומה, תדירות עדכון הסיסמאות ואת הבקרה שוטפת הקיימת אחר פעולות חריגות במערכות.
• טיפול ותחזוקה בציוד – בעת ביצוע הביקורת ניתן לבחון האם וכיצד מבוצעת התחזוקה השוטפת בציוד והאם היא עומדת בהנחיות היצרנים. כמו כן, ניתן לבחון האם הארגון נאלץ לפגוע בתדירות גבוהה בזמינות השירות.
• המשכיות עסקית – קיום תכנית לטיפול באירועי חירום, לרבות תיעוד מסודר ותרגול.
• ניהול אירועים – תהליך ניהול אירועים בענן מציב אתגרים נוספים, מעבר לאלה הקיימים בסביבת המחשוב הקלאסית. מספר מגבלות עיקריות בנושא זה כוללות את הצורך בשיתוף פעולה עם ספק המחשוב. על ניהול האירועים בענן לכלול את כל האלמנטים של ניהול אירועים בסביבות האחרות, לרבות הגדרת הסיכונים ותרחישי הסיכון, הגדרת תגובות לתסריטים ידועים, זיהוי וניתוח של האירועים, ניתוח פורנסי של האירועים, החלת האירוע, סיום האירוע, הפקת לקחים.

סיכום

מסמך זה כולל מספר סוגיות שמומלץ להתייחס אליהן במהלך ביקורת פנימית בסביבת ענן. נושאים אלה כוללים היבטים ארגוניים (תפקידים ואחריות), תהליך ניהול הסיכונים, דרישות רגולטוריות, בקרות טכנולוגיות, בקרות תהליכיות ופיתוח מאובטח. מִפרט מלא של בקרות אבטחת מידע ניתן למצוא במסגרות לניהול סיכוני ענן כגון STAR של ה-Cloud Security Alliance, התקנים 27017 ISO  ו-27018 ISO ואחרים.

חשוב להיעזר בביקורת זו בגורמים מקצועיים. ביקורת בתחום זה מצריכה שילוב של מומחים בתחומים שונים בעלי הבנה וניסיון מערכתי ורוחבי. בין היתר יש להתמקד בהיבטים עסקיים, בתהליכי ניהול סיכונים ובשיקולי אבטחת מידע, ונדרשת הבנה טכנולוגית מעמיקה בנושא סייבר ואבטחת מידע בענן.

הסמכות בנושאים אלה, כגון הסמכת CCSK של ה-Cloud Security Alliance, יכולות לסייע בבחירת המבקרים המתאימים. כמו כן כדאי לבדוק את ההיכרות של המבקרים עם הסביבות הספציפיות של הביקורת, כגון התמחות בסביבת AWS, Azure או Google וכן בסביבות הפיתוח והאפליקציות הרלוונטיות בענן.

אנו מציעים לגשת לביצוע ביקורת בתחום סייבר בכלל, ומחשוב ענן בפרט, תוך דגש על נקודת המבט של התוקף – ניתוח הסיכונים העומדים בפני תשתיות הענן מתוך חשיבה "בראש של התוקף", חשיבה שאינה מתמקדת ברשימת של בקרות ומסמכים אלא בחשיפת נקודות חולשה טכנולוגיות ואנושיות וניסיון להגיע דרכן אל יעדים העשויים לעניין את התוקף. ניתן וכדאי לצרף לצוות הביקורת אדם בעל יכולות חשיבה כאלה.

[1] NIST SP 800-145

[2] Enterprise Risk Management for Cloud Computing, COSO, June 2012

The post כיצד לבקר בענן appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ייתכן שלמבקרים לא תהיה היכולת לחזות בדיוק כיצד חמש המגמות האלו יתפתחו בטווח הרחוק, אך מעקב אחר התפתחותן כיום יכול לסייע לביקורת הפנימית ולארגון להתכונן לקראת העתיד. כתב העת "Internal Auditor" ביקש מ- מובילים במקצוע הביקורת בעולם לדון בכל אחת מהמגמות האלו, וכן בשאלה מה צריכים המבקרים הפנימיים לעשות על מנת לספק ביטחון וייעוץ בנושאים אלה בשנים הבאות.

עולם של סיכונים תנודתיים

לוסי אליוט, ACA, דירקטורית, ביקורת פנימית והערכה, הארגון לשיתוף פעולה ולפיתוח כלכלי (OECD)

מהירות השינוי בעולם גוברת; השינויים הם מהירים ולפעמים גם מפתיעים. התנודתיות, הרב-תחומיות והמורכבות של סביבת הסיכונים שבה עוסקים המבקרים מתגברות בצורה מתמדת. לדוגמה, משבר המהגרים הנוכחי באירופה משליך על מדיניות ציבורית וכן על המגזר הפרטי, ומשפיע גם על שירותים, שווקים וביטחון מקומיים ולאומיים – ממדים מרובים שעלולים להוביל לסיכוני ביקורת באירופה ומחוצה לה.

דוגמה נוספת היא המעבר לכלכלה דלת-פחמן, שעשויה להשפיע על מודלים עסקיים ורווחיות, ולהוביל לשינוי של פרופיל הסיכון בשנים הבאות. יותר מזה, טכנולוגיות חדישות מאיימות על שווקים קיימים  ויכולות להוביל לסיכונים עסקיים אמיתיים ומידיים כגון תחרות חדשה דרך כלכלת השיתוף, כפי שחברת אובר מאתגרת את שוק שירותי המוניות המסורתי.

אם מבקרים פנימיים רוצים להיות רלוונטיים, עליהם להצליח להישאר בקצב של השינויים ולהתמודד עם הדרישות של הסיכונים המשתנים. מבקרים פנימיים אינם יכולים להרשות לעצמם יותר לשקוע באזור הנוחות של עבודת ביקורת צפויה, מחזורית, אולי אף משעממת, ובעלת תוצאות שניתן פחות או יותר לצפות אותן מראש. כעת הם עומדים בפני סביבה לא ודאית של סיכונים, שבה הביקורות ילכו ויהיו מאתגרות, מעניינות ורבות השפעה יותר, כל עוד הם יבינו לעומק את סביבת הסיכונים.

בעולם של היום, סיכונים משתנים מהר יותר מאשר תכנית העבודה של הביקורת הפנימית. לעתים הסיכונים אף משתנים במהלך מטלת הביקורת עצמה ומשפיעים הן על הביקורת הפנימית והן על הלקוח. על המבקר לנתח ולהבין סיכונים חדשים ולתקשר אותם בצורה רגישה, וכן לנהל את ההבחנה בין עבודת ביקורת לייעוץ, הבחנה שהולכת ומיטשטשת ככל שהסיכונים משתנים. על התכניות ולוחות הזמנים לביקורת להיות מותאמים למצב החדש, וכך גם המבקרים, שיזדקקו לכישורים שיאפשרו להם לשלב תובנות מתחומים אחרים, לתקשר עם אחרים ברמה טובה, להביא למודעות חוצת מגזרים ולהקשיב. בנוסף, על המבקרים להישמר מפני "נוקשות אינטלקטואלית", שבמסגרתה אין למבקר את היכולת לחשוב על סיכונים מחוץ לתבונה המקובלת של הלקוח, ולערוך חשיבה קבוצתית בצוות הביקורת.

