מאת: Jane Seaqo – כותב מקצועי

ה"אינטרנט של הדברים" מעמיד את המבקרים הפנימיים בפני סיכונים שלא ניתן להכיל בקלות

לפי מקורות שונים, עד שנת 2020 הכמות הכלל עולמית של מכשירים בעלי יכולת להתחבר לאינטרנט תנוע בין 26 מיליארד (גארטנר) ל-50 מיליארד (סיסקו). בשני הקצוות של הטווח הזה, המספר הוא מדהים. ניכר כי כוחות השוק, ובהם זמינות גוברת של האינטרנט, עלויות חיבור נמוכות, שימוש נרחב בענן, מספר עולה של מכשירים בעלי יכולת חיבור לרשת והעלות הפוחתת של הטכנולוגיה, יצרו יחד את הסביבה האידיאלית ל"אינטרנט של הדברים" (the Internet of Things – IoT).

ההשפעה של ה-IoT כבר ניכרת. מגמה טכנולוגית רווחת זו, שמוגדרת על ידי ג'ים טאלי, מנהל המחקר בנושא IoT בחברת המחקר והייעוץ גארטנר בלונדון, כ"רשת של חפצים פיזיים שמשובצת בהם טכנולוגיה המאפשרת להם לזהות ולהתקשר עם סביבתם כדי לייצר תועלת עסקית", היא חלק בלתי נפרד מחיינו (ראה להלן "דוגמאות ל-IoT"). חסידי ה-IoT משבחים את הנוחות, המהירות, ההתאמה לפרט ופשטות השימוש הגלומות בו. עסקים מהללים את ה-IoT בשל ההזדמנויות שגלומות בו בהיבטים של חיסכון בעלויות, בטיחות, יצירת הכנסות ואיסוף מידע.

עם זאת, יש שמכירים בכך שלהשלכות של מיליארדי החיבורים הללו ויתרונותיהם, רבים ככל שיהיו, יש צד אפל: סיכוני אבטחה, אובדן הפרטיות ואובדן היכולת של אנשים לשלוט בחייהם. קנת' מורי, מנהל חברת Stronghold Solutions International והמבקר לשעבר של העיר אוסטין, טקסס, טוען כי "הסיכונים העתידיים שגלומים ב-IoT הם משמעותיים הרבה יותר מהסיכונים הקיימים כיום. לרגישויות החדשנות האלו יש השלכות קשות בתחומים של אבטחת מידע ואבטחת סייבר".

למבקרים פנימיים יש סיבות אחרות לתהות לגבי המשמעות של ה-IoT עבור הארגונים שלהם. ייתכן כי יידרשו להעניק ייעוץ להנהלה לגבי התועלת והיתרונות התחרותיים שה-IoT יכול לספק להם. עם זאת, עליהם גם לפקח על הסיכונים החדשים שנובעים מכך והבקרות המפצות הנדרשות. הם אינם יכולים להרשות לעצמם להסתמך על ההנחה כי הגורמים הקבועים יישארו קבועים. בדיוק כפי שגאות עולה מגביהה את כל הסירות, כך ההתפתחות המהירה של ה-IoT מובילה לאבולוציה מהירה של הסיכונים. על המבקרים הפנימיים להיות קשובים לשינויים אלה ולהיערך בהתאם על מנת שיוכלו לוודא שהארגונים שלהם מעודכנים.

מערך של סיכונים

מעטים חולקים על כך כי קישוריות היתר של ה-IoT כרוכה בחשיפה לסיכונים. עם זאת, קיימים חילוקי דעות ביחס לאופי הסיכונים האלה.

יש שמתייחסים לסיכונים האלה במונחים אפוקליפטיים. הם מאמינים כי כאשר פעילויות יומיומיות מנוטרות ואנשים מייצרים מידע באופן רציף, היכולת ליצור פרופילים ולכוון למטרות ספציפיות תגדל ותוביל לקשיים גוברים בהיבטים חברתיים, כלכליים ופוליטיים. הם טוענים כי ישנו צורך לייצר עבור האנשים דרכים להתנתק מהרשת, להפסיק לשלוח ולקבל מידע. טאלי מביע סקפטיות לגבי היכולת להתנתק מהרשת: "ה-IoT נמצא בכל מקום", הוא טוען, "אין דרך להתחמק ממנו לגמרי".

עם זאת, קיימות דעות אחרות, פרגמטיות יותר, ביחס לסיכונים הגלומים ב-IoT: הפסדים כספיים המשפיעים על הרווחיות (האקר מצליח לפרוץ למד חשמלי וגונב אנרגיה), הפרעות לעסקים (בעקבות מתקפות מונעות שירות), אובדן היתרון התחרותי (מתקפות מכל סוג שהוא על ידי מתחרה עסקי), מהפכות או אי-סדר שלטוני (תעמולה או "האקטיביזם"), ואף אובדן חיים (נזק לקוצבי לב או לציוד חדרי ניתוח בבתי חולים). מורי מצביע על סיכון אחר, אובדן של נתח שוק, שמתרחש כתוצאה מ"כישלונו של הארגון לאמץ את ה-IoT ולנצל את ההזדמנויות והתועלת שיכולות לצמוח ממנו".

מורי מתייחס לסיכון החיובי של ה-IoT, נקודת מבט שלעתים מתעלמים ממנה במסגרת החשש המוצדק מפני סיכוני האבטחה והפרטיות. אך יש סיבה לכך ששוק ה-IoT מתרחב במהירות, על אף הסיכונים המובנים: הוא מספק תועלות, שלטעמם של פרטים ועסקים רבים, גוברים על הסיכונים הכרוכים בו. לקוחות מעריכים את האופן שבו מכשירי IoT הופכים את חייהם לקלים יותר על ידי צפייה מראש והתייחסות לצרכים ולהעדפות שלהם (לדוגמה, התאמה אוטומטית של טמפרטורת הבית בהתבסס על התנאים בבית ולוחות הזמנים של המתגוררים בו; הכנת כוס קפה בהתאם לטעמו  המדויק של הפרט, והיכולת לנטר את סטטוס ההכנה מרחוק). עסקים שמשתמשים במכשירי IoT במסגרת התהליכים הפנימיים שלהם, או שעובדיהם משתמשים במכשירים כאלה, יכולים ליהנות מיתרון תחרותי על פני מתחרים בעלי זיקה נמוכה יותר לטכנולוגיה, מחיסכון בעלויות באמצעות ייעול וניטור בזמן אמת, קשר אישי ומיידי יותר עם לקוחות, והחזר גבוה יותר על ההשקעה שלהם בשיווק באמצעות מסרים שיווקיים מדויקים יותר המכוונים לקהלים ספציפיים. חברות שמייצרות מכשירי IoT צפויות לראות עלייה בהכנסות כתוצאה מעלייה בדרישה, ואף עשויות לאתר הזדמנויות ליצירת קווים עסקיים חדשים. כולם, פרטים ועסקים כאחד, ירוויחו מההתמקדות הגוברת באבטחת סייבר (וכן, כפועל יוצא מכך, מהאימוץ של סטנדרטים מקובלים ומאמצים עסקיים לזכות באמון הלקוח) שמכשירי ה-IoT ייצרו.

בין אם הסיכון הוא חיובי או שלילי, מדובר בסוגיה מעשית שהביקורת הפנימית צריכה להיות פעילה בזיהוי, הערכה ושיכוך הסיכונים. סטיבן באב, דירקטור ויועץ עצמאי בפירמת Newton Leys Consulting Lts. שבאנגליה, טוען כי ייתכן שההנהלה אינה מודעת באופן מלא לסיכון, אולי משום שהוא אינו מוסבר במונחים עסקיים, וכי המדיניות עוד לא כוללת הגדרה של השימוש ב-IoT. "באופן טיפוסי, ה-IoT נכלל כחלק מאבטחת הסייבר, נושא שזוכה לחשיפה ניהולית גוברת, אך ניתן לעשות יותר בעניין", לדבריו. "כמו כן, ה-IoT מכסה נושאים שבאופן טיפוסי אינם נופלים בתחומם של מחלקות אבטחת המידע".

קורבין דל-קרלו, דירקטור ביקורת פנימית, אבטחת IT ותשתיות בחברת Discover שבאילנוי, מצביע על קבוצה מקצועית נוספת שעליה להתעסק בניהול סיכוני IoT: מפתחי תוכנה (מתכנתים). "הרבה מתכנתים מתמודדים באופן קבוע עם מערכות סגורות", הוא אומר. "ייתכן שהם אינם מודעים למשמעות של הקישוריות. כקו הגנה שלישי, מבקרים צריכים לשוחח איתם ולהביא לתשומת לבם את הסיכון".

לשפוך אור על הסיכונים

בעבור באב, תפקידה של הביקורת הפנימית ביחס ל-IoT "קשור כולו לנראות וסיכון – לסייע לצוותי ניהול סיכונים להדגיש כי הסיכון הוא אמיתי, לכמת את החשיפה ולהביאה לתשומת הלב של ההנהלה", הוא אומר.

גם דל-קרלו טוען טיעונים דומים. "עלינו לקרוא תיגר על נשאים של איומים", הוא מסביר. "עלינו להיות ערוכים להמליץ על פעולות שיכולות להביא לשיפור האבטחה. עלינו להיות מוכנים לשאול שאלות על איומים שקשורים לספקים". דל-קרלו מוסיף כי סביר להניח שספקים אינם מייצרים לבדם את המכשירים שהם מספקים. הוא מטיל ספק בכך שספקים יודעים מי הם הגורמים שמייצרים את החלקים שנרכשים כחלק משרשרת האספקה שלהם. "האם הם בודקים את החלקים האלה על מנת לוודא שהם עומדים בדרישות האבטחה שלנו?" הוא שואל.

פיטר רייס ג'נקינס, ארכיטקסט פלטפורמת Watson IoT ב-IBM, מחזק את הצורך באבטחה לאורך כל תהליך הייצור. "אני רוצה שהמקרר שלי יהיה מאובטח באותה המידה שמכשיר ממשלתי מאובטח", הוא אומר.

ארגונים שעושים שימוש במכשירי IoT צריכים שתהיה להם אסטרטגיה להטמעתם בחברה. מ. ג'. ויידיה, מנהל ב-EY באטלנטה, מציין כי למרות שפונקציית הביקורת הפנימית אינה לוקחת חלק בהגדרת האסטרטגיה הזו, "רכיב זה מהותי לכך שניתן יהיה לוודא כי האסטרטגיה מוטמעת בצורה טובה, מנקודת מבט של ניהול סיכונים".

צעד ראשון פרודוקטיבי עבור מבקרים פנימיים בהתייחסותם ל-IoT הוא הערכת הסיכונים שנובעים מהשימוש ב-IoT בארגונים שלהם. הסיכונים שונים בין חברה לחברה, כתלות במערכות ה-IoT הקיימות בעסק והתהליכים העסקיים שבהם הן תומכות. לאחר שזיהוי הסיכונים הושלם, הביקורת הפנימית יכולה לוודא כי קיימות בקרות ממגרות-סיכונים מתאימות, הפועלות ביעילות ולוקחות בחשבון את ההקשר שבו פועלות מערכות ה-IoT.

בבחינת ההקשר כאמור, חשוב לזכור שדבר אינו מתקיים בריק. דל-קרלו מספר על מקרה שאירע בשנת 2015 בכנס "הכובע השחור" בארה"ב (העוסק באבטחת מידע), במסגרתו האקרים קיבלו על עצמם אתגר להשתלט מרחוק על רכב שהיה מחובר לאינטרנט. הגישה שלהם הייתה פשוטה יחסית. יצרן הרכב לא הטמיע הגנה באמצעות סיסמה על הרכיבים במערכת השמע של הרכב שהיו מחוברים לאינטרנט. "המעצבים חשבו שמערכת השמע של הרכב אינה כרוכה במידע רגיש, ולכן לא ראו צורך באבטחתו", מסביר דל-קרלו. "הם צדקו לגבי מערכת השמע עצמה, אך נקודת הגישה שבמערכת זו אפשרה חדירה לשאר חלקי הרכב". ההקשר הוא הכול.

תחומי פעילות

התמודדות עם האתגרים הקשורים ל-IoT היא אתגר עצום שדורש עבודת צוות כלל-ארגונית. עם זאת, אפילו המסעות הארוכים ביותר מתחילים בצעד ראשון, וברוח זו – קיימות מספר פעולות ראשוניות שדרכן הביקורת הפנימית יכולה לגשת לנושא.

זיהוי מדיניות

כאשר מתייחסים לנושאים הקשורים באבטחה בארגון, אחד הצעדים הראשונים הוא לקבוע האם קיימת מדיניות והאם היא עדכנית. אין הרבה ארגונים שיש להם מדיניות ספציפית בנושא IoT, אך רבים מתייחסים לנושא במסגרת מדיניות ה-BYOD ("Bring your own device" – "הבא את המכשיר האישי שלך") שלהם. באב מסביר שלרוב, מדיניות BYOD מכסה רק כמות מצומצמת של מכשירים שנכנסים בקטגוריית ה-IoT. הוא מוסיף כי "הרבה מהמכשירים מגיעים דרך העובדים, אך כמות לא פחותה של מכשירים נרכשו על ידי הארגון. מתוכם, רבים ייפלו מחוץ לגבולות הגזרה של מערכות המידע והאבטחה בארגון, כך שהסיכונים הגלומים בהם עלולים להישאר חבויים".

מורי מוסיף כי למעסיק הקודם שלו (העיר אוסטין שבטקסס) לא הייתה מדיניות-על שבמסגרתה ניתן להתייחס ל-IoT, אבל הייתה מדיניות שהתייחסה לשימוש בכוננים ניידים, החסנים ניידים (מכשירי דיסק און קי) ומכשירים ניידים אחרים כגון טלפונים ומחשבים ניידים.

מגבלות האבטחה של ה-IoT מציבות בפני הביקורת הפנימית הזדמנות לשחק תפקיד משמעותי באמצעות עבודה עם צוות אבטחת הסייבר ופונקציות ה-IT, הייעוץ המשפטי והשמירה על סודיות ומתן ייעוץ בעניין פיתוח מדיניות IoT. יהיה צורך לבחון ולעדכן נהלים קיימים ביחס לשימוש בסיסמאות, בטלאי תוכנות ובניטור מערכות כך שניתן יהיה לשבץ את סוגיית ה-IoT במסגרתם. עוד ייתכן שיהיה צורך בנהלים חדשים או עדכניים בעניין סגמנטציה והרשאות גישה. יש צורך להבהיר מהם המכשירים והשימושים המותרים, ולזהות בבירור את ההשלכות לא רק עבור העובדים אלא גם עבור שותפים עסקיים, ספקים ולקוחות בעלי חיבור לרשת של החברה.

בדיקת מצאי

קשה לאכוף מדיניות IoT ללא הבנה ברורה של כמויות וסוגי מכשירי ה-IoT הקיימים בארגון. באב ומורי מסכימים כי סביר להניח שרשימות מצאים, אם קיימות כאלו, לא יציגו את התמונה המלאה. ייתכן שחלק מהרשימות מכסות מכשירים שהארגונים קנו, אך לא יכללו את המכשירים הצרכניים שמביאים איתם העובדים למקום העבודה.

לאחר שהושג המידע הנדרש ביחס למצאי, ניתן להטמיע בקרות מתאימות. החברה של דל-קרלו, "דיסקאבר", שמה בעדיפות גבוהה את ההגנה על הרשת שלה. "יש לנו איסור כללי נגד מכשירים שאינם מטעם החברה", הוא אומר. "אנו לא מאפשרים להם להתחבר לרשת שלנו. יש לנו רשת 'אורחים' שאליה אנשים יכולים לחבר את המכשירים הפרטיים שלהם; כל שיוכלו להשיג באמצעות רשת זו הוא גישה לאינטרנט". דיסקאבר אף מתקינה תוכנות הדמיה בעלות מערכת הגנה היקפית קפדנית על המכשירים שהיא מספקת על מנת למדר מידע. מחשבים ניידים מוצפנים וניתן לבצע מחיקה של המידע עליהם בשליטה מרחוק. למרות זאת, מציין דל-קרלו, "מדי יום, בקרות אלו חוסמות מאות ניסיונות חדירה של תוקפים ברמות תחכום שונות. ללא מוכנות מתמדת למתקפות, יש סבירות נמוכה שארגון יוכל לעצור כל אחד מניסיונות התקיפה האלה".