על מנת להבין את סביבת הסיכונים החדשה הזו, מבקרים פנימיים צריכים להטיל ספק בשיטות   ובתובנות ביקורת קונבנציונליות ולחשוב באופן מתמשך לגבי העתיד. לדוגמה, פיתוח הסתכלות אסטרטגית לעתיד יסייע למבקרים פנימיים לבחון מצבים עתידיים אפשריים שונים, לשמור על פתיחות ביחס לתמונה הגדולה, ולגבש הבנה טובה יותר לגבי אתגרים מורכבים בטווח הארוך. המבקרים צריכים לקחת בעצמם סיכונים באמצעות שימוש בגישות חדשות לניהול סיכונים, עדכון המסגרת הניתוחית שלהם, ובחינת דרכים, שיטות וסוגיות חדשות. כך, הסיכונים שנוטלים המבקרים יקצרו פירות. הם ישלבו בעבודה היומיומית שלהם חשיבה חדשנית ויקדמו את מדיניות ומחקר הביקורת שלהם באמצעות ניסוי וטעייה.

נכון שעבור מבקרים מסוימים, קבלת התנודתיות של סביבת הסיכונים יכולה ליצור אי נוחות. אך אם מבקרים פנימיים לא יעדכנו את דפוסי החשיבה שלהם, יבינו את העתיד, ינתחו את ההשפעה על פונקציית הביקורת הפנימית והלקוח ויתאימו את עצמם לכך, הם ייוותרו מאחור בעולם המשתנה.

ציות: מה היקפו?

ג'ונתן בלקמור, CA, שותף וראש תת-תחום סיכונים, אירופה, מזה"ת, הודו ואפריקה, EY

לאחר המשבר הכלכלי העולמי, סביבת הציות לרגולציה הפכה למורכבת יותר והקנסות גדלים ואף צפויים להמשיך ולגדול בעתיד. מאחר שכשלים בציות הם בעלי השפעה משמעותית על המיתוג ושווי השוק של ארגונים, ישנה חשיבות אסטרטגית עבור ההנהלה והדירקטוריון למנוע כשלים כאלה. בעוד שהיקף הציות ממשיך להתרחב, על ארגונים לנהל מערך מורכב ומשתנה תמידית של פעילויות ציות.

כאשר מדובר בקביעת היקף בחינת הציות של הביקורת הפנימית, אין תשובה אחת נכונה. ההיקף "הנכון" מושפע מבשלותן של הפונקציות הקיימות בארגון ויכולותיהן. ארגונים שאין בהם צוות ייעודי לנושא הציות, ירחיבו בסבירות גבוהה יותר את היקף פעילויות הציות של הביקורת הפנימית שלהם.

קימת סבירות גבוהה שיחידות ביקורת פנימית האחראיות להיבטי ציות ייקחו על עצמן פעילויות נוספות הקשורות לציות. על הביקורת הפנימית לשקול להבהיר במפורש במקרים אלה את היקף פעילויות הציות לבעלי עניין מרכזיים, לאמוד באופן מציאותי את כשירותה להעריך את דרישות הציות, ולהבהיר את הסיכונים או הפערים הקיימים בשל אילוצי משאבים או יכולות.

מבקרים פנימיים ראשיים צריכים לקרוא תיגר על המצב הקיים באמצעות בחינת השאלות הבאות:

• האם הביקורת הפנימית היא הפונקציה המתאימה לנושא סיכוני ציות ובקרות ציות?
• האם הביקורת הפנימית מתייחסת לסיכונים המתאימים הקשורים לציות?
• האם לרשות הביקורת הפנימית עומד הצוות המתאים לצורך התייחסות והוצאה לפועל של פעילויות ציות ביחס לרגולציה, כדוגמת החוק למניעת שחיתות ושוחד של עובדי ציבור זרים בארה"ב (S. Foreign Corrupt Practices Act), "הסטת רווחים ושחיקת בסיס המס" של ה-OECD, ופרטיות הנתונים (Data Privacy) של ה-E.U.?
• האם הביקורת הפנימית ממנפת באופן מיטבי את האמצעים הטכנולוגיים והאוטומטיזציה שעומדים לרשותה?

ישנה חשיבות רבה לכך שהביקורת הפנימית תתמקד בהפקת ערך מפעילויות הציות שהיא מבצעת. ערך זה עשוי לכלול:

• אינטגרציה, תקשורת, תכנון, ביצוע ודיווח משופרים בין פונקציות שונות בארגון.
• תובנות והתבוננות לעתיד, ולא רק התבוננות בדיעבד.
• קישור בין פעילויות הציות של הביקורת הפנימית לבין שיפורים בבקרות ותהליכים.
• הדגשת מגמות ואנומליות באמצעות ניתוח נתונים.
• שיתוף בלקחים שהופקו מהפרות של דרישות ציות.
• מעורבות בחזית של שינויים עסקיים מהותיים.
• סיוע להנהלה בציות לדרישות חדשות הנובעות משינויים ברגולציה או מחוקים חדשים.

יוזמות להפחתת עלויות של ישויות עסקיות וחוסר ודאות כלכלית עולמי, יוצרים לחץ גובר להפחתת העלות של דרישות הציות. ההנהלה מצפה שעלויות הציות יופחתו, אך מגלה "אפס סובלנות" לאי ציות. עליה להבין את ההשפעה של השינויים בשלבים מוקדמים של התהליך ולשאוף לכך שיהיו רשתות ביטחון לניהול כל שינוי או מעבר.

פונקציות ביקורת פנימית מתקדמות מעורבות באופן פעיל בדיון בעניין עלות הציות. הפעולות המקובלות לייעול כוללות עריכת הערכה מפורטת של פעילויות הציות והאופן שבו הן מוצאות לפועל, עריכת סקר סיכוני ציות, ומינוף האוטומטיזציה ושימוש בניתוח נתונים לצורך ביצוע בדיקות, ניתוח מגמות, איתור מוקדם של טעויות ובחינה בזמן אמת של ציות.

באמצעות מינוף הידע של הביקורת הפנימית על הארגון, התהליכים והבקרות שלו, ניתן לסייע להנהלה בזיהוי סיכוני הציות הרלוונטיים וההזדמנויות לאוטומטיזציה ושיפור בתהליכים ובקרות שישדרגו את ביצועי העסק במקביל לשיפור האפקטיביות של הציות.

דרישותיהם הגוברות של בעלי העניין

קריסטין אונג, CIA, CRMA, FCA (Aust.), מנהלת בכירה, ביקורת פנימית, IGB Corp. Berhad

הפרופיל של מקצוע הביקורת הפנימית עלה באופן משמעותי בשנים האחרונות הודות למאמצים בלתי נלאים ולמקצועיות שמגלים מבקרים פנימיים ברחבי העולם. בעלי עניין נעזרים במבקרים פנימיים בתחומים של ממשל תאגידי, ניהול סיכונים ובקרות. עם ההכרה הגוברת במקצוע, גם הציפיות של בעלי העניין התגברו.

רגולטורים מכירים במבקרים הפנימיים כאחד מעמודי התווך של ממשל תאגידי. ככל שהרגולטורים הפכו לאקטיביים יותר בפרסום חקיקה, קודים אתיים ודרישות סף למסחר על מנת להסדיר את סביבת העבודה הדינמית, כך הם מצפים ממבקרים פנימיים להתעדכן בהוראות החדשות ולייעץ ללקוחותיהם בהתאם. הרגולטורים גם מבקשים לקבל הערות והצעות מהמקצוע על מנת לקבל נקודת מבט שונה ביחס להשפעה של הרגולציה. במובן זה, על ה-IIA וחבריו להיות בחזית התפתחויות אלו ולהוות את קול המקצוע.

ככל שארגונים מאמצים טכנולוגיות משתנות תמידית, כך ההנהלה מצפה ממבקרים פנימיים לגלות בקיאות בבקרות של מערכות מידע ובסוגיות של אבטחת מידע, וכן להיות בקיאים במערכות מידע ברמה סבירה. מלבד ביקורות של מערכות מידע, ההנהלה מצפה ממבקרים פנימיים לספק ייעוץ בנושא הטמעת מערכות, בקרות שינויים ותכניות להמשכיות עסקית. כמו כן, ההנהלה מצפה ממבקרים פנימיים להשתמש בכלים של מערכות מידע על מנת לייעל ולהגביר את האפקטיביות של הביקורות. בעידן של נתוני עתק (“big data”) וניתוח נתונים, ייתכן שדיווח על חריגים על בסיס בדיקה מדגמית עומד להיעלם מן העולם. אם אותר כשל בבקרה, ההנהלה מצפה להתעדכן במלוא ההיקף של ההשפעה או האובדן.

ארגונים ועסקים ממשיכים לגדול, לעתים באופן אורגני, אך לרוב באמצעות מיזמים חדשים או מיזוגים ורכישות. מבקרים פנימיים צריכים להישאר מעודכנים בכיוון האסטרטגי של ההנהלה ולצייד את עצמם בידע ממגוון תעשיות. כאשר לקוחות מבקשים להיוועץ בהם, המבקרים הפנימיים חייבים להיות מוכנים לבחון עסקים חדשים ולהבין את העסקים של הארגון ואת האסטרטגיה שלהם. הידע של המבקרים צריך להתפרש מעבר לעסק הנוכחי שבו מעורב הארגון, ועליהם להרחיב את מעגל הקשרים שלהם מחוץ לתחום העיסוק. אם המבקרים שואפים להיות חלק מהשדרה הניהולית, עליהם להרוויח את המעמד הזה.

הציפייה ממבקרים פנימיים היא להגדיל ולשמר את הערך של הארגון. על אף שיש למבקרים תובנות ביחס לפעילות של הארגונים המאפשרות להם להשיג מטרה זו, בעלי העניין הרחיבו את תחומי המיקוד שלהם מעבר לממשל תאגידי, סיכונים ובקרות, וכעת הם כוללים גם תחומי סביבה, בטיחות וקיימות. המבקרים צריכים ליישם את הידע שלהם בתחומים חדשים ולהרחיב אותו כך שיכלול פעילויות חדשניות, מובילות לשינוי ובנות קיימא.

על מנת להמשיך לשרת בעלי עניין באופן אפקטיבי, מבקרים פנימיים צריכים להכין את עצמם לעתיד באמצעות יצירתיות, חדשניות וצימאון לידע. בנוסף, עליהם לייצר בסיס איתן באמצעות סמכות ופיתוח מקצועי. מאחר שהצורך בלמידה אינו פוסק והציפיות של בעלי העניין ממשיכות לגדול, מבקרים פנימיים חייבים להתייצב בפני האתגר – אין להם ברירה אחרת.

סיכון הטכנולוגיה הופך למורכב יותר

צ'רלי ורייט, CIA, CPA, CISA, סגן נשיא, ביקורת פנימית, Devon Energy Corp.

מבקרים פנימיים ניצבים בפני סביבה טכנולוגית שהולכת ונהיית מורכבת יותר. דירקטוריונים וועדות ביקורת מכירים בכך שהעתיד כבר כאן, ומעסיקים את עצמם רבות בסיכון הטכנולוגיה. נושאים הנעים בין טכנולוגיית מובייל ואבטחת מידע למחשוב ענן ומדפסות תלת-ממד הופכים לנושאים אסטרטגיים לדיון ברמת הדירקטוריון. זה מבליט את העובדה שפונקציית הביקורת הפנימית צריכה להתפתח ולהגביר את יכולותיה בהיבט הביקורת הטכנולוגית.

מבקרים מנוסים בעלי הכשרה ראויה יכולים להבטיח שהטמעת פרויקטים של מערכות מידע תבוסס על מתודולוגיות איתנות של ניהול פרויקטים ותהליכי שינוי ארגוני. יש להם תפקיד קריטי בהערכה ובבדיקה של בקרות פנימיות חדשות, לרבות גישה פיזית ולוגית ליישומים (אפליקציות) חדשים. מבקרים יכולים גם לזהות סוגיות ופערים המונעים ניצול מלא של טכנולוגיות חדשות. ניצול חלקי של טכנולוגיות חדשות הוא בעיה נפוצה שמובילה לתפעול לא יעיל ולחריגות תקציביות.

בעוד העסקים אחראים לאסטרטגיה הכוללת וליישום של שילוב כלים מורכבים בעלי סיכון גבוה, מבקרים פנימיים יכולים להציג נקודת מבט חדשה ועצמאית ביחס להיבטים הטקטיים של שילוב אמצעים אלו. למשל, במסגרת הטמעת מערכת פיננסית חדשה, מבקרים פנימיים יכולים לסייע לבחון את תקינותן של בקרות מרכזיות ולוודא כי בקרות אלו מספיקות לצורך שמירה על המהימנות של המערכת החדשה. קיימות דרכים רבות שבהן מבקרים פנימיים יכולים להגיב לאתגר הטכנולוגי, ובראשן הכשרה. החל מקריאת מאמרים טכנולוגיים עדכניים, דרך השגת הסמכות מקצועיות, וכלה בהשתתפות בכנסים וסמינרים. כך יכולים מבקרים פנימיים לשפר את הכישורים הטכנולוגיים שלהם ולהיות ערוכים בצורה טובה יותר לשרת את לקוחותיהם.