 חינוך ההנהלה

בלי קשר למידת המודעות של ההנהלה לסיכוני IoT, נראה כי קיים קונצנזוס ביחס לעובדה שתוספת בהיבט החינוכי תועיל לארגונים. מורי טוען כי לעתים ההנהלה מודעת למונחים הכלליים שעומדים מאחורי ה-IoT, אך אין לה הבנה מעמיקה די הצורך של ההזדמנויות והאיומים הגלומים בנושא. לטעמו, לביקורת הפנימית יש תפקיד ברור והוא לסייע להנהלה להבין את הסיכונים ולנהל אותם.

ויידה מסכים כי חינוך הוא חשוב, "החל מרמת הדירקטוריון ועד לרמה הטקטית, לא רק בתחום ה-IT, לא רק בקרב מנהלים, לא רק ברמת פיתוח המוצר ולא רק ברמת הייצור, אלא לכל רוחבו של הארגון".

בחינת האבטחה

ג'נקינס מונה מספר שלבים בסיסיים אך הכרחיים שמבקרים יכולים לבחון. "ביחס להרשאות, כאשר מכשיר חדש מצטרף לענן בפעם הראשונה, יש לוודא שהמנגנון שבאמצעותו התבצע החיבור הוא מוצפן". הוא גם ממליץ לוודא כי הענן עצמו מאובטח, הסיסמאות המוצפנות שמורות הרחק מנתוני ההזדהות הקשורים אליהן, ושהנתונים שזורמים מהמכשירים ואליהם מוצפנים. ג'נקינס מוסיף: "עדכוני תוכנה ישירות דרך הרשת (‘over-the-air’) נחוצים על מנת לשמר את עדכניות המכשיר. ודאו כי תהליך זה מתבצע באופן מאובטח".

השגת שליטה ב-IoT

נראה כי לא ניתן לדון ב-IoT בלי להזכיר את הסיכונים הכרוכים בנושא. אך טאלי מדגיש כי לא מעט מכשירי IoT משמשים לאבטחה. הם קיימים על מנת להפחית סיכונים. "ניקח לדוגמה סנסורים מבניים בגשרים", הוא מציין, "סנסורים אלה מזהירים מפני משקלים גבוהים מדי ולחצים. הם מחוברים למערכות בקרת תנועה שיעצרו את התנועה מלעלות על הגשר. חיישני פחמן חד-חמצני המחוברים לרשת פועלים באופן דומה. כל מטרת השימוש בהם היא הפחתת סיכונים".

אך מרבית העוסקים בתחומי הביקורת הפנימית ואבטחת המידע עשויים לטעון כי מטרת המכשיר אינה מדאיגה אותם, אלא החיבוריות שלה והיעדר האפשרות לאבטח באופן מוחלט את הארגון, את נכסיו או את האנשים המשתמשים במערכות שלו. דל-קרלו מסכים, אך אינו נותן לחשש זה לעצור אותו. "אנחנו לא יכולים פשוט לוותר. אני עובד עבור בנק. אנחנו נמצאים היכן שהכסף נמצא – במלוא מובן המילה. עלינו להקפיד על רמת האבטחה הגבוהה ביותר".

אם כן, האינטרנט של הדברים מהווה עבור מבקרים פנימיים הזדמנות לקחת על עצמם תפקיד שבדרך אינו אופייני להם: סנגוריה. הם יכולים לעמוד לצדם של משתמשים אישיים וארגוניים של מכשירי IoT. "הטמעת אבטחה בתוך מכשירי IoT היא משימה קשה ותובענית אך חיונית", אומר ג'נקינס. "החברות שמייצרות את המכשירים טוענות שהן עומדות במשימה בהצלחה. אך האם כך הדבר? תפקידם של המבקרים הפנימיים הוא לגרום להם להוכיח זאת".

The post עולם של חיבורים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

1. לכולם נדמה שהם מכירים את הנושא.
2. למי שנדמה שמכיר, לא תמיד נדמה שכדאי להמשיך לקרוא.
3. לך תוכיח (במקרה הזה אני) שאין לך אחות שקוראים לה ביקורת פנימית או סקר סיכונים או סוקס או סקר הונאות ומעילות או התאוששות מאסון רעידת אדמה ותרחישי אימה אחרים.
4. כל אחד בטוח, ובצדק, שהוא מנהל את הסיכונים שלו.

איך מצמצמים את הסבירות לכך שלא תקראו?

כותבים מהלב.

מתי לאחרונה שאלתם את עצמכם מה עלול למנוע ממני לעמוד ביעדיי?

תהליך ניהול סיכונים ארגוני נועד להטמיע תהליך שיאפשר לכל מנהל לבחון באופן שוטף באילו מקומות הוא עלול להגיע לתוצאות שונות מהמתוכנן. להכריח אותו להביט ביעדים, ולבדוק בשיטתיות מה עלול למנוע ממנו להשיגם.

תהליך ניהול סיכונים ארגוני מתמקד בנושאים השוטפים המעסיקים ארגון, בנושאים המאפשרים לו לעמוד בתוצאות ולשמור על המוניטין שלו, ובעיקר בנושאים שהיכולת לנהל אותם בידיו, כגון שביעות רצון הלקוחות, איכות המוצרים, הסביבה הפיננסית, מתחרים, תמיכת  מערכות המידע ועוד – כל מה שקריטי להצלחה.

מנכ"ל שבחר להטמיע את תהליך ניהול הסיכונים אמר: "אנחנו נטמיע ניהול סיכונים ארגוני, כי יש כסף על הרצפה". וזה כל הסיפור: ניהול סיכונים ארגוני "מרים כסף" מהרצפה או מונע ממנו להישמט.

איך עושים זאת?

בשיטתיות, בהסדרת תהליך בתדירות קבועה, ובכלים מקצועיים שיהוו קטליזטור להגברת השיח בסוגיות אלו וליצירת ערך לארגון.

איינשטיין אמר "לא נוכל לפתור את הבעיות עם אותה שיטת חשיבה שבה יצרנו אותן". כלומר אם נוצרו סיכונים, ניהול הסיכונים הארגוני מציע לחשוב אחרת על אופן ניהולם.

החשוב לצד הדחוף (הן אנחנו יודעים מי מנצח)

ניהול סיכונים ארגוני הוא כלי נוסף לארגון, לצד אסטרטגיה, מדדים ותכניות עבודה. הוא הדבק – החוליה המקשרת. התהליך מסייע לארגון קודם כל לראות תמונה כוללת, כל מנהל ועובד עושים את המיטב בתחום אחריותם, ועדיין קיים הכרח לראות את הדברים במבט-על ,לדבר בשפה אחידה, לאתר, למדוד ולהחליט כיצד לפעול בנושאים שיוגדרו כמהותיים. ומכאן שמדובר בתהליך שמשפיע משמעותית גם על חלוקת תקציבי השקעות, וכל כך בתבונה על בחירת הנתיב לקשב הארגוני.

ניהול ארגון הוא כמו ג'אגלינג עם אלפי כדורים ואלפי ידיים, כאשר כל אחד עסוק בלהבטיח שהכדורים שבטווח הראייה שלו לא ייפלו. אך מי רואה את סך הכדורים שנופלים? ומי רואה את כל הכדורים שבאוויר בזמן נתון? ומי רואה אם יש כדורים זהים שכל אחד מעיף למקום אחר בקצב אחר? ומי רואה כדורים שעפים מבחוץ ומי אוסף כדורים מהרצפה?

ניהול סיכונים ארגוני זה לראות מלמעלה את כל התמונה

זהו תהליך פרואקטיבי ושיטתי המתמקד בהצגת חצי הכוס הריקה; באופן שבו כלל הסיכונים "מונחים על השולחן" ומתועדפים, וגורמי הסיכון מנותחים על מנת לתקן את שורש הבעיות באופן שהארגון ילמד מטעויות  ויצמצם את הסבירות לחזור עליהן.

מנכ"ל שמחליט להטמיע את נושא ניהול הסיכונים בארגון שבראשו הוא עומד, מחליט למעשה להכניס תהליך שמחייב את הארגון לעצור מפעם לפעם ולוודא שתהליכי העבודה שלו, מערכות המידע שלו, העובדים, כולם תומכים ברגע נתון בהשגת היעדים ולוקחים בחשבון את כל מה שניתן לחזות שישפיע על התוצאות מחוץ ומבית.

ניתן לבחור את הדרך. זה מודולרי. זה כמו כל יחידה אחרת שלא היינו מוותרים עליה בארגון. זה חלק מאורח החיים ולא דומה לגוף ביקורתי או לסקר. מדובר באחריות ישירה. בקו ראשון של הניהול עצמו.

תהליך ניהול סיכונים ארגוני מסייע להניח על המפה סיכונים, נושאים, תהליכים או פרויקטים שההנהלה החליטה שעלולים למנוע מהארגון להשיג את יעדיו, רווח, מוניטין, הכנסות, מוצרים, שווקים, חוקים ותקנות, וכמובן שניתן להוסיף או לגרוע מרשימה זו.

התהליך עוזר, שלא לומר מכריח, לאתר:

תהליכים שאינם שלמים.

תהליכים-נושאים חוצי חברה (ללא גורם אחראי מתכלל – נושאים יתומים).

נושאים שנותרים משנה לשנה בתכניות העבודה.

חלומות שחלמנו ולא קל להגשים.

תחזיות שנתנו בעל כורחנו ואין בידינו להשיגם.

פרויקטים שגדולים הרבה יותר ממה שהנחנו.

פרופ' כהנמן, זוכה פרס נובל לפסיכולוגיה וכלכלה, מספר שכדי לגרום למנהלים בחברת סטארט-אפ לחשוב מה עלול למנוע מהם להצליח, הוציאו אותם מחוץ למשרדים שלהם למרחב אחר, ורק אז הם נשאלו: נניח שעברו חמש שנים והסטארט-אפ נכשל, מה היה יכול להכשיל אותו? רוב האנשים מאוד מאמינים במה שהם עושים ומאוד קשה להם להניח שהדברים לא פועלים או לא יפעלו כפי שהיו רוצים. ניהול הסיכונים שואל שאלות כאלו.

כדי להטמיע את התהליך נדרשים: שפה אחידה, הליך מובנה שמאפשר שקיפות אובייקטיביות, וקטליזטור לחשיבה עמוקה ולטיפול בחשוב ולא רק בדחוף. יש צורך לשקול ולהחליט: מהו סיכון מהותי? איך מודדים אותו? איך אפשר להפחית אותו? מה עלול לקרות וכמה זה משמעותי? מי מטפל ואיך? וחוזר חלילה. וכמו באופניים, אסור להפסיק להניע את הפדלים של התהליך הזה.

התהליך מסייע ליצור צוותי חשיבה הטרוגניים, להטיל ספק בפרות קדושות, לבחון שוב או לראשונה סוגיות שוטפות וכשלים החוזרים על עצמם פעם ועוד פעם ועוד פעם.

הרבה לפני בחינת השגת היעדים – KPI – תהליך הנהוג במרבית הארגונים, נברא כאן תהליך שמסתכל בלבן של העיניים, ורצוי בעיניים של ההנהלה כולה, ושואל: מה הסבירות שנשיג את היעדים שלנו? האם אכן אנו בוחרים לעשות משהו? מי אחראי על זה ומתי? וכן, מול תהליך הניהול הקיים, שעיקרו תוצאתי ואינו מבוסס סיכונים, זה מרגיש סוג חדש של נביא בעירו.

זה נשמע כל כך פשוט, כולנו כל כך בטוחים שאנחנו עושים את זה כשגרה, ולמרבה הפלא, לא! למה לא? כי זה נגד הטבע האנושי. כי זה לא כיף. ולכן נולדה השיטה והססמה המאוד נכונה: "קשה באימונים קל בקרב".

אנחנו שונים זה מזה

נניח שהייתם מכנסים בחדר אחד את הנהלת החברה או החטיבה, ושואלים את המנהלים את השאלות הבאות:

מה זה ניהול סיכונים?

מה זה סיכונים תפעוליים?

מהם חמשת הנושאים התפעוליים שעלולים למנוע מהארגון להשיג את יעדיו בשנת 2017?

מי אחראי על כל אחד מהם?

מה תהיה עוצמת הנזק?

מהם היעדים העקרים שלא הושגו בשנה הקודמת?

אילו תהליכי הפקת לקחים בוצעו? מה מאיים על המוניטין שלנו באופן שבו אנחנו מתנהלים?

מה הנושא הקריטי ביותר למטרת הרווח השנה?

סביר מאוד שכמות התשובות לשאלות אלו תהיינה ככמות האנשים היושבים בחדר.

ואם נמשיך וננסה לתעדף או להגיע לראייה משותפת, סביר מאוד שזה יהיה אתגר מורכב, מפני שכל מנהל רואה את הדברים מזווית הראייה של ניסיונו, של תחום אחריותו, של תפיסת הסיכון שלו, של הראייה התהליכית שלו, של האסרטיביות שלו, של המקורבות שלו, וגם כי כל מנהל יבחר את מידת השקיפות והשיתוף שלו, ומכאן המורכבות.

הסיבה לכך היא שלכל אחד מאיתנו יש התבוננות ותפיסת עולם אחרת על הסבירות להיכשל ועל הסיכוי להצליח ועל מה זה אומר "אני מטפל בזה".

זו ההתנהלות האנושית בתוך ארגון המורכב מאוסף של אנשים. היינו רוצים ליצור תרבות שמשתלבת עם תפיסת ההנהלה לאופן ניהול הסיכונים המועדף עליה… ואז השאלה היא לא אם, אלא איך גורמים להנהלה להגיע לראייה משותפת על התהליכים, המערכות והנושאים המרכזיים שעשויים לפגוע במטרות הרווח, בתוך ניגוד עניינים מובנה, בתוך מרקם אנושי מגוון, בתוך "צרות" היום-יום? ומעל זה – איך מאתרים את גורמי הסיכון הספציפיים כדי לדעת לאן לנתב את המשאבים ואת מה למדוד? 

זאת פריצת תודעה דרמטית, העניין הזה של תהליכי חשיבה מובנים פרואקטיביים ומתוזמנים. זה מוליך מהר מאוד למקום של "איך לא חשבו על זה קודם".

בשבחה של השפה – שפת ניהול הסיכונים

ניהול סיכונים ממציא, יחד עם הארגון, שפה אחידה:

מה זה נושא במפת סיכונים (סיכון)

אילו סוגי ניהול סיכונים רלוונטיים

מה זה אחראי על סיכון

איך מודדים סיכון

מה זאת מפת סיכונים דינמית

מה זה לטפל בסיכון

בחליפה או בג'ינס קרוע?

מנהל סיכונים של ארגון בינלאומי גדול אמר שהטמיע תהליך בלי להשתמש באף אחת מהמילים "האקדמיות", כגון תכניות הפחתה, מדדי התרעה, הערכת סיכון, מתודולוגיה ועוד, אלא החליף אותן במילים יותר נגישות לעובדי הארגון שלו.

כלומר, פחות חשוב באיזו מתודולוגיות ומדיניות נבחר. העיקר שנבחר להסתכל, והעיקר שנבחר לדבר בשפה אחידה ונשאל מה אנחנו צריכים כדי להשיג את היעדים, איך עושים את זה ומתי.

העיקר שנזהה עד כמה שניתן ונשלוט בתוצאה הרבעונית/שנתית של המשאבים שבידינו: אנשים, תהליכים ומערכות. העיקר שנייצר לנו דרך!