מלבד הכשרת עובדים קיימים, על הנהלת הביקורת הפנימית לגייס עובדים בעלי ניסיון עבודה והשכלה בתחום מערכות המידע, שניתן להכשירם לעריכת ביקורות שיעניקו ערך מוסף לארגון. באמצעות מינוף מומחיותם של עובדים בעלי עבר בתחום מערכות המידע, הביקורת הפנימית יכולה לגבש תובנות מעמיקות יותר ביחס לבקרות, לסיכונים ולתהליכים הרלוונטיים. לחלופין, הנהלת הביקורת הפנימית יכולה ליצור תכניות פיתוח שבמסגרתן ישתתפו עובדי הביקורת, כל אחד בתורו, בפרויקטים בעלי זיקה טכנולוגית. כאשר יהיו בעלי תפקידים בביקורת הפנימית, יוכלו המבקרים החדשים ליישם את הכישורים שלמדו ברוטציה זו. בביקורות המצריכות סוג מסוים של מומחיות טכנולוגית, ההנהלה יכולה גם להסתייע במבקרים אורחים.

עבור ביקורת ספציפית, אם לא קיימים העובדים המתאימים במסגרת הארגונים שלהן, על פונקציות של ביקורת פנימית לצרף משאבים חיצוניים בעלי היכולות הטכנולוגיות הנדרשות. אמנם צירופו של צד שלישי עלול להיות יקר, אך פונקציות של ביקורת מחויבות להבטיח שמשאבים בעלי הכשרה ראויה יהיו זמינים להן לצורך ביצוע העבודה הטכנית המורכבת ביותר.

ככל שקצב השינוי גובר, כך מבקרים יכולים לצפות למספר עולה של סיכונים טכנולוגיים בארגונים שלהם. דירקטוריונים וועדות ביקורת מבקשים להבטיח שהערכה, ניהול ומעקב ראוי אחר סיכונים אלה מתבצעים באופן נאות. תפקידה של הביקורת הפנימית הוא לספק להם את הביטחון הזה.

הכשרת מבקרי 2020

קארל ארהארט, CPA, סגן נשיא ומבקר ראשי, MetLife

אצלנו ב-MetLife, אנו מכשירים את המבקרים שלנו להפוך ל"מבקרי 2020". אנו מכירים בכך שעל מנת להישאר בקצב של הציפיות המתפתחות של בעלי העניין, עלינו לפתח ולקדם באופן מתמשך את הכישורים ואת ההתנסויות שלנו.

המתכון להצלחה הוא הסטה, ו"הרוטב הסודי" החדש הוא האופן שבו מבקרים פנימיים ממנפים נתונים ומפתחים את השימוש שלהם בניתוח נתונים. יתר הרכיבים חשובים גם הם, לרבות שילוב של חוש עסקי, מומחיות ספציפית, וידע כללי עם הכישורים הרכים של המבקר הפנימי. היעד של MetLife הוא להכשיר את המבקרים היום על מנת להקנות להם את הכישורים וההתנסויות שהם יצטרכו לספק באופן אפקטיבי בביקורות פנימיות בשנת 2020.

מדוע נתונים וניתוח נתונים הם כה חשובים? ידוע כי קצב ייצור הנתונים גדל בשיעור עצום. בשנת 2020 תופק כמות גדולה יותר של נתונים מאשר בכל המאה הקודמת לה. בידיעה זו, מבקרים פנימיים יכולים לדמיין את הציפיות והאתגרים העצומים שעמם יצטרכו להתמודד.

מאחר שמקצוע הביקורת הפנימית מבקש למקסם את השימוש שלו בנתונים, על פונקציות של ביקורת לשים דגש על הכשרת מבקרים לשימוש בנתונים וניתוח נתונים. מבקרים צריכים לחזק את הכישורים הבסיסיים שלהם, לדעת כיצד להגביר את השימוש היומיומי שלהם בנתונים, וכן לדעת מתי יש להסתייע במומחים חיצוניים. התועלת האולטימטיבית של ניתוח נתונים מתקדם היא לסייע למבקרים להתעלות על ציפיות המחר של בעלי העניין. בשנת 2020 זו תהיה הדרך הטובה ביותר להשיג את היעד של הביקורת הפנימית: להגביר ולשמר את הערך של הארגון באמצעות מתן ביטחון, תובנות וייעוץ אובייקטיביים ומבוססי סיכון.

העיקרון של "מבקרי 2020" אינו מתמקד רק בנתונים וניתוחם. הוא נוגע גם לפיתוח הכישורים וההתנסויות של מבקרים פנימיים. זו הסיבה שמחלקת הביקורת של MetLife רִעננה את יכולותיה בתקופה האחרונה תוך מחשבה על ההווה ועל העתיד. היכולות החדשות שלנו כוללות ידע עסקי משולב, דפוס חשיבה של ממשל תאגידי, סיכונים ובקרות, חשיבה אנליטית וביקורתית, תקשורת פשוטה, אפקטיבית ושקופה, עבודת צוות וזריזות עבודה. התאמת מסלולי למידה פרטניים ששמים דגש על נתונים, ניתוח נתונים וחשיבה ביקורתית היא חלק משמעותי מההכשרה לעתיד.

ישנו ביקוש גבוה לכישרונות במקצוע הביקורת. הארגונים המכשירים את עובדיהם תוך חשיבה על עקרון "מבקרי 2020" יהיו בעמדה הטובה ביותר לשמר את הכישרונות של היום, וחשוב מכך – למשוך את הכישרונות של מחר.

* מאמר זה הוא תרגום של המאמרFive trends  שהתפרסם בגיליון פברואר 2016 של כתב העת – Internal Auditor IA

The post חמש מגמות שיעצבו את המקצוע: סיכונים תנודתיים, ציות, דרישות בעלי עניין, סיכון טכנולוגיה, הכשרת מבקרים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לאורך השנים היוותה הביקורת הפנימית בחברות הממשלתיות את אחד הנדבכים העיקריים בפעילותה של רשות החברות הממשלתיות (להלן הרשות או רשות החברות), והמבקרים הפנימיים נתפסו כשומרי הסף העיקריים בחברות וכזרועה הארוכה של רשות החברות.

הסיבה העיקרית לכך היא שהרשות, כנציגת המדינה שהיא בעלת השליטה בחברות, הבינה כי לאור היעדרו של בעל שליטה פעיל בחברות, ולאור הפער הקיים בינה כנציגת המדינה, כלומר "נציגת הבעלים", לבין החברות, נוצר סיכון מהותי כי החברות לא ישיגו את מטרותיהן. עוד טרם הוגדר המונח "ממשל תאגידי", הבינה הרשות כי ריחוקו של בעל השליטה ממנהליו יוצר סיכון של זליגת משאבים, של פעילות לא יעילה או לא אפקטיבית, ואף יש חשש לפגיעה בטוהר המידות. לפיכך, מבראשית ניתן לראות כי רשות החברות הממשלתיות תפסה את הביקורת הפנימית כאורגן הכרחי ומשמעותי בחברות.

חוק החברות הממשלתיות 1975-תשל"ה, היה החוק הראשון במדינת ישראל שבו קבעה המדינה את חובת קיומה של ביקורת פנימית בגוף כלשהו. בהתאם, החוק קובע כי:

סעיף 48: "הדירקטוריון של חברה ממשלתית ימנה לחברה מבקר פנימי, זולת אם אישרה הרשות שהיקף פעולות החברה או אופיין אינו מחייב מינוי של מבקר פנימי"

סעיף 49:           "(א) הדירקטוריון יקבע את סמכויותיו ותפקידיו של המבקר הפנימי.

(ב) המבקר הפנימי יהיה כפוף ליושב ראש הדירקטוריון ולמנכ"ל ויגיש את דו"חותיו[2] והצעותיו לדירקטוריון."

בהמשך, כבר בשנת 1992, פרסמה רשות החברות הממשלתיות חוזר לחברות בשם "נוהל ביקורת פנימית בחברות ממשלתיות ובת ממשלתיות". שוב הייתה זו רשות החברות הממשלתיות חלוצת הרגולטורים בהתייחסות לנושא ומתוך שאיפה להתמודד עם נושא הביקורת הפנימית בצורה רחבה וכוללת.

החוזר ("הנוהל") קובע מסמרות באשר לאופן קיום הביקורת הפנימית: הנוהל מגדיר ומרחיב מהי ביקורת פנימית. הוא קובע את אופן מינויו של המבקר, ובין היתר קובע כי המבקר הפנימי ימונה על ידי הדירקטוריון בהמלצת ועדת הביקורת ובהתייעצות עם המנכ"ל, ומתווה את הליך מינוי המבקר. הנוהל קובע כי יהיו למבקר ההשכלה, הניסיון והכישורים המתאימים לתפקיד זה והוא יוגדר כפקיד בכיר. הדירקטוריון הוא זה שקובע את היקף העסקתו של המבקר ואת אופן סיום עבודתו. את תכנית העבודה של המבקר הפנימי תאשר  ועדת הביקורת והדירקטוריון. יישמרו אי תלותו של המבקר הפנימי ועובדיו. בנוסף, מפרט הנוהל את תפקידיו וסמכויותיו של המבקר הפנימי.

הנוהל אף עוסק בוועדת הביקורת: מגדיר את הרכב הוועדה, קובע את היחסים בינה לבין דירקטוריון החברה והנהלת החברה, קובע את תפקידיה וסמכויותיה של ועדת הביקורת, מפרט את עבודת הדירקטוריון בעניין הביקורת הפנימית ומסיים בחובת הדיווח לרשות החברות הממשלתיות. הנה כי כן, בחוזר זה התמודדה רשות החברות בצורה מוצלחת עם מרבית היבטי הממשל התאגידי בקשר עם הביקורת הפנימית. זאת, מספר עשורים לפני שהוגדר במדינת ישראל מושג "הממשל התאגידי" ועוגנה בחוק ובתקנות.

מקצוע הביקורת הפנימית בעולם התקדם בצעדי ענק והוסדר בתקנים מקצועיים. הביקורת הפנימית בחברות הממשלתיות בישראל לא נותרה מאחור: כך למשל, בשנת 2010 פרסמה הרשות חוזר בנושא מינוי המבקר הפנימי ובדיקת איכות הביקורת הפנימית בחברות הממשלתיות[3]. חוזר זה נכתב לאורו של תקן 1312 של ה-IIA.

מטרת החוזר הייתה לחזק את עצמאותו ואי-תלותו של המבקר הפנימי, ולשפר שיפור מתמיד את איכות הביקורת הפנימית בחברות הממשלתיות.

החוזר מרענן את נוהל מינוי המבקר הפנימי ואופן העסקתו. וחשוב לא פחות, הוא מחדש בכך שהוא קובע את חובת ביצועו של הליך בדיקת איכות הביקורת הפנימית: הליך זה הינו מערכת בדיקות הנעשות על ידי גורם חיצוני במטרה לבחון האם מטרות הביקורת הפנימית הושגו ובאיזו מידה, האם היא פעלה באופן אפקטיבי וביעילות, והאם מערך הביקורת הפנימית בחברה תִפקד באופן מיטבי. ככל שהתשובה לשאלות אלו או חלקן היא לא, יש לבדוק ולברר מהן הסיבות והגורמים לכך ומהן ההמלצות לצורך שיפור הביקורת הפנימית בחברה.

על פי החוזר, ההליך כולל שני נדבכים:

הנדבך הראשון מתייחס למערך הביקורת הפנימית בחברה. על פיו יש לבדוק את הממשק בין ועדת הביקורת למבקר הפנימי ובין אורגנים נוספים בחברה לבין המבקר הפנימי. כמו כן, יש לבחון את הממשק בין הנהלת החברה והדירקטוריון למבקר הפנימי ואת טיפולם בסוגיות שהועלו על ידי המבקר הפנימי וועדת הביקורת.

הנדבך השני – בדיקת איכות הביקורת הפנימית. נדבך זה מתייחס לשאלת עבודתו ותפקודו של המבקר הפנימי וצוותו. על פיו יש לבחון שאלות בנוגע ליחידת הביקורת ולעובדי הביקורת – מידת הכשרתם והתאמתם למטלות הנדרשות, אופן הטיפול בניגודי עניינים; המתודולוגיה ואופן הביצוע של הביקורת הפנימית – האם נעשים בהתאם לתקנים מקצועיים מקובלים ולחוזרי הרשות.

בשנת 2011 פרסמה רשות החברות הממשלתיות את חוזר הדוחות[4] שהתווה ועיגן את חובות הדיווח של החברות הממשלתיות. בחוזר זה הוקדשו מספר פרקים גם לביקורת הפנימית, ובהם הובעה מדיניות הרשות באשר למכלול ההיבטים הקשורים בביקורת הפנימית בחברות הממשלתיות, וכן חוזקו הקביעות וההוראות בשני חוזרי הביקורת הפנימית שסקרתי לעיל.