כך גם נרצה לבחון את איכות התהליך שלנו. השאלה אינה אילו כלים יש בתזמורת, אלא האם היא מנגנת היטב.

בעברית קלה

בעברית קלה: המשמעות של ניהול סיכונים ארגוני, בין היתר, הוא מינוי גורם אחראי שייצר כלים למנהלים בארגון על מנת לשכלל את יכולתם לאתר סיכונים ולצמצם את השפעתם, כך שיהיה ניתן לייצר תמונה שלמה ורחבה יותר. להבטיח שמנהלים יְפנו זמן בתדירות קבועה, יאתרו סיכונים, ימדדו אותם ויתכננו תכניות להפחתתם והכול בשפה אחידה. התפקיד של מנהל הסיכונים, בנוסף על תפקידיו האחרים, הוא להיות קטליזטור ולחולל אצל מנהלים ועובדים תהליכי חשיבה ברבדים של מה חשוב (מעבר לרבדים של הדחוף).

להוציא לבת היענה את הראש מהחול

תחשבו על מנהל פיתוח ששואלים אותו פעם בחודש מה היעדים שלו ומה עלול להשתבש. מה השתנה בסדרי העדיפויות שלו ואיך זה ישפיע על הלו"ז, איפה יש צווארי בקבוק ואיזה ממשק צריך לשכלל. זה לא בא לנו לבד. אין לנו זמן! וככה עם מנהל הכספים והלוגיסטיקה ומערכות מידע והדוברות, וכל בעל תפקיד משמעותי.

ברור שכולם עושים כמיטב יכולתם. אבל מה עושים? מה הכי קריטי בראייה חוצת ארגון? אולי יש תלות במספר רב של ספקים, ואולי אין מספיק כלים לאתר מה החשיפה המטבעית. אולי אין שמירת מידע ואולי היציאה לשווקים גלובליים לא מתקדמת על פי התכנית. אולי מנהלי הפרויקטים שלנו לא מספיק מקצועיים ואולי אין לנו כלים להעריך ספקים. ואולי – אם לא נפנה לשם מבט… פשוט לא נראה.

לא בא לי

תחשבו, כל אחד בביתו, שמישהו מציע לנו לעצור בכל חודש ולבדוק מה עלול לקרות ומה אנחנו רוצים ויכולים לעשות כדי למנוע נפילות. כמה זה לא קורה לנו באופן טבעי, כמה לא בא לנו לדעת, ועד כמה היינו חוסכים כסף, משפרים את איכות חיינו ולפעמים גם מצילים את חיינו (במונחים של בדיקות רפואיות מקדימות).

לצערי, בסוגיה של בריאות הגעתי לגיל שקופ"ח מכבי מסדרת לי תור, מוותרת לי על הפניה, מתקשרת לקבוע לי תאריך והכול. הייתי רוצה לחשוב שזה נובע מאהבה אליי, אך לא. זה בעיקר מהחוכמה של למנוע את הוצאות הטיפול שעלולות להיגרם בהיעדר גלוי מוקדם. כלומר יש כאן ניהול סיכונים מושכל!

המתנה

תדמיינו חדר ישיבות הנהלה שבו, כמו במסכי הבורסה, נראים כ-20 נושאים/תהליכים/פרויקטים שברגע זה הם מוקדי תשומת הלב העיקריים שלכם, וצבעם אדום-כתום או צהוב בהתאמה, ועל כל אחד ידוע מי האחראי היחיד שלו ומה מקבלי ההחלטות בחרו לעשות ואיך ומתי. אז בינתיים עוד אין כזה מסך, אולי עוד יהיה… אבל

התהליך הזה מניח משקפיים חדשים ופותח זוויות שלא בהכרח נראו קודם לכן.

סיכום: זה כל הסיפור של ניהול סיכונים ארגוני

להכריח לפנות זמן

לייצר תהליכים של חשיבה שאינה באורח החיים שלנו

לתת כלי מדידה אחידים

לייצר שפה אחידה

להצליח לראות תמונה שלמה

זה האתגר, זאת ההבשלה והלמידה, ובהדמיה: להכניס מראה מעל הארגון ולהביט לעצמנו בעיניים

זה רק מוסיף ולא גורע

זה מתאים את עצמו

זה משנה בתוך זמן קצר את השפה, את ההתייחסות ואת המודעות

וכמו אבן קטנה שנזרקת לאגם שקט, האפקט הוא מעגלים רבים שיוצר התהליך, שנוגע בכל ההתנהלות בארגון כמעט באופן מידי.

אם הצלחתם להתחיל ולייצר מפה עם הנושאים הכי קריטיים לארגון, אז אין דרך חזרה. במו עיניי ראיתי הנהלות דנות בנושאים שהיו טאבו, מנהלים מבררים לראשונה איך מתנהל תהליך באחריותם, וגורמים שונים שמשפיעים על אותו תהליך או פרויקט יושבים יחד ומוצאים צווארי בקבוק וסיכונים ופותרים אותם.

הכול לגיטימי – הכול פתוח, הכול יכול להופיע במפה – מהכנסת מערכת מחשב, תהליך שמירת ידע,  השבתת החברה, ממשקים, שביעות רצון לקוחות ועוד. אין פרות קדושות. בכל דבר מוזמנים להטיל ספק ובשיטתיות.

נושאים שידענו שמהווים חשיפה ולא התפננו להכיר או לטפל בהם מקבלים הזדמנות, הזדמנות פז.

אז איך זה קורה

מחליטים שרוצים

ממנים אחראי

לומדים על מה מדובר

משוחחים עם מנהלים כדי לבחור נושאים מהותיים – top down

מכניסים שיטה לתעדוף ולבניית תכניות הפחתה

יוצרים תהליך מחזורי ושוטף

מדברים את זה יום ולילה. לא מפסיקים לדבר את זה.

כזה פשוט? בכלל לא. עם זאת, הרבה יותר פשוט מלהיות מופתעים… אחרי הנזק… אחרי שכבר אין מה לעשות.

ובמשפט מסכם: אחרי שארגון מתחיל לחוות את התהליך, המנהלים אומרים (או מלינים) "זה לא ניהול סיכונים, זה פשוט ניהול…"

The post ניהול סיכונים ארגוני – סדק בתודעה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בדרך כלל, כופרה חודרת למחשב כ"סוס טרויאני" המוסווה כקובץ תמים שצורף להודעת דואר אלקטרוני, ופתיחתו גורמת להפעלת ההצפנה. קיימת נטייה לתקוף את אלה שיש ברשותם חומר רגיש או בעל ערך, מהם הסיכוי לקבל כסף גבוה יותר. לרוב, התוקפים דורשים תשלום שיבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב (מטבעות דיגיטליים כדוגמת ביטקוין). ראוי לציין כי ישנם מקרים לא מעטים שבהם גם לאחר תשלום הכופר לא מתקבל מפתח ההצפנה מהתוקף.

בשנים האחרונות הפכו תוכנות כופר לנפוצות יותר. על פי McAfee (חברת אבטחת מחשבים ויצרנית תוכנות אנטי וירוס ואבטחה מובילה בעולם), בשנת 2016 גדל היקף מתקפות הכופרה ב-80%.

התרשים הבא מתאר את קצב העלייה בהיקף הכופרה על פני תקופה:

בשנה האחרונה מתקיים דיון ער בקרב מומחי אבטחה בנוגע לשאלת ההשלכות של שיתוף פעולה של מותקפים, עם עברייני הסייבר – התוקפים. יש הטוענים כי תשלום הכופר מעודד עבריינות וגורם להתרחבות התופעה. דעות אלו הביאו ביולי 2016 להתארגנות ושיתוף פעולה של מספר ארגונים וגורמי אכיפה בעולם במלחמה נגד הכופרה. התארגנות זו הניבה פעילויות כגון ייעוץ בדרכי מניעה, עזרה בחקירה, פיתוח ושיתוף כלי פענוח הצפנה. אתר האינטרנט של ההתארגנות No More Ransom! מספק מידע רב על כופרה, כולל קישורים לכלי פענוח.

הצעד החשוב ביותר למניעה הוא מודעות והטמעה. לכן הדרכת עובדים והגברת מודעותם למתקפות אלו ולדרכי החדירה שלהן הם חיוניים. בפרט מומלץ לחדד את נוהלי העבודה באינטרנט ובדואר האלקטרוני.

להלן מספר צעדים מומלצים לצמצום הנזק של מתקפות כופרה:

• הכינו תכנית פעולה למקרה של התקפה. מפו את המידע הקריטי של הארגון ואת הגישה למידע.
• בצעו תרגילים כדי לוודא שהתכנית אפקטיבית.
• ודאו כי הגיבויים תקינים ומתבצעים בצורה שוטפת.
• הקפידו על התקנת עדכוני תוכנה (אלה כוללים עדכוני אבטחת מידע). יש להפריד רכיבים שאינם יכולים לעבור עדכוני תוכנה לאזורים נפרדים של הרשת הארגונית.
• הגנו על נקודות הממשק בין הרשת הארגונית ל"עולם החיצון". ודאו כי הגדרות ברירת המחדל ברכיבים אלה שונו.
• הפעילו כלי "אנטי-ספאם", היעילים בדרך כלל במתקפות כופרה.
• דאגו לסגמנטציה של הרשת הארגונית.

לסיכום, תוכנת כופר היא תופעה שההיקף שלה הולך וגדל כל הזמן. כדי לצמצם את החשיפה לפגיעה ואת הנזקים שהיא עלולה לגרום, יש להיערך הן באמצעות הסברה והדרכת העובדים, והן בתכנון תכנית פעולה להגברת יכולת ההתמודדות של מערכות המידע בארגון עם פגיעה פוטנציאלית.

The post איום ה- RANSOMWARE(כופרה) – מאפיינים ודרכי התגוננות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנת 2001 חוקקה הכנסת תיקון לחוק מבקר המדינה, הקובע חובת דיווח של  הגופים המבוקרים למבקר המדינה, על תיקון ליקויים שהאחרון  העלה. החוק גם קבע כי המבקר רשאי, באישור ועדת הכנסת לענייני ביקורת המדינה (להלן "הוועדה"), לקבוע מתכונת לדיווח של הגופים המבוקרים על תיקון ליקויים, לרבות פרטים שייכללו במתכונת (להלן "התקנות").

עד לשנת 2016 לא נקבעו תקנות בנידון. במהלך שנת 2016, לאחר יוזמה של מבקר המדינה ולאחר סדרה של דיונים מקדימים בוועדה, הגיש מבקר המדינה נוסח מתוקן של הצעת תקנות למעקב אחר תיקון הליקויים (המדובר בעיקר בליקויים  שבאחריות משרדי הממשלה  לתקנם). אך הוועדה, שבה יש רוב לקואליציה, דחתה את ההצעה.

בהקשר לכך, בסוף דצמבר 2016 פרסמה ועדת הכנסת לענייני ביקורת המדינה הודעה (מעציבה) בדבר הדחייה. התהליך ודברי המשתתפים באותו דיון מפורטים להלן:

• כבר בתחילת הדיון הודיע ח"כ דוד ביטן (הליכוד), יו"ר הקואליציה, ליו"ר הוועדה כי משרד המשפטים מתנגד לבקשת המבקר – והבהיר כי הקואליציה תפיל את התקנות.
• ח"כ קארין אלהרר (יש עתיד) הגיבה :"התנהלות הקואליציה מבישה, הממשלה מפחדת מביקורת. לא פעם ולא פעמיים מתגלה בדיוני המעקב אחרי פעולות משרדי הממשלה כי יש רפיון מהותי מצדם בתיקון הליקויים שחושף מבקר המדינה".
• עו"ד תומר רוזנר, היועץ המשפטי של הוועדה, התייחס להליכים המינהליים בהקשר לגיבוש התקנות. הוא הדגיש שבמשך מספר חודשים התקיימו ישיבות והתייעצויות עם משרדי הממשלה בנידון ושהנוסח של התקנות סוכם. אך לדבריו "רק לפני שבועיים הודיעו המשרדים כי הם שוקלים מחדש את הסכמתם, ואמש בשעה חמש בערב הודיע משרד ראש הממשלה כי הוא חולק על מרבית ההמלצות".
• עו"ד נירית להב-קניזו, יועצת משפטית במשרד ראש הממשלה, השיבה כי "לכל משתתפי הישיבות היה ברור לאורך כל הדרך שתקנות רבות אינן מקובלות על דעתנו".
• ח"כ בצלאל סמוטריץ' (הבית היהודי) חלק על עצם הרעיון של יצירת תקנות. לדבריו: "ברור שאת הכשלים יש לתקן, אך לא על המבקר לאכוף תיקון זה. בתפיסה הבסיסית מבקר המדינה איננו שחקן ברשות המבצעת, הביקורת שלו היא לאחר מעשה, והוא חיצוני למהלכים… כניסת המבקר לתיקון ליקויים בשעת מעשה, והרחבת סמכותו לפיקוח על משרדי הממשלה לתיקון הליקויים, רק תהפוך אותו ליועץ משפטי שני, תגרום לו לפלוש לסמכויות גופים אחרים".
• ח"כ יוליה מלינובסקי (ישראל ביתנו) קראה בדיון לעריכת ביקורת על מבקר המדינה עצמו – לפני הרחבת סמכויותיו.

תובנות וסוף דבר

מזווית ראייתי האישית, כמי שליווה את הנושא במשך שנים רבות במשרד מבקר המדינה, יש כאן אירוע מעציב – כשל רב-שנתי של הממשלה בתיקון ליקויים, אך גם כשל של משרד מבקר המדינה, כמפורט להלן:

• כאמור, כבר משנת 2001 קיים תיקון לחוק מבקר המדינה שקובע חובת דיווח בדבר תיקון ליקויים שהעלה מבקר המדינה. אולם במשך 15 השנים מאז נקבע התיקון לחוק, לא הצליח משרד מבקר המדינה לעקוב, להתריע ולבסס חובות אלו בתרבות הארגונית של הממשלה על משרדיה וגם לא יזם מתכונת לדיווח בנידון.
• משרד מבקר המדינה עצמו גם מיעט לערוך מעקבים אחר תיקון הליקויים, ומשעשה מעקבים הוא לא שיווק אותם כראוי ולא נאבק ציבורית על העיקרון של חובת תיקון הליקויים.
• תיקון נוסף לחוק משנת 2011, שבא לחזק את חובת תיקון הליקויים, יצר איום מהותי: החוק קבע כי אם לא קִיים עובד גוף מבוקר את הוראות החוק בלא הצדק סביר, יהווה הדבר עבירת משמעת. אך מאז 2011 לא התפרסמו מקרים שבהם נבחנה או מומשה הסנקציה.
• כפועל יוצא, משרדי ממשלה שחשו שיש בהוראות החוק הטלת עומס רב עליהם, ובה בעת לא הייתה דחיפה מהותית של משרד מבקר המדינה שמדרבנת אותם לעשייה, נכנסו ל"אזור של נוחות" – אזור של אי דיווח ואי ציות לחוק.

סוף דבר

ההליך פגע במוסד מבקר המדינה וביוקרתו. אך הכדור עדיין בידי המבקר: במסגרת הוראות החוק וסמכויות מבקר המדינה, אף ללא התקנות דלעיל (שברובן הן טכניות), משרדו יכול היה ויכול מכאן ואילך לעשות רבות להטמעת תרבות של תיקון ליקויים. אסטרטגיה ומדיניות ברורה של משרד מבקר המדינה בדבר מעקב  של משרדו אחר תיקון ליקויים, תוך דגש ומעקב רק על מקבץ הליקויים המערכתיים והמהותיים ביותר, יחד עם שיווק ראוי של תוצאות דוחות המעקב  שהוא יערוך בנידון, עשויה להיות הדרך.

The post נדחתה הצעת מבקר המדינה לקבוע מתכונת לדיווח אחר סדרי תיקון הליקויים  שהעלתה הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

כמות תקיפות הסייבר ומורכבותן הולכות וגדלות ובקצב גבוה. עד כמה המגמה הזו משמעותית? שימו לב לנתון הבא: בחלק ממדינות אירופה פשיעת סייבר עלתה על היקפי הפשיעה המסורתית^[1](!) כך על פי דוח של האינטרפול מספטמבר 2016. לאור מגמות עולמיות אלו, יש לקחת בחשבון שיהיה קשה מאוד לזהות ולעצור חלק מתקיפות אלו, זאת על פי המלצות המדריך של NIST 800-184 העוסק בהתאוששות מאירוע סייבר (Guide for Cybersecurity Event Recovery), שפורסם בדצמבר 2016. על פי מדריך זה, התמקדות אך ורק במניעת תקיפות סייבר אינה מספקת, ולצד שיפור יכולות ההגנה ואימוץ טכנולוגיות חדשות, ארגונים צריכים להתכונן לקראת אירוע סייבר ולשפר את יכולת התגובה וההתאוששות שלהם. היערכות מוקדמת להתמודדות והתאוששות מאירוע סייבר עשויה לצמצם משמעותית נזקים פוטנציאליים.

מצד שני, אי הכנה ותגובה מהוססת או לא נכונה, עלולה להכניס את הארגון לסחרור מסוכן. עם זאת, ארגונים רבים נמנעים מלהכין את עצמם לניהול אירוע סייבר וההתאוששות ממנו, ומעדיפים להשאיר את הנושא על כתפיו (הרחבות אך לא מספיקות) של מנהל הגנת הסייבר והכוונתו להמשיך בבניית יכולות ההגנה. על כן, קיימת חשיבות מיוחדת שהביקורת הפנימית תעסוק גם בבחינת מוכנות הארגון להתמודד ולהתאושש מאירוע סייבר, ועל ידי כך לדחוף את הארגון לעסוק בנושא, להכין תכניות לניהול משבר סייבר, ולתרגל את התגובה וההתאוששות בפועל.

תכנית לניהול משבר סייבר – מטרתה ותכולתה

תכנית ניהול משבר סייבר צריכה לשקף הסכמה של הארגון בנוגע לאופן שבו יפעל בזמן אירוע סייבר. מסגרת זו תגדיר חלוקת אחריות ברורה בין כלל הגורמים הרלוונטיים, כלומר מנהלים בכירים, מנהלי הסיכונים, היועצים המשפטים, הצוותים הטכניים (רשת, תקשורת, אפליקציות, DBA, אבטחת מידע וכו'), אנשי יחסי הציבור והדוברות, יועצי ניהול משבר, מו"מ ועוד.

לאור סביבת חוסר הוודאות הרבה שתשרור בזמן אירוע ולאור הבדלים (לפעמים אף גדולים) בגישות, צרכים ואינטרסים של השותפים השונים בצוות ניהול האירוע, שיתוף הפעולה נכון בין הגורמים הללו אינו טריוויאלי בכלל. לכן מעורבות כלל הגורמים בגיבוש התכנית הוא קריטי ליכולת שלהם לפעול בצורה נאותה בזמן אירוע.

בסופו של תהליך, התכנית תשקף באופן פורמלי וממוקד את גישת הארגון לניהול אירועי סייבר.

על התכנית לספק מפת הדרכים ברורה לניהול האירוע, כאשר היא נותנת מענה לדרישות הייחודיות של הארגון, לוקחת בחשבון את האסטרטגיה העסקית, גודל הארגון, מבנה והפונקציות השונות. התכנית תכלול בין היתר התייחסות לנושאים הבאים:

• עקרונות הכוננות לאירוע סייבר, ההכרזה על אירוע סייבר והגדרת רמת האירוע.
• מבנה ואיוש חדרי מצב.
• דרכי תקשורת.
• גופים ותהליכי עבודה ייעודיים לניהול אירוע בסייבר (חדרי מצב).
• אופן ביצוע הערכת מצב ועקרונות הדיווח לבעלי עניין.
• הפעולות הנדרשות בשלבי ניהול האירוע (מזיהוי ועד להתאוששות) – טכנולוגי, עסקי, משפטי, מוניטיני.
• עקרונות לניהול מו"מ במסגרת אירוע סייבר.
• הסתייעות בגורמים ממשלתיים ועבודה מול רגולטורים ורשויות החוק בארץ ובעולם.
• פעילות בתחום המוניטין והתקשורת.
• טבלת כוננויות וכשירויות.
• הכרזה על סיום אירוע סייבר

איור 1: תקשורת עם גורמים חיצוניים[2]

להלן נתון שצריך לשים אליו לב – בישראל, כרבע מהארגונים סבלו ממתקפת סייבר בעלת השלכות על הפעילות השוטפת במהלך שלוש השנים האחרונות, כך עולה מסקר ארצי שערכנו יחד עם דלויט ואיגוד האינטרנט הישראלי. בסקר השתתפו 150 מנהלי אבטחת מידע, מערכות מידע ומנהלי סיכונים, רובם מהמגזר הפיננסי, מהיי-טק ומגופים ממשלתיים.

כ-40% אחוז ממשיבי הסקר העידו כי לא קיים בארגונם צוות לניהול משבר סייבר. יתר על כן, כ-20% מצוותי התגובה לא תורגלו מעולם.

בנוסף, ביותר מחצי מצוותי התגובה אין בעלי תפקידים הכרחיים, כגון מנהלים עסקיים, מנהלי סיכונים, דוברים, גורמים משפטיים וכו'.

ניתן ללמוד מתוך הוראת ניהול בנקאי תקין 361 בנושא ניהול הגנת הסייבר^[3], על חשיבות ראייה כלל ארגונית באיוש צוות התגובה לצורך התמודדות נכונה עם אירוע סייבר. על פי סעיף 76 להוראה:

"לצורך ניהול אירוע סייבר יקים התאגיד הבנקאי חדר מצב, ויגדיר בראיה משולבת כלל-תאגידית, את קבוצת העובדים אשר יאיישו אותו, את תפקידיהם, סמכויותיהם, גורמי דיווח פנימיים וחיצוניים, דרכי תקשורת, כלי עבודה וכן נוהלי עבודה פרטניים".

לתרגל או לא לתרגל – זאת השאלה

הדבר הראשון שחשוב להבין הוא כי בעת אירוע סייבר, מתמודד הצוות הטכנולוגי של הארגון עם חוסר ודאות. תוקפים מיומנים יבצעו פעולות הטעיה, כך שלעתים יכול לעבור זמן רב עד שתאותר הבעיה האמיתית. השלבים הראשונים של הטיפול באירוע מתאפיינים בחוסר מידע – מה בדיוק קרה, מה הנזקים, מי התוקף ומה הוא רצה. לאור זאת, הארגון עלול להיתפס במצב של הפתעה ואי מוכנות לפעולה בסביבת אי ודאות שכזו שעשויה להשפיע על היכולת של מנהלים להוביל את הארגון בשעת משבר. בתוך סביבת חוסר הוודאות הטכנולוגית, הארגון חשוף לסיכונים עסקיים, משפטיים וכמובן סיכון לפגיעה במוניטין. על כן, תגובת הארגון היא קריטית ומצריכה שלל החלטות שאמורות להתבצע בשלב הזה באופן מהיר: איזה מסר מעבירים ללקוחות, לעובדים, לרשויות, לתקשורת; מה לוחות הזמנים, וכמובן מה מותר או אסור לעשות וכו'.

אחת הדרכים האפקטיביות ביותר לבחינת המוכנות הארגונית להתמודדות עם אירוע סייבר היא בעזרת סימולציה המדמה תקיפת סייבר. הסימולציה היא כלי יעיל במיוחד לביקורת, משום שהיא מאפשרת למפות את הפערים בין התכנון לביצוע ואת מכלול הפעולות שנעשו על מנת להגיב נכון בזמן אמת. סימולציה מתאימה תוכל לבחון את יכולת החברה לזהות ולהגיב למתקפות סייבר על פי וקטורים רלוונטיים לארגון, ולבדוק את כשירות הארגון ותהליך קבלת ההחלטות תחת אירוע סייבר. דרך אפקטיבית נוספת היא דיוני "What If". בדיונים אלה מעלים לדיון תרחיש סייבר שקרה בארגון דומה בארץ או בעולם, ומנתחים את ההשלכות של אירוע זה אילו היה קורה בארגון המתורגל. דיונים מסוג זה מעלים תובנות בעלות ערך רב בנוגע לרמת ההיערכות ואילו בקרות נוספו יש לממש, וכן ליכולת ולתהליך ניהול המשבר.

דוגמה בולטת להיערכות לא מספקת ותגובה לא נכונה היא של חברת Talk Talk, ספקית התקשורת השנייה בגודלה באנגליה, שחוותה מתקפת סייבר משולבת ב-21 באוקטובר 2015.

תגובתה של החברה ומהלכי פתרון הבעיות הראשוניים שניסתה לבצע, באורח מבולבל ועמום, עשויים להעיד שלא הייתה לה תכנית חירום מתורגלת וברורה להתמודדות עם אירוע סייבר שכזה. יומיים לאחר התקיפה התראיינה המנכ"לית לרשת בי.בי.סי. היא נראתה מבולבלת וחסרת אונים, לא ידעה לספק פרטים על זהות הגורם שתקף את החברה, על אומדן הנזק, על יעדי הפגיעה ועל הסיבה לתקיפה. כמו כן, המנכ"לית סיפקה בריאיון מספר אמירות תמוהות, כמו ההבחנה שלפיה "הימים שבהם מידע נגנב כדי למכור אותו ברשת האפלה כמעט אינם, זה כבר לא כל כך רווחי"^[4].

על פי הערכות, החברה איבדה מעל 250,000 לקוחות, והנזק מהתקיפה הוערך ב-60 מיליון ליש"ט, וכלל היבטים כגון הוצאות לצוותי התגובה לאירוע, עלויות IT, יועצים חיצוניים, פורנזיקה, שיקום המוניטין, אובדן מכירות, עלויות שדרוגים חינם וכו'^[5].

לאור ממצאי הבדיקה של ה-ICO (הרגולטור הבריטי בתחום התקשורת), מנכ"לית החברה, הגברת דידו הרדינג, פוטרה 18 חודשים לאחר האירוע ובזיקה ישירה אליו.

לעומת זאת, באוקטובר האחרון נתקפה חברת תשתית ה-DNS האמריקאית DYN במתקפת מניעת שירות, יש שיאמרו הגדולה בהיסטוריה, על ידי עשרות אלפי רכיבי IoT. אחת הסיבות המרכזיות שבגללן הם הצליחו לטפל באירוע בתוך שעות ספורות היה תרגול, כפי שהעידו על עצמם^[6]: "אנחנו מתאמנים ומתכוננים לתרחישים כאלה על בסיס קבוע. אנחנו מתרגלים תסריטים מתגלגלים (playbooks) ועובדים עם שותפים כדי להתמודד עם תרחישים כאלה".

בהמשך לכך, עולה מהסקר כי הנושאים הבאים לא מתורגלים באופן מספק: ניהול משא ומתן עם תוקף, ערוצי תקשורת חלופיים עם לקוחות וניתוח חשיפות משפטיות. אי תרגול נושאים אלה מהווה חשיפה לארגון ופוגע ביכולת שלו להגיב בצורה נאותה בזמן אירוע, שכן כל אלה הן יכולות שללא תרגול קשה מאוד ליישם אותם בזמן אירוע.

לסיכום

ישנם ארגונים שיבחרו להמשיך לעצום עיניים ולקוות לטוב, אולם הנהלות וארגונים שמעדיפים לנהוג באחריות כלפי הלקוחות, העובדים ובעלי העניין האחרים, ייערכו לא רק בגזרת ההגנה אלא גם ייערכו לניהול אירוע סייבר, בין היתר על ידי הגדרת נוהלי תגובה, מינוי צוות לניהול אירוע סייבר ותרגול תרחישים רלוונטיים.

^[1] Europol’s 2016 Internet Organized Crime Threat Assessment (IOCTA)

[2] NIST 800-61 Computer Security Incident Handling Guide Revision 2

^[3] המפקח על הבנקים– ניהול בנקאי תקין 361- ניהול הגנת הסייבר

^[4] https://www.bbc.com/news/business-34613830

^[5] https://www.israeldefense.co.il/he/content/לעשות-ולא-רק-לדבר

^[6] Dyn Statement on 10/21/2016 DDoS Attack

The post להיות חכם, ולא רק צודק: היערכות ארגונים למתקפת סייבר appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מומחים בתעשיית הרכב מעריכים כי עלות הנזק מ"סקנדל הדיזל ("DIESELGATE SCANDAL") של פולקסווגן תגיע ל-50 מיליארד אירו. התחשיב מבוסס על הערכות של הקנסות החמורים מרשויות חוק בעולם (בראשן ארה"ב), תביעות ממשלתיות להחזרי סובסידיות למכוניות "ירוקות", תביעות מצרכנים פרטיים ומארגוני הירוקים, עלויות RECALLS למיליוני כלי רכב בעולם, וכן נזקים הנוגעים להצטמקות שוק הדיזל של החברה. גם אם נניח שההערכות מוגזמות, הרי שגם מחצית מהסכום המוערך יש בו כדי לזעזע את ענקית הרכב הגרמנית (ואגב: נמסר כי ממשלת ישראל תובעת 300 מיליון ש"ח בגין הפרשי מכס).

השאלה המהדהדת בקרב מומחי ביקורת, מומחי ניהול ומשפטנים היא: כיצד תיתכן בתאגיד מאורגן, פעילות זדונית רחבת היקף במשך שנים כה רבות, בלי שתיחשף בתוך זמן קצר? שאלת משנה: כיצד ניתן להילחם מראש בתופעה כזאת? ושאלת השאלות: האם עוול מאורגן בהיקף כזה עלול להתרחש בתעשיות אחרות, והאם תעשיות דומות נערכות לטיפול מונע?

בקצרה: כלי רכב מחויבים בעמידה תחת תקני פליטה מחמירים. אי עמידה בתקני הפליטה במדינות השונות שוללת אפשרות לשיווק כלי הרכב. עמידה בתקנים זיכתה את היצרן במכסים מופחתים ובמענקים "ירוקים".

פולקסווגן הודתה כי מהנדסיה המוכשרים התקינו תוכנה זדונית ברכביה במטרה להטעות את בוחני פליטת הגזים ולזייף את התוצאות המתקבלות. מדובר בחיישנים שזיהו מתי מתבצעת בדיקת פליטה על ידי גופי התקינה. החיישנים שידרו למחשב המנוע לדמות פליטת גז תקינה בעת ביצוע הבדיקה, כך שבאופן זמני תאמה פעילות המנוע לעמוד בתקינה. כאשר מסתיימת בדיקת התקינה – שב המנוע לפלוט רמת גזים "רגילה" שהיא מעל התקן המותר.

כך הצליחה פולקסווגן לשווק את רכבי הדיזל שלה בעולם, לאחר ש"הצליחה" באמצעות התקנים זדוניים לעמוד בסטנדרטים של רשויות התקינה. מחוכם.

אני נזכר בערגה בהרצאה הראשונה באוניברסיטה, בקורס "ביקורת חשבונות". המרצה, בעל שם ומוניטין, קבע בפסקנות כי הפרדת תפקידים בארגון (Segregation of duties) היא הערובה החזקה והמרכזית למניעת אי סדרים כספיים. העיקרון נשמע הגיוני ומשכנע!! מאז – כעשרות שנים, אנו כמבקרים מתבססים, מתבסמים ומתמכרים לכלל הנ"ל. בעקבותיו אנו יוצאים חוצץ נגדOne man show, תחת המנטרה המסורתית שככל שיהיו מעורבים בתהליך אנשים רבים יותר בארגון – כך נצמצם למינימום ביצוע מעילות ואי סדרים כספיים. ברצוני להתריע: קיום הפרדת תפקידים ומעורבות גורמים רבים בהליכים – אינם תמיד ערובה אוטומטית למניעת אי סדרים.