על פי חוזר זה, יש לדווח על אופן העסקתו של המבקר הפנימי כפקיד בכיר[5], על קשרים אחרים שיש לו (ככל שישנם) עם החברה הממשלתית על מנת לשלול זיקות שיביאו למצב של ניגוד עניינים, היקף העסקתו של המבקר הפנימי, ואם צומצם – פירוט הסיבות לכך על מנת להביא לכך כי המבקר הפנימי יזכה לזמן הנדרש לו לביצוע עבודתו כנדרש. יש לפרט את התקנים המקצועיים המקובלים שעל פיהם עורך המבקר הפנימי את תכנית הביקורת, ואם יש אי עמידה בתקנים יש לפרט את הסיבות לכך, יש לציין את המועדים שבהם הוגשו ממצאי הביקורת ליו"ר הדירקטוריון, ליו"ר ועדת הביקורת ולמנהל הכללי, את המועדים שבהם התקיים דיון בוועדת הביקורת או בדירקטוריון, ואם לא התקיימו יש לפרט את הסיבות לכך. נדרשת התייחסות פוזיטיבית של הדירקטוריון לשאלה האם היקף, אופי ורציפות פעילות המבקר הפנימי ותכנית עבודתו סבירים בנסיבות העניין, ויש בהם כדי להגשים את מטרות הביקורת הפנימית בחברה. בנוסף, יש לצרף לדוח על עבודת הדירקטוריון גם דוח של המבקר הפנימי על ביצוע תכנית עבודה שנתית. בדוח זה יפורטו המסקנות וההמלצות של המבקר הפנימי הנובעות מעבודת הביקורת שביצע בחברה, יפורט המעקב שמבצע הדירקטוריון אחרי עבודת תיקון הליקויים שהועלו על ידי המבקר הפנימי, ועדת הביקורת, דירקטוריון החברה וועדות אחרות של הדירקטוריון, והמעקב שמבצע הדירקטוריון אחר תיקון ליקויים שהועלו על ידי מבקר המדינה, רשות החברות הממשלתיות, רואה החשבון המבקר וגורמי ביקורת מוסמכים אחרים. כמו כן יפורטו ממצאי דוח מעקב של המבקר הפנימי לגבי נושאים שלא נבדקו ולא טופלו כנדרש בתכנית העבודה התלת שנתית של המבקר הפנימי ובחוזרי הרשות, או שהתגלו בהם ליקויים שטרם תוקנו לדעתו או לדעת ועדת הביקורת או הדירקטוריון. יובא תיאור מתוך דוח המבקר הפנימי לגבי עבודות שביצע ושלא נכללו בתכנית העבודה השנתית או בדוחות המעקב האמורים או סטייה מהם. בתיאור יפורטו מהות השינויים והסיבה לשינויים, יצורפו תכנית הביקורת הפנימית המעודכנת ונוהל הביקורת הפנימית בחברה.

יודגש כי רשות החברות הממשלתיות מביעה בחוזר זה (שכאמור הוא חוזר דיווח ועניינו בגילוי ושקיפות) את עמדתה באשר לחשיבות שהיא רואה בביקורת הפנימית. פירוט העניינים שעל החברה בכלל ועל הדירקטוריון וועדת הביקורת בפרט לדווח עליהם הוא נרחב ביותר ומקיף את מכלול עבודת המבקר הפנימי ומערך הביקורת הפנימית. מעטים הם הרגולטורים האמונים על חוק הביקורת הפנימית המייחסים חשיבות כה רבה לביקורת הפנימית.

על חשיבות הביקורת הפנימית בכלל ועל בקרת איכות הביקורת הפנימית בפרט בעיני רשות החברות, ניתן ללמוד גם מהחוזר שפורסם בשנת 2014. עיקר חשיבותו של החוזר הוא בכך שהוא קובע כי רשות החברות עצמה תקיים בדיקת איכות לביקורת הפנימית במספר חברות ממשלתיות בכל שנה. חוזר זה נועד לתת מענה לצורך בשיפור הביקורת הפנימית במקום שבו רשות החברות סבורה כי הדירקטוריון לא יקיים את הבדיקה כהלכתה.

בחוזר זה לוקחת הרשות אחריות נוספת על קיומה של ביקורת פנימית אפקטיבית בחברות. היא אינה מסתפקת עוד באכיפה פסיבית אלא עושה צעד אל עבר האכיפה האקטיבית. הרשות מחילה חוזר שלה על עצמה וקובעת כי חלה עליה החובה להיות ערנית, ובמקום שבו התהליכים אינם מתקיימים כשורה עליה לנקוט צעד פעיל לשיפורם. אציין כי רשות החברות לא פרסמה מידע באשר לתוצאות בדיקותיה עד כה.

ניתן לסכם בכך כי לאורך השנים פעלה רשות החברות באופן שיטתי ומהותי לחיזוק הביקורת הפנימית ומעמד המבקר הפנימי. ניכר, כפי שפורט לעיל, כי הלכה למעשה התקדמה והתפתחה הביקורת הפנימית בחברות הממשלתיות באופן עקבי ומתמיד ובצורה המשקפת הבנה עמוקה של רשות החברות באשר למקצועיותו ולתפקידו של המבקר הפנימי כשחקן מרכזי בעולם החברות הממשלתיות.

טרם תמה המלאכה:

המלאכה לא הושלמה. השינוי ההכרחי הבא שיש לעשות בנוגע לביקורת הפנימית הוא בכפיפותו של המבקר הפנימי. חוק החברות הממשלתיות קובע כי המבקר הפנימי יהיה כפוף למנכ"ל וליו"ר הדירקטוריון. זו תקלה. בעיקר במקום שבו "מאבק השליטה", המוכר מעולמן של החברות הציבוריות, לובש בחברות הממשלתיות צורה של מאבק בין המנכ"ל לבין יו"ר הדירקטוריון. במצבים כאלה הופך המבקר הפנימי במקרים מסוימים לכלי בידי השניים המנסים לעשות בו שימוש זה כנגד זה. תוך כדי כך הם מטילים עליו מטלות לא ענייניות, הופכים אותו לשק חבטות, פוגעים בקיומה של תכנית הביקורת ופוגעים במעמדו של המבקר.

הפתרון בעיניי הוא הכפפתו המקצועית של המבקר ישירות ליו"ר הדירקטוריון ולוועדת הביקורת בלבד. התפישה העומדת בבסיס חוק החברות הממשלתיות כי ניתן לנהל ביקורת פנימית תוך כדי כפיפות כפולה של המבקר הפנימי אינה מתיישבת עם המציאות. בעניין זה יש ללכת בעקבות חוק החברות[6] הקובע בסעיף 49 כי: "המבקר הפנימי יגיש לאישור הדירקטוריון או לאישור ועדת הביקורת, כפי שייקבע בתקנון, או בהעדר הוראה בתקנון, כפי שיקבע הדירקטוריון, הצעה לתכנית עבודה שנתית או תקופתית, והדירקטוריון או ועדת הביקורת, לפי העניין, יאשרו אותה בשינויים הנראים להם". כלומר, הכפיפות המקצועית של המבקר היא לוועדת הביקורת ולדירקטוריון, ובכך מדיר החוק את הנהלת החברות מהתערבות בעבודת המבקר הפנימי.