ראוי לנתח כיצד התאפשרה ההונאה בתוככי פולקסווגן – תאגיד המעסיק עובדים רבים ובכירים, שאמורים היו לדעת על הרמייה והיו שותפים בה באופן פעיל! מדובר במהנדסים, מהנדסי תוכנה, אנשי רכש, עיצוב, בקרת איכות, מנהלי תקציב ועוד – שהיו חייבים להיות בסוד ההונאה! מומחי רכב משערים שמדובר בלפחות 100 עובדים בדרגות שונות. איך ייתכן ש"אף אחד לא קם"?! אף לא אחד הפעיל את ה-"HOT LINE" להתריע על מחדלים פנימיים! איפה היה מצפון העובדים, איך לא צלצלו הפעמונים?

אם כך, מדוע בפולקסווגן קרסה הנחת הבסיס המסורתית? הנה, המוני מועסקים משולבים במבצעי הונאה מתוחכם ומתמשך ללא כל הדלפה! בניגוד למוסכמות שעליהן התחנכנו.

התשובה נמצאת בתחום הפסיכולוגי-חברתי. נראה כי התרבות הארגונית שמאפיינת את התאגיד היא כי "פולקסווגן מעל לכל" (VOLKSWAGEN UBER ALLES). שיטת "הקו החם" והפרדת התפקידים אינה רלוונטית כאשר עובדים סבורים שהחברה שלהם היא התגלמות של אידיאל! כאשר קיימת קנאות לסמל החברה ולסמלים בכלל, ה"מלשינון" הפנימי אינו אופציה למעורבים.

המסקנה ברורה: במקום שהאווירה הכללית היא "העיקר הארגון", בשילוב ההתנהגות צייתנית ופטריוטית ללא פשרות, שומה על גופי הביקורת והדירקטוריון להפעיל ולמסד הסברה פנימית תקיפה כדי למגר את ה"פטריוטיזם". עליהם לשכנע שהסיכון באי ציות לחוקים הוא מסוכן מדי, ושהתוצאה הסופית של "פולקסווגן מעל לכל" עלולה להביא לקטסטרופה.

מסקנה למבקרים פנימיים: לא להישען על אקסיומות של הפרדת תפקידים (SEGEGATION OF DUTIES). לפי דעתי, בעניין הזה הביקורת הפנימית חייבת להפעיל "פסיכולוגיה בגרוש". הייתי מגדיר בתכניות העבודה שלנו הליך של "סקר סיכונים פסיכולוגי-התנהגותי". עד היום אנו מבצעים סקרי סיכונים – תפעוליים או פיננסיים. אין די בכך! בכנס של ה-IIA (הלשכה האירופית ECIIA) שהתקיים בשוודיה באוקטובר 2016, הובעה הדעה כי "ביקורת פנימית אמורה להתאים עצמה לתרבות המקומית" (הדיונים נסבו סביב פרשת השחיתות
ב-FIFA) ושיש להתחשב ב"תרבות הארגון". הנה כי כן, הדעה המתגבשת בקרב אנשי מקצוע כי ההיבט הפסיכולוגי-התנהגותי חייב לתפוס מקום חשוב בתכנון יעדי הביקורת.

מסקנת לוואי: לא להיצמד לתיאוריות בלתי מעשיות הנושבות מארה"ב. מאז הופעת ה-SOX חדרו לביקורת כללים מכניים מדי של אמצעי ביקורת ללא "נשמה". כך למשל, מינוי
WISTELER BLOWER ("השורק במשרוקית") שיתריע על אי סדרים. כך למשל ה"טלפון האדום", שהאמריקאים כל כך גאים בו. הניסיון שלי בביקורות בחו"ל ובארץ מלמד שהטלפון האדום אינו יעיל.

חברים מבקרים פנימיים! אל נא תפריזו במשקל המיוחס לאמצעים טכניים אלה. הטלפון האדום בפולקסווגן – העלה אבק! אך לא רק בגרמניה הושבתו מנגנוני ההתרעה. הטלפון לא צלצל בחברת חשמל (מכרז הטורבינות) וכמובן שלא ב"סימנס", יצרנית הטורבינות בגרמניה.

הנה לפנינו סימפטום נוסף, שובר מוסמכות וחוצה גבולות, שנחשף ב"פרשת הסדר בנק לאומי עם רשויות המס האמריקאיות".תופעה נוספת מחייבת חשיבה: יש לשים לב כי פולקסווגן ביצעה הונאות בעיקר מחוץ לגרמניה.

אי עמידה ברגולציה בארה"ב עלתה לבנק לאומי הישראלי סכום עתק של כ-1.5 מיליארד שקלים. מדובר בבנק שהוא הסמן הימני והדוגמה להקפדה רגולטורית. בזמן כתיבת שורות אלה מתבצעת ביקורת מטעם הרשויות בארה"ב גם על בנק הפועלים וייתכן שבמוסדות פיננסיים נוספים. הלקח העיקרי לדירקטוריונים ולביקורת בישראל הוא כי יש לתת עדיפות לטיפול ברגולציה הבינלאומית. כיום, בחלק מהארגונים בישראל, רוב שימת הלב עדיין מופנית להקפדה על רגולציה בישראל. לא עוד!

אני סבור שיש לתת עדיפות לתקינות הבינ"ל. עמידה ברגולציה בחו"ל תהיה לעתים בעלת עדיפות ראשונית. נראה כי אם הייתה מתרחשת סטייה זהה מרגולציה בארץ המוצא (במקרה זה ישראל), היו הקנסות נמוכים בהרבה. בסיטואציה של העמדה לדין בישראל (ובאופן לא פורמלי), היה בית המשפט בישראל מתחשב בכך שבנק לאומי מעסיק אלפי עובדים בישראל. בית המשפט הישראלי היה מתחשב ב"יציבות הבנקאות בישראל". היקף הקנסות בישראל על חברה ישראלית מושפע באופן טבעי משיקולים מקומיים, כך שהקנס הסופי היה נמוך מזה שהיה מוטל על אותה החברה בחו"ל.

ההתייחסות במדינה זרה היא הפוכה. לרשויות בארה"ב לא יהיו סנטימנטים לכלכלת ישראל וליציבות של בנק ישראל! מבחינת השופטים בארה"ב מדובר בתאגיד זר(!) שבחר לא לציית לרגולציה ולפגוע בכך בכלכלת ארה"ב. והתוצאה – קנס של 1.5 מיליארד שקלים.

והלקח ברור: על הדירקטוריונים והמופקדים על הביקורת בתאגידים בעלי פעילות בחו"ל או פעילות משיקה בחו"ל, להפנות משאבים רציניים יותר לעמידת התאגיד בחוקי המדינות הזרות שבהן הם פעילים. וכך גם לגבי פולקסווגן, נראה כי הקנסות עליה יהיו גבוהים, מפני שרשויות ומדינות זרות שבהן מבוצעת רמייה וסטייה רגולטורית על ידי תאגיד זר, יחמירו איתו ככל שניתן.

כל התאגידים הבנקאיים בישראל, כל היצואנים, יצרני התרופות (ממש בעת כתיבת שורות אלה התפרסמה הטלת קנס רגולטורי בגין פעילות קידום מכירות של טבע), יצואני חומרה, דשנים, מזון וכו', יהיו חייבים להסיט את המאמצים לעמידה ברגולציה בינלאומית. השיח הרגולטורי, הן בביקורת הפנימית ובוודאי בהנהלות ובדירקטוריונים, יהיה שיח בעל מבטא זר/בינלאומי.

לסיכום

במסגרת הפקת לקחים מהירה ניתן לקבוע מסקנות ראשוניות:

1. בארגון שבו האווירה הכללית היא "הארגון מעל לכל" – היכן שהתרבות היא חינוך לצייתנות ופטריוטיות ללא פשרות – שומה על גופי הביקורת והדירקטוריון להפעיל ולמסד הסברה פנימית תקיפה, כדי לשכנע את "הפטריוטים הנלהבים" שהסיכון גבוה מדי! התוצאה הסופית ל"פולקסווגן מעל לכל" (""Volkswagen uber alles) עלולה להרוס אותה.
2. הביקורת הפנימית תהיה מודעת לאפשרות של קיום "עבירות מרובות משתתפים" בתוך הגוף המבוקר. כלומר: ייתכנו מצבים שבהם מספר רב של מעורבים יבצעו יחד סטייה מהוראות – ללא הדלפה שתסייע לחשיפה. יצירת הפרדת תפקידים SEGERATION OF DUTIES – אין בה די.
3. הגישה האמריקאית של HOT LINE ושל Whistleblower תיושם במידה, אך יש לתת לטכניקה זאת משקל מופחת. הביקורת הפנימית חייבת להשתחרר מגישות טכניות – יש להפעיל "ביקורת עם נשמה".
4. הטיפול של הביקורת הפנימית ברגולציה בינלאומית יקבל עדיפות עליונה.
5. שומה על הביקורת הפנימית לבצע "סקר סיכונים התנהגותי", זאת בנוסף על סקרי הסיכונים השגרתיים. רוח הארגון, דפוסי ההתנהגות והפסיכולוגיה ההתנהגותית – יובאו בחשבון וישפיעו מהותית על תכניות הביקורת.

The post חשיבה מחודשת על תפיסות מסורתיות בביקורת הפנימית בעקבות המעילה בוולקסווגן appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA) משמשים בעבודתם כ-193 אלף מבקרים פנימיים חברי ה-IIA, בכ-180 מדינות. תקנים אלה אומצו גם על ידי האו"ם, ה-OECD ו-IFAC (שבהם מדינת ישראל חברה), על ידי ה-EU (שאליו מדינת ישראל נספחת), ועל ידי ה-INTOSAI – איגוד מבקרי המדינה בעולם (שבו חבר משרד מבקר המדינה הישראלי). התקנים נמצאים בשימוש ארגונים בינלאומיים גדולים רבים, כגון הבנק העולמי, וככל שמתרחבת הפעילות הכלכלית הגלובלית, כך גדל מספר המשתמשים. התקנים תורגמו ליותר מ-20 שפות (ובהן עברית), והם יוצרים אחידות מושגית ומקצועית, התורמת רבות לשחקנים בשווקים הבינלאומיים בהערכת האפקטיביות של הביקורת הפנימית בגוף מבוקר.

מטרות התקנים הן: לסייע בעמידה בדרישות החובה של מסגרת הכללים המקצועיים, לספק מסגרת לביצוע ולקידום היקף רחב של שירותי ביקורת פנימית מוסיפי ערך, לייסד בסיס להערכת ביצועי הביקורת הפנימית, ולטפח פעולות ותהליכים ארגוניים משופרים.

מקצוע הביקורת הפנימית אינו קופא על שמריו, ולכן גם התקנים המקצועיים מתעדכנים בהתאם להתפתחות המקצוע ולציפיות המשתמשים בתוצריו. העדכון האחרון לתקנים חל בינואר 2017.

מאמר זה יסקור את תמצית השינויים והעדכונים שנערכו לאחרונה בתקנים.

התקנים המקצועיים עד יולי 2015

עד יולי 2015, מבנה התקנים המקצועיים כלל את: הגדרת מקצוע הביקורת הפנימית, הקוד האתי, והתקנים המקצועיים (תקני תכונות 1000, ותקני ביצוע 2000). נוסף על התקנים המחייבים כאמור, היו קיימות הנחיות מקצועיות מומלצות מאוד (לא מחייבות): נוהלי ייעוץ (Practice Advisories), הנחיות לפרקטיקה (Practice Guides) וניירות עמדה (Position Papers).

תמצית השינויים בתקנים המקצועיים החל מיולי 2015

השינויים העיקריים שבוצעו בתוכן ובמבנה התקנים הם:

• הצגת משימת הביקורת הפנימית המהווה בסיס למסגרת ותומכת בה, כדי לתאר באופן ברור ותמציתי את מטרת העל של הביקורת הפנימית בארגונים שבהם היא פועלת.
• הצגת עקרונות ליבה של הביקורת הפנימית, כדי לבטא את האלמנטים העיקריים המתארים את אפקטיביות הביקורת הפנימית.
• שינוי מינוח ההנחיות – "הנחיות לפרקטיקה" (Practice Guide) ו"נוהלי ייעוץ" (Practice Advisory) ל"הנחיות יישום" (Implementation Guidance) ו"הנחיות משלימות" (Supplemental Guidance) בהתאמה, כדי לבטא מה כל שכבה כזו אמורה להשיג – סיוע ביישום של התקנים או השלמת המסגרת בדוגמאות ספציפיות. הנחיות היישום וההנחיות המשלימות הן מומלצות (Recommended), להבדיל מ-"Strongly Recommended" לפני השינוי.
• הוצאת ניירות העמדה ממסגרת הכללים (PP) – בראש ובראשונה ניירות עמדה אלו כללו מידע בדבר תפקיד הביקורת הפנימית בארגון. למרות חשיבותם, הם אינם צריכים להיות חלק מהמסגרת המוכוונת להנחות את העוסקים במקצוע בהוצאה לפועל של האחריות שלהם.

משימת הביקורת הפנימית ((Mission Statement

משימת הביקורת הפנימית נועדה לתמוך במקצוע הביקורת הפנימית. היא נועדה לבטא את מה שהביקורת הפנימית שואפת להשיג בארגון.

מיקומה של הצהרת המשימה ב-IPPF מכוון להבהיר כיצד ראוי שהעוסקים בביקורת פנימית ימנפו את המסגרת בכללותה כדי לסייע ליכולת שלהם בהשגת המשימה.

משימת הביקורת הפנימית הוגדרה כדלהלן:

לחזק ולהגן על ערך הארגון על ידי מתן הבטחה (Assurance), עצה (Advice) ותובנה (Insight) אובייקטיביים מבוססי סיכון.

השגת המשימה נתמכת באמצעות המסגרת הכוללת – עקרונות הליבה של הביקורת הפנימית, הגדרת מקצוע הביקורת הפנימית, הקוד האתי, התקנים המקצועיים, וההנחיות המקצועיות.

זה המקום להזכיר את הוויכוח עתיק היומין באשר לתפקידיו של המבקר הפנימי: אין חולק כי תפקידו העיקרי (ויש האומרים היחיד) של המבקר הפנימי הוא ביצוע ביקורת פנימית. חוק הביקורת הפנימית, המיוחד למדינת ישראל, מאפשר למבקר הפנימי, בנוסף על תפקידו ככזה, להיות גם הממונה על תלונות הציבור או הממונה על תלונות העובדים (אם מילוי תפקיד נוסף כאמור לא יהיה בו כדי לפגוע במילוי תפקידו העיקרי)[1].

בגופים רבים המבוקרים על ידי מבקר המדינה, מוטלת על המבקר הפנימי המשימה להוות איש הקשר עם משרד מבקר המדינה, ולעתים אף להיות מעורב בצוות תיקון הליקויים, במיוחד לגבי המעקב אחר תיקון הליקויים. נושא זה, שנמצא שבמחלוקת, נדון בימים אלה בוועדה לענייני ביקורת המדינה בכנסת ישראל.

כידוע, חברי כנסת מגישים הצהרת הון ליו"ר הכנסת, והצהרות אלו חסויות ומופקדות בכספת של יו"ר הכנסת. ברוח עניין זה, לאחרונה נחקק חוק הצהרת הון של בעלי תפקידים בכירים בשירות המדינה, שמכוחו הוטל על מבקרים פנימיים במשרדי ממשלה מסוימים להיות "גורם מפקח" שאצלו יופקדו הצהרות ההון של בעלי התפקידים כאמור, והוא יוודא עדכונן ועניינים נוספים.

התרחבות מורכבות הארגונים והפיכתם לבינלאומיים, בד בבד עם הגברת הציפיות ממקצוע הביקורת הפנימית והעומדים בראשו, תרמו לכך שמבקרים פנימיים נדרשים לתת ערך מוסף אמיתי לארגון, שמשמעותו היא ייעוץ. חלק מהמבקרים הפנימיים סבורים שאסור למבקר לעסוק ב"יעוץ" לארגון, אולם גם אותם מבקרים פנימיים כוללים בדוחותיהם המלצות, המהוות למעשה סוג של ייעוץ. בשל כך, תוקנו התקנים המקצועיים הבינלאומיים כך שבמקום המילה "ייעוץ" (Consulting), יופיע "מתן עצה" (Advice).

לדעתי, בין אם אנו כמבקרים פנימיים מסכימים לכך ובין אם לאו, הציפייה מאיתנו היא להתקדם עם העולם ולדאוג למתן ביקורת בונה עם ערך מוסף לארגון; ביקורת שמלבד הצגת הממצאים, תביא גם המלצות אופרטיביות ותיתן עצה (Advice) ותובנה (Insight).

עקרונות הליבה של הביקורת הפנימית ((Core Principles

הצגת עקרונות הליבה של הביקורת הפנימית באה לבטא את האלמנטים העיקריים המתארים את אפקטיביות הביקורת הפנימית.

עקרונות הליבה, בכללותם, מבטאים את מועילות (אפקטיביות) הביקורת הפנימית. כדי שפונקציית ביקורת פנימית תיחשב אפקטיבית, ראוי שכל העקרונות יתקיימו ויפעלו באפקטיביות. יישום עקרונות הליבה על ידי מבקר פנימי או יחידת ביקורת פנימית, יכול להיות שונה מארגון לארגון, אך מכֶּשֶל ביישום עיקרון כלשהו עלול להשתמע כי פעילות הביקורת הפנימית אינה אפקטיבית כפי שיכלה להיות בהשגת משימת הביקורת הפנימית.

להלן עקרונות הליבה של הביקורת הפנימית:

1. מפגינה יושרה.
2. מפגינה כשירות וזהירות מקצועית ראויה.
3. אובייקטיבית ומשוחררת מהשפעה בלתי הולמת (בלתי תלויה).
4. תואמת את האסטרטגיות, את היעדים ואת הסיכונים של הארגון.
5. ממוקמת באופן הולם בארגון ובעלת משאבים מספקים.
6. מפגינה איכות ושיפור מתמשך.
7. מְתקשרת באופן אפקטיבי.
8. מספקת הבטחה מבוססת סיכונים.
9. בעלת תובנה, פרואקטיבית (נוקטת יוזמה) וממוקדת בעתיד.
10. מקדמת שיפור ארגוני.

הצגת עקרונות אלו תקל על העוסקים במקצוע להבין ולהתמקד בנושאים החשובים. העקרונות אמורים גם לייעל את התקשורת עם בעלי עניין, כולל רגולטורים, באשר לעדיפויות המגדירות ביקורת פנימית אפקטיבית.

העקרונות אינם מסודרים לפי סדר חשיבותם, אלא מסודרים בקבוצות כדי לספק פילוח הגיוני:

עקרונות 3-1 מתייחסים למבקר הפנימי כפרט ולפעילות הביקורת הפנימית בכלל (Input).

עקרונות 7-4 מתייחסים לפעילות הביקורת הפנימית ותהליכיה (Process).

עקרונות 10-8 מתייחסים לתוצרים של פעילות הביקורת הפנימית (Output).

לסיכום – לאחר השינויים (יולי 2015)

השינויים העיקריים בתקנים החל מינואר 2017

• תקן 1110 – "אי תלות ארגונית":

בתקן 1110.A1 כתוב כך: "הביקורת הפנימית חייבת להיות חופשית מהתערבות בקביעת היקף הביקורת הפנימית, ביצוע העבודה, ודיווח התוצאות". נוסף משפט: המבקר הפנימי הראשי חייב בגילוי התערבות כזו לדירקטוריון ולדון בהשלכות הנובעות מכך.

• נוסף תקן חדש 1112 – "תפקידי המבקר הפנימי הראשי מעֶבֶר לביקורת פנימית": כאשר למבקר הפנימי הראשי יש תפקידים או מצופה ממנו לבצע תפקידים ו/או אחריות מחוץ לביקורת פנימית, חייבים לנקוט אמצעי זהירות כדי להגביל פגיעות באי התלות או באובייקטיביות.

ביאור

המבקר הפנימי הראשי עשוי להתבקש לקבל תפקידים נוספים ואחריות מחוץ לביקורת פנימית, כגון אחריות על פעילויות ציות או ניהול סיכונים. תפקידים כאלה עשויים לפגום, או להיראות כפוגמים, באי התלות הארגונית של פעילות הביקורת הפנימית או באובייקטיביות של המבקר הפנימי. אמצעי זהירות הם פעילויות פיקוח, שבדרך כלל הדירקטוריון נוטל על עצמו, כדי לטפל בפגמים אפשריים אלה, ויכולים לכלול פעילויות כמו הערכה תקופתית של קווי הדיווח והאחריות וכן פיתוח תהליכים חלופיים להשגת הבטחה הקשורה לתחומי אחריות נוספת.

• נוסף תת-תקן חדש A3 – "תפקידי המבקר הפנימי הראשי מעֶבֶר לביקורת פנימית": פעילות הביקורת הפנימית יכולה לספק שירותי הבטחה במקום שבו קודם לכן ביצעה שירותי ייעוץ, בתנאי שאופי הייעוץ לא פגם באובייקטיביות ובתנאי שהאובייקטיביות של המבקרים המעורבים מנוהלת כאשר מקצים משאבים למטלת ההבטחה.
• בביאורים לתקן 1300 – "תוכנית שיפור והבטחת איכות" נוסף משפט: המבקר הפנימי הראשי צריך לעודד פיקוח מצד הדירקטוריון באשר לתוכנית להבטחת איכות ושיפור.
• בביאור לתקן 1312 – "הערכוֹת חיצוניות" נוספו שני משפטים:
  • המעריך החיצוני חייב להסיק לגבי עמידה בקוד האתי ובתקנים; ההערכה החיצונית יכולה גם לכלול הערות תפעוליות או אסטרטגיות.
  • המבקר הפנימי הראשי צריך לעודד פיקוח מצד הדירקטוריון באשר להערכה החיצונית, כדי להפחית ניגוד עניינים נתפס או אפשרי.
• בתקן 1320 – "דיווח על תוכנית הבטחת האיכות והשיפור" כתוב כך: "המבקר הפנימי הראשי חייב לדווח להנהלה הבכירה ולדירקטוריון על תוצאות התוכנית להבטחת איכות ושיפור". לכך נוסף פירוט: הגילוי יכלול:
  • ההיקף והתדירות של ההערכוֹת הפנימיות והחיצוניות.
  • הכשירות ואי התלות של המעריך/ים או צוות המעריכים, לרבות ניגוד עניינים אפשרי.
  • מסקנות המעריכים.
  • תוכניות לתיקון.
• תקן 2050 – "תיאום" הפך ל"תיאום והסתמכות". הנוסח החדש: ראוי שהמבקר הפנימי הראשי יחלוק מידע, יתאם פעילויות, וישקול הסתמכות על עבודתם של נותני שירותי הבטחה וייעוץ פנימיים וחיצוניים אחרים על מנת להבטיח כיסוי נאות וצמצום כפל מאמצים.

ונוסף ביאור: בתיאום פעילויות, המבקר הפנימי הראשי יכול להסתמך על עבודתם של נותני שירותי הבטחה וייעוץ אחרים. יש לייסד תהליך עקבי לביסוס הסתמכות זו, והמבקר הפנימי הראשי יתייחס לכשירות, לאובייקטיביות, ולזהירות המקצועית הראויה של נותני שירותי ההבטחה והייעוץ. למבקר הפנימי הראשי צריכה להיות הבנה ברורה של ההיקף, היעדים, ותוצאות העבודה שבוצעה ע"י נותני שירותי הבטחה וייעוץ אחרים. היכן שקיימת הסתמכות על עבודתם של אחרים, המבקר הפנימי הראשי עדיין אחראי ונושא באחריות לוודא שיש תימוכין מספקים למסקנות ודעות אליהן הגיעה פעילות הביקורת הפנימית.

• בתקן 2060 – "דיווח להנהלה הבכירה ולדירקטוריון", עודכן (בין היתר) הביאור, ונוסף בו פירוט: הדיווח והתקשורת של המבקר הפנימי הראשי להנהלה הבכירה והדירקטוריון חייבים לכלול מידע על:
  • כתב האמנה של הביקורת הפנימית.
  • אי תלות פעילות הביקורת הפנימית.
  • תוכנית העבודה של הביקורת הפנימית וההתקדמות לעומת התוכנית.
  • דרישות למשאבים.
  • תוצאות של פעילויות ביקורת.
  • עמידה בקוד האתי ובתקנים, ותוכניות פעולה להשגת עמידה זו.
  • תגובת ההנהלה לסיכון אשר, על פי שיקול דעתו של המבקר הפנימי הראשי, יכול להיות בלתי מקובל על הארגון.

אלה, ודרישות תקשורת אחרות מהמבקר הפנימי הראשי, מוזכרים לאורך התקנים.

• תקן 2100 – "אופי העבודה":

הנוסח החדש: הביקורת הפנימית חייבת להעריך ולתרום לשיפור תהליכי הממשל התאגידי, ניהול הסיכונים ותהליכי הבקרה של הארגון, באמצעות שימוש בגישה שיטתית, ממוסדת ומבוססת סיכונים. אמינות וערך הביקורת הפנימית מִתְגברים כאשר המבקרים פרואקטיביים, והערכותיהם מציעות תובנות חדשות ומתייחסות להשפעה עתידית.

הערה: התוספת היא לשם התאמה לעקרון ליבה מספר 9.

• תקן 2200 – "תכנון מטלת ביקורת":

הנוסח הקיים: "מבקרים פנימיים חייבים לפתח ולתעד 'תוכנית ביקורת' לכל מטלת ביקורת, לרבות מטרות מטלת הביקורת, היקפה, מועדה והקצאת המשאבים". נוסף משפט: התוכנית חייבת להתייחס לאסטרטגיות, ליעדים ולסיכוני הארגון הרלוונטיים למטלת הביקורת.

הערה: התוספת היא לשם התאמה לעקרון ליבה מספר 4.

• בתקן 2230 – "הקצאת משאבים למטלת ביקורת" כתוב כך: "מבקרים פנימיים חייבים לקבוע משאבים הולמים ומספקים להשגת מטרות מטלת ביקורת, ואשר מתבססים על הערכת האופי והמורכבות של כל מטלה, אילוצי זמן וזמינות משאבים". לכך נוסף ביאור:

הביטוי "הולמים" מתייחס לתמהיל הידע, מיומנויות ויכולות אחרות הנדרשים לביצוע מטלת הביקורת. הביטוי "מספקים" מתייחס לכמות המשאבים הנדרשים להשלים מטלת ביקורת בזהירות מקצועית ראויה.

קיימים עדכונים נוספים, רובם טכניים. את התקנים המעודכנים בעברית אפשר למצוא באתר האיגוד[2] (https://theiia.org.il/) בלשונית: תקינה מקצועית.

סיכום

כמבקרים פנימיים, עלינו לפעול לפי תקנים מקצועיים שמטרתם בין היתר לשמור עלינו. לכן חשוב להקפיד שעבודת הביקורת תהא לפי התקנים המקצועיים.

[1] סעיף 8 (א) בחוק הביקורת הפנימית, התשנ"ב-1992

[2] לינק: https://theiia.org.il/, לשונית: תקינה מקצועית.

The post חידושים בתקנים המקצועיים הבינלאומיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

במאמר נידון בנוסף המושג Data Analytics, שמשמעותו ניתוח נתוני כלל האוכלוסייה להערכת אפקטיביות הבקרות הפנימיות, ולא הערכה של האפקטיביות על סמך דגימה, כמו שהיה נהוג בעבר. ניתוח נתוני כלל האוכלוסייה מחייב שימוש בכלים ממוחשבים. כלי ייעודי נפוץ לביצוע ביקורת באמצעות מחשב נקרא CAATT – Computer Aided Audit Technique & Tools. תוכנות כגון IDEA ו-ACL הן תוכנות CAATT.

ננסה להסביר מדוע יש צורך בשינוי הפרדיגמה ולמעבר מביקורת מסורתית (שבה נעשה כבר שימוש בכלי CAATT) לביקורת מתמשכת, מה נדרש ברמות השונות בארגון כתנאי להצלחת המעבר, מהם רכיבי השיטה ומהן התרומות המרכזיות הנובעות מהתהליך ותוצריו.

הצורך בשינוי

במרבית יחידות הביקורת הפנימית בארץ ובעולם, הביקורת מגבשת תכנית עבודה שנתית, הנגזרת מניתוח סיכונים שגובש בביקורת הפנימית או ניהול הסיכונים של הארגון, והנחיות ההנהלה וועדת הביקורת. הפועל היוצא הוא תכנית הבודקת נושא אחת למספר שנים בהתאם לסיכונים המוכלים בו – Ad-Hoc Analysis.

נמצא כי אפקטיביות הבקרות לאורך זמן בשיטת עבודה זו, נמוכה מהאפקטיביות לה אנו מצפים. האפקטיביות עולה מיד לאחר הביקורת אך שוקעת לערך המקורי עד לעריכת הביקורת הבאה:

מהי ביקורת מתמשכת – Continuous Auditing?

מסמך IIA (GTAG – Global Technology Audit guide, משנת 2015), שכותרתוCoordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, מתאר כי סביבת רגולציה משתנה, גלובליזציה גוברת, לחצי השוק לתוצאות עסקיות משופרות, וסביבה עסקית שבה התהליכים משתנים בקצב גבוה, יוצרים את הצורך בארגונים לפיתוח תכנית לביקורת מתמשכת המכוונת לנתונים פיננסיים ותפעוליים. תכנית כזו תומכת ביכולת הביקורת הפנימית לספק ביטחון מתמשך בניהול סיכונים יעיל ובבקרה לממונים על הממשל התאגידי.

נייר עמדה של חברת CaseWare Analytics העוסק בביקורת מתמשכת,
Continuous Auditing: A Strategic Approach to Implementation, מסביר כי מלבד הבעיות הנסקרות במסמך GTAG, ארגונים מתמודדים גם עם קצב הולך וגובר של יצירת נתונים, תוך יצירת סביבה שבה המשתמשים במידע הפיננסי דורשים ודאות לדיוק, שלמות ורלוונטיות הנתונים בדוחות.

מאחר שקצב גידול הנתונים מתגבר, פונקציות הניהול הופכות ליותר ויותר תלויות במערכות המידע התפעוליות ובכלי קבלת החלטות מבוססי המחשה חזותית.

ביקורת מסורתית המבוצעת במחזוריות שנתית/חמש שנתית, אינה מסוגלת להבטיח להנהלה את רמת הוודאות הנדרשת בתחומים אלה.

ביקורת מתמשכת אינה אפליקציית תוכנה או כלי המסייע למבקרים פנימיים לעמוד באתגר שלעיל תוך הישרדות במחסור המתמשך בכוח אדם מקצועי, אלא תהליך המשלב שיטות עבודה בסיסיות שמבצע המבקר הפנימי, לרבות תכנון והערכה מתמשכת של הסיכונים והבקרות, יחד עם פרדיגמת ביקורת חדשה של מעבר מביקורת תקופתית מבוססת מדגמים אל ביקורת המתאפיינת בהערכה מתמדת המתבססת על ניתוח כלל התנועות.

מאפייני הביקורת המתמשכת כוללים:

• גישה רב-פעמית לנתונים, כלומר הורדת נתונים בשיטתיות ממערכות ERP והמרה שוטפת של הנתונים למידע.
• אוטומציה, באמצעות פרוצדורות אוטומטיות, לייבוא נתונים, לניתוח תנועות, לרבות תנועות שהתווספו (Incremental Analysis), ולייצוא חריגים.
• הגדרת תזמון ותדירות של שליפה וניתוח הנתונים, בהתאם לניתוח הסיכונים.
• בדיקת הבקרות הממוחשבות להצפת חריגים וניהולם (Management by Exceptions) לרבות הרמת דגלים אדומים:
• זיהוי בזמן ודיווח של חריגים, שלמות ותקפות הנתונים.
• ניתוח תנועות מפורט.
• בחינת הבקרות.
• ניתוח תבניות ומגמות.
• ניתוח השוואתי בין יחידות, במטרה ליצור אחידות בשיטות עבודה.
• חיזוי ביצועים סטטיסטי למספר תקופות קדימה.