זהו הדבר הנכון והנדרש, על מנת להביא הן להפעלה מיטבית של המבקר על ידי ועדת הביקורת והן למצב של תפקוד אפקטיבי שלו כשומר סף בחברות הממשלתיות.

[1] כך למשל חברת נתיבי ישראל, חברת החשמל, חברת נמל אשדוד.

[2] "דו"חותיו" – כך במקור

[3] "מינוי מבקר פנימי ובדיקת איכות הביקורת הפנימית בחברות הממשלתיות" (2010).

[4] "חוזר חברות ממשלתיות – דוחות" (2011) הוא חוזר המאגד את חובות הדיווח של החברות הממשלתיות ומבטא את התייחסותה של הרשות לחובות הביצוע שהוחלו על החברות בהיותו אחד מכלי האכיפה שבידי הרשות.

[5] חוק החברות הממשלתיות (החוק) מגדיר נושאי משרה בחברה שהינם "פקידים בכירים" – באשר אליהם קובע החוק כי הדירקטוריון יאשר את מינוים ויקבע את תנאי העסקתם.

[6] חוק החברות, התשנ"ט-1999

The post הביקורת הפנימית בחברות הממשלתיות – רגולציה מתמדת של רשות החברות הממשלתיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ארגונים רבים מחויבים להגדיר הנחיות בתחומים שונים לעובדים הנובעות בעיקר מדרישות של גופי רגולציה שונים.

הנחיות אלו נוגעות הן לפן האתי-התנהגותי של העובדים והן לפן המקצועי (בטיחות למשל). כחלק מתהליך ה-SOX, אנו נדרשים לבדוק האם קיים תהליך סטנדרטי לנושא הנסקר. סטנדרטיזציה היא סיבה נוספת להגדיר נהלים והנחיות בארגון.

קיימות סיבות נוספות (לבד מהרגולציה) להגדרת נהלים בארגון, כגון יעילות וסטנדרטיזציה, המשכיות עסקית, בקרה תהליכית (סיכון למעילות/גניבות), יכולת של ההנהלה לבצע שינויים, מערך הדרכות אפקטיבי, שימור ידע וכדומה.

עם זאת, אנו עדים למצבים רבים שבהם עובדים אינם מקיימים נהלים, למרות הסיכון הטמון באי עמידה בהם.

הסיבות לאי ציות לנהלים

כאשר מנתחים את הסיבות לאי היענות לנהלים בארגון, ניתן להצביע על העיקריות בהן (הסיבות יוסברו בלשון יחיד אך הן רלוונטיות לעובדים ולנהלים רבים):

• חוסר הכרה של הנוהל או הדרישה – העובד כלל אינו מודע לנוהל – לא עבר הדרכה מסודרת, הנוהל לא הובא לידיעתו כשהתקבל לעבודה או כשאושר, לא הוענקה לו הרשאה לצפות בנוהל במערכות הארגון וכו'. לעתים ההדרכה אינה מעודכנת או תואמת להנחיות ולעתים מתודולוגיית ההדרכה אינה מותאמת לאוכלוסייה המודרכת. כך נוצר מצב שבו הארגון אמנם משקיע בפיתוח מערך הדרכה ותקשורת לעובדים, אך בסופו של יום העובד אינו מודע לנוהל.
• חוסר הבנה של הנוהל – הנוהל לא הוסבר לעובד בשפתו או במונחים ברורים לו (הנוהל נכתב בשפה שאינה שפת האם של העובד, הנוהל נכתב בשפה משפטית, וכו'). אנו עדים לכך גם בבואנו לקרוא חוזה אחיד של גופים גדולים (בנקים, חברות תקשורת וכו'). בחוזים כאלה הניסוח מובא באופן משפטי שלרובנו קשה להבינו מבחינה מהותית.
• העדר דוגמה אישית – המנהל אינו מקיים את הנוהל, ומכאן מסיק העובד כי אין חובת קיום של הנוהל (מכונה באנגלית – tone at the top).
• הגדרת אחריות לא ברורה – העובד חושב שהנוהל לא תופס לגביו (הנוהל אינו מגדיר מי אחראי על מה, לא ברור מהו חלקו של העובד ביישום הנוהל). לעתים הנוהל מגדיר אחריות צוותית, אולם בתוך הצוות אין חלוקת אחריות לעובד. ומכאן שלעתים גם הגדרת אחריות לפי פונקציות אינה מספקת (אם מונו מספר עובדים לאותו תפקיד, לדוגמה: מנה"ח, מחסנאי וכו').
• העדר אכיפה – העובד מודע לכך שאי קיום הנוהל לא ייאכף. מאפיין זה ניכר יותר כאשר ההנחיות אינן בנות אכיפה כלל (בחלק מהמקרים הן הוגדרו כדי לצאת ליד חובה). מניסיוני הצבאי אני זוכר כי נאמר לנו בהכשרות הפיקודיות כי מפקד איכותי הוא מפקד שהנחיותיו נעשות ללא נוכחותו (כפי שאנו נוהגים לומר: רוח המפקד). המעביד אינו יכול לאכוף ולנטר כל הנחיה, שהרי תהיה לכך עלות עצומה. לכן, אם עובד אינו מקפיד על נהלים מאחר שהוא יודע שלא ייאכפו, המעביד צריך לבחון כיצד להגביר את היענות העובדים מטעמים הקשורים למוטיבציה/הזדהות/הבנה, ופחות מתוך סמכות.
• ההנחיות ארוכות או מפורטות מדי – העובד אינו יכול להפנים מידע כה רב (כמו שאומרים: מרוב עצים לא רואים את היער). יש נהלים בפורמט טכני שעונים על דרישות ה-QA, אך אינם מכילים תצורה המאפשרת למידה. במקרים אלה יוצרים בארגון מערך הדרכה לנהלים באופן נפרד. במקרים רבים, מערך ההדרכה אינו מעודכן או אינו תואם את דרישות הנוהל (בגלל הכפילות). כאשר אנחנו מפיצים נוהל הכולל תהליכים רבים לגורמים רבים, העובד הבודד אינו מאתר את החלק הרלוונטי אליו, וכך הנוהל מאבד מהאפקטיביות שלו.
• שינויים תכופים – כאשר הנהלים משתנים לעתים תכופות, העובד אינו יכול לעקוב אחר קצב השינויים ומבצע את ההנחיות שאליהן הוא רגיל.