ממסמך GTAG עולה כי המעבר לביקורת מתמשכת מאפשר גידול משמעותי באפקטיביות הבקרות לאורך זמן, כמוצג בתרשים להלן:

עקרונות למעבר לביקורת מתמשכת

שינוי הפרדיגמה אינו שינוי טריוויאלי. קבלת החלטה שמתאריך נתון משלבים ביקורת מתמשכת יחד עם עריכת ביקורת מסורתית לא תביא לשינוי הדרוש.

שינוי תפיסת עריכת הביקורת מביקורת מסורתית למערך המשלב ביקורות תקופתיות כמקובל, יחד עם ביקורת מתמשכת, מחייבת תשתית הכוללת היערכות מוקדמת ומחויבות לתהליך מצד מספר גורמים בארגון. זהו שינוי שימצב את הביקורת הפנימית כגורם התורם ערך מוסף גבוה יותר לארגון.

השינוי כולל בניית תשתית ארגונית להצלחת המעבר, מחויבות המבקר הפנימי, מחויבות יחידת הביקורת ומחויבות מבקר ה-IT.

• תשתית להצלחה

מהספרות (IIA, 6 Simple steps to a more effective internal audit , GTAG) עולה כי לגורמים הבאים אחריות למימוש ולהבטחת ביקורת מתמשכת: ועדת הביקורת, ההנהלה הבכירה בארגון, המבקר הפנימי והביקורת הפנימית, כמפורט בטבלה להלן.

נמצא, כי באופן מעשי נדרש כתב אמנה חדש ליחידת הביקורת, הכולל מעבר להיבטים בטבלה שלעיל, גם מחויבות של המבקר הפנימי הראשי ומחויבות של כל אחד מהמבקרים ביחידת הביקורת:

• מחויבות המבקר הפנימי
• השקעת שעות הדרכה לצוות הביקורת הפנימית בהכשרה פרונטלית בכלי ה-CAATT שנבחר, והתמחות סגל העובדים לרמה המאפשרת עבודת ניתוח ותחקור עצמאית.
• מיסוד פעילות OJT (On the Job Training) מתמשכת, לשם הטמעת הידע התיאורטי של ה"איך" הנלמד בהשתלמות לנושאים המבוקרים.
• עדכון נוהלי עריכת ביקורת.
• יישום סביבת שליפה לנתונים מהמערכות התפעוליות ב-ODBC (Open Data Base Connectivity) ממערכת ERP בסביבת Windows ובאמצעות כלי ייעודי לשליפת נתוני SAP.
• תקנון שיטת עבודה להשגת חיסכון במשך ביצוע ביקורת, התייעלות וחיסכון כספי על ידי:
  • התקנת כלי ה-CAATT הנבחר במחשבי עובדי הביקורת.
  • בחירת משרדי מיקור חוץ העובדים בכלי ה-CAATT שנבחר.
  • חיוב כל המבקרים לנתח ולתחקר נתונים באמצעות כלי ה-CAATT הנבחר בלבד ולא בכלים מסורתיים (גיליון אלקטרוני, Access ואחרים).
• בחירת נושאי ביקורת כמותיים שבהם קיים ערך מוסף לביקורת מתמשכת, על פי תוצאות ניהול סקר הסיכונים וצורכי ההנהלה.
• בחירת נושאים המשלבים ניתוח מסמכים יחד עם תחקור נתונים כמותי.
• מחויבות יחידת הביקורת
• התגברות על ההתנגדות הטבעית לשינוי.
• הבנה שנדרש להשקיע זמן לימוד פרונטלי וזמן לימוד באמצעות הכשרה בפרויקט מעשי ביחידת הביקורת On the Job Training – OJT.
• ניתוח ותחקור נתונים רק באמצעות כלי ה-CAATT שנבחר.
• מחויבות מבקר ה-IT ביחידת הביקורת
• בארגונים רבים, מבקר ה-IT עוסק בעיקר בסיוע למבקרים האחרים בהגדרת הנתונים הנדרשים, בהורדתם לסביבת ה-PC ובתחקורם. גם בעידן הביקורת המסורתית, למבקר IT יש מטלות ביקורת IT כגון היערכות לחירום (DRP), אבטחת מידע ובדיקות חדירה, סייבר, וניהול ובקרה של חוות השרתים.
• כפועל יוצא משינוי עיסוקו המסורתי של מבקר ה-IT, והמעבר מסיוע לאחרים לפעילות ביקורת IT ממוקדת, יש לו אחריות מרכזית להקמת התשתית לדוחות בקרה, כחלק מהביקורת המתמשכת שנועדה לזהות חריגים ביחס לנורמה ולאפשר הרמת דגלים אדומים.
• בניית דוחות בקרה של התהליכים העסקיים על בסיס תכנית הביקורת השנתית

בסיום הקמת התשתית הנדרשת לשינוי הפרדיגמה והתמקדות בנושאי ביקורת המשלבים ניתוח כמותי, ניתן להתחיל בבניית דוחות בקרה הכוללים את השלבים הבאים:

1. ביצוע ניתוח להערכת חוזק הבקרות הפנימיות:

• שימוש ביכולות המובנות בכלי ה-CAATT לייבוא, ניתוח ושליפת ליקויים בתהליך שוטף ועקבי לבדיקת אמינות הנתונים, חישובים פנימיים, הפרדת תפקידים ועוד.
• זיהוי הבקרות שאינן מתפקדות או מתפקדות באופן בלתי מספק בתהליך המבוקר.
• תיעוד תהליכי העבודה והממצאים.

2. יצירת פרוצדורה חזותית אוטומטית של כל התהליך שנבדק, ללא קוד, ובדיקתו על הנתונים המקוריים.
3. קיבוע פרוצדורה לאחר בדיקות והעברתה לבקרה העסקית, להרצה בשוטף לשליפת חריגים מהנורמה ולהרמת דגלים אדומים, סמוּך ככל האפשר למועד התרחשות האירוע.
4. גיבוש תפריטי עבודה מובנים ותהליכים אוטומטיים המאפשרים חזרה בנקודות זמן על פעילות בדיקת הבקרות, במטרה לוודא תיקון ליקויים וזיהוי בעיות חדשות.

תרומות הנובעות משינוי הפרדיגמה והערך המוסף הסמוי

תרומות שינוי הפרדיגמה בנושא אפקטיביות הבקרות בתהליכים העסקיים מתוארות במסמך GTAG.
אם כן, מהו הערך המוסף הנובע משינוי שיטת העבודה שאינו מוצג ב-GTAG?

• הפקה של דוחות בקרה אוטומטיים ללא עלות (הדוחות נוצרים ללא כתיבת קוד בעת ביצוע הביקורת ומכאן שאין להם עלות), לשם איתור כשלים הפוגמים באיכות הנתונים וזמינותם, בכל נקודת זמן שבה תחליט יחידת הבקרה להריץ את הדוח. חשוב להדגיש כי לאחר בדיקת הביקורת להרצה ראשונה תקינה של הדוח, נדרשת העברת האחריות להפקת דוחות הבקרה בשוטף ליחידת הבקרה העסקית ולא ליחידת הביקורת הפנימית.
• מניעת זליגה כספית – פתרון ותיקון הליקויים במערכות המידע הארגוניות, תהליך הדורש בדרך כלל מסגרת זמן והשקעת משאבים משמעותיים. שינוי שיטת העבודה להרצת דוחות בקרה לפני ביצוע תהליכי הוצאת כספים מהחברה, ימנע זליגת כספים ויאפשר סגירת פרצות מידית, עד לתיקון התהליכים וחיזוק הבקרות.
• ביצוע מעקב תיקון ליקויים שוטף באמצעות הרצת הדוחות, ימנע את הצורך בביקורת חוזרת ויאפשר השגת חיסכון כספי ניכר.
• הקטנת תלות הביקורת הפנימית בעובדים ייחודיים על ידי הכשרת כל המבקרים לניתוח אנליטי.

סיכום

שינוי תפיסת שיטת העבודה הוא תהליך לטווח ארוך. ראשיתו בהבנה בצורך בשינוי, והמשכו בשכנוע הנהלת הארגון ומועצת המנהלים בתרומת השינוי לארגון, ובהכרה כי משך הזמן מהתנעתו ועד למימוש אפקטיבי הוא ארוך.

לגורמים רבים בארגון יש השפעה על התהליך, ובראשם למבקר הפנימי וליחידת הביקורת המחויבים לשינוי שיטת העבודה.

פועל יוצא של תהליך העבודה המוצע, הן ביחידת הביקורת הפנימית והן ביחידות הבקרה הכספית בארגון, הם התוצרים הארגוניים הבאים:

• מאגר דוחות בקרה אוטומטיים זמין לזיהוי חריגים וכשלים בתהליכים השונים.
• יכולת להשוות ביצועים ועלויות ביחידות השונות בחברה באופן שוטף ומתמיד.

The post ביקורת מתמשכת מבוססת נתונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

המאמר מתייחס לכלי חדשני יחסית בעבודת הביקורת: הפקת תובנות-מסקנות INSHIGT)). הרעיון המסדר של המאמר הוא: האפשרות להפיק תובנות לאו דווקא  מדוח ביקורת מסוים כמקובל וכנדרש, אלא ממקבץ של דוחות ביקורת ופרסומן של תובנות אלה בדוח (ביקורת) העומד בפני עצמו – דוח תובנות ממקבץ דוחות. היתרונות של דוח כזה: הוא עשוי להציף תובנות מערכתיות, להוסיף ערך מהותי לארגון, וגם להעניק יוקרה ליחידת הביקורת הפנימית והציבורית.

הליך זה מתאים לכלל העוסקים בביקורת הפנימית והציבורית: מבקרים פנימיים בתאגידים עסקיים וציבוריים; משרדי ייעוץ ושירותי ביקורת; מבקרים פנימיים במגזר השלטוני על גווניו השונים; וגם למבקרים ציבוריים, ובראשם – למבקר המדינה.

תובנות – הרעיון  התורתי המסדר

אחד מההדגשים של IIA לשכת המבקרים העולמית הוא: הגעה לתובנות  באמצעות מבט מ"מעוף הציפור" על הממצאים שעלו בדוח מסוים, תוך הסקת מסקנות מהתמונה המצטיירת מהדוח.

בשפה המחקרית-אקדמית מכנים זאת "אינדוקציה": הדרך שבה מסיקים מסקנה ממקרים פרטיים ומחלצים מהם קביעה כללית. יש המתארים הליך זה, שהוא הליך יצירתי, גם כ"חיבור הנקודות" – חיפוש מכנה משותף לממצאים שעלו בדוח. אחרים מתארים זאת כקיבוץ הממצאים של הדוח, שהם מעין "עצים" ל"חורשות" ול"יער" תחת מכנה משותף אחד – כותרת וכותרות משנה. קבוצות אלו של "חורשות ויער" במסגרת המכנה המשותף הזה, הן המאפשרות הכללה והסקת מסקנות-תובנות.

בנוסף, הפקת תובנות בעת כתיבת דוח ביקורת עשויה לתרום לקיצורו ולבהירותו  של המוצר הסופי: הדוח. הדוח ידגיש רק נקודות משותפות ותובנות שעלו מהבדיקה, וימנע או יצמצם את הצורך בפירוט רחב של הממצאים אך יציג את המסקנות הכלליות העולות מהם (זאת תוך הצגת דוגמאות ספורות בלבד, כאשר כל יתר המקרים הפרטניים יקובצו בנספח לדוח).

הפקת תובנות ממקבץ דוחות

כאמור, הרעיון המסדר של המאמר הוא שרצוי להפיק תובנות לא רק מדוח  ביקורת מסוים אלא ממקבץ דוחות ביקורת. השם המקצועי להליכים וכלים אלה הוא גם ניהול ידע -KNOWLEDGE MANEGEMENT  – ניהול הידע של הביקורת הפנימית כפי שעולה ממקבצי דוחות.

הפקת תובנות ממקבץ דוחות – המחשות והדגמות

דוגמה ראשונה לחילוץ תובנות ממקבץ דוחות (וישנן בהמשך גם דוגמאות הנוגעות למבקר בתאגיד), ניתן לראות בפעולת יחידת הביקורת הפנימית ברשות לניירות ערך (להלן "הרשות"). היחידה עוסקת, בין היתר, בבדיקת פעילות תאגידים שחוק ניירות ערך חל עליהם. הבדיקות נעשות בכמה היקפים-מסגרות: בדיקת נושא מסוים בתאגיד מסוים; "בדיקת עומק" – בדיקה מערכתית רב-נושאית של תאגיד מסוים; ולענייננו, גם בחתך רוחב – בדיקת נושא מסוים במדגם תאגידים תוך הפקת תובנות והפצת הידע לכלל התאגידים של הרשות. הנה כי כן, המדובר בהליך כפול של הפקת תובנות ממספר דוחות ובמגוון תאגידים.

המחשה בולטת לכך הוא "דוח ריכוז ממצאים מבדיקת מלאי" מנובמבר 2016 (ראו באתר הרשות). הבדיקה הרוחבית של המלאי נערכה במדגם של חמישה "תאגידים מדווחים" מענפים שונים, כלשון הרשות. המאפיין אותם תאגידים: ניהול מלאי מהותי המחייב ספירה ודיווח חשבונאי-כספי בדוחות הכספיים, כשערכי המלאי ואיכות הדיווח החשבונאי-כספי הם גורם משמעותי בהצגת התוצאות הכספיות של התאגיד, ובראשן – הרווח או ההפסד.

הבדיקה כללה בין היתר את אופן המדידה הראוי של ערכי המלאי ומידת הגילוי הנאות בספרי אותם תאגידים, לעומת הדיווח בפועל בדוחות הכספיים של אותם תאגידים.

החדשנות באותה בדיקה לא הייתה במתן הערות פרטניות לתאגידי המדגם, אלא בהפצת נייר תורתי (נייר תובנות) של הרשות לכלל התאגידים שיש להם מלאי ושחל עליהם חוק ניירות ערך, וכן למשרדי רואי החשבון של אותם תאגידים. בכך הציגה הרשות את עמדתה בשאלות עקרוניות-תורתיות אלו, ונתנה את דעתה המקצועית בשאלות של מדידה והצגת ערכי מלאי בספרים. יתרה מזאת, כך מחייבת הרשות את התאגידים לפעול על פי אותן התובנות, העמדות המקצועיות, וכל תאגיד שיחרוג מהן בעתיד עשוי להיקנס בקנס מנהלי.

ראוי ללמוד וליישם את מה שעשתה הרשות לניירות ערך גם בקרב כלל העוסקים בביקורת פנימית וציבורית, כמפורט להלן:

1. ישימות למשרדי ייעוץ ושירותי ביקורת פנימית

יתרונם של משרדים אלה הוא בהכרה ובראייה מערכתית-ביקורתית של מגוון תאגידים ושל הנושאים המשותפים להם, כמו שכר, רכש, מלאי, ניהול סיכונים וכו'.  לענייננו, יישום היתרון אפשר שיהיה גם בהפקת תובנות ממקבץ דוחות. מהבדיקות הפרטניות של משרדים אלה, הכוללות מגוון דוחות ביקורת תוך ראייה רוחבית, ניתן להגיע לתובנות כוללות בנוגע להדגשי ביקורת תורתיים-מערכתיים. תובנות אלו, שיפיצו המשרדים לעובדיהם כדוח או כנייר מטה, עשויות להוות כלי לימודי-תורתי חשוב לחניכה, להכוונה ולבקרת איכות של צוותי הביקורת באותו משרד, וכך גם להוסיף ערך לדוחות הביקורת שהמשרד יכין.

את הדוח או נייר המטה זה, שהוא למעשה דוח נוסף – דוח תובנות ממקבץ דוחות –המשרדים יכולים להעביר לוועדות הביקורת ולמנכ"לים של הגופים שבהם נערכת הביקורת, כלומר למקבלי ההחלטות (תוך שמירה על האנונימיות והסודיות של הגופים שנבדקו ושמהם הופקו התובנות). דוח מסכם מעין זה יפיק ערך נוסף לאותם תאגידים ויעלה את היוקרה של משרדי הייעוץ ושירותי הביקורת הפנימית.

2. ישימות למבקרים פנימיים בתאגיד או במשרד ממשלתי-ציבורי מסוים

המבקרים יכולים להתייחס למכלול הדוחות בשנת עבודה מסוימת או אף למכלול הדוחות מהשנים האחרונות, ולהעלות מהם מכנים משותפים שיופצו להנהלת הארגון כדוח מסכם – דוח תובנות. לדוגמה: תובנות בדבר איכות התרבות הארגונית;  רמת הציות הארגונית – COMPLIANCE; סיכונים והמענה להם; איכות השירות לציבור; טוהר המידות וכדומה. דוח מעין זה תרומתו רבה: הוא יוצר הליך של ניהול ידע ארגוני, כלי תורתי ושיווקי, ולא פחות חשוב – כלי התורם להשבחת עבודתם  ותרומתם לארגון של המבקרים הפנימיים.

3. ישימות למבקר המדינה

חשוב שמבקר המדינה יפיק תובנות מערכתיות ממקבץ הדוחות השנתי והרב-שנתי שלו וייצור כלי תורתי-ניהולי בתוך משרדו. לדוגמה, תובנות בדבר משילות, יעילות וחיסכון, מועילות, צדק חלוקתי, מרכז ופריפריה, היערכות לשעת חירום, השירות לציבור, סדרי ניהול פרויקטים, שיתוף פעולה בין-משרדי, טוהר המידות, סדרי בקרה, שקיפות, וכדומה.

כאשר יופץ ויפורסם "דוח תובנות" מעין זה, הוא יאפשר למבקר המדינה להפנות לנושאים מהותיים את תשומת הלב של ועדת הכנסת לענייני ביקורת המדינה, ממשלת ישראל, יושבי ראש ועדות הכנסת, חברי הכנסת וכלל הציבור, ויאפשר פיקוח של הרשות המחוקקת על הממשלה ועל קידום פתרונות בנידון, וגם יפנה זרקור של התקשורת, גורמי מחקר וגורמי חברה אזרחיים לבעיות המערכתיות של הממשל  והמינהל הציבורי הדורשות פתרון מערכתי.

ממד הזמן והיקף ההשקעה בהפקת תובנות ממקבץ דוחות

ככל שרוצים להפיק תובנות מדוחות מהטווח הקצר, למשל משנת העבודה האחרונה, כך הפקת התובנות קלה יחסית. ככל שממד הזמן ארוך יותר ויש שאיפה להפיק תובנות גם ממגוון דוחות משנים קודמות, כך עשוי לעלות הצורך במעקב מקדים, כדי לבחון מה תוקן ומה מהווה עדיין סוגיה או סוגיות חוזרות להפקת תובנות.

אם המעקב מגלה שבוצע תיקון מהותי-שיטתי, הרי שהתובנה היא שהתרבות הארגונית היא טובה, מגיבה, בוחנת ומתקנת. אם לא בוצע תיקון כזה, הרי שהתובנה שתעלה היא הפוכה.

The post הפקת תובנות ממקבץ דוחות ביקורת פנימית וציבורית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

במאמר זה נפתח צוהר ונכיר את אחד מכלי הסיוע הטובים והאמינים בביצוע חקירה באשר היא – ביטחונית, פלילית, מהימנות עובדים, חשש לעבירה על טוהר המידות ועוד – הפוליגרף.

מכשיר זה, המכונה בשפת העם "מכונת אמת", הומצא בשנות העשרים של המאה ה-20 בארה"ב, ופעילותו מתבססת על ההנחה שלפיה כאשר אדם משקר, בגופו מתרחשות תגובות פיזיולוגיות בלתי רצוניות ובלתי נשלטות.

כמי שנחשף לא אחת לבדיקות פוליגרף ולתוצריה אקדים ואומר – קל מאוד, ובמיוחד אם מאמינים בכלי זה – ליפול בפיתוי, להשתמש בו ולהאמין שמדובר בכלי שתוצאותיו הן חד-משמעיות ואמינות ביותר.

ולא כן היא – לא תמיד ניתן להשתמש בפוליגרף (גם מקצועית), וישנן טעויות לא מעטות.

מחקרים וועדות בדיקה בנושא הפוליגרף קבעו שתקפות בדיקת הפוליגרף נעה בין 80% ל-90%.  שונוּת זו נובעת, בין היתר, משיטות שונות של בדיקות.

עלינו המבקרים להכיר את הפוליגרף, את יכולותיו ומגבלותיו ואת הסוגיות המשפטיות הקשורות בו, שכן לא אחת עולה לדיון בארגונים השאלה: האם צריך, נכון ורצוי להשתמש בפוליגרף בעטיו של חשד לפלילים או חשד לפגיעה בטוהר המידות? נרחיב על כך בגוף המאמר.

הפוליגרף – סקירה כללית

למונח שקר יש הגדרות רבות. כך למשל, מוגדר שקר – כמעשה, אמירה או עמדה שאינם מתאימים למציאות המובאת לידיעת הזולת, ושתכליתם להשיג או לספק יתרון בדרך של רכישת אמון או הטעיה.

ודוק – שקר הוא כוונה לרמות כדי להשיג יתרון/תועלת, או להימנע מאי נעימות או סנקציות הכרוכות באמירת אמת.

העובדה שמתח נפשי הקשור באמירת שקר, בהתרגשות, בפחד ובמבוכה גורמים לשינויים פיזיולוגיים באדם – ידועה מזה שנים.

בעבר הרחוק היו מקומות שבהם נהגו למלא את פיהם של החשודים בשקר באורז גולמי, ומי שהתקשה ביריקתו – נמצא אשם; וזאת מתוך הנחה ששקר גורם לאדם ליובש בפה. זה היה מכשיר הפוליגרף של אותם ימים.

כאמור, בשנות העשרים של המאה ה-20 הומצא מכשיר הפוליגרף בארה"ב. למכשיר לפחות שלושה ערוצי בדיקה הבודקים את השינויים הפיזיולוגיים של הנבדק – שינויים בלחץ דם, דופק, הזעה ונשימה.

הבדיקה אינה כוללת רק את "חיבורו" של הנבדק למכשיר, אלא הצגת שאלות וקבלת תשובות עליהן. מתקיימת אינטראקציה הדוקה בין החוקר/בודק לבין הנבדק – החל מהכנת הנבדק לבדיקה, ניסוח השאלות; חקירה תגובתית עקב ממצאי הבדיקה ועוד.

בהכללה ניתן לומר שקיימות שתי שיטות בדיקה עיקריות:

• שיטת שאלות הביקורת – בשיטה זו נעשה שימוש בדרך כלל בבדיקת מהימנות כללית לצורכי מיון עובדים. במסגרת בדיקה זו מוצגים לנבדק שאלות שעליהן עליו לענות ב"כן" או "לא". אין לבודק מידע מסוים רלוונטי על הנבדק (למשל, שגנב ממעסיק קודם). בשיטה זו נערכת השוואה בין תגובותיו הפיזיולוגיות על הנבדק לשאלות העומדות בבסיס הבדיקה (לדוגמה, האם גנב ממעסיק קודם) לבין תגובותיו לשאלות ביקורת (לדוגמה, האם גנבת אי פעם, האם שיקרת למעביד אי פעם).
• שיטת פרטי חקירה מוכמנים (פח"מ) – הנבדק נשאל לגבי פרטים מסוימים שלכאורה רק הוא מודע להם (לדוגמה, רק הנבדק יודע באיזה חשבון בנק נמצא הכסף שנגנב). מקובל ששיטה זו היא מהימנה יותר, אך גם לגביה אין הסכמה שניתן להסתמך עליה באופן גורף.

חקירה באמצעות מכשיר הפוליגרף – היבטים נפשיים

מסמך הנחיות היועץ המשפטי לממשלה מתמצת היטב את המשמעות הנפשית העלולה לנבוע כתוצאה מחקירה באמצעות מכשיר הפוליגרף[1], וזו לשונו:

"חקירה באמצעות מכשיר הפוליגרף היא הליך חודרני מאוד, ועלולה להיות חוויה רגשית בלתי נעימה ואף משפילה. מדובר בבדיקה שנועדה להעמיק אל הלא מודע ובכך לפגוע בחופש הרצון, תוך חדירה לנבכי נפשו של אדם וגביית תגובות בלתי מודעות.

לצד הפגיעה הטבועה בזכויות הקיימת בעצם השימוש במכשיר הפוליגרף, נאלץ הנבדק בשיטת שאלות הביקורת, על מנת "לעבור בשלום" את הבדיקה, לחשוף בפני הבודק כל פרט מציק בעברו, לרבות נושאים אינטימיים או מעשים בלתי ראויים חסרי חשיבות ופעוטי ערך שנעשו לפנים שנים רבות. כך למשל, בתשובה לשאלת ביקורת שגרתית אודות פגיעה באמון בעבר, מחויב הנבדק לחשוף בגידות בחיי הנישואין, שקרים למעביד ועוד. בכל אלה יש כדי להטיל אימה על הנבדק. יתר על כן, מכשיר הפוליגרף מתעד את תגובות הנבדק לשאלות ביקורת אף במקרה בו הנבדק מסרב לענות לשאלה מסוימת.

אל מול בעיית המהימנות והפגיעה בזכויות יסוד, יש להציב תועלות אפשריות שבשימוש במכשיר הפוליגרף. כך למשל, אין חולק כי לשימוש במכשיר הפוליגרף יתרונות הרתעתיים מסוימים. בנוסף, רווחת הדעה בקרב גופי החקירה בישראל כי הבדיקה יכולה לשמש, בנסיבות מסוימות, כלי עזר בחקירה. השימוש במכשיר הפוליגרף עשוי גם לסייע לחשוד בהפרכת האשמות שווא, ובמקרים מסוימים הוא מסייע לחפים מפשע להזים עוד בשלב החקירה ראיות נסיבתיות הקושרות אותם אל העבירה".

היבטים משפטיים בנושא הפוליגרף[2]

הגישה המשפטית לבדיקות פוליגרף שונה בהתאם לסוגי ההליכים:

1. הליך פלילי

בהליך פלילי בדיקת הפוליגרף אינה קבילה כראיה, אף לא בהסכמת הנאשם עצמו,

למעט חריג אחד – ניתן לבצע בדיקת פוליגרף ולעשות שימוש בתוצאותיה לשם מעצר לצורכי חקירה.

2. הליך אזרחי

בהליך אזרחי, בית המשפט רשאי לקבל כראיה את תוצאות הפוליגרף, ובתנאי ששני הצדדים הסכימו מראש לביצוע הבדיקה ושתוצאותיה יוגשו כראיה בהליך המשפטי הספציפי הזה.

בנוסף, על ההסכמה של הנבדק להיות מפורשת ומרצון (לא די בהסכמה שבשתיקה). אין לכפות את הסכמתו של נבדק (עובד, לדוגמה) באמצעות איומים.

פוליגרף כתנאי לקבלה לעבודה

באופן עקרוני, בעת בחינת קבלת עובד לעבודה, מותר לעשות שימוש ב"מבחני התאמה" (פוליגרף, גרפולוג, מבחנים פסיכולוגיים וכדומה).

בית המשפט אימץ את התפיסה כי חובת תום הלב מטילה על המעסיק את החובה לוודא שהמבחנים שאליהם הוא שולח את העובדים הפוטנציאליים הם בעלי מהימנות ותוקף גבוהים לצורך קבלת ההחלטה.

חיוב עובד לעמוד בבדיקת פוליגרף

לא ניתן לחייב עובד לבצע בדיקות פוליגרף, גם אם הוא נתן את הסכמתו לכך במסגרת חוזה עבודה.

יש לקבל הסכמה ספציפית.

פיטורים בהסתמך על בדיקת פוליגרף

סירוב להיבדק או תוצאות שליליות בבדיקת הפוליגרף לא יהוו עילה בלעדית לפיטורין ללא פיצויי פיטורים.

עם זאת, ניתן לראות בסירוב פגיעה ברמת האמון הנדרשת מעובד, וככל שהוא בכיר יותר – הפגיעה תהא חמורה יותר.

עובד לא יכול להסכים (באופן ספציפי) להיבדק, ועם קבלת התוצאות לחזור בו מהסכמתו.

המבקר הפנימי והפוליגרף

במסגרת הביקורת הפנימית, אפשר וייעשה שימוש בפוליגרף במקרים מסוימים, לדוגמה:

• במסגרת הערכת הבקרה הפנימית בארגון, המבקר הפנימי עשוי להמליץ לשלב כאחד ממנגנוני הבקרה הפנימית גם בדיקת פוליגרף (לדוגמה, כחלק מהליך גיוס עובדים לתפקידים רגישים).
• במסגרת חקירות אירועים (כגון הונאות ומעילות) שעורכת הביקורת הפנימית, כאשר האמנה של הביקורת הפנימית בארגון(internal audit charter) קובעת שחקירות בארגון הן בתחום אחריותה. גם אם המבקר הפנימי אינו מבצע חקירות בעצמו, אזי לעתים כשקורה אירוע הוא משולב בצוותי חקירה או מלווה את הצוות. הפוליגרף עשוי להיות כלי רב עוצמה בחקירות אלו.

המבקר הפנימי אמור להכיר את מכשיר הפוליגרף, לדעת את יתרונותיו וחסרונותיו, וכן לדעת מה לשאול ולבקש ממבצע בדיקת הפוליגרף.

במקרים שבהם החליט המבקר הפנימי לעשות שימוש בבדיקת פוליגרף; או ממליץ על שימוש זה, עליו לוודא כי ההליך יבוצע באופן נאות ובדגש על הנקודות הבאות:

• יש לוודא שהעובד מודע למהות הבדיקה, למגבלותיה, להשלכותיה, וליכולת לעשות בה שימוש כראיה בבית המשפט.
• יש להחתים את העובד על הסכמתו הספציפית לביצוע הבדיקה, ולהבהיר לו את מהותה. הדבר תקף גם כשהעובד מציע ביוזמתו לבצע את הבדיקה.
• לא ניתן לחייב את העובד לבצע בדיקה.
• אין להפעיל על העובד לחץ או לאיים עליו. אין לגרום לעובד לחתום על הסכמה בדרך של פיתוי.
• יש לבצע את הבדיקה באופן חף מהטיות ככל הניתן, תוך התחשבות במגבלות הנבדק (כגון מגבלות רפואיות, מגבלות שפה, נטילת תרופות).
• יש להקפיד ולבצע את הבדיקה רק באמצעות בודק מוסמך.
• יש לזכור שהבדיקה היא רגישה, ושעצם שיגור עובד לבדיקה עלול להתפרש במקרים מסוימים על ידי הסובבים כהבעת אי אמון בעובד או אף גרוע יותר – כהטלת אשמה (בבחינת "אין עשן בלי אש"). לכן יש להימנע ככל הניתן מעצם חשיפת הבדיקה עד תומה.

[1] הנחיות היועץ המשפטי לממשלה, י"ד בחשוון התשס"ד, 9 נובמבר 2003 מספר הנחיה 3.1102 – שימוש בבדיקות פוליגרף על ידי רשויות המדינה.

[2] נכתב בסיועו של עו"ד ירון הרמן ממשרד עורכי דין גרוס, קלינהנדלר, חודק, הלוי, גרינברג ושות'.

The post הפוליגרף ככלי מסייע בעבודת המבקר הפנימי הלכה למעשה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.