השלכות חוסר הציות

בשנה שעברה דווחו בישראל 54 מקרים של מוות כתוצאה מתאונות עבודה. מספר זה אינו גבוה ביחס לאוכלוסייה, אך כאשר מנתחים את הענפים שבהם התרחשו האסונות, נמצא כי ענף הבנייה מוביל עם למעלה מ-30 מקרים. במקרה זה הסטטיסטיקה כבר מציבה את ישראל במקום גבוה (ברמת הענף). מניתוח מקרים אלה אנו רואים כי רובם מתייחסים לתאונות של עובדים זרים. קצב הגידול של תאונות עובדים זרים עלה ב-12% לשנה. נתון מדאיג בפני עצמו.

למרות קיומן של הנחיות מפורטות בכל הנוגע לבטיחות העובדים, בחלק מן המקרים ההנחיות לא בוצעו על ידי העובדים.

נתון מדאיג נוסף שדווח על ידי משרד הבריאות הוא שבישראל כ-5,000 חולים מתים מדי שנה מזיהומים. מעיון בניתוח הסיבות המרכזיות לכך, ניתן להבחין באי שמירה על היגיינה של הצוות הרפואי (לדוגמה, שטיפת ידיים לפני הטיפול).

ברור כי טובת החולה היא הראשונה במעלה לכל רופא. לפיכך נראה תמוה מדוע חולים רבים כל כך נפגעים מזיהומים כתוצאה ישירה מהצוות המטפל. אולם אם מנתחים את הסיבות לכך, אפשר לראות כי חלק מהרופאים טוענים כי אין באפשרותם לשטוף את הידיים בתדירות הנדרשת, לאור הכמות הרבה של החולים  שבהם הם צריכים לטפל.

לאי ציות לנוהלי הארגון או למדיניות הארגון, בין אם הוא נגזרת של חוק או תקנה ובין אם הוא חלק מהקוד האתי הארגוני, יש השלכות מרחיקות לכת על הארגון בכלל ועל החברה (הלקוח/העובד/הספק) בפרט.

אי ציות יכול לגרום לפגיעה חמורה במוניטין הארגון, ויכולות להיות לכך השלכות כלכליות משמעותיות (אם באמצעות פרסום שלילי, תביעה משפטית, ירידה במחיר המניה וכו').

בנוסף, אי ציות ארגוני הוא מדד בסיסי ליכולת ההנהלה לנהל את הארגון, ליישם החלטות, לנתח שינויים ועוד.

אם הארגון מעוניין לבצע שינויים במבנה האחזקות (למשל, גיוס הון/הנפקה/הוספת שותפים), אחד המדדים החיוניים שהארגון יימדד בהם הוא הציות הארגוני. כאשר יובן כי לארגון אין את היכולת לאכוף את ההנחיות, תהיה לכך השפעה על קבלת ההחלטה של המשקיע לקדם את העסקה.

פתרונות לשיפור מידת הציות

אם כן, מהם הפתרונות שניתן להציע כדי לאפשר לעובדים לעמוד בנוהלי הארגון?

• נוהל צריך להיות פרקטי, ברור, מתאים לשפתו של העובד (לרבות שפה מקצועית). ניתן לבחון האם הנוהל ברור באמצעות שיתוף של העובדים בכתיבתו, עריכת פיילוט, מבחן וכו'.
• בצעו ניטור לגבי העובדים שהשתתפו בהדרכה לנוהל, וחייבו את כלל העובדים להשתתף בהדרכה.
• גזרו גזירה שווה בין עובדים ומנהלים לגבי האכיפה. נאה דורש – נאה מקיים. אגב, ישנם ארגונים המפרסמים לכלל העובדים סטטיסטיקה (ללא שמות) של מחלקות שלא עמדו בנוהלי הארגון.
• בדקו את אפקטיביות ההדרכות של הארגון. אם ההדרכות ב-WEB או ב-E-LEARNING אינן אפקטיביות, שקלו הדרכות F2F. ניתן להפריד במתודולוגיית ההדרכה לפי מחלקה/סיכון. כלומר, במחלקות שבהן הסיכון רב יותר, שקלו לבצע הדרכות פרונטליות בתדירות גבוהה יותר.
• הרתעה יכולה לסייע רק אם היא מותאמת לארגון. הרתעה משתמעת (בעלת פן ענישה/אכיפה רחב יותר) אפקטיבית הרבה יותר מהרתעה ספציפית. כאשר מיישמים מודל של הרתעה ספציפית, העובד מבצע שיקול של עלות מול תועלת. לדוגמה: איחור של שעה לעבודה – יגרור קיזוז של שעת עבודה. במקרה של הרתעה משתמעת, ארגון יכול לציין כי איחור של עובד יכול לגרום לעיכוב בתוספת שכר, לירידה בציון ההערכה השנתית, לקיזוז בונוס וכו'. גם אם ההתרעה אינה מיושמת במלואה, מחקרים מוכיחים כי החשש ל"קנס" גבוה עדיין אפקטיבי יותר מקנס ספציפי/קבוע.

נקודה למחשבה ולסיכום

תחום הציות (COMPLIANCE), או כפי שישראלים רבים קוראים לו – "היענות להנחיות", נחקרי במגוון אספקטים, לא רק בהיבט של ציות עובדים לנהלים.

אחת הבעיות המרכזיות ביישום של תכנית ציות ( COMPLIANCE PROGRAM) היא שהארגון מנסה לכסות 100% מהמקרים באמצעות סטנדרט אחד. הבעיה העיקרית היא שהארגון מתעלם מעיקרון שנקרא לו – 1:98:1.

העיקרון קובע כי ישנו אחוז מסוים של אנשים שבכל מקרה ימלאו אחר הדרישות (גם אם אין נוהל כתוב, אין אכיפה, אין ענישה וכו').

אחוז אחד של האנשים לעולם לא יקיים את ההוראות (גם אם הענישה תהיה לא מידתית).

יתר האנשים (98%) יקיימו או לא יקיימו את ההוראות בנסיבות מסוימות. הנסיבות תלויות ברמת הבקרה, ברמת האכיפה, ברמת החניכה/ההדרכה, בהזדהות עם הארגון וכו'.

כאשר הארגון מנסה להגדיר הנחיות שיכסו את האחוז שבכל מקרה לא ימלא את ההוראות, הוא יוצר תהליך בירוקרטי (במובן הרע של המילה) מסורבל. תסכול של יתר ה-99%, יפגע ביכולת לנטר את התהליכים המרכזיים (מאחר שיש יותר מידי בקרות) וכו'.

בכך תהליך ההיענות לנהלים הופך ללא ישים.

בבואנו להמליץ על תהליך מבוקר יותר ויעיל יותר, כדאי שנסב את תשומת לבנו להשלכות של יישום התהליך בארגון.

The post ההנחיות שלא קראתי – הגורמים לאי ציות לנהלי הארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.